Când marile companii industriale sunt atacate… pierderile sunt uriașe
autor: Laurent Chrzanovski
Conștientizarea, mereu și întotdeauna conștientizarea. Singura raţiune de a fi a acestei reviste. Conștientizarea este UMANĂ înainte de a fi TEHNICĂ.
Toată echipa de conducere a unei companii sau a unei instituţii trebuie să aibă un nivel minim de conștientizare pentru a putea colabora cu specialiștii pe securitate și IT – CISO, CIO și CSO – asigurându-se că nevoile minime tehnice și umane sunt satisfăcute și că investiţiile necesare sunt făcute pentru ca aceștia să îmbunătăţească zilnic sistemele de apărare pentru a face faţă în cel mai bun mod posibil panoramei de ameninţări mutante, de la o zi la alta. Până la urmă, dacă se întâmplă un accident major, CSO-ul poatevconfrunta încă multă vreme după aceea și echipa de conducere și nimeni altcineva va trebui să dea socoteală pentru pierderi.
Din cauza ameninţărilor din interior (din ignoranţă) mai mari ca niciodată, un ecosistem sigur poate fi construit doar cu participarea activă a tuturor angajaţilor, fără a exclude pe nimeni. Toţi trebuie să aibă șansa de a li se furniza o capacitate minimă de conștientizare, pentru a-și aduce o contribuţie efectivă la locul de muncă. Până la urmă, dacă se întâmplă un accident major, sistemul se va confrunta cu tăieri de costuri, care vor proveni în principal din prima măsură luată, de concediere a multor angajaţi…
Într-o ediţie dedicată atâtor afaceri ne-financiare care devin 4.0, de la armate la marile industrii și, nu în cele din urmă, întregi sisteme de administrare guvernamentală, avem în sfârșit date despre costurile reale ale unui atac global indirect: „notPetya” aka „Goldeneye”. În sfârșit lăsăm în urmă titlurile din media generalisă, „mai mult sau mai puţin Sci-Fi”, cu afirmaţiile lor despre potenţialii originatori, războaiel între state, concluziile pripite etc., pentru a corela informaţiile reale despre consecinţele acestui malware global asupra unor companii de top, reflectate în declaraţiilor lor fiscale la jumătatea anului (S1).
În timp ce așteptăm impactul asupra profiturilor din S1, avem deja câteva rezultate uimitoare referitoare la T2: Mondelez, lider multinaţional în alimentaţie din SUA – pierdere de venituri de 3%; Reckitt, lider multinaţional în industria farmaceutică din UK – pierdere de venituri de 2%; Maersk, liderul mondial danez de transport maritim – pierdere de 300 de milioane USD, estimată doar ca o primă consecinţă directă a atacului.
Cel mai bun exemplu, după publicarea rezultatelor pentru S1 de compania însăși1, este probabil cazul multinaţionalei franceze Saint-Gobain, unul dintre liderii globali în construcţii și materiale de mare performanţă: trei zile pierdute… au lucrat doar cu creion și hârtie2, 220 milioane de euro pierdere, ceea ce reprezintă o pierdere de 1,1% de venituri… și o scădere a profitului operaţional cu 4,4%. Și vorbim despre o companie care a înregistrat un semestru S1 record,„incluzând și atacul”, înregistrând o creștere a profitului operaţional de 6,8%. După părerea noastră, compania a fost prudentă atunci când a previzionat un cost anual total al atacului de 250 milioane de euro, recunoscând că cca. 30 milioane de euro, datoraţi consecinţelor, vor fi plătiţi în T3. Analiștii externi estimează un cost minim al atacului de cel puţin 330 milioane de euro, care se va reflecta în cifra de afaceri pe 2017. 3
Aceste companii sunt gigantice, ele pot rezista la unul două atacuri de tip „notPetya” pe an. Dar chiar și pentru ele, problema rămâne: ce se întâmplă cu gradul de încredere? După cum a afirmat un specialist în investiţii: „Pentru acţionari, a venit vremea să se dea socoteala”.
Pentru toate companiile mai mici, alte atacuri ar putea avea consecinţe severe și le-ar putea face chiar să se prăbușească. Și toate acestea, pentru ce? Mereu și întotdeauna doar pentru mentalitatea tradiţională a echipei de conducere:
- Nu prezentăm interes pentru hackeri, poate doar bazele noastre de date și tranzacţiile financiare să prezinte vreun interes, dar le-am securizat.
- Nu înţeleg problemele de securitate cibernetică și nu-l am pe CISO lângă mine în board-ul companiei.
- Departamentul CSO va rezolva toate problemele, cu companiile specializate în acest domeniu, pentru că plătim aceste servicii.
Rezultatul este că nu se face nici o conștientizare de jos până sus, nu se creează o cultură de securitate cibernetică și – din nou – nu există nici un moment de teamă că suntem sub un atac permanent, ceea ce înseamnă că nu există nici o conștientizare a faptului că întreaga companie, de la omul de serviciu și până la directorii executivi de top, ar trebui implicată în securizarea ecosistemului digital de la locul de muncă.
Noi, occidentalii, suntem slabi și neinformaţi în mod particular, spre deosebire de alte ţări – și am putea da ca exemplu Israel și India – în care nu puţine companii cu profil industrial și-au dezvoltat echipe de black hats/white hats/red teams, construite în jurul unor profesioniști tineri pasionaţi care urmăresc proactiv și ceas de ceas ce se întâmplă, corelând informaţii de pe forumuri private, de pe deep web, cu informaţiile din reţelele proprii. Ei reprezintă elementele cheie pentru a testa toate sistemele companiei și pentru a previziona atacuri cu toţi vectorii existenţi și vulnerabilităţile deja cunoscute de către hackeri, dar încă neutilizate.
Și dincolo de conștientizare, „să dea Dumnezeul 4.0” ca liderii companiilor noastre să înţeleagă că participarea în mecanismele naţionale și globale de declarare a vulnerabilităţilor nu este împotriva interesului propriu, ci dimpotrivă. Ceea ce va fi împotriva propriilor interese va fi vizibil în câteva luni, sau în cel mai bun caz în câţiva ani, când atacuri de tipul „not-Petyas” vor avea loc săptămânal…
1 https://www.saint-gobain.com/sites/sgcom.master/files/s1-2017-fra_a.pdf
2 http://www.lemonde.fr/economie/article/2017/06/30/trois-jours-apres-la-cyberattaque-petya-saint-
gobain-travaille-a-l-ancienne_5153635_3234.html
3 http://www.securityweek.com/notpetya-attack-costs-big-companies-millions
Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu.