Bănui că cu mare bucurie ați primit și voi vestea că compania aeriană Aeroflot, condusă de echipa lui Putin (nimeni nu se află în conducerea unor mari companii rusești fără girul stăpânului), a fost hack-uită. Probabil asta va obliga management-ul să stea departe de ferestre o vreme (însă nu toți vor reuși). Există însă niște factori pe care trebuie cu toții să îi luăm în considerare ca să nu devenim viitorul Aeroflot (fără beneficiul campaniei de defenestrare, bineînțeles).
Cauze? Ignoranța și prostia.
Chiar hackerii au venit și au indicat ce era total greșit:
- Plin de Windows XP și Windows Server 2003.
- CEO-ul Sergei Alexandrovsky (sfat: să nu urce nici până la etajul 1 al vreunei clădiri) nu și-a schimbat parola de doi ani.
- Hackerii au stat nedetectați câteva luni în sistemele Aeroflot, descărcând liste de pasageri, conversații interne, tot. Fără să se prindă nimeni.
Riscurile erau sistemice: rețele vechi (la plural), sisteme neîntreținute, fragmentare, fără training-uri de cybersecurity, fără investigarea logurilor, fără sisteme de data loss prevention. Cam ce găsim în 90% din firmele din România, la o anume adică.
De ce suntem ținte?
Sunt mii de motive pentru care fiecare dintre noi, la nivel individual, suntem ținte. De obicei suntem cei care stau între hackeri și bani. Datele pe care ei le descarcă (exceptând cazul Aeroflot unde vorbim de un scop militaro-economic) valorează enorm pe dark web. Nu este ceva personal, totul ține de bani.
Companiile unde lucrăm sau unde prestăm servicii dețin ceva mult mai valoros decât banii: date. Date personale, date de business, marje de profit, discount-uri, prețuri etc. Toate pot fi folosite pentru șantaj, competiție, atacuri cibernetice, fraude.
Așa-i că vă plângeți că sunteți sunați de „Revolut”, „Poliție”, „bănci” etc cu fel de fel de scheme? Paranteză: pentru mine este o ocazie minunată să mă descarc și nici nu este nevoie să plătesc. Omul din partea cealaltă a convorbirii te ascultă cuminte cum îi iei strămoșii la plimbare. Revenind, de unde credeți că au hackerii datele voastre? Le-au cumpărat de pe darkweb, unde au fost puse la vânzare în urma numeroaselor hack-uri ce au avut loc la companiile de telecomunicații, primării, companii de utilități etc. 3% din aceste scheme, dacă reușesc, generează un ROI enorm pentru investiția făcută pentru achiziția acestor numere.
Pe scurt, suntem cu toții ținte – statistic, la un moment dat fiecare firmă va trece printr-un data breach.
De ce suntem la risc?
IT-ul în România a fost chestia aia unde fiecare știa „un băiat” ce a făcut chestii care și astăzi funcționează. În auditurile mele de conformitate la GDPR, găsesc aplicații vechi de 10-15-20 de ani, făcute de cineva care nu mai este de găsit, care își fac treaba dar care sunt bombe ce stau să explodeze. Găsesc implementări ale unor sisteme făcute de către un singur om care dacă pleacă sau devine indisponibil (accident, deces etc) firma efectiv își oprește activitatea.
Găsesc sisteme vechi, sisteme piratate, aplicații dubioase, securitate IT pe principiul „merge și-așa”. Peste toate acestea tronează o ignoranță totală în ceea ce privește datele – nimeni nu știe ce se află, pe unde, cine le folosește, cine este responsabil. Noțiunile de bază de guvernanță a datelor. „Data is the new gold”, dar noi tot cu Excel-uri neconectate, în multiple versiuni, pe multiple calculatoare.
De aceea majoritatea amenzilor de GDPR din România, tot mai mari ca valoare, sunt pe data breach-uri. Fiindcă suntem ca un șvaițer în ceea ce privește protecția oricăror date sau informații.
Ce putem face să ne protejăm?
În primul rând, trebuie să știm unde stăm. Pe scurt, un audit de securitate, făcut de o firmă serioasă. Penetration testing, tot ce trebuie. Aici vedem vulnerabilitățile de sistem dar și vulnerabilitățile umane, cauza atacurilor de phishing și social engineering.
Faceți un exercițiu: mergeți la prânz la un food-court aflat pe lângă niște clădiri de birouri (hint: în București avem Promenada Mall, Băneasa Mall, Orhideea Plaza, AFI Mall, Plaza Mall, Vitan Mall etc), așezați-vă lângă o masă de corporatiști și ascultați. Vedeți câte secrete critice ale organizației în care lucrează puteți afla. Felicitări, așa începe orice atac asupra unei companii.
În al doilea rând, educația angajaților; extrem, extrem de important ca fiecare să conștientizeze la ce este expus! Testarea angajaților după training-uri, penetration testing după training-uri!
În al treilea rând, adresarea tuturor riscurilor identificate în urma auditului de securitate. Cel mai bine aici este să se meargă pe măsurile prezente în standardele ISO din familia 27000, cum ar fi 27001.
În al patrulea rând, vine partea de guvernanță a securității IT în contextul guvernanței corporative. Aici vorbim de conformarea cu cerințele unor legi precum GDPR, EU AI Act, NIS2 sau alte cerințe emise de autorități sectoriale precum BNR, ANRE, ASF etc.
Ce urmează?
Începeți cu auditul. Nu este de glumă, începeți ACUM! Auditul pe care îl facem noi, cei de la Tudor Galoș Consulting, tratează și partea de securitate IT (fiindcă găsim destul probleme). Trebuie să știți unde vă aflați și ce riscuri trebuie să adresați imediat.
Altfel, Aeroflot scrie pe voi. Este o lecție dură dar necesară.
