De la securitatea IT la securitatea cibernetică – o schimbare de paradigmă...

De la securitatea IT la securitatea cibernetică – o schimbare de paradigmă încă neconștientizată de către microîntreprinderi și firmele mici și mijlocii?

29

Zilele în care atacurile cibernetice ținteau doar câteva puține IMM-uri nenorocoase s-au dus. Acum este foarte profitabil pentru criminalii cibernetici să le ia în vizor, deoarece sunt mai ușor de atacat decât companiile mari. În ultimele 12 luni, 21% dintre IMM-uri au fost victimele unui atac cibernetic. Chiar dacă pagubele în urma acestor atacuri nu depășesc decât foarte rar 10.000 €, există și cazuri rare în care companiile-victimă nu își mai revin, mai ales în situațiile în care cazul devine public. (01/02/2019 – Damien Bancal) (1).

O «ordine frumoasă…»

Iată că avem parte de încă o dimineată însorită, caracteristică acestei regiuni. Este timpul să mergem să verificăm bancurile de stridii deoarece mareea nu ne așteaptă. În această dimineaţă, René, fermierul nostru de stridii, are de livrat o comandă foarte mare.

Seara trecută el a primit o cerere specială pe email din partea unui client obișnuit și i-a răspuns ca va face tot ce e posibil să o onoreze.

Din momentul în care stridiile au fost culese, durează doar câteva ore pentru ca 2 tone de stridii să fie depozitate în lăzi iar livratorul este deja pregătit să le transporte până în Spania. De data aceasta s-a modificat locul de livrare, însă aceste situaţii mai apar.

Ziua continuă, a mai rămas de trimis doar factura…

Peste două zile, joi, vine o nouă comandă de la clientul lui. René profită și îi dă un telefon….

«Cum a fost comanda de marţi? Ţi-a plăcut?»

«Ce comandă? Nu am mai comandat nimic de la tine în ultimele trei săptămâni!»

«Dar cum rămâne cu mesajul tău de luni cu privire la cele 2 tone de stridii?»

«Nu ţi-am trimis niciun mesaj luni, am fost plecat în Maroc de sâmbătă și m-am întors acasă marţi seară. Am postat fotografii și pe contul meu de Facebook.»

În acel moment René își dă seamă că tocmai a fost păcălit…

Cineva s-a dat drept clientul său. Uitându-se acum cu atenţie la adresa de email de unde a venit comanda își dă seama că este ușor diferită… Da, este vorba despre un alt furt de identitate… Criminalul cibernetic a ţinut sub observaţie schimburile de emailuri ale antreprenorului, a monitorizat și activitatea clientului… Și astfel avem de-a face cu un caz clasic de atac și are în vedere o mică afacere. Putea la fel de bine să fie vorba de criptarea informaţiilor din calculatorul antreprenorului și solicitarea unei răscumpărări.

Contextul

Fie că vorbim de IMM-uri, fie că vorbim de microîntreprinderi, ele au în comun faptul că managementul companiei este centralizat. Acesta este și avantajul lor competitiv deoarece având resurse umane limitate, aceste companii sunt mult mai flexibile și răspund mai rapid comparativ cu structurile companiilor mari.

Pentru a înţelege mai bine contextul în care IMM-uri și microîntreprinderile își desfășoară activitatea ele trebuie definite. Vom utiliza definiţiile din revista «Economie Magazine».

Diferența tehnică

De cele mai multe ori tindem să confundăm microîntreprinderile cu IMM-urile. Totuși aceste organizaţii sunt chiar diferite.

Să începem cu microîntreprinderile. Ele sunt în general structuri cu personalitate legală și cu maxim 10 angajaţi.. De asemenea, cifra de afaceri a acestor companii nu trebuie să depășească plafonul de 2 milioane de dolari. Acest tip de companie de cele mai multe ori are un singur proprietar, respectiv nu are angajaţi. Se pretează nevoilor unor lucrători pe cont propriu de tipul meșteșugarilor, comercianţilor și al profesiilor liberale. Așadar cum încă de la început acest tip de afacere nu are nevoie de resurse extinse, nici umane, nici financiare, majoritatea start-up-urilor francize sunt astfel organizate. Conform statisticilor, aproape 93% dintre companiile înfiinţate în Franţa sunt microîntreprinderi. De asemenea aceste microîntreprinderi au și un regim de taxe specific.

Companiile mici și mijlocii se deosebesc de microîntreprinderi prin dimensiunea lor. Până în acest moment nu există definiţii exacte pentru astfel de companii, totuși se acceptă cea precizată în Recomandarea Comisiei Europene 96/280/EC din 3 aprilie 1996, completată prin Recomandarea 2003/361/ EC din 6 mai 2003. Aceste recomandări clasifică organizaţiile în funcţie de două caracteristici: mărimea și cifra lor de afaceri. Așadar companiile intră la categoria firme mici dacă au între 10 și 50 de angajaţi și ale căror cifră de afaceri și balanţă nu depășesc 10 milione de euro pe an.

Dacă au între 51 și 250 de angajaţi atunci vorbim de companii medii, a căror cifră de afaceri nu trebuie să depășească 50 de milioane de euro iar balanţa trebuie să aibă un total de 43 de milioane de euro.

Dacă au peste 250 de angajaţi, atunci vorbim de companii mari.

Câteva cifre…

Conform unui studiu PWC, securitatea cibernetică reprezintă o problemă doar pentru o treime dintre companiile franceze. Pe de altă parte, două treimi consideră că ameninţarea cibernetică nu este semnificativă pentru companiile lor.

De asemenea, doar 2 din 10 companii se simt complet capabile să facă faţă unui atac cibernetic. Și, pentru a completa acest tablou, mai puţin de o companie din 5 a implementat măsuri potenţiale de protecţie.

În final, 95% dintre companii nu intenţionează să angajeze o persoană dedicată pentru securitate cibernetică în următoarele 12 luni (2).

 

 

Ce sunt acele riscuri cibernetice?

Riscurile cibernetice sunt de două feluri:

  • riscuri directe care există la nivelul mediului tehnic IT&C,
  • riscuri «clasice» care există la nivelul mediilor care utilizează IT&C.

Așadar este clar că nu trebuie ca problema să fie redusă doar la a întări zona IT&C…

Spațiul digital

În primul rând trebuie să definim ce anume acoperă spaţiul digital. Și vom da această definiţie: toate acele paradigme care sunt utilizate pentru a asigura un serviciu din partea unei mașini digitale. Aceste paradigme, de unde s-a dezvoltat spaţiul digital, sunt patru la număr:

Prima este electricitatea, în sensul ionilor pozitivi și negativi și toate proprietăţile care rezultă din ei: transportul energiei, electromagnetica, undele radio, radiaţiile, etc…

Cea de-a doua este paradigma oricărei mașini digitale la care se folosește în întregime sau parţial arhitectura standard definită de von Neumann.

Cea de-a treia are legătură cu comunicațiile. Respectiv cu faptul că transmiterea unui mesaj presupune existenţa unui transmiţător și a unui receptor, care codează și decodează mesajul transmis prin intermediului canalului de transmisiune.

Iar cea de-a patra o reprezintă informația cu cele trei proprietăţi ale sale: disponibilitate, confidenţialitate și integritate.

Securitatea computer-ului…

De la apariţia lumii digitale ne confruntăm cu impunerea mașinilor digitale care solicită o poziţionare în locaţii dedicate. Ele, împreună cu restul echipamentelor periferice, sunt costisitoare. Sunt gestionate de personal calificat și au nevoie de monitorizare continuă. Accesul logic este redus din cauza lipsei de acces potenţial. Aceste mașini, având resurse limitate, dezvoltă și procesează doar acele funcţii care pot fi digitalizate.

Există 10 centre computerizate, adevărate «buncăre», care asigură disponibilitatea protecţiei pe zona electrică. Acestea au personal numeros și calificat. Utilizatorii sistemului sunt conectaţi, în cel mai bun caz, prin cablu în scopul procesării anumitor informaţii. În cel mai rău caz ei iniţiază operaţiunile de procesare în urma consultării unor documente printate. Nu sunt relocate resurse de procesare. Protocoalele de reţea sunt rigide și complexe, dar ușor de urmărit. Cea mai mare prioritate la nivelul datelor o reprezintă disponibilitatea.

Ne aflăm într-un mediu tehnic, extrem de specializat și solicitant din punct de vedere al resurselor. Este vorba despre o lume relativ închisă ai căror utilizatori atașaţi unui centru de procesare trebuie să îi respecte regulile și constrângerile.

Cele patru paradigme ale noastre par a fi niște stâlpi. Discutăm despre o securitate fizică și tehnică, utilizată de o lume de tehnică și implementată de specialiști.

La nivelul IMM-urilor și al microîntreprinderilor investiţiile digitale sunt rare și specifice. Anumite mașini trebuie instalate de către furnizori de servicii experimentaţi. Întregul management al sistemului este încredinţat unui departament special în cadrul companiilor mari sau este externalizat în întregime unui furnizor de servicii.

…la securitate cibernetică

O definiție a securității cibernetice

Securitatea cibernetică (conform ANSSI) reprezintă acea stare a sistemului informaţional care îi asigură rezistenţa la evenimente din spaţiul cibernetic care ar putea compromite disponibilitatea, integritatea și confidenţialitatea informaţiilor stocate, procesate și transmise și a serviciilor complementare pe care aceste sisteme le asigură. Securitatea cibernetică folosește tehnici de securitate a sistemului informaţional și se bazează pe lupta contra crimei cibernetice și instituirea unei apărări cibernetice.

Evoluții

În ultimii 20 de ani au intervenit schimbări la nivelul celor 4 paradigme. Proprietăţile electricității au fost dezvoltate și utilizate, mai ales în ceea ce privește consumul energetic, proprietăţile sale electromagnetice, cele radioactive sau de ondulare…

Mașina von Neumann poate fi micșorată și consolidată. Poate să încapă în mașini portabile de dimensiuni foarte reduse. Sunt mai rezistente și nu au nevoie de medii controlate. În plus, sistemele pot fi preconfigurate pe mașină. Preţul lor este în scădere. Fiind distribuite în organizaţii ale publicului general, pot fi implementate de către nespecialiști.

La nivelul comunicațiilor au intervenit evoluţii fenomenale în termen de suport de comunicare, a cărui viteză a crescut iar protocoalele s-au simplificat. Această combinaţie a determinat transmiterea prin intermediului „cloud-ului”, iar toate tipurile de cabluri au devenit inutile. Nu mai avem nevoie de expertiză de reţea pentru a implementa aceste comunicaţii.

În ceea ce privește informația, având în vedere că disponibilitatea sa este asigurată de către medii eficiente, de dimensiuni mici și ieftine, și confidenţialitatea sa ar trebui asigurată de asemenea cu ușurinţă. Cea mai nouă problemă de securitate o reprezintă de fapt integritatea informaţiei.

Toate aceste evoluţii au determinat popularizarea completă a tehnologiei digitiale, transformând-o într-una simplă și puţin costisitoare. Putem digitaliza totul, așadar totul este digitalizat. Puterea asupra sistemului computerizat se transferă de la experţi și specialiști la utilizatorii finali care nu mai trebuie să cunoască aceste tehnologii. Gestionarea completă a lumii digitale îi revine utilizatorului final. În acest sens au evoluat tehnologiile dar astfel au și deschis calea activităţilor frauduloase la nivelul lumii digitale. Au dispărut „buncărele” securizate unde erau localizate mașinile de procesare. Au dispărut și protocoalele care făceau posibilă urmărirea progresului structurilor. Trăim într-o lume tehnologică deschisă, implementată de utilizatori. Confruntaţi cu aceste evoluţii ale paradigmelor, este de înţeles confuzia antreprenorilor din afacerile mici și foarte mici. Cei patru stâlpi ai tehnologiei digitale s-au transformat în cei patru călăreţi ai Apocalipsei.

Cum să realizezi trecerea de la securitatea IT
la securitatea cibernetică

După această observaţie solidă, este momentul să identificăm acele zone ale evoluţiei care vor permite antreprenorilor să le înţeleagă mai bine. Trebuie să discutăm despre problema securităţii cibernetice nu ca despre o problemă tehnică ci ca despre una socială. Managerul unei companii trebuie astfel să preia această problemă, cu implicarea directorului IT pentru aceia care au unul și/sau implicarea furnizorului de servicii pentru celelalte cazuri. Ei sunt jucătorii cheie ai acestui proces. Totuși, ei nu sunt singurii care ar trebui implicaţi în acesta.

Obiective acceptabile – riscul

Este nevoie ca mai întâi managerul companiei să identifice riscurile sale. Pentru această abordare va fi nevoie de o analiză detaliată a tuturor activităţilor din companie. În funcţie de aceasta managerul va trebui să își îmbunătăţească mai întâi siguranţa și apoi securitatea, pentru a reduce riscurile identificate iniţial. Unele dintre aceste riscuri pot fi transferate unui asigurator specializat. În acel moment riscul său devine acceptabil.

Obiective acceptabile – cost

Toate soluţiile pe care un manager le va implementa vor determina costuri pentru compania sa. Aceste costuri vor trebui comparate cu cele prevăzute în urma identificării riscului în cadrul analizei iniţiale. Această abordare determina ca acel cost să fie acceptabil.

Obiective acceptabile – protecție

Toate metodele implementate trebuie să fie acceptatede către toate persoanele de interes ale companiei, lanivel intern și extern. Daca protecţia nu este acceptată decătre toţi angajaţii, se va dezvolta un efect «Katangese»,iar metodele implementate vor fi extrem de ineficiente.Aceste obiective pot fi definite într-adevăr doar decătre antreprenor și astfel poate interveni o contradicţieputernică. Pe de o parte, protecţia lumii tehnice poate firealizată doar cu abordări ne-specializate. Pe de altă parte,fie că vorbim de riscuri sau protecţie, toţi angajaţii suntimplicaţi. Așadar aceste probleme au nevoie de o abordare„umană” . Iar termenul de protecţie devine acceptabil.

O implementare…

Dincolo de soluţiile tehnice care vor fi construite și implementate de specialiști din domeniu (și aici se vor regăsi în parţial cei din domeniul securităţii IT) va fi nevoie și de o analiza a organizării companiei. Toate componentele, fie ele personale sau profesionale, modul și contextul lor de utilizare, vor risca să nu mai fie protejate de către echipamentul tehnic utilizat în mediul profesional. Astfel va fi nevoie de revizuirea regulilor de utilizare a acestor componente „digitale”. Angajaţii vor trebui educaţi astfel încât să aibă parte de o conștientizare colectivă în interiorul companiei.

Toate aceste elemente evidenţiază în mod clar problemele cu care se confruntă IMM-urile și microîntreprinderile noastre. Concentrându-se pe productivitate ca activitate esenţială pentru supravieţuire, ele trebuie să utilizeze o tehnologie care a evoluat în mod divergent. Astfel trebuie reflectat atât asupra aspectului tehnologic cât și asupra celui social.

Trebuie să fim conștienţi de toate aceste aspecte astfel încât să îi sprijinim pe antreprenori în abordarea lor asupra securităţii cibernetice.

Autor: Didier Spella

BIO

Președinte al Mirat Di Neride, expert în strategie de afaceri și criminalitate informatică, director al CLUSIR Office – New Aquitaine Ouest, Didier Spella este fost ofițer superior al Forțelor Aeriene Franceze, co-fondator al Charente-Maritime Cyber Sécurité, o conferință a cărei primă ediție a avut loc între 17 și 18 octombrie 2018 la La Rochelle și a abordat diverse concepte din lumea cibernetică. Cunoștințele sale atât din domeniul securității digitale cât și analoage, dar și experiența sa în domeniul analizei de risc și expertiza din cadrul companiilor americane i-au permis să se poziționeze ca un expert în definirea strategiilor de securitate. Confruntările cu atacurile cibernetice din ce în ce mai răspândite și mai intruzive la nivelul stilului de viață l-au determinat să organizeze o conferință care să abordeze riscurile la care populația în general este expusă și cei care au microîntreprinderi sau întreprinderi mici și mijlocii în special. Tema generală a conferinței a fost: „all attacked, all accomplices”.

Articolul original, în franceză, a fost publicat în Revue de la Gendarmerie Nationale (numărul 264; Aprilie 2019, pg. 13-19). Iar CREOGN (Officers’ Center of Research of the Gendarmerie Nationale) ne-a oferit marea onoare de a ne permite traducerea exclusivă în limba engleză. Dorim pe această cale să le mulțumim Generalului Marc Watin Augouard, director centrului și domnului Didier Spella pentru disponibilitate și sprijin. Toate edițiile Revue de la Gendarmerie Nationale pot fi descărcate gratuit de pe website-ul Gendarmerie Nationale: https://www.gendarmerie.interieur.gouv.fr/crgn/ Publications/Revue-de-la-gendarmerie-nationale