Perioada pandemica prin care trecem a pus o presiune si mai mare asupra echipelor de raspuns la incidente informatice. Ca si cum aceasta situatie nu era suficienta, tacticile si metodele folosite de atacatorii cibernetici s-au diversificat si au crescut in complexitate. Toate acestea au dus la o crestere fara precedent a cazurilor in care date informatice ale unor companii foarte mari au fost expuse public, iar consecintele au fost in multe cazuri foarte grave: sanctiuni din partea statelor unde activau, prestigiul afectat ori pierderi financiare ca urmare a actiunilor intreprinse pentru remediere.

Aceasta realitate a dus catre o constientizare si mai mare a importantei care trebuie oferita protectiei securitatii informatiilor iar acest lucru s-a vazut deja prin plasarea acestui departament printre locurile fruntase in ceea ce priveste investitiile.
Analizand evolutia celor mai bune practici in vederea cresterii rezilientei impotriva atacurilor informatice, se observa o schimbare in strategia factorilor decidenti dintr-o companie prin implementarea unor masuri menite sa sporeasca securitatea datelor informatice. Acest lucru reprezinta un pas foarte important marcand o tranzitie de la o strategie prin care aceasta zona era una daca nu ignorata, in cel mai bun caz aflata in coada prioritatilor. Accentul se punea pe rapiditatea cu care informatia circula si nu pe asigurarea confidentialitatii si integritatii acesteia.

Pana nu demult, intr-una din cele mai sensibile industrii, cea bancara, simpla detinere a unui cont de utilizator si a unei parole era suficienta pentru a efectua operatiuni financiare. Evident ca aceasta situatie a dus in timp la dezvoltarea unei intregi cazuistici constand in transferuri neautorizate de sume de bani din contul unor persoane de buna credinta in altele detinute de atacatori. Luand doar acest exemplu se observa ca lucrurile au evoluat foarte mult, in prezent fiind necesar un numar de operatiuni suplimentare pentru a efectua o simpla plata, autentificarea facand-se in mai multi pasi, simpla detinere a unui cont de autentificare si a unei parole nemaifiind suficienta. Ca masura de siguranta suplimentara si bancile au investit in echipe care monitorizeaza tranzactiile suspecte si alerteaza clientul in momentul in care detecteaza o potentiala activitate frauduloasa.

Toate aceste schimbari au fost posibile si printr-o colaborare mai puternica intre persoanele indreptatite cu securitatea datelor informatice, precum CIO sau CISO, cu departamentele de business, cele din urma constientizand importanta protejarii datelor cu care ei lucreaza precum si ale clientilor. Se poate observa ca in ultimii doi ani au crescut raportarile cu privire la situatia securitatii informatiei catre consiliile de conducere, demers solicitat, in cele mai multe cazuri, chiar de catre acestea pentru a fi la curent cu riscurile la care se expun pe aceasta arie.

O consecinta logica a acestei schimbari de strategie este si cresterea bugetului alocat pentru investitii in zona de protectie a informatiei. Deloc surprinzator este faptul ca acele companii care au experimentat deja un atac informatic, chiar si unul relativ minor, se asteapta ca in urmatorii ani sa-si creasca investitiile in aceasta zona. Piata se misca insa diferit in functie de experientele pe care le-au avut companiile. Daca unele au decis sa investeasca in solutii de detectare a intruziunilor in reteaua lor ori masuri de prevenire si stopare a e-mail-urilor daunatoare, altele s-au orientat catre solutii de „Multi-Factor Authentication” (autentificare in mai multi pasi) sau catre tehnologii care sa imbunatateasca autorizarea si controlul accesului la resursele companiei.

Poate cea mai intalnita situatie este cea a externalizarii serviciilor de raspuns la incidentele informatice. Companiile au realizat ca eficienta investitiei masive in solutii de securitate este mult diminuata daca nu este dublata si de profesionisti care sa stie cum sa le integreze si interconecteze astfel incat sa maximizeze avantajele acestora.

Un alt exemplu relevant pentru modul in care factorii decidenti au inceput sa puna accent pe investitia in domeniul securitatii informatiei este intalnit in cazul achizitiei unei alte entitati. Se observa astfel, din ce in ce mai des, o cerere pentru verificarea posibilelor antecedente de natura sa scoata la iveala vulnerabilitati din trecut pentru compania care este achizitionata.

Cunoscute in domeniu ca „cyber due dilligence”, aceste activitati sunt solicitate tocmai pentru a se cunoaste riscurile la care companiile se expun, din punctul de vedere al securitatii informatice, odata cu achizitionarea unei alte entitati si integrarea acesteia in infrastructura deja existenta.
Este celebru cazul unui mare lant hotelier care a achizitionat unul dintre competitorii sai, iar la o perioada de timp au suferit o exfiltrare a datelor cauzata tocmai de o vulnerabilitate care se regasea in sistemele companiei pe care au cumparat-o. Astfel, in toate titlurile aparute pe acest subiect in acea perioada se mentiona numele lantului hotelier ca fiind cel responsabil de incident, desi problema initiala a plecat de la compania achizitionata si, din lipsa unui „cyber due dilligence”, a ramas nedescoperita la momentul la care au cumparat-o.

Spre deosebire de alte departamente, cel de raspuns la incidente de securitate nu are perioade mai putin aglomerate, fiind supus permanent amenintarilor cibernetice si intr-o continua stare de alerta. Persoanele care au putere de decizie intr-o companie sunt, asadar, din ce in ce mai mult in postura de a lua o decizie: implementeaza o serie de pasi simpli spre imbunatatirea capacitatii de aparare impotriva atacurilor informatice alocand o parte din investitii in acest sens sau doresc sa continue cu o strategie bazata pe reactivitate in care sunt nevoiti sa stea in expectativa si sa intervina doar cand apare un incident. In cel de-al doilea scenariu, s-a dovedit ca riscurile asumate sunt uriase intrucat in foarte multe cazuri prejudiciile cauzate sunt iremediabile.

Autor: Cristian Zaharia (foto), Senior Manager, Forensic Technnology and Discovery Services, EY Romania