AVEM NEVOIE DE O CULTURĂ DE SECURITATE CIBERNETICĂ Pierderile sunt uriaşe când marile companii industriale sunt atacate cibernetic

Toată echipa de conducere a unei companii sau a unei instituţii trebuie să conştientizeze ce efecte pot avea atacurile cibernetice şi să colaboreze cu specialiştii pe securitate şi IT - CISO (chief information security officer), CIO (chief information officer) şi CSO (chief strategy officer) -, asigurându-se că nevoile minime tehnice şi umane sunt satisfăcute şi că investiţiile necesare sunt făcute pentru ca aceştia să îmbunătăţească zilnic sistemele pentru a face faţă, în cel mai eficient, mod posibil varietăţii de ameninţări.

Până la urmă, dacă se întâmplă un accident major, CSO-ul poate fi concediat, fiind făcut "ţap ispăşitor", dar cu consecinţele atacului ne vom confrunta mult timp după aceea, iar echipa de conducere, şi nimeni altcineva, va trebui să dea socoteală pentru pierderi.

Datorită ameninţărilor din interior (din ignoranţă) mai mari ca niciodată, un ecosistem sigur poate fi construit doar cu participarea activă a tuturor angajaţilor, fără a exclude pe nimeni. Toţi trebuie să conştientizeze pericolele, ca să contribuie efectiv la locul de muncă.

Până la urmă, dacă se întâmplă un accident major, sistemul se va confrunta cu tăieri de costuri, care vor proveni, în principal, din concedierea multor angajaţi.

Într-o lume unde afacerile din toate sectoarele devin 4.0 (revoluţia industrială digitală), de la armate la marile industrii şi, nu în cele din urmă, întregi sisteme de administrare guvernamentală, avem în sfârşit date despre costurile reale ale unui atac global indirect: "notPetya" aka "Goldeneye". În sfârşit, să lăsăm în urmă titlurile din media generalistă, "mai mult sau mai puţin Sci-Fi", cu afirmaţiile lor despre potenţialii iniţiatori, războaiele între state, concluziile pripite etc., şi să corelăm informaţiile reale despre consecinţele acestui malware global asupra unor companii de top, reflectate în declaraţiilor lor fiscale la jumătatea anului (S1).

În timp ce aşteptăm impactul asupra profiturilor din S1, avem deja câteva rezultate uimitoare referitoare la trimestrul al doilea: Mondelez, lider multinaţional în alimentaţie din SUA - pierdere de venituri de 3%; Reckitt, lider multinaţional în industria farmaceutică din UK - pierdere de venituri de 2%; Maersk, liderul mondial danez de transport maritim - pierdere de 300 de milioane USD, estimată doar ca o primă consecinţă directă a atacului.

Cel mai bun exemplu, după publicarea rezultatelor pentru primul semestru de compania însăşi (1), este probabil cazul multinaţionalei franceze Saint-Gobain, unul dintre liderii globali în construcţii: trei zile eşuate pentru că au lucrat doar cu creion şi hârtie (2), 220 milioane de euro pierdere, ceea ce reprezintă o pagubă de 1,1% de venituri, şi o scădere a profitului operaţional cu 4,4%. Şi vorbim despre o companie care a înregistrat un prim semestru record, "incluzând şi atacul".

După părerea noastră, compania a fost prudentă atunci când a previzionat un cost anual total al atacului de 250 milioane de euro, recunoscând că circa 30 milioane de euro, datoraţi consecinţelor, vor fi plătiţi în trimestrul al treilea. Analiştii externi estimează un cost minim al atacului de cel puţin 330 milioane de euro, care se va reflecta în cifra de afaceri pe 2017 (3).

Aceste companii sunt gigantice, ele pot rezista la unul-două atacuri de tip "notPetya" pe an. Dar chiar şi pentru ele, problema rămâne: ce se întâmplă cu gradul de încredere? După cum a afirmat un specialist în investiţii: "Pentru acţionari, a venit vremea să se dea socoteală".

Pentru toate companiile mai mici, alte atacuri ar putea avea consecinţe severe şi le-ar putea face chiar să se prăbuşească. Şi toate acestea, pentru ce? Mereu şi întotdeauna doar pentru mentalitatea tradiţională a echipei de conducere:

1) Nu prezentăm interes pentru hackeri, poate doar bazele noastre de date şi tranzacţiile financiare să prezinte vreun interes, dar le-am securizat.

2) Nu înţelegem problemele de securitate cibernetică şi nu-l avem pe CISO lângă noi în board-ul companiei.

3) Departamentul CSO va rezolva toate problemele, cu companiile specializate în acest domeniu, pentru că plătim aceste servicii.

Rezultatul este că nu se face nici o conştientizare de jos până sus, nu se creează o cultură de securitate cibernetică şi - din nou - nu există nici un moment de teamă că suntem sub un atac permanent, ceea ce înseamnă că nu există nici o conştientizare a faptului că întreaga companie, de la omul de serviciu şi până la directorii executivi de top, ar trebui implicată în securizarea ecosistemului digital de la locul de muncă.

Noi, occidentalii, suntem slabi şi neinformaţi în mod particular, spre deosebire de alte ţări - şi am putea da ca exemplu Israel şi India - în care nu puţine companii cu profil industrial şi-au dezvoltat echipe de black hats/white hats/red teams, construite în jurul unor profesionişti tineri pasionaţi care urmăresc proactiv şi ceas de ceas ce se întâmplă, corelând informaţii de pe forumuri private, de pe deep web, cu informaţiile din reţelele proprii. Ei reprezintă elementele cheie pentru a testa toate sistemele companiei şi pentru a previziona atacuri cu toţi vectorii existenţi şi vulnerabilităţile deja cunoscute de către hackeri, dar încă neutilizate.

Şi dincolo de conştientizare, "să dea Dumnezeul 4.0", ca liderii companiilor noastre să înţeleagă că participarea în mecanismele naţionale şi globale de declarare a vulnerabilităţilor nu este împotriva interesului propriu, ci dimpotrivă. Ceea ce va fi împotriva propriilor interese, va fi vizibil în câteva luni, sau în cel mai bun caz în câţiva ani, când atacuri de tipul "not-Petyas" vor avea loc săptămânal.

Pentru a rezolva problemele existente, acestea trebuie mai întâi conştientizate, iar apoi oamenii trebuie implicaţi într-un proces de învăţare şi instruire continuă. Acest lucru încearcă să îl realizeze conferinţa "Cybersecurity in Romania", ajunsă la a 5-a ediţie şi care va avea loc anul acesta în perioada 13-15 septembrie 2017, la Sibiu, în parteneriat cu ziarul BURSA.

"Cybersecurity in Romania" a devenit o platformă de dialog între diferiţi actori ai lumii digitale de pe întreg globul, este unul dintre puţinele evenimente de profil susţinute de ONU, prin Uniunea Internaţională a Comunicaţiilor (ITU) şi primul eveniment de profil pornit din România care va fi exportat în Europa de Vest, în perioada 7-8 decembrie urmând să aibă loc o primă ediţie elveţiană a conferinţei.