Reporter: Cum putem să ne organizăm mai bine în activitatea de apărare a reţelelor de comunicaţii?
Sebastian Pitei: În industria noastră, toată partea de învăţare presupune efectiv să pui mâna şi să faci lucruri. Noi avem un tip de exerciţii care se cheamă Capture the Flag (CTF), unde foarte prozaic îţi poţi imagina datul la perete. Daiu singur la perete, adică faci un lucru. Este o metodă bună de învăţare, dar numai că în lumea reală nu eşti singur cu un server pe care cauţi să îl protejezi sau cu care cauţi să spargi serverul celui care te atacă. În lumea reală, pe lângă tine mai există şi colegii tăi sau alt tip de colegi care, de cealaltă parte a mesei, încearcă să te atace, ceva de genul hoţii şi vardiştii dacă integrăm totul într-o idee de joc. Practic ai mai multe echipe, care fiecare are câte o infrastructură de apărat şi există o infrastructură identică de partea cealaltă, a adversarilor, de atacat. Asta este partea de attack&defense. Prin această modalitate, obţii skill-uri noi, înveţi să te şi aperi, nu doar să ataci, şi dezvolţi partea de lucru în echipă, de a discuta cu alţi oameni, de a distribui informaţiile eficient şi coerent.
Reporter: Cu ce provocări v-aţi confruntat în ultimii trei ani, de la începutul pandemiei şi până acum?
Sebastian Pitei: În principiu, actualul context geostrategic şi alăturarea geografică de Ucraina nu ne ajută foarte mult, deoarece fiind o ţară NATO avem parte de "influenţe" din zona estică. În ultimii trei ani, provocările cele mai mari au apărut datorită muncii de acasă. Începând să lucrezi de acasă, nu mai eşti în fortăreaţa apărată mai bine sau mai puţin bine din cadrul companiei în care eşti angajat. Chiar dacă lucrezi de acasă de pe un laptop al companiei, lucrurile sunt un pic complicate pentru cei din interiorul firmei care trebuie să apere reţeaua de comunicaţii a societăţii respective. De exemplu, când întreaga activitate se desfăşoară la sediul firmei, dacă ştii că s-a întâmplat ceva, te duci la colegul de la etajul 2 şi îi spui să te ajute. Acum, cu lucrul de acasă, tu vezi că s-a logat cineva de pe un IP dintr-o altă ţară şi nu este în regulă. Chiar dacă s-ar loga de la un IP din România, asta nu înseamnă că de fapt atacatorul nu se află într-o altă ţară. Aceasta este provocarea cea mai mare cu care ne confruntăm în ultimii ani, de când s-a forţat paradigma deschiderii companiilor de la work from the office la work from anywhere. Astfel, a crescut expunerea cyber a companiilor, avem mai multer atacuri, din nefericire userii sunt la fel de instruiţi sau neinstruiţi, ceea ce a complicat lucrurile. Constatăm că postura de securitate medie a companiilor, deşi ne-am dori să crească, este tot acolo sau uşor mai scăzută.
Reporter: Este suficient un specialist în cyberdefense ca să protejeze o companie ce are între 50 şi 100 de angajaţi?
Sebastian Pitei: Niciodată. Doar pe subramura asta mare de IT, a cyberului, la noi sunt două verticale foarte mari: blue şi red, adică atacatori şi apărători. Fiecare verticală este împărţită şi specializată în foarte multe domenii. Apoi treaba cu numărul provine din producţia industrială unde se vorbea despre câţi oameni este nevoie ca să facem 50 de şuruburi. În ceea ce priveşte protecţia reţelei şi datelor dintr-o companie cu până în 100 de angajaţi, în industria noastră există, în primul rând, ideea de secure by design. Tu, ca om de IT, trebuie să accepţi faptul că vei fi atacat şi acceptă faptul că, la un moment dat, o serie de atacuri nereuşite se va solda mai devreme sau mai târziu cu un atac reuşit. Trebuie să îţi pui în primul rând problema ce faci când se întâmplă un astfel de atac reuşit, nu dacă se întâmplă. Vedem foarte des chestia asta cu "domnule, la mine nu mi se poate întâmpla sau chiar dacă mi se întâmplă, nu are ce să îmi facă". E o idee greşită, pentru că te poate ataca în primul rând pe tine, iar prin tine poate ataca cibernetic pe altcineva. De aceea, trebuie să ai măsurile de bază - security by design -, după care urmează chestiile de bun simţ, cum ar fi un antivirus, faptul că nu laşi pe toată lumea din companie să fie administrator al reţelei şi apelarea la companii care să te ajute un pic în direcţia protejării datelor şi reţelelor. Dacă, de exemplu, ai nişte date care sunt suficient de sensibile sau ai un business a cărui compromitere din punct de vedere cyber sau digital poate duce la închiderea întregii activităţi, mi se pare valoros ca tu, ca CEO sau decident, să pui problema protejării datelor şi reţelei pe primul plan.
• "Nu poate nimeni să garanteze, niciodată, o protecţie 100% împotriva cyberatacurilor"
Reporter: Este de ajuns să instalăm unul sau două sisteme antivirus sau este nevoie de crearea unor sisteme care să implice mai mulţi paşi atunci când vrei să dai un click sau să descarci ceva în device-ul personal ori al companiei?
Sebastian Pitei: În security, compania investeşte nişte bani, iar gradul de protecţie este direct proporţional cu suma investită pentru acesta. Poţi să investeşti o sumă rezonabilă ca să ajungi la un grad de protecţie situat între 80% şi 85%, dar ca să treci apoi la un grad de protecţie situat între 95% şi 99% trebuie să investeşti foarte mulţi bani. Protecţie 100% nu există. Cine vine, vinde, şi susţine chestia că poate proteja 100%, ar trebui dat afară imediat din compania respectivă. Nu poate nimeni să garanteze, niciodată, o protecţie 100% împotriva cyberatacurilor.
Reporter: Atunci cum să facem protecţia companiilor?
Sebastian Pitei: În principiu este o abordare bazată pe risc, care este situat la intersecţia dintre probabilitate şi impact. Care este probabilitatea să mi se întâmple ceva şi, dacă mi se întâmplă, care este impactul? Aici avem două posibilităţi: fie să micşorezi probabilitatea să ţi se întâmple ceva, fie să micşorezi impactul. De exemplu, în cazul unui magazin online, unde clienţii se autentifică cu un username şi parolă, statistic vorbind un astfel de sistem de autentificare să fie spart este medie. Dacă vii şi adaugi o măsură de protecţie suplimentară cu autentificare multi-factor, deja ai micşorat foarte mult probabilitatea să ţi se întâmple ceva. Nu eşti 100% safe, dar este mult mai complicat din punct de vedere tehnic să spargi un sistem care are multi-factor authentication, decât unul care are doar username şi parolă.
Reporter: Ce facem cu cei care fac tranzacţii financiare, inclusiv de pe telefonul mobil? Cum se pot proteja aceştia de un atac cibernetic?
Sebastian Pitei: În urmă cu mai mulţi ani exista moda, care probabil mai e şi acum, să instalezi aplicaţii şi de pe magazinele neoficiale. De aceea, primul pas ar fi să nu mai instalăm "toate prostiile de oriunde" pe telefoanele mobile sau pe alte device-uri personale, pentru că nu ştii ce se întâmplă, mai ales că au existat cazuri în care aplicaţii legitime au fost suspecte de comportament maliţios. Al doilea pas - un antivirus este întotdeauna bun şi pentru telefonul mobil, iar în ultimul rând este ceea ce noi numim cyber-security hygiene, adică să fii un pic atent la ce instalezi pe telefonul mobil.
Reporter: Vorbiţi, practic, despre un sistem de prevenţie. Cum clădim acest sistem de prevenţie la nivelul societăţii actuale?
Sebastian Pitei: În primul rând prin educaţie. Este o realitate, nu ştiu dacă dură, care arată că oricâte măsuri tehnice pot fi instalate într-o companie - antivirus, scanare, monitorizare, etc. - invariabil un utilizator va da click pe un link de phishing, de exemplu. În acel moment, există o şansă mai mică sau mai mare, în funcţie de cât de interesantă este compania respectivă, ca cineva să fi făcut un malware special pentru această firmă sau pentru categoria ta de industrie - de exemplu domeniul financiar - şi să te infecteze. Pentru a evita acest lucru este nevoie de un grad de alfabetizare digitală sau alfabetizare cyber a angajaţilor companiei respective.
• "În viitor, companiile vor avea abonament la firmele de cybersecurity"
Reporter: Este de ajuns o alfabetizare cyber teoretică sau este nevoie şi de experienţe practice?
Sebastian Pitei: Aceste lucruri merg împreună. De exemplu, faci cursuri cu privire la anumite nivele de phishing, oamenii spun că au înţeles, eventual dai nişte teste ca să rămână acolo nişte informaţii după cursurile respective, după care, la o anumită perioadă de maximum trei luni, dar random, simulezi un atac de tip phishing. Trimiţi mail-uri sau oferte online cu discounturi de 60%, 80% şi vei vedea că, invariabil, cineva va da click. Ideea de a face aşa ceva nu trebuie să includă în ea un mecanism punitiv, ci să ofere exemplul necesar pentru conştientizarea rolului prevenţiei în rândul angajaţilor. Trebuie să le oferim un mesaj pozitiv angajaţilor. Ştim că laptopurile de muncă sunt folosite şi pentru diverse chestiuni personale - mai trimiţi un e-mail, mai intri pe ceva, e normal -, dar angajaţii trebuie să conştientizeze că, în cazul deschiderii unor link-uri neverificate în prealabil, riscă să îşi compromită compania sau, în cazurile complicate, pot să ducă la falimentarea ei ceea ce ar atrage pierderea locului lor de muncă şi locurilor de muncă ale colegilor, dar să şi piardă datele personale pe care le aveau pe acele device-uri. Oamenii trebuie să înveţe că aşa cum se comportă cu laptopurile personale, de care au grijă mai mult, aşa trebuie să se comporte şi cu laptopurile de la muncă.
Reporter: Ştim că riscurile au crescut odată cu munca de acasă. Cum fac faţă companiile din cyberdefense actualei situaţii?
Sebastian Pitei: E greu, deoarece piaţa noastră de cyber este una dificilă din punct de vedere al resurselor umane, este o piaţă unde, deşi şomajul este zero din 2010 până acum, ai nevoie permanent de oameni calificaţi. Este foarte greu să găsim specialişti, mai ales că atacurile au devenit din ce în ce mai sofisticate, a crescut numărul atacatorilor care sunt din ce în ce mai bine motivaţi şi mai organizaţi, pentru că mai intervin şi actorii statali. Oricât ai fi tu de bun pe cyberdefense, este posibil ca partea cealaltă să dispună de ce nu ai tu, adică sprijinul serviciilor de informaţii ale unui stat ostil României. E dificil. Încercăm să contracarăm lucrurile acestea prin educaţie, prin profesionişti şi prin tehnologia aferentă. Sfatul meu pentru companiile din ţara noastă este să îşi educe cybernetic angajaţii, nu doar pe cei din IT, şi să apeleze la firmele specializate care le pot face un minim audit cu privire la postura de securitate a societăţilor respective, audit pe baza căruia să ofere şi soluţii pentru creşterea gradului de protecţie. Apelarea la companiile de cybersecurity va deveni încet ca un abonament. Vei avea abonament la telefon, abonament la internet şi abonament la cyber, pentru că totul se va face pe computer şi provocările sunt din ce în ce mai mari.
Reporter: Vă mulţumim!