Spionajul cibernetic, cel mai mare risc posibil pentru o afacere. Cum putem să îl prevenim?

Costurile spionajului industrial şi de afaceri, precum şi ale furtului financiar sunt cele două componente principale, dar care lipsesc din beneficiile pentru evaluarea beneficiilor aduse de criminalitatea informatică, precum şi a pierderilor de afaceri. Secretomania creată în jurul acestor tipuri de incidente (mediatizate doar atunci când sunt sponsorizate de stat) este în mod evident motivată, pentru întreprinderi, de evitarea unor daune suplimentare de reputaţie, iar nedivulgarea lor, din punctul de vedere al statului, are ca scop evitarea pierderii de locuri de muncă prin recunoaşterea slăbiciunii reale a întregii panorame de afaceri a companiilor care activează pe teritoriul său.

Din punctul de vedere al conducerii unei întreprinderi, auzim aceleaşi ipoteze generice făcute pentru tehnicile de hacking de înaltă tehnologie: "Compania mea este prea mică". "Afacerea mea este banală şi nu este interesantă". "Compania mea nu merită costurile unui astfel de atac".

Departe de noi gândul de a învinovăţi directorii executivi şi consiliile de administraţie: toate eforturile statului în domeniul prevenirii şi conştientizării cibernetice în afaceri, de cinci ani încoace, s-au concentrat asupra datelor cu caracter personal, o iniţiativă motivată logic, care ajută companiile să înţeleagă daunele şi amenzile pe care le riscă urmare a GDPR al UE şi a implementării Cloud Act din SUA.

Din nefericire, supraabundenţa de materiale de conştientizare privind protecţia datelor produse în fiecare an devine ca un imens soare orbitor, împiedicând liderii de afaceri să deschidă viziunea asupra protecţiei a ceea ce este supranumit în mod obişnuit "bijuteriile coroanei". În majoritatea ţărilor UE şi, în special, în naţiunile din estul şi sud-estul Uniunii, întrucât marile companii sunt sucursale ale multinaţionalelor occidentale din UE, conştientizarea pericolului de spionaj este aproape complet absentă din materialele de prevenire ale statului.

În prezent, ne pregătim, sub egida şi în colaborare cu Ambasada Elveţiei în România, pentru 1^st "Ziua anuală de conştientizare a spionajului cibernetic pentru mediul de afaceri", care va avea loc la Bucureşti pe 14 iunie 2022.

De fapt, autorităţile elveţiene se numără printre liderii în ceea ce priveşte conştientizarea spionajului, alături de SUA, Israel, Coreea de Sud şi Japonia, o consecinţă logică pentru ţările în care o mare parte a economiei se bazează pe companii inovatoare cu bugete enorme de cercetare şi dezvoltare, cu activităţi de bază ancorate în unele dintre cele mai importante domenii economice din lume: sisteme militare, afaceri agroalimentare, chimice, farmaceutice, de înaltă precizie şi de lux.

• 1. Care sunt obiectivele spionajului pentru orice tip de afacere?

Fiecare companie în parte, în contextul vremurilor post-pandemice şi de război, este interesantă. Spionajul, atunci când nu vizează cercetare şi dezvoltare nebrevetată, se concentrează pe colectarea de informaţii complete despre fiecare parte a unei întreprinderi: contabilitatea completă, inclusiv costurile individuale ale furnizorilor, producţiei şi revânzătorilor, strategia de afaceri pe termen scurt şi mediu, profitul anual real, precum şi inovaţiile sau achiziţiile preconizate şi, nu în ultimul rând, sănătatea medie a întreprinderii.

Scopul pentru beneficiarul informaţiilor spionate este, bineînţeles, să ştie când să cumpere sau să distrugă un concurent. Din păcate, activităţile de spionaj înfloresc într-o lume în care companiile legale îţi oferă datele pe care le doreşti, în timp ce te exonerează prin contract de a fi responsabil din punct de vedere legal de orice mijloace pe care aceste companii le vor folosi pentru a colecta informaţiile pe care le-ai solicitat, chiar şi în cazul utilizării grupurilor de infractori cibernetici cu plată.

• 2. Care sunt cifrele spionajului industrial şi de afaceri?

În capodopera sa "Managing Cyber Risk", Ariel Evans, analizând costurile atât ale întreruperii activităţii, cât şi ale exfiltrării de date (primul tip de atacuri permiţându-l pe cel de-al doilea), ne arată cifre reale care chiar sperie. El şi-a bazat calculele pe o companie uriaşă, dar nu pe o multinaţională. Aceasta reflectă perfect realitatea celor mai multe dintre companiile mari ale unei ţări, mai exact toate cele situate sub cele din top-100 şi deasupra celor de dimensiuni medii sau start-up.

În primul rând, el arată impactul întreruperii activităţi.

Urmează impactul exfiltraţiei de date, unde, după cum putem vedea, gestionarea brevetelor doar dublează pierderea finală.

Din păcate, pentru o întreprindere care nu poate face faţă unui astfel de atac, daunele financiare nu se vor sfârşi aici, deoarece va ploua cu acţiuni în justiţie ale clienţilor, precum şi cu amenzi de reglementare.

Această schemă completă, cu sume realiste, ne permite să revenim la topul Forbes al celor mai mari 10 provocări în materie de securitate cibernetică pentru anul în curs, unde, pe poziţia a treia, se află costurile de asigurare (2). De fapt, multe asigurări, ale căror prime de acoperire au crescut vertiginos în 2021, refuză deja să accepte companii care nu au o politică strictă şi cuprinzătoare de securitate cibernetică - atât tehnologică, cât şi umană, începând cu instruiri continue de conştientizare, livrate fiecărui angajat în parte.

Costurile pentru asigurare sunt astronomice, ajungând la peste jumătate de miliard de dolari în exemplul dat de catre Evans.

• 4. Afacerea mea nu este atât de mare, care ar fi costurile mele?

În primul rând, trebuie să subliniem că, în UE, majoritatea companiilor de asigurări sunt conştiente de faptul că securitatea cibernetică nu este o prioritate pentru o mare parte a întreprinderilor. Cele mai bune sunt asigurate în SUA sau în Regatul Unit, în timp ce celelalte vor fi rambursate de către asigurătorii din UE cu maximum 10% din beneficiile lor anuale (nu din cifra de afaceri!), deci o sumă inutilă atunci când vine vorba de acoperirea costurilor unui atac de spionaj.

Dar, pentru a vorbi mai concret, dacă aveţi o întreprindere de dimensiuni medii din UE, daunele ar putea ajunge la 1/1000 din cazul Evans, adică 5 milioane dolari, în timp ce dacă întreprinderea dumneavoastră este mică sau este doar un start-up, să presupunem că va trebui să facă faţă la 1/10.000 din sumă, adică 500.000 USD. În ambele cazuri, pe continentul nostru, falimentul întreprinderii este cea mai probabilă consecinţă, fapt cauzat în principal de reticenţa uriaşă a băncilor de a oferi împrumuturi suplimentare şi, prin urmare, de a permite întreprinderii să se redreseze în urma atacului.

• 5. Cum aş putea reduce la maximum riscurile de a fi o victimă spionată?

I. Luaţi câteva părţi din exemplele "cele mai bune dintre cele mai bune":

În Elveţia, tentativa de intruziune în departamentul de cercetare şi dezvoltare al uneia dintre companiile de sisteme militare de vârf ale ţării a avut un impact seismic asupra tuturor celorlalte întreprinderi care furnizează produse rezultate în urma unor procese de cercetare şi dezvoltare îndelungate şi costisitoare (companii farmaceutice şi chimice etc.) sau care fabrică produse cu o valoare adăugată foarte mare (producători de ceasuri de lux, producători de componente industriale de vârf etc.).

Cel mai bun exemplu este realizarea unei companii de lux cunoscute la nivel mondial. Aceasta a ales cele mai bune companii de IT şi de securitate cibernetică pentru a-şi construi propria arhitectură IT, pentru a o segmenta cu reguli de acces foarte stricte şi foarte mici şi testate de cele mai bune foste pălării negre disponibile. În acelaşi timp, a construit un sediu nou, cu un departament de cercetare şi dezvoltare, cu propriile servere în buncăre antiatomice. Nesatisfăcută de toate acestea, a angajat cei mai buni foşti hoţi, cascadori care puteau să escaladeze un zid cu mâinile libere, un fost comando de elită adevărat şi, din nou, foşti hackeri pentru a face un test de stres pentru un atac la scară largă, care a eşuat.

Bineînţeles, nici urmă de IoT în interiorul clădirii, supravegherea exterioară şi interioară se face prin intermediul unor camere de cablu de top, iar toate instrumentele necesare compusului, inclusiv aerul condiţionat, lifturile, sistemele de detecţie şi stingere a incendiilor sunt supravegheate în permanenţă de echipa SOC a companiei, dublată de angajaţi de securitate fizică (nu de personal de la o firmă de pază subcontractată), cei mai mulţi dintre ei cu permis de purtare a armei de foc.

Apoi, regulile: nicio întâlnire fără o verificare totală a faptului că participanţii au lăsat în urmă toate dispozitivele IoT/IT, întâlniri speciale organizate în săli anti-G şi reguli draconice pentru fiecare angajat: dacă se lasă biroul sau laptopul deschis sau dacă se dă o parolă unui coleg, acesta este concediat pe loc. În plus, nici măcar CEO-ul nu are acces la mai mult de 2% din orice bază de date.

Dacă se ajunge la un astfel de nivel de securitate, spionajul poate avea loc doar în forma sa "neolitică", adică prin mituirea unei persoane din interior cu o poziţie înaltă.

Exemplul propunerii de acord nesemnat niciodată, făcută acum mai bine de un deceniu de Elveţia Germaniei, arată cel mai bine ameninţarea din interior. Acest acord urmărea să impoziteze fiecare deţinător german al unui cont bancar elveţian şi să livreze autorităţilor germane suma anuală colectată. Cu toate acestea, cele mai bogate landuri au refuzat propunerea, obligând guvernul federal german să o refuze.

De ce? Pentru că la acea vreme (adică înainte ca Elveţia să adere la sistemul de cooperare bancară al UE), majoritatea acestor regiuni au reuşit, prin diverse agenţii private, să mituiască, cu până la 10 milioane de euro sau mai mult, mai mulţi şefi IT ai celor două mari bănci elveţiene, primind în schimb un DVD sau un dispozitiv USB cu informaţii complete despre fiecare dintre cetăţenii lor care aveau un cont - şi cât de mult era în cont - în băncile menţionate, permiţând agenţiilor de aplicare a legii să aducă în faţa justiţiei şi să pedepsească cetăţenii care respectau legea fiscală, cu toată severitatea legii germane, recuperând astfel sume de bani mult mai mari decât taxa propusă de Elveţia.

Dar cum nu scriem despre bănci sau multinaţionale, să ne rezumăm la riscurile cu care se va confrunta o întreprindere mijlocie sau mică şi la modul în care se pot atenua şi chiar şterge unele dintre ele.

II. Încercaţi să adoptaţi următoarele politici şi reguli:

Înainte de toate, directorul general şi Consiliul de Administraţie trebuie să fie convinşi că reducerea drastică a zonelor de risc este cea mai bună garanţie pentru desfăşurarea unei afaceri fără probleme, întreruperi, amenzi şi, mai rău, exfiltrarea datelor. În acest context, "Confronting Cyber Risk", de Gregory Falco & Eric Rosenbach (3), şi "Inside Jobs: Why Insider Risk Is the Biggest Cyber Threat You Can't Ignore" (De ce riscul din interior este cea mai mare ameninţare cibernetică pe care nu o puteţi ignora) , de colaboratorii Code42 (4), constituie o lectură interesantă.

Prima vulnerabilitate provine dintr-o arhitectură proastă de stocare şi de gestionare a accesului la sistemele informatice. Fiecare CISO şi CSO ar trebui să analizeze cu atenţie arhitectura actuală şi, folosind soluţii precum multi-cloud, să limiteze drastic numărul de persoane care au acces la cele mai critice date.

O revizuire şi o evaluare atentă a clauzelor de securitate şi a punctelor forte menţionate în contractul cu fiecare furnizor IT - hardware, software, transmisie (cablu sau wifi) şi cloud(s) - ar trebui să fie făcută cu prioritate de către echipa CISO şi CSO, iar companiile cu niveluri de securitate slabe să fie înlocuite cu unele de încredere. Ideal ar fi ca nişte pălării albe care să gestioneze o criptare completă, deţinută de codul-sursă, unică pentru companie, să fie cea mai bună soluţie pentru a atenua pericolele posibile la încărcarea/descărcarea/transferul de date în cloud-uri sau pe serverele la distanţă ale unei alte sucursale.

Acelaşi lucru ar trebui făcut şi cu camerele de supraveghere exterioare şi interioare, înlocuind camerele web cu camere de supraveghere prin cablu şi angajând personal de securitate fizică, condus de un fost poliţist sau militar în loc să externalizeze securitatea clădirii şi a intrării la companii externe ieftine.

Apoi, fiecare companie ar trebui să aibă un inventar exhaustiv al mijloacelor sale IT, iar această listă să fie pusă la dispoziţia OSC. În prea multe companii, servere şi laptopuri de generaţii diferite, cu versiuni diferite de sisteme de operare şi de software, funcţionează în acelaşi timp.

Îmi amintesc încă o discuţie cu CSO al sediului central din Europa de Est al unei bănci italiene importante în timpul crizei "non Petya". Acesta a glumit, spunând: "Astăzi eu sunt arheologul, nu tu! Am descoperit la etajul 7 un server Windows XP încă conectat şi nimeni din departamentul IT nu a putut să-mi spună de ce era acolo şi, mai ales, de ce este încă activ".

În acelaşi domeniu, verificarea zilnică obligatorie, de către SOC, a vulnerabilităţilor în organizaţiile de încredere (cum ar fi pagina de alerte a CerT din Singapore) (5), ceea ce permite cunoaşterea problemelor înainte ca producătorul de soft/hardware vulnerabil să furnizeze un patch.

Aceleaşi imprimante multitasking conectate la Wifi, uşor de piratat, precum şi alte dispozitive partajate conectate fără fir, ar trebui în mod ideal interzise şi înlocuite/reinstalate pe vechiul şi bunul mod prin cablu.

Alte politici obligatorii, care trebuie să fie precedate de discuţii de sensibilizare, ar trebui să includă:

A. Interzicerea navigării pe internet prin intermediul instrumentelor informatice puse la dispoziţie de companie - cel puţin pentru fiecare persoană cu putere de decizie din fiecare departament al companiei, în afară de directorul general şi membrii Consiliului de Administraţie. Aceasta este o chestiune deosebit de sensibilă şi nu poate fi implementată în mod realist pentru toţi angajaţii, deoarece studiile au demonstrat că împiedicarea persoanelor de a accesa reţelele de socializare este un factor care poate motiva, de unul singur, o demisie imediată şi o schimbare a locului de muncă în favoarea unei companii care permite această practică.

B. Verificarea constantă de către SOC a acreditărilor tuturor angajaţilor şi a datelor accesate. Bineînţeles, revocarea imediată a acreditărilor aparţinând unui angajat care demisionează este esenţială. Multe companii uită de această practică, iar studiile au arătat că foştii angajaţi şi-au păstrat privilegiile de acces timp de 3 până la 6 luni după ce au părăsit o companie!

C. Interzicerea intrării în zonele sau departamentele bine stabilite ale companiei cu orice dispozitiv IoT sau Smart personal. Mai presus de toate, fără smartphone, fără IoT, fără IT în timpul şedinţelor strategice/de contabilitate/R&D. Această soluţie simplă evită cel mai elementar instrument de spionaj, deoarece studii recente estimează că până la 2 din 10 smartphone-uri ale angajaţilor esenţiali din companii interesante au instalat un spyware de voce, care le permite hackerilor să audă tot ce spun toţi cei din jurul persoanei care poartă smartphone-ul infectat.

D. În cazul în care legislaţia ţării o permite, verificarea constantă a tuturor e-mailurilor trimise de angajaţi prin intermediul adresei companiei, precum şi (din nou, dacă este posibil prin lege) o monitorizare constantă a cunoştinţelor acestora, precum şi a postărilor lor pe reţelele de socializare, în special pe LinkedIn.

Un studiu realizat de Bitdefender în urmă cu doisprezece ani, pe un mix de 2000 de angajaţi din domeniul IT şi al securităţii IT care au acceptat un nou "prieten" pe acest mediu a arătat că, după o jumătate de oră de conversaţie, 10% dintre aceştia au dezvăluit informaţii personale sensibile şi, mult mai grav, două ore mai târziu, 73% dintre ei au sifonat ceea ce pare a fi informaţii confidenţiale de la locul de muncă, cum ar fi strategii viitoare, planuri, precum şi tehnologii/software-uri nepublicate. Departe de a fi stopat, acest fenomen se întâmplă acum şi pe Facebook, Google+ şi, cireaşa de pe tort, studii recente arată că majoritatea joburilor false "pe măsură" oferite pe LinkedIn conţin link-uri care livrează unele dintre cele mai sofisticate malware-uri şi spyware-uri ale momentului.

Analiza comportamentală a angajaţilor care au acces la documente sensibile ar trebui să fie efectuată în mod regulat. Din păcate, într-o lume în care majoritatea angajaţilor şi chiar a directorilor executivi vor lucra pentru cel puţin zece companii diferite până la pensie, în afară de insideri foarte bine plătiţi de o terţă parte (ca în exemplul bancar menţionat mai sus), majoritatea ameninţărilor din interior şi a acţiunilor dăunătoare directe (furtul de informaţii confidenţiale şi distribuirea lor peste tot) sunt săvârşite de angajaţi doar ca un act de răzbunare în urma unor relaţii conflictuale cu colegii sau cu superiorii direcţi din cadrul companiei însăşi. Pentru această temă precisă şi crucială, SUA au creat un instrument extrem de important pentru întreprinderi: National Insider Threat Task Force (NITTF) (6), care oferă în mod constant analize extrem de pertinente, instrumente, tutoriale video şi web, precum şi rapoarte.

Dacă o companie reuşeşte să adopte toate aceste recomandări de bază şi să implementeze politicile corecte menţionate, atunci va fi ferită de 90% dintre cele mai comune acte de spionaj, rămânând vulnerabilă doar la atacurile de tip "brute force zero-days" asupra sistemului informatic de bază, extrem de costisitoare şi, prin urmare, rezervate unor obiective cu valoare extrem de mare.

În plus, companiile ar trebui să fie pregătite, cu ajutorul unor acţiuni suplimentare, să obţină certificările ISO/NIST/BSI, ceea ce le face eligibile pentru o asigurare în SUA/Marea Britanie care să acopere toate costurile în cazul unui atac fără nicio vină, greşeală sau trădare din interior.