Securitatea cibernetică – pe lista priorităților imediate ale CIO (DAY 2)

Așa cum aminteam în primul material post event, „CIO, principalul arhitect al transformărilor digitale în companii”, era digitalizării nu s-a terminat, ba chiar se îndreaptă cu forțe și tendințe noi către culmi mai mari în ale tehnologiei. Cea de-a doua zi a evenimentului CIO COUNCIL VIRTUAL SUMMIT – A IX-a ediție a Conferinței Naționale a Asociației CIO Council România, „DIGITAL POWER. THE WORLD IN ACTION”, desfășurat online în zilele de 21-23 septembrie 2021, a fost dedicată Securității Cibernetice, un subiect aflat în lista priorităților imediate ale CIO.

Ziua a doua a evenimentului a început cu dl. General de brigadă Anton Rog din cadrul CyberInt divizia de intelligence a Serviciului Român de Informații. Dânsul a avut o alocuțiune dedicată pentru funcțiile tehnice din cadrul companiilor CIO, CTO, CISO și a punctat printre altele:

• Vulnerabilitățile noului mod de lucru de la distanțădin pandemie. Din păcate nu toate companiile au fost pregă
• Cybersecurity a venit cu provocări noi pentru CIOs și business-uri. În principal datoritămăririi suprafeței de atac.
• Phising-ul agresiv bazat pe cuvintele utilizate în pandemie a cauzat breșe de securitate.
• Aucrescut exponențial atacurile de tip ransomware, distributed denial of service, SQL injection. Spre exemplu 35% dintre atacurile malware au avut la bază atacuri de tip ransomware, iar 29% atacuri bazate pe malware de tip Infostealer și 20% de tip Trojan

Sfaturi:

• Implementarea unor politici de Securitate de bun simțși care ar trebui să elimine 99% de atacuri, nu se fac corespunză
• Printre soluțiile clasice de igienăcybersecurity au fost menționate clasicele:
  • Utilizare de antivirus
  • Realizarea de copii de siguranțădar nu pe același sistem de producție, ci separat
  • Folosirea celui mai redus nivel de privilegii necesare pentru operațiuni
  • Jurnalizarea activității celor care se conecteazăde la distanță
  • Politica de schimbare periodicăa parolelor
  • Utilizarea de VPN pentruconexiuni de la distanță

Dl. Anton Rog a evocat și legislația civilă europeană NIS 1.0 care aduce obligativitatea companiilor pentru implementarea unor sisteme minimale de Securitate și a specificat extinderea legislației către varianta 2.0 a NIS. În această nouă ediție a Directivei europene NIS mai multe companii precum poșta și curieratul sau managementul deșeurilor vor intra sub incidența acesteia.

Dl. Anton Rog a prezentat și câteva inițiative la nivel European care vin în sprijinul consumatorilor. Inițiativa Germaniei la nivel European de implementare a obligativității pentru producătorii de smartphones pentru asigurarea patchurilor și al update-urilor pentru dispozitive timp de minim 7 ani.

Implementarea unui sistem de etichetare al produselor tehnologice din punctul de vedere al securității cibernetice, menționând că fiecare produs de tip intelligent – frigider, televizor, smarphone – va avea un nivel de Securitate cibernetic.

Obligativititatea precizării duratei de viață a produselor tehnologice. Practic nu vei mai putea pune la vânzare produse despre care nu cunoști durata de viață a acestora.

Al doilea invitat al zilei a fost doamna Cătălina Dudu, Atos Global Cybersecurity Services Presales Director and Country Manager Atos IT Solutions and Services. Aceasta a vorbit despre cum îți protejezi business-ul de atacurile cibernetice. Atos se ocupă de securitatea cibernetică a Jocurilor Olimpice și Paralimpice, încă din anii ‘92. Sunt „technology integrators”, asigură servicii în zona de management, critical games application. Oferă hosting pentru infrastructură. Când vorbim despre un astfel de eveniment, de o anvergură extraordinară, trebuie să știm și ce implică munca din spate. Cătălina Dodu a spus că munca începe cu 4 ani înainte de desfășurarea jocurilor. Trebuie să fie verificate și testate toate opțiunile sau riscurile. Au implementat un sistem de acreditare care funcționează ca un sistem de viză. Este un sistem complex care se intersectează și interconectează cu cele ale partenerilor. Un alt subiect dezbătut a fost despre tipurile de aplicații critice protejate: peste 150. Acreditare, scoring, time, înregistrare rezultate. Acestea sunt cele mai critice sisteme protejate, mai ales că vorbim de un eveniment cu o vizibilitate uriașă. Ce trenduri și tehnologii folosesc în asigurarea securității cibernetice la olimpiade? Au pornit de la rețele locale și au evoluat împreună astfel că au ajuns să livreze totul într-un sistem hibrid cloud, 5 G, big data. Livrează hibrid cloud și edge. Sistemul actual e format pe un concept „build once, use many times”. Cu această evoluție a crescut și nevoia de protecție cibernetică. Cel mai grav scenariu într-un astfel de sistem ar putea fi ca telespectatorii sau spectatorii să nu poată vedea desfășurarea evenimentului. Obiectivul principal este ca jocurile să continue, indiferent ce s-ar întâmpla și rezultatele sportivilor trebuiesc înregistrate exact cum au fost la acel moment.

Mihai Olteanu, Risk Advisory Director, Deloitte România și Adrian Ifrim, Risk Advisory Senior Manager, Deloitte România, au vorbit despre Adversary simulation and improved defense. Prezentarea celor doi a vorbit despre o Red Team și a oferit o dublă perspectivă a securității cibernetice – cea a atacatorilor și cea a celor care se apără. Mihai Olteanu a început discuția prin prezentarea unor studii care au arătat formele de atac asupra organizațiilor, cum au afectat atacurile dezvoltarea business-urilor. Care sunt vulnearabilitățile sistemului de protecție, care sunt riscurile atunci când vine vorba despre performanțele unui sistem de protecție. Cybersecurity se pare că este pe lista managerilor, însă, potrivit studiului prezentat, există ședințe de informare despre securitatea cibernetică o dată pe săptămână sau chiar mai rar. Trebuie să fim conștienți că o să fie atacat business-ul pe parte de securitate cibernetică, însă trebuie să fim pregătiți pentru un atac. Un plan Cyber defense nu trebuie doar să existe, ci trebuie și testat periodic. Multe companii cred că sunt bine apărate, însă studiile au arătat că această falsă siguranță ar putea avea un efect îngrijorător la un atac agresiv, pentru că nu au fost luate în considerare toate măsurile de siguranță. Deloitte a implementat un proiect care ajută la „Detect and respond to cyber attacks”. Despre acest proiect a vorbit Adrian Ifrim. Suprafața de atac este una foarte mare și s-a dezvoltat și mai mult î perioada pandemiei și după. Ce presupune proiectul Deloitte? Fac diverse scenarii în care iau în considerare absolut toate detaliile și posibilele atacuri. Înainte de aceste scenarii fac un fel de analiză SWAT. Proiectul vizează domeniul financiar-bancar, în mare parte. Oferă toată gama de servicii, de la sesiuni de team -building până la prezentarea de indicatori, raportare și monitorizare.

Concluziile prezentării Deloitte au fost următoarele:

– reziliența cibernetică a ecosistemului financiar este un efort comun al instituțiilor, al infrastructurilor și al autorităților de reglementare

– asocierea etică bazată pe inteligența roșie este un instrument esențial pentru a testa rezistența cibernetică a FMI / Fis critice

-fiecare autoritate are un grad de flexibilitate pentru a adapta cadrul în funcție de specificul jurisdicției sale

-autoritățile ar putea acționa în diferite roluri: ca autoritate în reglementare, supraveghetor, catalizator.

Dup această intervenție interesantă, Yugo Neumorni a discutat cu Ioan Constantin, Cyber Security Expert, Orange Romania, despre Insights on cybersecurity challenges, trends & developments.

De la investiții în educație până la soluții mature, Orange se concentrează pe dezvoltarea și furnizarea de soluții de securitate cibernetică adaptate fiecărui context și nevoilor afacerii, care pot proteja companiile împotriva amenințărilor de astăzi și de mâine. Orange a creat un ecosistem pentru securitatea cibernetică bazat pe ani de experiență, cunoștințe și date și a împărtășit informații despre provocări, tendințe și evoluții care vă pot ajuta să vă dezvoltați și să vă securizați afacerea.

Atacurile ransom sunt cel mai des întâlnite. Impactul acestora este greu de cuantificat. Faptul că foarte multe persoane lucrează remote a făcut ca suprafața de atac să se extindă foarte mult. Vulnerabilitățile au crescut și sunt ele însele din ce în ce mai serioase. Se așteaptă să fie mai întâi pus accentul pe securitatea dispozitivelor, a utilizatorului, apoi pe securitatea afacerii, sau să fie pe aceeași linie ca importanță.

Cybersecurity as a service: trebuie făcut un salt, nu un pas înainte. Trebuie insistat pe back-up și recovery, pe securizarea tuturor dispozitivelor folosite, fie că sunt personale sau de la muncă.

Cu toate că și „băieții răi” se pot folosi de inteligența artificială, specialiștii sunt optimiști în sensul că și ei sunt pregătiți pe parte de inteligență artificială și pot folosi tehnologia pentru a contracara eventualele atacuri.

Recomandarea pentru CIO – vectori, e-mail, acces web. Până la urmă, educație împotriva atacurilor.

Horia Niculescu, Google, Customer Engineer, Smart Analytics și Daniel Gruia, CIO Council member au continuat discuțiile one to one, de data aceasta abordând subiectul Data privacy, a major cultural change. Unde a dispărut principiul „be no evil”? Ținea dezvoltatorii într-o limită. Acum valorile ghidează, nu restricționează. Acum ai responsabiliatea să oferi informațiile utile, în timp real. Acum punem accent pe partea de a fi util, să oferi lumii din ceea ce ai tu bun. Daniel Gruia a vrut ca reprezentantul Google să vorbească despre securitatea datelor. Dpdv legal cum este GDPR, ghidează Google și nu numai îtr-o direcție bună de securitate. Cum se întâmplă această gestionare/securizare prin Google? Toate datele sunt criptate atât în trafic când și în momentul în care rezidă într-un dispozitiv. Toate datele sunt cumva împărțite astfel încât, la un eventual atac, să nu se obțină informațiile complete. Politici și bune practici în Google: etică, educare și responsabilizare – de la traininguri până la certificare. Misiunea – organizarea datelor și a le face disponibile. Cum se poate îmbunătăți mediul? Există echipa Zero Team – principiul lor este de a nu avea încredere în serviciu până nu este testat și probat.

Mai departe, în eveniment, a vorbit Nicolas Samson, Consultant investigation & link analysis i2 solution advisor, IBM, despre Accelerating Data to Decisions for Investigative Analysis.

IBM, cea mai de încredere platformă de analiză a informațiilor privind amenințările pentru abordarea misiunilor critice din securitatea și apărarea națională, forțele de ordine, fraudă, infracțiunile financiare și vânătoarea de amenințări cibernetice. Analiștii de securitate și informații sunt adesea pierduți pentru a descoperi conexiuni ascunse în date disparate din mai multe surse și pentru a obține rapid informații inteligente. Analiștii IBM Security ™ i2® cu funcții de analiză avansată și de analiză a informațiilor de amenințări de care au nevoie pentru a detecta, perturba și învinge amenințările fizice și cibernetice care le vin cu viteză și sofisticare crescânde.

Nicolas Samson a vorbit despre modalitățile prin care putem face tranzacțiile financiare cu viteză dar și corect și securizat. Acesta a demonstrat live cum se face o tranzacție, ce se află în spate, care sunt canalele prin care un atacator ar putea să îți acceseze informațiile dar și cum te poți proteja de astfel de posibile atacuri cibernetice.

Următorul invitat, Alexandru Rusandu, Global Cybersecurity Services Head of Portfolio and Service Engineering, Atos IT Solutions and Services, a vorbit despre CyberSec Trends – 2021 & Beyond. – About data encryption and access to information.

În ceea ce privește domeniul IT, este foarte important pentru sectorul privat și guvern să înțeleagă că atacurile cibernetice există și trebuie să fie investite în programe. De exemplu, Atos investește în deschiderea unor centre de cercetare în România, tocmai pentru că sunt conștienți de această resursă, de expertiza în securitate cibernetică și IT. A expus cinci mari trenduri pentru viitorul securității. Advanced Detection Response, Infrastructura cloud, Zero Trust – do not trust until you verify. Data Security și IoT Security. Inteligența artificială este o componentă foarte importantă pentru securitatea cibernetică, a subliniat reprezentantul Atos. Ce se așteaptă în viitor? Quantum computing, quantum power.

Mihai Rotariu, reprezentant CERT-RO, a vorbit despre National–level cybersecurity capacity. A key challenge..

Având în vedere evoluțiile recente ale securității cibernetice la nivelul UE, este esențial ca fiecare țară să efectueze o evaluare a capacităților lor naționale de securitate cibernetică, să crească nivelul de maturitate al conștientizării, să identifice domeniile de îmbunătățire și să creeze noi capacități de securitate cibernetică. Acestea sunt prioritățile actuale și punctele majore de acțiune și pentru România.

Panelul celei de-a doua zi a fost format din Cătălina Dodu, Country Manager, Atos IT Solutions and Services Romania, Roxana Ionescu, Partner, Head of Data Protection practice, NNDK, Ion Ionuț Georgian, Head of OMV Petrom Global Solutions IT, Cristian Cucu, CIO Council Member. Discuția a fost moderată de Yugo Neumorni, CIO Council President.

Discuția a început de la întrebarea „Is everything broken in security? ”

De când a fost descoperit atacul Solarwind în decembrie 2020, un sentiment ciudat de nesiguranță a copleșit companiile. Pătrunderea masivă a scării ar putea apărea din actualizarea prietenoasă a software-ului dvs. de gestionare a activelor. Între atacul Colonial Pipeline ne-a arătat că atacurile ransomware devin mărfuri și pot fi comandate „ca serviciu”. În plus, am înțeles că sistemele de control industrial sunt „nesigurate prin proiectare” și compromiterea lor ar putea prăbuși segmente ale societății. Acestea sunt dovezi clare ale războiului cibernetic pe care îl trăim. Noi, CIO, suntem în prima linie și ar trebui să protejăm companiile și să asigurăm continuitatea afacerii.

Temele de discuție principale au fost:

• Ransomware noua formă de terorism comercial
• Arhitectură zero încredere.
• Tendințele de securitate cibernetică într-o lume post-pandemică.
• Cum să protejăm infrastructurile critice naționale împotriva atacurilor cibernetice?
• De ce funcționează încă ingineria socială? Cum putem face față factorilor umani în securitate?
• Cum să vă protejați de vulnerabilitățile terțe prietenoase?
• Reziliența cibernetică. Cum pot fi atenuate riscurile cibernetice prin planurile de continuitate a activității?
• Sunt CIO-s pregătiți pentru următorul atac cibernetic?
• Securitate prin design. Vulnerabilități ale sistemelor de control industrial.
• Confidențialitatea datelor este o schimbare culturală majoră.

După panel, l-am avut ca invitat pe Vlad Stoichitescu, Head of Technology Risks Division, OTTO BROKER. Tema abordată de acesta a fost: When everything else fails, insurance might help you survive a cyber attack

A vorbi despre „rezistență” fără a lua în considerare asigurarea ar fi o greșeală gravă în mediul cibernetic ocupat de astăzi. Prevenirea este esențială, investițiile în sisteme IT mai sofisticate și educarea utilizatorilor este o necesitate, dar ce se întâmplă atunci când toate celelalte eșuează? Pe măsură ce imobilizările corporale scad și proprietatea necorporală devine esențială pentru toate companiile, trecerea la o abordare a proprietății și accidentelor către o indemnizație profesională și acoperirea asigurărilor cibernetice ar trebui să fie o prioritate.

Acesta susține că într-o lume în care activele intangibile ale companiilor noastre devin din ce în ce mai important de protejat, este vital să luam în calcul toate măsurile ca un atac cibernetic să nu pună în pericol supraviețuirea afacerii. Aceste măsuri pot include asigurări de răspundere profesională și a riscurilor cibernetice ale furnizorilor noștri sau propria noastră poliță de cyber insurance.

Aceste polițe nu substituie un management propriu al riscului, care rămâne vital, ci vin în completarea suitei de soluții hard” și „soft” și asigură sprijin financiar și know-how specializat din partea unor parteneri (IT, legal, PR) cu interes comun – minimizarea impactului unui atac asupra companiei asigurate. Un consultant de risc specializat îți poate facilita accesul la astfel de soluții de pe piața locală, cât și internațională.

Continuând pe tema asigurărilor, Călin Rangu, Co-fondator CIO Council, a vorbit despre faptul că Insurance against cyber risk is more actual than ever.

Acesta suține că există un risc constant de atacuri de securitate cibernetică și pierderi de date în jurul nostru. Dacă toate celelalte riscuri ar putea apărea accidental, atacatorii sunt permanent activi. Nu poți lupta singur, iar asigurarea împotriva riscului cibernetic a devenit o practică sigură pentru acoperirea riscului rezidual.

Joe Weiss, PE, CISM, CRISC, Managing Director ISA99, vine în completarea zilei pentru a ne spune What is Missing in Cyber Securing Critical Infrastructures.

Prezentarea expusă de Joe Weiss a abordat vulnerabilitățile din sistemele de control industrial (SCADA) din sectorul utilităților / infrastructura critică națională. Acesta a vorbit despre senzorii de proces nesiguri și implicațiile rețelei senzorilor. Despre faptul că incidentele cibernetice ale unui sistem de control sunt reale. Că rețelele IP pot fi compromise, rețelele ICS nu pot fi securizate. Sunt multe modalități prin care heacker-ii pot ataca infrastructura, chiar și cea națională.

Pentru a viziona partea a doua a evenimentului, intrați aici.(DAY 2)

Pentru a viziona prima parte a evenimentului (DAY 1), click aici.