Când marile companii industriale sunt atacate… pierderile sunt uriașe

autor: Laurent Chrzanovski

Conștientizarea, mereu și întotdeauna conștientizarea. Singura raţiune de a fi a acestei reviste. Conștientizarea  este UMANĂ  înainte de a fi TEHNICĂ.

Toată   echipa   de   conducere    a   unei   companii    sau   a   unei instituţii trebuie  să  aibă  un  nivel minim  de  conștientizare  pentru a putea colabora  cu  specialiștii pe  securitate  și  IT –  CISO, CIO  și CSO – asigurându-se că nevoile minime tehnice și umane sunt satisfăcute și că investiţiile necesare sunt făcute pentru ca aceștia să îmbunătăţească  zilnic sistemele de apărare pentru a face faţă în cel mai bun mod posibil panoramei de ameninţări mutante, de la o zi la alta. Până la urmă, dacă se întâmplă un accident  major, CSO-ul poatevconfrunta încă multă vreme după aceea și echipa de conducere  și nimeni altcineva va trebui să dea socoteală pentru pierderi.

Din cauza  ameninţărilor din interior (din ignoranţă)  mai mari ca niciodată, un ecosistem  sigur poate fi construit doar cu participarea activă a tuturor angajaţilor, fără a exclude  pe nimeni. Toţi trebuie să aibă șansa de a li se furniza o capacitate minimă  de conștientizare, pentru a-și aduce o contribuţie efectivă la locul de muncă.  Până la urmă, dacă se întâmplă un accident  major, sistemul se va confrunta cu tăieri de costuri, care vor proveni în principal din prima măsură luată, de concediere  a multor angajaţi…

Într-o ediţie dedicată  atâtor afaceri ne-financiare  care devin 4.0, de la armate la marile industrii și, nu în cele din urmă, întregi sisteme de administrare guvernamentală,  avem  în sfârșit date despre costurile reale ale unui atac global indirect: „notPetya” aka „Goldeneye”. În sfârșit lăsăm în urmă titlurile din media generalisă, „mai mult sau mai puţin Sci-Fi”, cu afirmaţiile lor despre  potenţialii  originatori, războaiel între state, concluziile  pripite etc., pentru a corela informaţiile reale despre consecinţele  acestui malware global asupra unor companii  de top, reflectate în declaraţiilor lor fiscale la jumătatea anului (S1).

În timp  ce  așteptăm  impactul  asupra profiturilor din  S1, avem deja câteva rezultate uimitoare referitoare la T2: Mondelez,  lider multinaţional în alimentaţie din SUA – pierdere de venituri de 3%; Reckitt, lider multinaţional în industria farmaceutică din UK – pierdere de venituri de 2%; Maersk, liderul mondial danez de transport maritim – pierdere de 300 de milioane USD, estimată doar ca o primă consecinţă directă a atacului.

Cel mai bun exemplu, după publicarea  rezultatelor pentru  S1 de compania  însăși1, este probabil cazul multinaţionalei franceze Saint-Gobain, unul dintre liderii globali în construcţii și materiale de mare performanţă: trei zile pierdute… au lucrat doar cu creion și hârtie2, 220 milioane de euro pierdere, ceea ce reprezintă o pierdere de 1,1% de venituri… și o scădere a profitului operaţional cu 4,4%. Și vorbim despre o companie  care a înregistrat un semestru S1 record,„incluzând și atacul”, înregistrând  o creștere  a profitului operaţional  de 6,8%. După părerea noastră, compania  a fost prudentă  atunci când a previzionat un cost anual total al atacului de  250 milioane de  euro, recunoscând  că cca. 30 milioane de euro, datoraţi consecinţelor, vor fi plătiţi în T3. Analiștii externi estimează un cost minim  al atacului de cel puţin 330 milioane de euro, care se va reflecta în cifra de afaceri pe 2017. 3

Aceste companii sunt gigantice, ele pot rezista la unul două atacuri de tip „notPetya” pe an. Dar chiar și pentru ele, problema  rămâne: ce se întâmplă cu gradul de încredere?  După cum a afirmat un specialist în investiţii: „Pentru acţionari, a venit vremea să se dea socoteala”.

Pentru toate companiile  mai mici, alte atacuri ar putea avea consecinţe  severe și le-ar putea face chiar să se prăbușească. Și toate acestea, pentru ce? Mereu și întotdeauna doar pentru mentalitatea tradiţională a echipei de conducere:

1. Nu prezentăm interes pentru hackeri, poate doar bazele noastre de date și tranzacţiile financiare să prezinte vreun interes, dar le-am securizat.
2. Nu  înţeleg  problemele  de  securitate  cibernetică  și nu-l  am  pe  CISO  lângă  mine  în board-ul companiei.
3. Departamentul  CSO  va rezolva toate problemele, cu companiile  specializate în acest domeniu, pentru că plătim aceste servicii.

Rezultatul este că nu se face nici o conștientizare  de jos până sus, nu se creează o cultură de securitate cibernetică  și – din nou – nu există nici un moment  de teamă că suntem sub un atac permanent, ceea ce înseamnă că nu există nici o conștientizare a faptului că întreaga companie, de la omul de serviciu și până la directorii executivi de top, ar trebui implicată în securizarea ecosistemului  digital de la locul de muncă.

Noi, occidentalii, suntem slabi și neinformaţi în mod particular, spre deosebire de alte ţări – și am putea da ca exemplu Israel și India – în care nu puţine companii cu profil industrial și-au dezvoltat echipe de black hats/white hats/red teams, construite  în jurul unor profesioniști tineri pasionaţi care urmăresc proactiv și ceas de ceas ce se întâmplă, corelând informaţii de  pe  forumuri  private, de  pe  deep  web, cu  informaţiile din reţelele proprii. Ei reprezintă elementele cheie pentru a testa toate sistemele companiei și pentru a previziona atacuri cu toţi vectorii existenţi și vulnerabilităţile deja cunoscute  de către hackeri, dar încă neutilizate.

Și dincolo  de  conștientizare,  „să dea Dumnezeul 4.0” ca  liderii  companiilor   noastre  să înţeleagă că participarea în mecanismele naţionale și globale de declarare a vulnerabilităţilor nu este împotriva interesului propriu, ci dimpotrivă. Ceea ce va fi împotriva propriilor interese va fi vizibil în câteva luni, sau în cel mai bun caz în câţiva ani, când atacuri de tipul „not-Petyas” vor avea loc săptămânal…