Companii de servicii a căror activitate este perturbată, manipulări ale electoratului de către puteri rivale sau cereri de răscumpărare pentru date personale sunt doar câteva exemple de știri intens mediatizate. Ele ne arată cât de important este să fim pregătiți pentru amenințările provenite din mediul virtual. Pot fi zădărnicite eforturile unor persoane de a accesa fără drept și a folosi imensele baze de date ale sistemului bancar, ale administrației publice sau ale companiilor private?
Bazele de date, ținta hackerilor
Societatea în care trăim a evoluat, iar actorii cu care interacționăm zilnic, din sectorul public sau din cel privat, colectează constant date despre modul nostru de viață. Acestea sunt reunite în vaste baze de date de natură financiară, personală sau doar un istoric al preferințelor într-un anumit domeniu. Instituțiile sau companiile care gestionează aceste baze de date prezintă un interes major pentru hackeri care încearcă să folosească orice vulnerabilitate pentru a provoca haos, a perturba activitatea sau pentru a folosi mai târziu informațiile obținute în scopuri ilicite. Câteva exemple ne pot ajuta să înțelegem mai bine amploarea fenomenului.
Investigațiile au arătat că furtul de date a cărui țintă a fost serviciul Yahoo, în 2013, ar fi afectat toate conturile existente la acea dată.
Site-ul american al rețelei de restaurante Pizza Hut a fost atacat la începutul lunii octombrie 2017, iar aproximativ 60.000 de clienți au raportat ulterior operațiuni financiare neautorizate realizate prin conturile lor bancare.
O scurgere de informații a lanțului hotelier Hyatt a expus datele asociate plăților prin card în cazul clienților din 41 de hoteluri, în perioada martie-iulie 2017, acesta fiind al doilea incident de acest fel din ultimii 2 ani.
În încercarea de adaptare și implementare a celor mai bune soluții, managementul riscurilor cibernetice a devenit o componentă tehnologică redutabilă în economia organizațională a companiilor. Pentru a avea succes, liderii trebuie să fie capabili să înțeleagă deplin acest tip de risc.
Crearea unui mediu de securitate cibernetică
Dinamica și complexitatea mediului de securitate cibernetică presupune o alocare consistentă de resurse din partea unei organizații pentru menținerea continuității și stabilității activității curente. Managementul riscurilor cibernetice presupune realizarea unui profil de risc care include, pe lângă posibilele vulnerabilități reprezentate de limitarea de ordin tehnologic, maniera în care se desfășoară managementul, dar și măsurile de prevenție prevăzute și implementate în organizație.
Amenințările cibernetice determină o constantă modificare a procedurilor de acțiune și adoptarea unor măsuri personalizate în funcție de diferite tipuri de atac. Tehnologia avansează și odată cu ea evoluează și agresiunile informatice. Astfel, dinamica tehnologiei impune schimbarea strategiilor de apărare. Cele trei precepte de bază ale securității informaționale sunt confidențialitatea, integritatea și disponibilitatea. În funcție de acestea sunt clasificate și tipurile de atacuri la adresa datelor.
Confidențialitatea informației
Principiul confidențialității se traduce prin accesarea datelor gestionate exclusiv de părțile îndreptățite. Tipurile de agresiuni ce pun în pericol acest principiu se manifestă prin spargerea fluxului de date criptate (hackingencrypted data sau cracking encrypted data), accesarea sau alterarea unor comunicații între două părți (man-in-the-middle attack sau MITM), folosirea unor mijloace de stocare pentru copierea unor informații critice de către un angajat și încredințarea lor către persoane neîndreptățite, instalarea de aplicații pe serverul de date ce stochează informații private cu scopul transmiterii acestora atacatorului (spyware malware), căutarea și identificarea datelor și informațiilor private în scopul dezvăluirii în mediul online pentru discreditarea unei persoane (doxxing sau dropping dox).
Criptografia a apărut din nevoia păstrării confidențialității, însă în prezent aceasta garantează și integritatea fluxului informațional. Limitarea drepturilor de administrare a fișierelor și folderelor, stabilirea vectorilor de autentificare, controlul listelor de acces sunt măsuri minime pentru protejarea confidențialității. Însă păstrarea confidențialității informațiilor într-o organizație nu se rezumă doar la măsurile de protecție digitală. Importantă este și păstrarea confidențialității de către persoanele care intră în contact cu date și informații nedestinate publicului, precum și gestionarea corespunzătoare a documentelor fizice.
Câteva exemple ne arată importanța care trebuie acordată criptării pentru păstrarea confidențialității.
În octombrie 2017 datele personale, adresa de e-mail, istoricul cumpărăturilor și ultimele 4 cifre ale cardurilor aparținând unui număr de 1,9 milioane de clienți ai companiei de produse cosmetice Tarte’s au fost folosite pentru a cere recompensă (ransomware attack) de grupul autointitulat „cru3lty“. Datele, adunate în perioada 2008 2017, au fost accesate în urma exploatării unor deficiențe în implementarea măsurilor de securitate la nivelul serverului MongoDB.
Retailerul FOREVER 21 a fost victima exploatării unei vulnerabilități a sistemului de plăți cu cardul bazat pe criptare și folosirea token-urilor de autentificare. Compania încă analizează plățile efectuate în perioada martie 2017 octombrie 2017 pentru a găsi cauzele.
Accenture, una din cele mai mari firme de consultanță din lume, a avut o scurgere de informații care a expus 137 de gigabiți de date sensibile online, din cauza lipsei oricărei forme de protecție a celor 4 servere care stochează informațiile clienților. Această vulnerabilitate a determinat publicarea de date de autentificare, certificate, chei de decriptare, corespondență și informații ale clienților.
Integritatea informației
Principiul integrității presupune păstrarea nealterată a datelor, iar tipurile de intruziuni care îl vizează sunt: accesarea neautorizată a unui server web pentru a încorpora programe malware în pagini web și scripting pe partea de server, accesarea unui server financiar pentru a falsifica înregistrările, transformarea unei mașini în zombie computer pentru a fi dirijat printr-o cutie de comandă (botnet). În 27 septembrie 2017 informații de securitate națională aparținând Agenției Naționale de Securitate (NSA) și Serviciului de Informații a Armatei SUA (INSCOM) au fost accesate în cloud, în mod public, din cauza unei breșe de securitate, responsabilă fiind o companie subcontractată. Pe 6 septembrie 2017 a fost identificată o scurgere de informații stocate în cloud, aparținând Pentagonului. A fost dezvăluit faptul că au fost stocate peste 1.8 miliarde de postări în social media, efectuate începând din 2009. Datele publicate conțin miliarde de postări, comentarii la știri și alte însemnări ale unor persoane din Statele Unite ale Americii, Orientul Mijlociu și Asia de Sud.
Similar primei situații descrise, scurgerea de informații s-a datorat unei breșe în gestionarea respectivelor date de către o companie subcontractată.
În noiembrie 2017 a fost dezvăluită o vulnerabilitate a HP care a expus online datele personale a mai mult de 400.000 de clienți care au folosit serviciul de suport în perioada iunie 2015 – noiembrie 2017.
Folosirea unei funcții criptografice (hash) este o măsură utilă pentru protejarea integrității datelor gestionate. Algoritmii de hash sunt folosiți la scară largă (MD5 – Message Diggest Version 5, SHA1 – Secure Hash Algorithm Version 1, Whirlpool sau Tiger) de către toți dezvoltatorii de software, care publică pe lângă fișierul binar ce reprezintă programul și hash-ul acestuia. Astfel se poate verifica dacă fișierele primite nu au fost modificate (virus, cal troian sau pur și simplu a fost copiat cu erori).
Sistemul firewall este de asemenea foarte util pentru păstrarea integrității informațiilor și protejarea confidențialității.
Disponibilitatea informației
Disponibilitatea se referă la garantarea posibilității accesării datelor și computerelor în orice moment de către cei îndreptățiți. Atacurile care vizează accesul la date sunt: Denial of Service (DoS), Distributed Denial of Service (DDoS), Ransomware (criptează datele și solicită o răscumpărare), întreruperea deliberată a unei surse de alimentare a serverelor pentru a le scoate din rețea.
La începutul lunii octombrie 2017 societatea de consultanță și dezvoltare Forrester a anunțat că a fost victima hackerilor care au furat credențialele de autentificare la platforma online. Tot la începutul lunii octombrie, aplicația de comentarii Disqus a confirmat un atac cibernetic petrecut în urmă cu cinci ani, în urma căruia datele de identificare a 17,5 milioane de utilizatori au fost expuse. De asemenea, baza de date a serviciului de jocuri R6DB a fost ascunsă de hackeri pentru a obține răscumpărare, la începutul lunii octombrie 2017.
Serverul de corespondență al Deloitte, una dintre cele mai mari companii de audit și consultanță din lume, a fost atacat de un hacker, în martie 2017. Au fost expuse informații confidențiale ale angajaților, ale clienților și e-mailuri private. Compania încă cercetează evenimentul.
În octombrie 2016 hackerii au provocat o scurgere de informații companiei Uber, fiind expuse datele cu caracter personal a 57 de milioane de clienți și a 600.000 de șoferi. Pentru a nu face publice respectivele informații compania a recunoscut recent că a plătit 100.000 de dolari.
În 2014, hackerii au sustras date privind 1.7 milioane de adrese de e-mail și parole ale utilizatorilor Imgur, o platformă dedicată fotografilor.
Garantarea disponibilității datelor se poate realiza prin backup pe unități externe, implementarea sistemelor de prevenire a intruziunilor (Intrusion Prevention System IPS) și a firewall-urilor împotriva atacurilor DDoS, asigurarea unor surse de alimentare de rezervă și a unor computere redundante într-un centru de date (datacenter).
Rolul managerului în gestionarea riscului cibernetic
Toate agresiunile cibernetice pot amenința unul sau toate principiile menționate. Distincțiile reliefate sunt esențiale în evaluarea riscurilor și elaborarea unei strategii de securitate pentru protejarea datelor și informațiilor vitale organizației.
Managerul are un rol vital în gestionarea riscului cibernetic într-o organizație, deoarece cunoaște cel mai bine punctele forte și modul de limitare a impactului unui atac de acest tip prin implementarea unui plan de acțiune care minimizează riscul operațional, financiar și juridic.
Mai mult, managerul este cel care va explica și transmite decidenților organizaționali (acționari, investitori) implicațiile amenințărilor cibernetice la adresa afacerii, dacă vorbim de un operator economic. În cazul unei instituții de stat, conducătorul acesteia va sesiza autoritățile cu atribuții în prevenirea și gestionarea riscurilor și amenințărilor de tip cibernetic, deoarece pot exista implicații pentru siguranța națională, în funcție de magnitudinea vulnerabilității speculate.
Efectele atacurilor cibernetice
Specularea vulnerabilităților unei organizații, fie ea publică sau privată, are efecte imediate, dar și ecouri pe termen mediu și lung. Spre exemplu, daunele aduse imaginii supraviețuiesc momentului atacului și rămân în memoria colectivă și după momentul remedierii deficiențelor la nivelul organizației.
Un atac cibernetic afectează parțial sau integral activitatea unei organizații, iar costurilor asociate întârzierilor li se adaugă cele destinate reconstruirii imaginii. Fiecare moment în care organizația întrerupe ritmul de activitate generează costuri, iar în cazul atacului cibernetic, organizația va aloca resurse umane și tehnice pentru depistarea cauzei, limitarea și repararea daunelor, reluarea proceselor perturbate.
Stabilirea elementelor care au determinat vulnerabilitatea și a persoanelor responsabile de asigurarea protecției este însoțită de identificarea factorului extern și exercitarea căilor legale de restabilire a echilibrului.
Atacul cibernetic și încălcarea măsurilor de protecție a informațiilor clasificate sunt similare în ceea ce privește măsurile întreprinse după ce astfel de evenimente au loc. De asemenea, din punct de vedere al măsurilor procedurale preventive putem face analogia între protocoale de securitate și standardele naționale de protecție fizică și juridică a informațiilor clasificate.
Remedierea consecințelor
Astfel, în plan administrativ, odată produs incidentul de securitate privind protecția informațiilor clasificate, conducătorul persoanei juridice deținătoare are obligația de a dispune cercetarea administrativă a evenimentului pentru clarificarea circumstanțelor în care s-a produs, identificarea persoanelor responsabile și stabilirea integrității informațiilor.
Conducătorului îi revine responsabilitatea de a dispune măsuri pentru a remedia vulnerabilitatea la protecția informațiilor clasificate și a preveni apariția unor astfel de încălcări ale normelor de securitate. Acesta poate sancționa disciplinar personalul implicat, modifica procedurile care au dus la apariția incidentului de securitate, dispune pregătirea mai bună a personalului, etc.
Autorul poate fi un angajat, un răufăcător din mediul virtual sau o entitate străină, iar mijloacele de realizare a ingerinței pot fi atât o acțiune, cât și lipsa unei acțiuni, de la punerea în aplicare a unui plan complex, la neglijență. În cazul unui atac cibernetic, de cele mai multe ori autorul este dificil de identificat, eforturile pentru ascunderea identității fiind comparabile cu cele depuse pentru atacarea sistemelor. Repararea prejudiciului suferit și tragerea la răspundere a persoanei sau grupării care a lansat atacul este dificilă și de durată, în ciuda sprijinului oferit de criminalistica cibernetică (cyberforensics).
Măsurile de securitate cibernetică trebuie să țină cont de profilul potențialilor agresori, instrumentele pe care aceștia le pot folosi și specificul organizației țintă. În același timp, trebuie realizată o analiză a vulnerabilităților organizației în fața amenințărilor care pot veni din partea entităților străine, infractorilor cibernetici sau intrușilor. Simultan trebuie identificate resursele cele mai valoroase și sistemele critice interne necesare funcționării organizației.
O strategie eficientă presupune actualizarea permanentă a sistemelor de securitate și a echipamentelor, dar și instruirea continuă a angajaților cu privire la respectarea protocoalelor și procedurilor de securitate pentru prevenirea sau atenuarea efectelor eventualelor atacuri cibernetice.
Abstract
The world is constantly changing, and we all need to keep up. Implementing change and procedures at the workplace, can only be effective when it comes from the management. For the efficient use of company resources, the decisionmakers must have a thorough understanding of both new technology’s utility, and the cybersecurity environment. Moreover, the user should be an active part of the security strategy of the organization, meaning that all who have access to the grid should follow default procedures.
Autor: Claudia Lascateu