English
Preşedinte al Mirat Di Neride, expert în strategie de afaceri şi criminalitate informatică, director al CLUSIR Office - New Aquitaine Ouest, Didier Spella este fost ofiţer superior al Forţelor Aeriene Franceze, co-fondator al Charente-Maritime Cyber Securite, o conferinţă a cărei primă ediţie a avut loc între 17 şi 18 octombrie 2018 la La Rochelle şi a abordat diverse concepte din lumea cibernetică. Cunoştinţele sale atât din domeniul securităţii digitale, cât şi analoage, dar şi experienţa sa în domeniul analizei de risc şi expertiză din cadrul companiilor americane i-au permis să se poziţioneze ca un expert în definirea strategiilor de securitate. Confruntările cu atacurile cibernetice din ce în ce mai răspândite şi mai intruzive la nivelul stilului de viaţă l-au determinat să organizeze o conferinţă care să abordeze riscurile la care populaţia în general este expusă şi cei care au microîntreprinderi sau întreprinderi mici şi mijlocii în special. Tema generală a conferinţei a fost: "all attacked, all accomplices".
Zilele în care atacurile cibernetice ţinteau doar puţine IMM-uri nenorocoase s-au dus. Acum este foarte profitabil pentru criminalii cibernetici să le ia în vizor, deoarece sunt mai uşor de atacat decât companiile mari. În ultimele 12 luni, 21% dintre IMM-uri au fost victeimele unui atac cibernetic. Chiar dacă pagubele în urma acestor atacuri nu depăşesc decât foarte rar 10.000 euro, există şi cazuri rare în care companiile-victimă nu îşi mai revin, mai ales în situaţiile în care cazul devine public. (01/02/2019 - Damien Bancal) (1).
• O "ordine frumoasă..."
Iată că avem parte de încă o dimineaţă însorită, caracteristică acestei regiuni. Este timpul să mergem să verificăm bancurile de stridii deoarece mareea nu ne aşteaptă. În această dimineaţă, Rene, fermierul nostru de stridii, are de livrat o comandă foarte mare.
Seara trecută el a primit o cerere specială pe email din partea unui client obişnuit şi i-a răspuns că va face tot ce e posibil să o onoreze...
Din momentul în care stridiile au fost culese, durează doar câteva ore pentru ca două tone de stridii să fie depozitate în lăzi, iar livratorul este deja pregătit să le trans-porte până în Spania. De data aceasta s-a modificat locul de livrare, însă aceste situaţii mai apar.
Ziua continuă, a mai rămas de trimis doar factura...
Peste două zile, joi, vine o nouă comandă de la clientul lui. Rene profită şi îi dă un telefon....
"Cum a fost comanda de marţi? Ţi-a plăcut?"
"Ce comandă? Nu am mai comandat nimic de la tine în ultimele trei săptămâni!
"Dar cum rămâne cu mesajul tău de luni cu privire la cele două tone de stridii?
"Nu ţi-am trimis niciun mesaj luni, am fost plecat în Maroc de sâmbătă şi m-am întors acasă marţi seară. Am postat fotografii şi pe contul meu de Facebook".
În acel moment Rene îşi dă seamă că tocmai a fost păcălit...
Cineva s-a dat drept clientul său. Uitându-se acum cu atenţie la adresa de email de unde a venit comanda îşi dă seama că este uşor diferită....
Da, este vorba despre un alt furt de identitate... Criminalul cibernetic a ţinut sub observaţie schimburile de email-uri ale antreprenorului, a monitorizat şi activitatea clientului....
Şi astfel avem de a face cu un caz clasic de atac şi are în vedere o mică afacere. Putea la fel de bine să fie vorba de criptarea informaţiilor din calculatorul antreprenorului şi solicitarea unei răscumpărări.
1. Contextul
Fie că vorbim de IMM-uri, fie că vorbim de microîntreprinderi, ele au în comun faptul că managementul companiei este centralizat. Acesta este şi avantajul lor competitiv, deoarece având resurse umane limitate, aceste companii sunt mult mai flexibile şi răspund mai rapid comparativ cu structurile companiilor mari.
Pentru a înţelege mai bine contextul în care IMM-urile şi microîntreprinderile îşi desfăşoară activitatea ele trebuie definite. Vom utiliza definiţiile din revista "Economie Magazine".
1.1. Diferenţa tehnică
De cele mai multe ori tindem să confundăm microîntreprinderile cu IMM-urile. Totuşi, aceste organizaţii sunt chiar diferite.
Să începem cu microîntreprinderile. Ele sunt în general structuri cu personalitate legală şi cu număr maxim de angajaţi. De asemenea, cifra de afaceri a acestor companii nu trebuie să depăşească plafonul de două milioane de dolari. Acest tip de companie de cele mai multe ori are un singur proprietar, respectiv nu are angajaţi. Se pretează nevoilor unor lucrători pe cont propriu de tipul meşteşugarilor, comercianţilor şi al profesiilor liberale. Aşadar, cum încă de la început acest tip de afacere nu are nevoie de resurse extinse, nici umane, nici financiare, majoritatea start-up-urilor francize sunt astfel organizate. Conform statisticilor, aproape 93% dintre companiile înfiinţate în Franţa sunt microîntreprinderi. De asemenea, aceste microîntreprinderi au şi un regim de taxe specific.
Companiile mici şi mijlocii se deosebesc de microîntreprinderi prin dimensiunea lor. Până în acest moment nu există definiţii exacte pentru astfel de companii, totuşi se acceptă cea precizată în Recomandarea Comisiei Europene 96/280/EC din 3 aprilie 1996, completată prin Recomandarea 2003/361/EC din 6 mai 2003. Aceste recomandări clasifică organizaţiile în func-ţie de două caracteristici: mărimea şi cifra lor de afaceri. Aşadar companiile intră la categoria firme mici dacă au între 10 şi 50 de angajaţi şi ale căror cifră de afaceri şi balanţă nu depăşesc 10 milione de euro pe an.
Dacă au între 51 şi 250 de angajaţi atunci vorbim de companii medii, a căror cifră de afaceri nu trebuie să depăşească 50 de milioane de euro, iar balanţa trebuie să aibă un total de 43 de milioane de euro.
Dacă au peste 250 de angajaţi, atunci vorbim de companii mari.
1.2. Câteva cifre....
Conform unui studiu PWC, securitatea cibernetică reprezintă o problemă doar pentru o treime dintre companiile franceze. Pe de altă parte, două treimi consideră că ameninţarea cibernetică nu este semnificativă pentru companiile lor. De asemenea, doar 2 din 10 companii se simt complet capabile să facă faţă unui atac cibernetic. Şi, pentru a completa acest tablou, mai puţin de o companie din 5 a implementat măsuri potenţiale de protecţie. În final, 95% dintre companii nu intenţionează să angajeze o persoană dedicată pentru securitate cibernetică în următoarele 12 luni (2).
1.3. Ce sunt acele riscuri cibernetice?
Riscurile cibernetice sunt de două feluri:
- riscuri directe care există la nivelul mediului tehnic IT&C,
- riscuri "clasice" care există la nivelul mediilor care utilizează IT&C.
Aşadar este clar că nu trebuie ca problema să fie redusă doar la a întări zona IT&C...
1.4. Spaţiul digital
În primul rând trebuie să definim ce anume acoperă spaţiul digital. Şi vom da aceas-tă definiţie: toate acele paradigme care sunt utilizate pentru a asigura un serviciu din partea unei maşini digitale. Aceste paradigme, de unde s-a dezvoltat spaţiul digital, sunt patru la număr:
Prima este electricitatea, în sensul ionilor pozitivi şi negativi şi toate proprietăţile care rezultă din ei: transportul energiei, electromagnetica, undele radio, radiaţiile, etc...
Cea de-a doua este paradigma oricărei maşini digitale la care foloseşte în întregime sau parţial arhitectura standard definită de von Neumann.
Cea de-a treia are legătură cu comunicaţiile. Respectiv cu faptul că transmiterea unui mesaj presupune existenţa unui transmiţător şi a unui receptor, care codează şi decodează mesajul transmis prin intermediul canalului de transmisiune.
Iar cea de-a patra o reprezintă informaţia cu cele trei proprietăţi ale sale: disponibilitate, confidenţialitate şi integritate.
2. Securitatea computer-ului....
De la apariţia lumii digitale ne confruntăm cu impunerea maşinilor digitale care solicită o poziţionare în locaţii dedicate. Ele, împreună cu restul echipamentelor periferice, sunt costisitoare. Sunt gestionate de personal calificat şi au nevoie de monitorizare continuă. Accesul logic este redus din cauza lipsei de acces potenţial. Aceste maşini, având resurse limitate, dezvoltă şi procesează doar acele funcţii care pot fi digitalizate.
Există 10 centre computerizate, adevărate "buncăre", care asigură disponibilitatea protecţiei pe zona electrică. Acestea au personal numeros şi calificat. Utilizatorii sistemului sunt conectaţi, în cel mai bun caz, prin cablu în scopul procesării anumitor informaţii. În cel mai rău caz ei iniţiează operaţiunile de procesare în urma consultării unor documente printate. Nu sunt relocate resurse de procesare. Protocoalele de reţea sunt rigide şi complexe, dar uşor de urmărit. Cea mai mare prioritate la nivelul datelor o reprezintă disponibilitatea.
Ne aflăm într-un mediu tehnic, extrem de specializat şi solicitant din punct de vedere al resurselor. Este vorba despre o lume relativ închisă ai căror utilizatori ataşaţi unui centru de procesare trebuie să îi res-pecte regulile şi constrângerile.
Cele patru paradigme ale noastre par a fi nişte stâlpi. Discutăm despre o securitate fizică şi tehnică, utilizată de o lume de tehnică şi implementată de specialişti.
La nivelul IMM-urilor şi al microîntreprinderilor investiţiile digitale sunt rare şi specifice. Anumite maşini trebuie instalate de către furnizori de servicii experimentaţi. Întregul management al sistemului este încredinţat unui specialist în cadrul companiilor mari sau este externalizat în întregime unui furnizor de servicii.
3. ...la securitate cibernetică
3.1. O definiţie a securităţii cibernetice
Securitatea cibernetică (conform ANSSI) reprezintă acea stare a sistemului informaţional care îi asigură rezistenţa la evenimente din spaţiul cibernetic care ar putea compromite disponibilitatea, integritatea şi confidenţialitatea informaţiilor stocate, procesate şi transmise şi a serviciilor complementare pe care aceste sisteme le asigură. Securitatea cibernetică foloseşte tehnici de securitate a sistemului informaţional şi se bazează pe lupta contra crimei cibernetice şi instituirea unei apărări cibernetice.
3.2. Evoluţii
În ultimii 20 de ani au intervenit schimbări la nivelul celor 4 paradigme.
Proprietăţile electricităţii au fost dezvoltate şi utilizate, mai ales în ceea ce priveşte consumul energetic, proprietăţile sale electromagnetice, cele radioactive sau de ondulare...
Maşina von Neumann poate fi micşorată şi consolidată. Poate să încapă în maşini portabile de dimensiuni foarte reduse. Sunt mai rezistente şi nu au nevoie de medii controlate. În plus, sistemele pot fi preconfigurate pe maşină. Preţul lor este în scădere. Fiind distribuite în organizaţii ale publicului general, pot fi implementate de către nespecialişti.
La nivelul comunicăţiilor au intervenit evoluţii fenomenale în termen de suport de comunicare, ale cărei viteză a crescut, iar protocoalele s-au simplificat. Această combinaţie a determinat transmiterea prin intermediul "cloud-ului", iar toate tipurile de cabluri au devenit inutile. Nu mai avem nevoie de expertiză de reţea pentru a implementa aceste comunicaţii.
În ceea ce priveşte informaţia, având în vedere că disponibilitatea sa este asigurată de către medii eficiente, de dimensiuni mici şi ieftine, şi confidenţialitatea sa ar trebui asigurată, de asemenea, cu uşurinţă. Cea mai nouă problemă de securitate o reprezintă de fapt integritatea informaţiei.
Toate evoluţiile au determinat popularizarea completă a tehnologiei digitiale, trans-formând-o într-una simplă şi puţin costisitoare. Putem digitaliza totul aşadar totul este digitalizat. Puterea asupra sistemului computerizat se transferă de la experţi şi specialişti la utilizatorii finali care nu mai trebuie să cunoască aceste tehnologii. Ges-tionarea completă a lumii digitale îi revine utilizatorului final. În acest sens au evoluat tehnologiile, dar astfel au şi deschis calea activităţilor frauduloase la nivelul lumii digitale. Au dispărut "buncărele" securizate unde erau localizate maşinile de procesare. Au dispărut şi protocoalele care făceau posibilă urmărirea progresului structurilor. Trăim într-o lume tehnologică deschisă, implementată de utilizatori.
Confruntaţi cu aceste evoluţii ale paradigmelor, este de înţeles confuzia antreprenorilor din afacerile mici şi foarte mici. Cei patru stâlpi ai tehnologiei digitale s-au trans-format în cei patru călăreţi ai Apocalipsei.
4. Cum să realizezi trecerea de la securitatea IT la securitatea cibernetică
După această observaţie solidă, este momentul să identificăm acele zone ale evoluţiei care vor permite antreprenorilor să le înţeleagă mai bine. Trebuie să discutăm des-pre problema securităţii cibernetice nu ca despre o problemă tehnică, ci ca despre una socială. Managerul unei companii trebuie astfel să preia această problemă, cu implicarea directorului IT pentru aceia care au unul şi/sau implicarea furnizorului de servicii pentru celelalte cazuri. Ei sunt jucătorii cheie ai acestui proces. Totuşi, ei nu sunt singurii care ar trebui implicaţi în acesta.
4.1. Obiective acceptabile - riscul
Este nevoie ca mai întâi managerul companiei să identifice riscurile sale. Pentru această abordare va fi nevoie de o analiză detaliată a tuturor activităţilor din companie. În funcţie de aceasta managerul va trebui să îşi îmbunătăţească mai întâi siguranţa şi apoi securitatea, pentru a reduce riscurile identificate iniţial. Unele dintre aceste riscuri pot fi transferate unui asigurator specializat.
În acel moment riscul său devine acceptabil.
4.2. Obiective acceptabile - cost
Toate soluţiile pe care un manager le va implementa vor determina costuri pentru compania sa. Aceste costuri vor trebui comparate cu cele prevăzute în urma identificării riscului în cadrul analizei iniţiale. Această abordare determină ca acel cost să fie acceptabil.
4.3. Obiective acceptabile - protecţie
Toate metodele implementate trebuie să fie acceptate de către toate persoanele de interes ale companiei, la nivel intern şi extern. Dacă protecţia nu este acceptată de către toţi angajaţii, se va dezvolta un efect "Katangese", iar metodele implementate vor fi extrem de ineficiente. Aceste obiective pot fi definite într-adevăr doar de către antreprenor şi astfel poate interveni o contradicţie puternică. Pe de o parte, protecţia lumii tehnice poate fi realizată doar cu abordări nespecializate. Pe de altă parte, fie că vorbim de riscuri sau protecţie, toţi angajaţii sunt implicaţi. Aşadar aceste probleme au nevoie de o abordare "umană" . Iar termenul de protecţie devine acceptabil..
5. O implementare....
Dincolo de soluţiile tehnice care vor fi construite şi implementate de specialişti din domeniu (şi aici se vor regăsi parţial cei din domeniul securităţii IT) va fi nevoie şi de o analiză a organizării companiei. Toate componentele, fie ele personale sau profesionale, modul şi contextul lor de utilizare, vor risca să nu mai fie protejate de către echipamentul tehnic utilizat în mediul profesional. Astfel va fi nevoie de revizuirea regulilor de utilizare ale acestor componente "digitale". Angajaţii vor trebui educaţi astfel încât să aibă parte de o conştientizare colectivă în interiorul companiei.
Toate aceste elemente evidenţiază în mod clar problemele cu care se confruntă IMM-urile şi microîntreprinderile noastre. Concentrându-se pe productivitate ca activitate esenţială pentru supravieţuire, ele trebuie să utilizeze o tehnologie care a evoluat în mod divergent. Astfel trebuie reflectat atât asupra aspectului tehnologic, cât şi asupra celui social.
Trebuie să fim conştienţi de toate aceste aspecte astfel încât să îi sprijinim pe antreprenori în abordarea lor asupra securităţii cibernetice.
Un birou obişnuit... unde nimic nu este cum ar trebui să fie...
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
