Securitatea economică şi securitatea cibernetică - de la confuzie la încurcătură

• Un atac cibernetic...?

Cercetătorii Proofpoint au identificat o campanie care vizează entităţi franceze din sectoarele construcţiilor, imobiliare şi industriale. Potrivit companiei de securitate cibernetică, atacatorii au folosit un document Word maliţios despre Regulamentul general privind protecţia datelor ale UE (GDPR), activând macro-uri pentru a solicita o adresă URL care conţinea un script PowerShell ascuns prin tehnici de steganografie într-o imagine. Acest script duce la descărcarea managerului de pachete Chocolatey. În cele din urmă, lanţul de compromitere continuă pentru a implementa sarcina utilă finală, backdoor-ul "Serpent". Cercetătorii nu au identificat obiectivele finale ale atacatorilor. Cu toate acestea, pe baza tehnicilor, tacticilor şi procedurilor utilizate, Proofpoint presupune că este vorba de un modus operandi avansat.

Următorul este un scurt reportaj din ediţia din 23 martie 2022 a buletinului informativ al ANNSI (Agenţia Naţională pentru Securitatea Sistemelor Informatice, ndr.), care rezumă articolul din Proofpoint. O scurtă analiză ne poate oferi următoarele informaţii:

- sunt vizate sectoarele construcţiilor, imobiliar şi industrial din Franţa;

- argumentul respectării RGPD este prezentat de către atacator;

- un link pentru instalarea unui manager de pachete;

- efectul final nu este cunoscut, dar modul de operare sugerează un atac ţintit.

În ceea ce priveşte securitatea economică, tendinţa actuală tinde să arate că un atac cibernetic este, în general, vectorul unui atac mai complex care vizează slăbirea sau dezorganizarea unui actor economic. De exemplu, pentru a afecta o reputaţie, pentru a capta date, pentru a împiedica o măsură de securitate, pentru a dezorganiza o linie de producţie etc. Putem disocia atunci, prin acest atac, riscul cibernetic de alte riscuri? Răspunsul este probabil că nu, deşi atacurile pur cibernetice pot coexista cu atacuri mai elaborate.

În prezent, securitatea economică poate fi considerată o paradigmă de sine stătătoare, atât în managementul strategic, cât şi în managementul public. Prin atacul de mai sus propunem un proiect de analiză prin prisma acestei paradigme.

• Securitatea economică - ca paradigmă

Fiecare companie are mai multe obiective: economice, sociale şi de reputaţie (management strategic). Crearea de valoare care implică competitivitatea întreprinderii răspunde obiectivelor economice; contribuţia la viaţa societăţii (ocuparea forţei de muncă, impozitarea, responsabilitatea socială a întreprinderii) răspunde obiectivelor societale; căutarea notorietăţii, conformitatea, dezvoltarea şi creşterea dimensiunii întreprinderii răspund obiectivelor reputaţionale.

Întreprinderile, ca toţi actorii economici, operează într-un ecosistem, într-un mediu (concurenţial, normativ, tehnologic, social, de securitate, politic, informaţional etc.) care le este specific şi pe care trebuie să-l stăpânească pentru a-şi atinge obiectivele. În cadrul acestui mediu global se află lanţul valoric. Acesta conţine diferitele activităţi ale întreprinderii care sunt utile pentru a crea valoare.

La aceste activităţi se adaugă logistica de intrare şi de ieşire, adică toate etapele care leagă furnizorii de bunuri sau servicii de întreprindere, precum şi toate etapele care leagă întreprinderea de clienţii săi, fără a uita furnizorii de servicii, inclusiv băncile, societăţile de asigurări şi chiar autorităţile publice.

Lanţul valoric astfel înţeles constituie o hartă utilă pentru toate părţile interesate în crearea de valoare, dar şi pentru orice actor rău intenţionat care doreşte să dăuneze unei întreprinderi. Într-adevăr, fie la nivelul logisticii de intrare, al activităţilor interne sau de suport, fie la nivelul logisticii de ieşire, o multitudine de atacuri sunt posibile.

Prădarea economică este astăzi o realitate care nu mai trebuie demonstrată. Într-un context de război economic, nicio companie nu este la adăpost de prădători sau de destabilizare. Actorii economici, societatea civilă, puterile străine, infractorii cibernetici etc. sunt cu toţii potenţiali prădători, indiferent de motivaţiile lor.

Consecinţele unei încălcări a securităţii economice sunt în mod sistematic o slăbire a societăţii şi, prin urmare, o expunere mai mare la prădători. Aceste atacuri au deseori consecinţe asupra fluxului de numerar al întreprinderilor, care reprezintă cheia stabilităţii şi a rezilienţei acestora.

În cadrul politicii publice franceze în materie de informaţii economice (management public), aceste atacuri au fost clasificate în opt familii. Aceste familii de breşe constituie un veritabil punct de referinţă pentru securitatea economică. Iată care sunt principalele caracteristici:

- Atacurile fizice, care se vor referi în principal la intruziuni, distrugeri, furturi de echipamente şi materiale. De exemplu, o intruziune informatică poate contribui la intruziunea fizică.

- Perturbarea şi subminarea sunt acţiuni din exterior. De exemplu, prin intermediul unui atac cibernetic este posibilă încetinirea activităţii unei companii.

- Riscurile cibernetice în sine reprezintă, desigur, un risc considerabil pentru companii (atac DDoS, furt de date, ransomware,...).

- Riscurile financiare nu constituie, în general, o infracţiune în sensul dreptului penal, dar sunt instrumente de prădare prin excelenţă. Având în vedere că fluxurile financiare sunt dematerializate, riscul cibernetic este deosebit de important.

- Atacuri asupra know-how sunt legate în principal de probleme de proprietate intelectuală şi, prin urmare, de contrafacere, dar şi de spionaj de competenţe şi industrial...

- Prejudiciul reputaţional a căpătat o dimensiune considerabilă odată cu dezvoltarea mijloacelor de comunicare, în primul rând a reţelelor sociale.

- În mod evident, fragilităţile umane nu trebuie excluse din spectrul încălcărilor securităţii economice. Oamenii sunt utilizatorii (şi creatorii) resurselor digitale.

- În cele din urmă, intruziunile consimţite sunt factori de risc foarte importanţi. In plus, orice furnizor extern de servicii constituie un risc în ceea ce priveşte intruziunea consimţită, inclusiv furnizorii de servicii IT (stocare de date, întreţinere etc.).

Aceasta este o grilă de lectură în care riscul cibernetic este omniprezent. De la paradigmă la instrument, securitatea economică şi referenţierea tuturor de atacuri cu succes oferă o viziune deosebit de amplă asupra riscurilor legate de mediul unei activităţi şi o cheie de anticipare a acestor riscuri.

• Analiza unui atac cibernetic prin prisma securităţii afacerilor

Să ne întoarcem, pe scurt, la memoriul citat în introducere pentru a analiza atacul cibernetic în cauză din perspectiva securităţii economice.

În primul rând, au fost vizate sectoarele construcţiilor, imobiliar şi industrial din Franţa. De ce aceste trei sectoare în special? La sfârşitul crizei COVID 19 (a priori la momentul redactării acestui articol), sectoarele care au fost afectate în mod special au fost cele care nu erau sau nu erau foarte adaptabile la "smart-working". Cu alte cuvinte, sectoarele de activitate pentru care lanţul de producţie nu se poate lipsi de prezenţa fizică a lucrătorilor: producţia industrială, construcţiile şi HORECA. Aceste sectoare se află în prezent în dificultate şi nu au putut fi menţinute pe linia de plutire decât prin ajutoare publice (împrumuturi garantate de stat, muncă la timp redus etc.).

Atacul cibernetic în cauză vizează, prin urmare, sectoare care sunt deja în dificultate (industria, construcţiile şi sectorul imobiliar). Prădătorul atacă mai uşor o pradă slăbită sau rănită, ceea ce îi sporeşte şansele de succes.

În al doilea rând, argumentul respectării GDPR este prezentat de atacator. Sosirea Regulamentului general privind protecţia datelor cu caracter personal (GDPR) în 2018 a impus respectarea acestuia de către agenţii economici. Acest regulament fusese puţin anticipat şi multe IMM-uri încă se luptă să se conformeze.

În plus, începând din 2018, multe escrocherii de "conformitate cu GDPR" au vizat companiile, folosind adesea phishing-ul ca punct de plecare. Având în vedere sancţiunile pentru neprotejarea datelor cu caracter personal, acest subiect este, în general, luat în serios. Folosind argumentul GDPR, atacatorul cibernetic îşi poate convinge mai uşor victima.

O companie care a fost deja slăbită de criză nu îşi va asuma riscul de a fi sancţionată şi în ceea ce priveşte gestionarea datelor cu caracter personal. Argumentul atacatorului pare a fi deosebit de bine construit în acest caz şi încurajează victima să facă clic pe linkul care va instala un software maliţios în reţeaua sau calculatorul utilizatorului.

În al treilea rând, o legătură generează instalarea unui manager de pachete, adică un sistem de instalare, întreţinere şi dezinstalare a programelor informatice. Pachetul conţine fişierele informatice, informaţiile şi procedurile necesare pentru a instala software-ul pe un sistem de operare în cadrul unui pachet software, asigurând coerenţa funcţională a sistemului modificat. Acesta este un modus operandi avansat şi nu poate fi opera unui simplu escroc. În plus, este instalat şi un backdoor, care oferă acces de la distanţă la calculatorul infectat. Acestea sunt aspectele tehnice ale atacului. Aceste instrumente vor permite capturarea de date, accesul la toate fişierele victimei,...

În sfârşit, efectul final urmărit nu este cunoscut, dar modul de operare sugerează un atac ţintit: slăbirea sectoarelor de afaceri, argumentarea RGPD şi utilizarea unor tehnici destul de complexe.

• Concluzie

Care ar putea fi obiectivul unui atac cibernetic asupra companiilor din sectoarele vulnerabile? În lumina grilei de lectură propuse mai sus, modul de operare sugerează că însuşirea datelor ar putea fi motivul atacului cibernetic.

Dar de ce în sectorul construcţiilor, al imobiliarelor şi al industriei? Creşterea bruscă a preţului materialelor de construcţii şi o piaţă imobiliară care continuă să crească (mai ales ca valoare de refugiu) conduc la dobânzi financiare deosebit de ridicate.

Prin urmare, colectarea de date exacte privind activităţile de construcţii şi proiectele imobiliare are o valoare strategică nu numai pentru concurenţă, ci şi pentru producătorii de materiale de construcţii şi chiar pentru logisticienii care vor transporta aceste materiale.

Prin urmare, având în vedere că sectorul construcţiilor este un sector care recurge în mare măsură la subcontractare, mizele legate de poziţionarea pe proiecte viitoare se pot dovedi foarte profitabile dacă sunt anticipate şi, prin urmare, dobândite. În ceea ce priveşte sectorul producţiei industriale, acesta este supus unei creşteri semnificative a costului materiilor prime (nu uitaţi că, de exemplu, preţul cuprului a atins maximul istoric în martie 2022).

Obţinerea de informaţii privind registrele de comenzi, sănătatea financiară, starea stocurilor etc. face posibilă analiza nevoilor viitoare şi, prin urmare, poziţionarea în ceea ce priveşte aprovizionarea cu materii prime. Prin urmare, se pare că, prin această analiză rapidă şi fără a intra în detalii, obiectivul atacului cibernetic este de a capta informaţiile necesare pentru o analiză a nevoilor de materii prime sau de materiale pentru sectoarele vizate.

O astfel de analiză, pe piaţa franceză în acest caz, ar permite comanditarului atacului să stabilească un plan strategic pentru satisfacerea acestor nevoi. Ne-am confrunta, aşadar, cu o operaţiune de spionaj economic pe care numai o analiză prin prisma paradigmei securităţii economice ar putea să o scoată la lumină. Dincolo de atacul cibernetic, se joacă poate o operaţiune de poziţionare pe piaţă, sau chiar de prădare economică...