Kaspersky: Companiile româneşti nu conştientizează pericolul atacurilor cibernetice. Pierderile însă pot fi incomensurabile

Kaspersky Lab a realizat un studiu pentru a afla dacă o companie este la curent cu atacurile cibernetice care se pot întâmpla în cadrul propriei organizaţii, şi anume: dacă detectează atacuri, în ce mod le detectează, dacă sunt pregătite şi cum acţionează.

Studiul a fost realizat în România şi alte cinci state europene, respectiv Spania, Franţa, Marea Britanie şi Italia şi a vizat zona de business, atât companiile mici (de la 2 la 50 de angajaţi), cât şi mari, cu peste 500 de salariaţi. Au fost intervievate aproximativ 300 de companii din fiecare ţară.

ECONOMICA.NET a stat de vorbă cu Bogdan Pismicenco, Territory Sales Manager România, Moldova și Bulgaria pentru Kaspersky despre rezultatele studiului, precum şi despre ce modalităţi au la îndemână companiile pentru a se proteja mai bine în faţa hackerilor.

Astfel, 85% dintre cei intervievaţi în România au spus că ar fi interesant şi util pentru ei să ştie cine este în spatele atacului pentru a ştii să fie mai pregătiţi pe viitor. Rezultatul este peste media europeană, de 79%.

„Este un mesaj bun pentru că oamenii sunt conştienţi de pericole şi ar vrea să le cunoască mai bine pentru a fi mai bine pregătiţi. Pe de altă parte, reversul medaliei este că, peste 50%, spun că în momentul de faţă, cu mijloacele pe care le au, este foarte greu pentru organizaţia lor să îşi dea seama cine se află în spatele unui atac şi dacă atacul se şi întâmplă efectiv”, spune Bogdan Pismicenco.

O altă întrebare a fost dacă pot să estimeze pierderile în cazul unui atac şi 40% dintre companiile intervievate în România au spus că le este imposibil pentru că sunt mai multe categorii de pierderi. Acestea pot fi imediate (se strică un calculator, cade site-ul, nu mai merge reţeaua sau linia de producţie o zi, două). Problema vine din faptul că respectivele companii nu au cum să afle dacă le-au fost extrase informaţii confidenţiale.

„Acest lucru le-ar putea afecta ulterior (de exemplu, un competitor tocmai a furat prototipul unui produs la care lucreză). De asemenea, dacă aceste informaţii ajung să fie expuse, de obicei, în presă, pierderile de imagine sunt imense, e greu de cuantificat o sumă”, spune managerul companiei.

Un simplu program antivirus nu este suficient pentru protecția companiilor

Un alt punct îngrijorător al studiului este că doar 50% dintre departamentele de IT au încredere că organizaţia lor poate opri un atac cibernetic, mai ales unul sofisticat. Pentru că majoritatea se bazează doar pe soluţii de tip end point. Sonadajul a mai relevat că numai 40% dintre responenți organizează cursuri de securitate cibernetică pentru angajații lor.

De asemenea, în multe atacuri, hackerul extrage informaţiile de care are nevoie şi dispare, iar victimele nu îşi dau seama decât foarte târziu, probabil când acele informaţii ajung pe mâinile unor persoane sau organizaţii rău intenţionate. Sau se infiltrează într-o companie şi stau acolo luni de zile, spionând calculatoarele.

„Acest lucru denotă faptul că marea majoritate a companiilor folosesc doar o soluţie de securitate de tip antivirus, ceea ce este foarte bine să o aibă, dar, dacă vorbim de atacuri mai sofisticate, nu mai este suficient în ziua de azi. Mai ales la companiile mari, cu peste 500 de angajaţi, unde nevoile de securitate sunt altele faţă de o firmă cu cinci sau zece oameni şi cantitatea de informaţii confidenţiale sau date cu caracter personal diferă substanţial”, explică Pismicenco.

În general, este greu de găsit sursa unui atac, mai ales când vorbim de atacuri sofisticate. Atacatorii ştiu să se ascundă şi folosesc identităţi şi indicii false şi de cele mai multe ori este derutant de identificat o sursă, aşa că să pui degetul pe o ţară anume este aproape imposibil. Companiile specializate în securitate cibernetică dispun de echipe internaţionale care cercetează atacurile. Scopul lor este să îşi dea seama de unde vine acel atac pentru a putea introduce în programele şi soluţiile de securitate cât mai repede update-uri.

„Putem identifica anumite grupări şi să ne dăm seama ce vorbitori sunt. De exemplu, au fost nişte atacuri de curând care au venit din zona Coreei de Nord şi poţi să spui că este o certitudine că provin de acolo, mai ales că multe companii, au fost şi studii făcute care au arătat că regimul nord coreean se finanţează din atacuri cibernetice şi fură bani de pe unde pot. Este una dintre sursele lor de finanţare”, spune reprezentantul Kaspersky.

Doar că aceste echipe de cercetare se ocupă cu precădere de atacurile sofisticate, iar pe internet circulă libere milioane de malware-uri sau software maliţioase cu care oricine se poate infecta dacă nu este atent.

Cum pot fi identificaţi atacatorii după zona geografică

Pismicenco spune că sunt indicii după care experţii îşi pot da seama de zona geografică din care provine un atac. „Şi hackerii sunt nişte oameni şi dacă vorbim de atacatori de limbă chineză sau mandarină, observăm că atacurile scad ca număr în perioada sărbătorilor specifice lor.

Un alt indiciu este fusul orar la care se petrece atacul.

„În momentul în care cercetezi un atac nu trebuie să te uiţi strict la liniile de cod, sau tipul de malware pe care îl folosesc, ci şi la obiceiurile și comportamentul uman”, adaugă Pismicenco.

Cei mai sofisticaţi dintre ei încearcă să introducă în programul de malware cuvinte la derută pentru că îşi dau seama că vor fi cercetaţi. De exemplu, dacă vor să mimeze un atac din zona rusă, probabil că vor lăsa acolo câteva indicii cu care cred ei că îl vor deruta pe investigator. Sunt cazuri în care, nefiind vorbitor nativ, greşesc cuvintele, sau folosesc o limbă literară, catre nu este folosită de un vorbitor nativ. „Este aproape un joc din punctul acesta de vedere”.

Sfaturi pentru o protecţie mai bună

Companiile medii şi mari ar trebui să adauge mai multe resurse, nu doar să aibă un antivirus foarte bun. Pismicenco spune că foarte puţine fac training de cyber securty pentru angajaţii non-IT.

„Majoritatea fac aceleaşi cursuri de IT pentru departamentul de IT. E foarte bine, dar orice angajat care are acces la infrastructura companiei, şi implicit la date, trebuie să aibă minime cunoştinţe despre cum să folosească internetul într-un mod sigur”, arată oficialul Kaspersky.

40% fac training de securitate pentru toţi angajaţii. „Am cunoscut organizaţii care spun că au un program, acest lucru însemnând că angajaţii primesc un email cu un pdf sau un link cu materiale pe care ei să le citească. Capcana însă, este că nu ai niciun control, nu verifici dacă ei au şi făcut asta. Sau o dată pe trimestru îi adună pe toţi într-o sală şi le sunt prezentate informaţiile. Însă, nimeni nu verifică, dacă salariaţii şi-au însuşit cunoştinţele. Decât nimic, e bine și așa, dar o metodă eficientă ar trebui să fie o serie de traininguri în care angajaţii să fie implicaţi propriu zis şi ar trebui accesate de la companii specializate şi să fie non tehnice, de tip joc, gamificate”.

Totodată, cursurile de securitate ar trebuie făcute recurent astfel încât informațile să fie memorate cu ușurință. „Oamenii vin, stau o oră într-o sală, apoi se întorc la jobul lor şi uită ce au învățat şi e normal să fie aşa”. 

Totodată, o altă problemă care poate fi rezolvată vizează modul în care angajații din departamentele de IT prezintă managementului soluţiile de securitate şi necesitatea acestora.

„Cei care lucrează în zona de IT dintr-o companie, în momentul în care se duc la managment să le propună achiziţia unei soluţii mai bune de protecţie, a unui training, au tendinţa să vorbeacă în termeni tehnici şi managementul nu înţelege. La ei trebuie să te duci să le explici că vrei să cumperi soluţia asta de 10 lei altfel o să piardă 1.000 de lei, argumentezi şi poate o să se întâmple. Însă, dacă ei merg şi le spun vreau să cumpăr asta pentru că o să fim mai bine securizaţi, aproape întotdeauna conducerea o să spună nu.”

Cu totul altfel stau lucrurile la companiile mari care au peste 500 de angajați deoarece acestea dețin o infrastructură critică mai complexă, dar și un volum de date confidențiale mai mare. Acestea ar trebui să aibă propria echipă de experți în securitate cibernetică în departamentul de IT. Dacă acest lucru nu este posibil, atunci acestea ar trebui să apeleze la rapoartele de securitate pe care companiile specializate le produc în mod regulat. Ce este importanmt de reținut este că aceste rapoarte au și un capitol cu recomandări 

„Genul acesta de comandări apar în produse mai târziu, înainte ca furnizorul de soluţii de securitate să facă update la program. Practic, dacă te abonezi la genul acesta de rapoarte te ajută să fii cu un pas înaintea atacatorilor”, adaugă Pismicenco.

Multinaționale versus companii românești

În multinaţionale există deja o cultură a securităţii cibernetice mai bună care este dictată din afară de la sediul lor central. De altfel, companiile multinaţionale prezente în România sunt şi cele care sunt mai deschise pentru a le cumpăra soluţii de training sau rapoarte de securitate.

„Putem sta de vorbă cu ei, chiar dacă au problemă de buget pe moment versus altă categorie de companii, cu precădere cele româneşti, din păcate, care, în general, nu fac traininguri pentru angajaţi de niciun fel, darămite să facă unul de securitate cibernetică. Motivul este că nu văd utilitatea lui, presupun că nu au nevoie, poate pleacă şi din premisa că nu mi se va întâmpla tocmai mie. Își spun că nu au ce informaţii să piardă, eu sunt firmă mică”.

Ce nu conștientizează însă aceste firme este tocmai pericolul la care se expun. De multe ori, firmele mici pot fi un pion în lanţul de securitate și o țintă pentru hackeri care doresc de fapt să ajungă la un jucător mai mare.

Este vorba de aşa numitele suply chain attack. Companiile mici pot fi furnizori sau terţi în relaţia cu companiile mari. Cea mare este protejată, dar firma mică nu, şi la un moment dat se poate ajunge la compania mare prin intermediul celei mici.

„Dacă cei mari îşi dau seama de unde a venit atacul, nu o să mai lucreze niciodată cu ei şi poate că nu o să mai lucreze deloc în industrie. Nu trebuie să ne gândim doar la compania noastră. Pe de altă parte şi firmele mici pot fi ţinta directă a unui atac de tip ransomware”.

Reprezentantul Kaspersky spune că atacurile de tip ransomware sunt greu de recuperat, mai ales dacă firma nu are un back-up făcut. Acesta spune că au fost cazuri în care firme mici trebuiau să depună balanţa contabilă, însă aveau toate actele criptate de către hackeri. „În cazul acesta nu putem face nimic și abia atunci îşi dau şi ei seama că sunt afectaţi”.

„Ca o concluzie, trebuie să reţinem că nu stăm foarte rău, suntem în media europeană în ceea ce priveşte conştientizarea, dar mai sunt multe lucruri de îmbunătăţit pentru că o parte din companiile participante au fost aceste companii străine care au ridicat mult procentul”, conchide Bogdan Pismicenco.