"Device-urile din casă pot fi folosite ca o armată care să atace anumite ținte”

Despre cum să se “blindeze” micile companii din România împotriva atacurilor cibernetice și despre pericolele din spatele dispozitivelor „smart” din locuința noastră cu Cătălin Pătrașcu, Cybersecurity Architect la NTT DATA Romania.

S-au întețit amenințările cibernetice în vremurile de pandemie?

Cătălin Pătrașcu: Există atacatori care își propun să speculeze această perioadă - atacurile clasice precum phishing (înșelăciunea electronică, n. red.), prin care atacatorii încearcă să determine utilizatorii să acceseze link-uri sau atașamente malițioase, sau să dezvăluie informații confidențiale, s-au reorientat către mesaje despre pandemie. Sunt aceleași tehnici, pandemia nu i-a determinat să aplice alte tehnici, doar că mesajele sunt adaptate contextului. Apoi, partea lucrului de acasă aduce riscuri pentru companii pentru că angajații lucrează cu propriile device-uri sau cu cele oferite de firmă, dar părăsesc așa-zisul perimetru de securitate al companiei. Nici acesta nu e un fenomen nou, doar că e în creștere odată cu pndemia. 

Totuși, în ultimii ani infrastructurile IT ale companiilor nu mai erau oricum niște rețele închise, mai ales datorită mobilității angajaților, lucrului cu diferiți colaboratori externi, dar și nevoii de expunere a serviciilor digitale către public. E absurd să presupunem că managerii nu își mai deschideau e-mailurile de serviciu atunci când aveau deplasări în alte zone sau țări. Fenomenul este doar mai exacerbat în pandemie, dar e bine că lumea deja își ajustează măsurile și își adaptează tehnologia la realitățile zilelor noastre. Pandemia doar confirmă și accentuează ceea ce deja se întâmpla, pentru că oricum lumea mergea spre digitalizare și online.

Deci protecția lucrului de acasă a devenit similară celei de la birou?

Cătălin Pătrașcu: În mod tradițional, securitatea companiilor se făcea printr-o separare virtuală a rețelei interne (rețea locală, Intranet) de Internet, iar toate sistemele companiei erau „plasate” în acea zonă internă; se implementa un firewall și se permitea doar traficul de tip e-mail sau web. Asta oricum nu mai funcționa, acum companiile își duc parte din servicii în cloud, parte în propriul centru de date. Angajații nu mai stau doar în birouri, ci și în altă parte, iar conceptul de securitate trebuie să fie mai cuprinzător, independent de rețeaua de acces. Deci nu mai vorbim despre securitatea perimetrală, ci de tehnologii precum VPN, în care lucrătorul de acasă se conectează la o rețea privată, un tunel între computerul lui și rețeaua companiei, deci practic este ca și cum ai lucra în rețeaua companiei.

Astfel încercăm să aducem utilizatorul tot în interiorul companiei, chiar dacă în mod virtual. Nici aceasta nu mai funcționează de cele mai multe ori și în orice context, dacă firma are serviciile în cloud. În acest caz și angajații, și clienții se conectează liber la aceste servicii deoarece ar fi dificil să le dai câte un VPN fiecăruia. Atunci trebuie să trecem mai sus, să gândim un nivel de securizare mai abstract, Zero Access Principle (ZAP), care înseamnă că principiul de securizare nu mai este bazat pe zona de rețea în care mă aflu. Dacă mă duc acasă intru în VPN și pot să accesez diferite resurse, însă dacă aceste resurse sunt împrăștiate, trebuie să gândim soluții de acces mai granulare. ZAP vine de la faptul că tu ai inițial zero drepturi de acces la orice fel de resurse, chiar dacă ești în rețeaua companiei sau în altă rețea, că ești la mare sau străinătate.

Printr-o unealtă de tip ZAP ți se dă un acces granular prin care ai dreptul să accesezi serverul de aplicații, e-mail-ul sau alte resurse. Aceasta este schimbarea pentru care trebuie să milităm, spre un acces granular, indiferent de unde ne-am afla. Managementul companiei este cel care decide ce resurse vor fi accesibile fiecărui angajat. Ca și cum, într-un sediu fizic de firmă, ai acces doar în anumite birouri. E ca un fel de token virtual prin care mi se dă accesul în diferite zone, iar eu mă autentific prin acela.

Ar trebui să aibă toate companiile câte un “gardian cibernetic”?

Cătălin Pătrașcu: Fiecare ar trebui să aibă acest focus pe zona de securitate cibernetică, așa cum îl are pe securitatea clasică. Nu este simplu, chiar dacă în cărți se spune că trebuie să ai personal specializat, eventual non-stop, eventual tehnologii care detectează atacurile. Realitatea este că toate aceste lucruri costă foarte mult și atunci o companie mică se va baza pe 1-2 oameni de la IT însărcinați cu partea de cibersecurity. Și va folosi tehnologiile de tip mainstream, precum antivirus, antimalware, nu foarte scumpe și deja standardizate. Din fericire, piața securității cibernetice s-a dezvoltat, există furnizori accesibili - pe bază de abonament - ce furnizează elemente de securitate și care fac și monitorizarea umană sau a proceselor. Către asta migrează piața pe termen lung. O companie din panificație nu își va angaja oameni de securitate IT pentru că nu face parte din business-ul ei de bază. Iar atunci o va externaliza pentru că își rezolvă problema și diminuează și riscul - piața asigurărilor cibernetice vine și ea din urmă. Soluția pentru companiile mici este să își cumpere servicii de securitate: furnizorii se găsesc într-o gamă largă, iar NTT DATA Romania este unul dintre acești provideri. Eu recomand, pentru cei care vor, chiar și o asigurare.

Cine se ocupă de aceste asigurări, societățile specializate sau de cibersecurity?

Cătălin Pătrașcu: De obicei, cele de asigurări, care își asumă o pierdere pe care tu ți-o cuantifici de la început. E încă o piață nouă în România, dar este pasul final după ce compania și-a făcut toate temele, și-a luat măsurile.

Ce buget de securitate IT ar trebui să aloce o firmă mai mică?

Cătălin Pătrașcu: Compania trebuie să își facă niște calcule, în cazul în care pierde acele asset-uri. Aceasta să știe cât îi valorează bunurile, informațiile dacă le pierde. Dacă este un site de comerț electronic, poți să calculezi cât pierzi dacă nu funcționează două zile, câte vânzări ratezi. Să calculezi ce pierderi ai dacă nu îți mai funcționează serviciile sau pierzi o informație proprietară. Trebuie să aibă o balanță, să investească în securitatea cibernetică 5-10% din valoarea asset-urilor companiei. Sunt măsurile de bun simț care nici măcar nu costă mulți bani: un antivirus mai evoluat, pe fiecare stație, un sistem de operare modern, nu unul vechi, să manifești precauție și să îți instruiești angajații să nu divulge informații secrete către terți. Apoi să investești în echipament de protecție a rețelei (firewall), într-o soluție de acces granular la resurse. 

Trebuie să găsești doar investiția corectă într-un maxim de beneficiu. Și 5.000 de euro, și 100.000 de euro dacă investești pe an trebuie să îți aducă un maxim de beneficiu. Dacă investesc într-o tehnologie scumpă ce le rezolvă parțial problema, nu am făcut nimic.

La ce amenințări este cel mai expusă o companie?

Cătălin Pătrașcu: Cele clasice sunt atacurile de tip phishing, spam, care vin pe e-mail. Motivul este simplu: oricâte protecții s-ar pune, cumva emailurile tot vor ajunge la angajați. Fiecare persoană dintr-o companie primește e-mail-uri din extern - acesta este cel mai simplu vector și la îndemâna oricui. Tot ce trebuie să știi este adresa persoanei, pe care o poți afla ușor. Există protecții pentru spam, e-mail care să filtreze conținutul, dar este mereu acel joc de-a șoarecele și pisica pentru că apare acel document atașat, împachetat bine, pentru ca tehnologiei care îl analizează să îi fie greu să spună dacă este malițios. Multe e-mailuri cu attachment-uri dubioase ce conțin link-uri înșelătoare trec de aceste protecții și să ajungă la utilizatori. Un scut de protecție eficient este și educarea angajaților cum să citească aceste e-mail-uri, să fie atenți la conținut, iar cele suspecte să le semnaleze administratorului de securitate. Sunt multe e-mail-uri prost făcute care totuși sunt deschise de către utilizatori, de genul promisiuni hilare precum “deschide acest attachment și ești moștenitorul a milioane de euro”.

Au „succes” e-mail-urile apropiate de domeniul de activitate a utilizatorilor?

Cătălin Pătrașcu: Atacatorii trec de aceste bariere pentru că ei văd cine este această persoană, care este domeniul său de activitate, ce știri de interes din domeniu se vehiculează în ziua aceea, iar atunci trimit lucruri foarte bine ancorate în realitate. In cadrul NTT DATA Romania, am realizat teste pentru a verifica nivelul de conștientizare a angajaților, iar în e-mail am folosit un context: m-am uitat cu ce apare în știri pe Google instituția respectivă și am trimis ceva ca și cum ar fi venit de la management. Apoi, m-am folosit de al doilea lucru care este universal, de politica de salarii, ca să îi atrag să deschidă e-mail-ul. Ceva de genul “atenție, se vorbește despre salarizarea de la noi în presă”. Peste 80% dintre angajații companiilor deschid aceste e-mail-uril și se infectează dacă ele sunt bine făcute.

Și cum ar trebui să reacționeze un angajat care primește așa ceva?

Cătălin Pătrașcu: Să se uite de la cine vine acest e-mail, la adresa de trimitere. Dacă vei citi doar numele, poți să confunzi, deci trebuie să te uiți și la adresa de e-mail, la domeniu. Să te întrebi dacă este chiar șeful cel care mi l-a trimis sau este doar numele lui? Am mai vorbit cu persoana care zice că îmi trimite acele informații? Unele companii au făcut plăți, încă unele foarte mari, doar pentru că le-a venit ceva e-mail de la terți. Și vorbim de zeci de milioane de euro, chiar în România. Pot lua telefonul și să îl sun pe acel colaborator să îl întreb dacă el mi-a trimis factura asta. E ca în viața reală, unde suntem din ce în ce mai greu de păcălit: nu deschidem ușa oricui, nu o lăsăm deschisă când plecăm de acasă. La fel trebuie să facem și pe internet sau pe e-mail. Încă nu am reușit, pentru că internetul nu e așa de vechi.

Se dau angajaților ghiduri de cibersecurity?

Cătălin Pătrașcu: Există manuale, traininguri de conștientizare care le explică ce amenințări le pot veni pe e-mail, din web browsing, să fie atenți unde dau clicuri, ce site-uri vizitează. Angajații ar trebui să fie instruiți în acest sens, iar periodic să li se spună ce amenințări noi au venit către companie sau ce este în trend. Să li se dea exemple reale, să nu rămână doar la stadiul de teorie, printr-un  e-mail formal,ci chiar un exemplu  malițios.

Cum te păzești ca un angajat să nu îți plece din firmă cu date cu tot?

Cătălin Pătrașcu: Nu poți să te păzești de ceea ce are el memorat, dar prin contract își asumă niște riscuri, penalități. Ar trebui ca politica de acces ZAP să funcționeze, iar când apare demisia sau când ar fi concediat aceasta să se declanșeze repede, chiar automat. Persoana de la resurse umane să informeze administratorul de sistem care să îi taie accesul. Dacă ai la companie un acces centralizat, îi inactivezi contul, iar celelalte resurse nu îi mai sunt accesibile. Am văzut companii cărora le-a trebuit luni de zile ca să taie accesul angajaților care au fost administratori.

Aparatele electronice sunt din ce în ce mai inteconectate, cum să fie securizate?

Cătălin Pătrașcu: La IoT (internetul tuturor lucrurilor, n. red.) aceste device-uri inteligente fac chestii frumoase, drăguțe, însă securitatea nu a fost luată în calcul, și asta pentru că dezvoltatorii s-au axat pe funcții sau au făcut o parte de hardware cu o tehnologie cât mai simplu de folosit, mai ieftină, care să nu coste foarte mult. Pentru că memoria era limitată, tehnologiile de securitate nu mai aveau loc. Nu puteai să mai pui o soluție care și filtra ceva. Multe device-uri au o securitate aproape de zero, inclusiv routerele noastre de acasă, cele de Wi-Fi, ce rulează un Linux din fabrică și care nu mai primește actualizări de securitate împotriva noilor vulnerabilități.

Mulți au internet de la routerul vecinului...

Cătălin Pătrașcu: IoT-urile reprezintă în prezent o mare problemă. Marile atacuri din ultimii ani foloseau aceste sute de mii, milioane de device-uri ca să genereze trafic, să atace alte resurse. Acestea, fiind în număr atât de mare, pot fi folosite ca o armată de device-uri IoT care să atace anumite ținte. E necesar ca aceste device-uri să evolueze ca siguranță, măcar codul embedded să fie scris mai securizat. Ele nu mai sunt într-o rețea privată. Camera de luat vederi din parc, frigiderul de acasă trebuie să fie securizate cu propriile tehnologii. De altfel, la nivel internațional se vor fixa anumite standarde de securitate pentru aceste device-uri, adică producătorii să își asume mai mult decât simpla lor funcționalitate.

Ce le-ați transmite firmelor din România care vor să se digitalizeze?

Cătălin Pătrașcu: Să își analizeze procesele, producția, oamenii și sarcinile lor, iar în funcție de acestea să își fixeze strategia: programe office, de video calling, apoi să își automatizeze procesele, dar fără a da afară oameni pentru că astfel câștigă plus-valoare prin automatizare, dar pierd plusvaloare prin dispariția factorului uman. Cele două pot fi combinate, în 80% din cazuri este posibil, iar așa obțin o plusvaloare de 3-4 ori mai mare. Digitalizarea și automatizarea trebuie să se întâmple pentru ca oamenii să fie mai creativi, iar în final companiile vor beneficia și ele.