"If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked” (Richard Clarke)
Cunoașteți vreo persoană care a fost victima unui atac cibernetic? În cazul în care nu aveți în imediata apropiere astfel de cunoștințe, în opinia noastră, este o certitudine că în următorii cinci ani veți cunoaște o victimă a unui atac cibernetic sau veți fi chiar voi victima.
Spuneam nu de mult, că GDPR este numai o feliuță din marele tort care este de fapt Cybersecurity. Încă discutăm aprins despre GDPR în România (iar asta este foarte bine!) și vă pot confirma că Austria nu pare a fi departe de noi din punct de vedere al înțelegerii și implementării GDPR în infrastructura instituțională. Viața privată și securitatea datelor cu caracter personal reprezintă în momentul de față un pilon important al construcției unui cadru eficient de asigurare a securității cibernetice, însă vine un nou val, mult mai „complex” decât GDPR din punct de vedere normativ, care impune elaborarea unor măsuri privind securitatea cibernetică la nivelul organizațiilor naționale din sistemul public și privat.
Era o zi de lucru ca oricare alta, când un prieten antreprenor din Viena anunță pe grupul comun al spațiului de lucru în care ne întâlnim, că a primit următorul mesaj: „Hello, dear friend! All your files have been ENCRYPTED. Do you really want to restore your files? Write to our e-mail - ..... and tell us your unique ID – ID-080QHTLI”. Business-ul era un start-up care începuse să dobândească un binevenit succes. Informațiile din baza de date erau stocate în cloud pe un server administrat de Amazon, pentru care plăteau lunar costul găzduirii bazei de date. Amazon s-a implicat în situație iar după o lună de zile a reușit să aducă serverul la stare de funcționare. Este un caz fericit, de regulă decriptarea este, de principiu, matematic imposibilă. Dar informațiile din baza de date au fost pierdute integral, iar menținerea în continuare a activității pe acel server este serios discutată. Pierderile generate de acea lună de zile de inactivitate și pierderea informațiilor existente în baza de date, în contextul în care nu aveau un back-up ca soluție de business continuity, sunt semnificative pentru start-up-ul aflat la început de drum. De asemenea, atacatorii ar fi putut să lase „urme” pe telefonul mobil personal al victimei, interconectat cu laptopul de serviciu (doar ne interconectăm cu toții dispozitivele electronice cât de mult se poate!), sub forma unui virus, worm, trojan, spyware, web crawler, rootkit, wipers etc., pe care să le controleze după bunul plac....
Start-up-ul nostru pleacă la drum cu o lecție dură: priceperea lor comercială, calitatea produselor/serviciilor sau poziționarea în segmentul de piață, nu mai sunt atributele unei previziuni de succes. Realitatea se schimbă, investiția oricărui început în activitatea antreprenorială trebuie să includă abordarea bazată pe riscuri a afacerii desfășurate: implementarea măsurilor de securitate a informațiilor cu care compania lucrează, securitatea dispozitivelor de lucru și rezistența acestora la potențiale atacuri cibernetice, implicarea constantă în depistarea unor soluții tehnice continuare a afacerii în eventualitatea producerii unor evenimente cibernetice nedorite, contractarea unor specialiști în asigurarea securității informatice și protecția datelor.
În opinia noastră, în următorii 5 ani, business-urile, cu precădere cele cu activitate de anvergură, vor lua în considerare dacă merită să riște trendul ascendent al afacerii sau menținerea acesteia la nivelul actual de producție având în vedere potențialul pierderilor suferite în urma unor atacuri cibernetice, punând în balanță cuantumul investițiilor pe care vor trebui să le realizeze pentru a se proteja în mediul digital. Investițiile în măsuri de securitate informatizate bazate pe AI (Artificial Intelligence) inclusiv în achiziția sau construcția (dezvoltarea și testarea) unor instrumente ultra-automatizate de analiză a riscurilor potențiale ale atacurilor cibernetice, care să înglobeze tehnici de prevenție a efracției fără necesitatea intervenției umane, sau achiziția ori construcția unor instrumente bazate pe AI care detectează atacuri cibernetice bazate pe modele comportamentale (behaviour – based attack pattern) precum și asigurarea constantă și continuă a formării și educării personalului cu privire la riscurile generate de atacurile cibernetice și a conștientizării rolului angajaților în prevenția producerii unor dezastre digitale, vor deveni atât de mari, încât companiile vor prefera să își diminueze activitatea în loc să o crească. Și pentru că este important să cunoaștem care este interesul manifestat la nivel național dar și mai extins la nivelul Uniunii Europene pentru elaborarea unui plan, a unei strategii de prevenire a atacurilor cibernetice, România a elaborat încă din anul 2013 un Plan de acțiune la nivel național privind implementarea Sistemului național de securitate cibernetică, prin Hotărârea nr. 271 din 15.05.2013, prin care Guvernul României își asumă că va duce la îndeplinire obiectivele și direcțiile de acțiune privind securitatea cibernetică în concordanță cu demersurile inițiate la nivelul UE și NATO. La nivelul UE, încrederea și securitatea sunt valori de bază ale celui mai ambițios proiect actual al Uniunii – Single Digital Market Strategy, asigurate și promovate printr-un set de măsuri în domeniul securității cibernetice adoptate la nivelul infrastructurii Europene prin directive (precum NIS, Directiva pentru utilizarea datelor de către autoritățile polițienești și judiciare din sectorul penal), regulamente (GDPR, eIDAS, propunerea elaborării unui Regulament care reglementează comunicațiile electronice „ePrivacy”) și standarde (ISO 27001, ISO27005).
Intrăm în ultimul an al desfășurării celui mai ambițios program de cercetare și inovare derulat până în prezent la nivelul Uniunii Europene, respectiv „Programul Orizont 2018 – 2020 sau Horizon 2020 – Work Programe 2018 – 2020” [1]care identifică cele mai importante provocări ale viitorului societății Europene, iar unul dintre domeniile de interes îl reprezintă asigurarea „Societății sigure – protejarea libertății și securității Europei și a cetățenilor săi”. Un subcapitol important al acestui domeniu îl reprezintă asigurarea „Securității Digitale”, prin cercetarea și inovațiile membrilor participanți în cadrul acestui Program, privind crearea unui „mediu digital mai sigur”. Comisia de Securitate Cibernetică pentru Parteneriat Public Privat (cPPP) formată pentru instrumentarea necesarului în vederea implementării propunerilor în cadrul acestui domeniu de interes, are în vedere o contribuție din partea Uniunii Europene având o valoare situată între 5 și 6 milioane de euro, fără a exclude propuneri inovative și de cercetare care presupun investiții mai mari decât sumele vizate. Contribuția întreprinderilor mici și mijlocii este în mod special așteptată și valorificată în cadrul Horizon 2020, iar colaborarea între instituțiile publice și cele private, între specialiștii din domeniul securității cibernetice și al protecției datelor cu caracter personal și organizațiile din medul public sau privat, este considerată esențială atât în cadrul Sistemului național de securitate cibernetică cât și în cadrul programului Horizon 2020. Stéphane Nappo, câștigătorul premiului Global CISCO al anului 2018, susține o idee pe care o împărtășim și noi: motivul pentru care hackerii au succes, este în principal acela că își împart informații și colaborează mult mai mult decât o facem noi...
Sursa pozei: pexels.com - Tatiana
[1] Horizon Work Programme 2018 - 2020 – 14. Secure societies – Protecting freedom and security of Europe and its citizens: https://ec.europa.eu/research/participants/data/ref/h2020/wp/2016_2017/main/h2020-wp1617-security_en.pdf