De ce companiile au cel mai mult de pierdut prin lipsa securității IT și cum pot corecta asta (p)

Acum trei zile, pe când încercam a zecea oară la rând să introduc parola corectă pe Steam, urmată de o lungă procedură de recovery pe bază de cod primit pe SMS și apoi încă un cod pe email, mă gândeam de ce naiba mă silește Steam să folosesc niște parole complicate pe care niciodată nu le pot ține minte. Apoi mi-am dat seama că, dacă cineva îmi află parola, îmi poate șterge direct contul și aș pierde deci cei aproximativ 100 de euro băgați până acum în jocuri.

Tot probleme de securitate mi-ar putea produce pagube mult mai mari. Am fotografiile din concedii pe diverse servere, aș putea pierde o mulțime de amintiri plăcute. Blogul acesta ar putea fi “hăckuit”, șters, aș pierde două zile să-l pun la loc din backup. De conturile bancare nici nu mai are rost să zic.

Gândește-te acum la câte alte entități au informații despre tine: clinici medicale, compania la care lucrezi, magazinele online. Cum ar fi dacă toate aceste date ar fi furate de hackeri și date pe net, să le vadă toți despre tine?

În caz că nu crezi că se întâmpla asta, te asigur că se întâmplă. Se vorbește chiar de hacking-as-a-service, cu diverse programe și servere puse la vânzare pentru a fi utilizate de hackeri.

Ce se întâmplă însă când companiile nu se gândesc la securitatea lor? Am aflat mai mult despre noul val al amenințărilor informatice din Raportul CISCO de Securitate pe 2016, un document făcut periodic de gigantul IT.

Am asistat în anii trecuți la prezentarea rezumatului acestuia, dar pentru acest articol am citit întreg raportul, din scoarță în scoarță, de două ori. Ce scrie acolo m-a pus pe gânduri, pentru că ridică o problemă importantă și anume securitatea insuficientă la nivelul companiilor. Citește în continuare ca să vezi de ce, că l-am scris într-un limbaj ușor de înțeles.

Cred că mulți asociem cumva partea de securitate IT cu acele companii puternic implicate în online, precum magazinele online sau streamingul de muzică sau internet bankingul, dar situația nu stă deloc așa. Zilele offline-ului au trecut, orice companie are și o componentă IT, iar tot ce este digital, tot ce este online, este supus riscurilor. Acesta este primul pas în înțelegerea situației.

S-au dus și vremurile când hackingul era un fel de înfruntare între echipa de securitate și omul care voia să demonstreze că le poate intra în sistem. Acelea erau vremurile “nobile”. Hackingul modern este despre bani, foarte, foarte mulți bani prin șantaj, furt de date bancare și alte fraude.

Cazul Angler

Cel mai bun exemplu este Angler, numele unui exploit care anul trecut a lovit tare de tot.

Angler nu opera de pe o infrastructură mare, ci doar de pe 8-12 servere în fiecare zi. Serverele erau active puțin timp, site-urile prin care exploata vulnerabilități în browserele vizitatorilor se schimbau des, doar câteva persoane erau atacate prin aceeași combinație de metode, totul pentru a se ascunde cât mai bine.

Cercetătorii CISCO și Level 3 Threat Research Lab, care au “demontat” Angler, spun că au identificat peste 15.000 de site-uri ce duceau vizitatorii spre exploit, dar 99,8% dintre ele făceau asta pentru mai puțin de câteva zile.

Angler era echivalentul artileriei care trage 2-3 focuri și apoi își schimbă poziția și muniția, pentru a nu fi reperată de inamici, deși în acest caz “inamicii” erau algoritmii de securitate pe care ne bazăm cu toții zilnic.

Odată ce prindea un sistem vulnerabil, Angler introducea în el un ransomware.

Ransomware este un tip de malware ce-ți criptează toate datele și nu-ți dă acces la ele până nu plătești o sumă de bani mărișoară, de exemplu chiar și sute de dolari. Ați mai auzit de acest sistem de șantaj, au căzut pradă în ultimii ani multe calculatoare și telefoane mobile.

Sigur, poți formata întreg calculatorul și ai scăpat de criptarea respectivă, dar chiar poți face asta? Dacă ai date importante în el, bilanțuri contabile, baza de date cu clienți, lista de newsletter? Dacă astfel de informații ajung publice?

Și acum să trecem la cifrele concrete: cei de la CISCO au făcut un calcul de bani. Câte servere, câte acțiuni pe zi, doar 10% exploituri găsesc ținta, doar 2,9% din cei infectați plătesc recompensa… Știi cât ar fi câștigat cei ce-au făcut Angler? 34 de milioane de dolari pe an!

Ți-am spus, hackingul este acum pentru bani. Mai știi filmul Ocean’s Eleven? Așa cum cei de acolo planificau cu atenție spargerea unui seif bine protejat, la fel îmi închipui că au făcut și cei din spatele Angler, “proiectând” pe rând metodele de a livra ransomware-ul, de a face asta la scară largă găsind serverele și site-urile potrivite și totuși într-un mod cât mai bine disimulat.

Îți dai seama ce jaf organizat, ce proiect de amploare a fost și cât a durat totul și ce cunoștințe avansate a necesitat?

Iar multe IMM-uri cred că este suficient că cer angajaților o parolă atunci când se loghează pe mailul companiei sau pe serveru de fișiere. Pare suficient, atunci când analizezi Angler? Dar când adaugi în ecuație SSHpsychos, o rețea ce făcea atacuri asupra oricărui serviciu îi ieșea în cale, încercând în total 300.000 de parole cu speranța că se va potrivi una și va avea acces la sistem; atacurile SSHpsychos au constituit la un moment dat 35% din traficul Internet. Dar când adaugi în ecuație și botnet-urile, adică acele calculatoare ce sunt deja infectate cu malware și pot fi comandate să facă anumite lucruri, de la atacuri concertate asupra altor servere la trimis trafic pe site-urile dubioase sau înregistrat parole? Sau faptul că poți deghiza malware în bloguri pe WordPress?

Mai crezi că o simplă parolă te poate feri de necazuri atunci când vorbim de botnets, vulnerabilități din programe neactualizate, 300.000 de noi malware-uri descoperite în fiecare zi și atacuri bine planificate?

De ce sunt vulnerabile IMM-urile?

Pentru că sunt cele mai expuse. Companiile mari au departamente de IT, au angajați experți în securitate, fac audituri, investesc în echipamente și soluții complexe, particularizate pe nevoile lor. Utilizatorii casnici, pe de altă parte, nu au multe de pierdut, că nu vorbim de milioane de euro în cazul lor.

În schimb, IMM-urile sunt exact în zona de mijloc, “the sweet spot”, adică pot pierde tot business-ul în cazul unor probleme, pot strica intimitatea a mii de oameni și pot pierde o mulțime de bani. Multe companii mici și medii cred că investiția în securitate este mare, dar acest lucru este fals, sunt soluții pentru oricine.

Ce-i de pierdut? Păi să ne aducem aminte de cazul Ashley Madison, site-ul de dating canadian spart de hackeri, și în câte mii de cupluri a început scandalul atunci când au apărut pe net detalii despre infidelitățile sau fanteziile fiecăruia.

Dar dacă un angajat de la un departament oarecare folosește o versiune veche de Flash și prin calculatorul său permite acces la fișierele clinicii medicale pentru care lucrează, iar de acolo ajung pe net dosarele pacienților?

Dacă o vulnerabilitate în serverul de fișiere al firmei va permite concurenței să afle prețul cu care iei marfă de la furnizori și modul în care calculezi adaosul comercial la vreo licitație, totul pentru că un angajat plictisit a intrat pe un site dubios?

În ordine în sondajele CISCO, managerii consideră că următoarele date trebuie protejate:

1. informațiile financiare confidențiale
2. datele despre clienți, inclusiv cine sunt aceștia, de unde, ce vor șamd
3. informațiile despre business, adică ce vinzi, ce iei, cu cât

Pierderile de imagine și de business pot fi imense, poți ajunge la procese civile, despăgubiri, faliment șamd. E genul de chestie despre care nu știi că se poate întâmpla pentru că cei pățiți fac tot posibilul să țină secret cât i-a costat o breșă pe partea de securitate, dar sunt destule exemple în lume pentru a vedea impactul, cum a fost la Sony Pictures.

Problemele se pot amplifica în cascadă. De multe ori, penetrarea unui IMM poate duce la accesarea informațiilor unei companii mari. Sunt multe firme ce-și oferă serviciile unor companii mari, fie ele servicii de curierat, de catering, de outsourcing pentru parcul auto șamd, care au sistemele IT interconectate cu cele ale companiilor mari pentru o colaborare mai bună și mai rapidă. Cred că exemplul cu Angler demonstrează cât de ingenioși pot fi hackerii și cum principiul “unde dai și unde crapă” se aplică din plin aici.

Mai mult, IMM-urile se păcălesc uneori făcând outsourcing de servicii către alte firme. Iți ține altcineva contabilitatea, se ocupă altcineva să-ți rezerve hoteluri, iar ei îți spun că preiau deci și riscul unor breșe de securitate. Foarte bine, așa este și normal, dar știi cât de bine protejează ei datele tale? Ce va fi când datele tale financiare sunt aflate de alții?

Raportul CISCO, ce a fost făcut în mii de companii din țări precum SUA, Marea Britanie, Franța, Germania și Canada și altele, arată cum IMM-urile se cred în siguranță pentru că nu ar fi ținte “high profile”, dar este cazul să uităm vremurile când toți încercau să spargă serverele NASA sau Pentagon și să înțelegem că-i vorba de bani, iar oricine poate fi șantajat pentru bani.

Același sondaj spune și de ce IMM-urile nu investesc în securitatea datelor. În ordine, motivele ar fi:

1. buget insuficient
2. compania are alte priorități în dezvoltare
3. probleme de compatibilitate cu sistemele vechi
4. nu le-a cerut nimeni sau nu sunt informați despre riscuri
5. e prea mult de muncă deja și nu are cine să se ocupe
6. nu vor să investească în securitate până când soluțiile nu își dovedesc utilitatea în piață

Observă că ultimul motiv sună tare stupid. Este ca și cum ai spune că vei cumpăra o mașină doar când se dovedește că un anumit model este mult mai bun decât celelalte.

Ce pot face IMM-urile pentru o securitate mai bună?

Ar fi câțiva pași, iar în gândirea mea aceștia ar fi următorii:

Alcătuirea unei strategii de securitate. OK, facem ședință, stabilim ce trebuie protejat, ce date ne dau peste cap afacerea dacă sunt furate, ce nevoie de securitate au angajații noștri, dacă vom folosi sau nu mobile și VPN-uri șamd. Pentru asta se face de obicei un audit de securitate care arată ce probleme sunt.

Delegarea unui om pentru a fi responsabil cu securitatea. Marile companii au în organigramă funcții precum Chief Security Officer și manageri de securitate.

În IMM-uri este mai greu să faci un astfel de post, dar important este ca un om să fie responsabil cu securitatea, să fie cel care studiază problema, care o înțelege, care este la curent cu ce se mai întâmplă în domeniu, care merge la câte o conferință.

Hardware și software pe măsură. Angajații ce browser folosesc? Instalează fiecare ce extensii vrea? Sunt blocate eventualele site-uri capcană din firewall? Există programe care să analizeze traficul și să spună “băi nene, vezi că de ieri serverul vostru de email tot trimite mii de mailuri pe oră, pare că îl controlează ceva și face spam”?

Mai important, software-urile folosite sunt actualizate? Ai ultima versiune de Flash?

Un exemplu bun de sistem protejat, dar vulnerabil, este atunci când firma investește în soluții de securitate, dar blogul companiei nu a mai fost actualizat de luni de zile, că nu este nimeni responsabil cu asta. Încă rulează WordPress 3.8 și niște pluginuri vechi, că merge și așa, însă este ca o poartă deschisă pentru toate vulnerabilitățile descoperite de atunci.

Proceduri de răspuns la incidente. OK, ai fost hăckuit, cum acționezi acum? Cine decide că trebuie scoase serverele din priză pentru a opri furtul de date sau trimiterea de spam? Există comunicate de presă pregătite, există opțiunea de a reseta pe loc toate parolele clienților sau trebuie să chemi băiatul care a pus la punct baza de date acum 6 luni?

Buget separat pentru securitatea IT. Pe asta o spune chiar raportul CISCO, care notează că în multe firme bugetul pentru securitate IT este inclus în cel general de IT. În practică, banii se duc pe noi laptopuri, în general investițiile în securitate fiind ignorate până în momentul când te “arzi”. Faci un buget separat, aloci bani ce nu pot fi cheltuiți pe altceva, ci doar pe creșterea securității IT.

Cursuri cu angajații. Le explici un pic de ce să nu dea click pe bannerele care-i informează că au câștigat ceva pentru că sunt vizitatorul cu numărul un milion.

Studiile arată că angajații care nu se pricep la chestiuni avansate de IT consideră că există niște departamente IT ce-i protejează, așa că ei nu pot strica nimic. Din păcate situația nu stă așa, câtă vreme nu sunt luate măsuri clare de securitate. Explică-le riscurile, spune-le să ceară ajutorul dacă nu sunt siguri de ceva șamd.

Outsourcing de securitate. Se poate și asta. Lasă-i pe alții să-ți facă un audit, să instaleze soluții de securitate, să-ți recomande noi echipamente, să analizeze un log în caz de probleme pentru a înțelege cum au apărut acestea și a astupa găurile șamd.

Cel mai important lucru și, de fapt, punctul de pornire, este înțelegerea riscurilor și nevoia de securitate IT. Încui poarta la firmă și ai paznic de noapte? Atunci de ce să nu încui și poarta digitală?

Mai ales în vremurile moderne, când hackingul este o metodă de a face bani și poți fi vulnerabil fără să o știi, să fii informat despre ce înseamnă securitatea IT este obligatoriu pentru orice manager sau, în fine, “stakeholder” în companie, fie ea mică, medie sau mare. Descarcă Raportul CISCO de Securitate pe 2016, te va convinge că am dreptate.