Este timpul să scăpăm de teama securităţii cibernetice

Este timpul să scăpăm de teama securităţii cibernetice

168

Când vine vorba despre breșe și furturi de date, nu ducem lipsă de știri. În fiecare zi vedem titluri de știri, conform cărora instituții și mărci de renume au căzut victimele fraudatorilor. Și aceste incidente de profil ridicat nu reprezintă decât vârful aisbergului.

Introducerea noului Regulament General de Protecţie a Datelor (GDPR) în Europa, începând de anul viitor, care obligă la raportarea tuturor furturilor de date, va releva adevărata dimensiune a fenomenului.
Dar în timp ce transparenţa este bună, pe de altă parte multe organizaţii ar putea fi atrase într-o serie de activităţi frenetice în care strategia să se bazeze pe frică iar investiţiile să se concentreze pe tehnologii de blocare, ceea ce poate duce la sporirea fricţiunilor cu utilizatorii.

Experții scot în evidență problemele

Conform  unui studiu recent  iCyber-Security,  în care au fost  solicitate  opinii de la 10% dintre consultanţii independenţi de top în securitate cibernetică din UK, teama, competenţele reduse și reacţiile impulsive reprezintă norma atunci când se pune problema securizării activelor digitale britanice. Nu suprinde faptul că multe vulnerabilităţi pornesc de la practici neconforme, cum ar fi parole slabe – un punct comun de plecare pentru multe intruziuni.
Multe dintre acestea se datorează eșecului de a investi resurse, timp și efort pentru instruirea angajaţilor pe teme de securitate și protecţia utilizatorilor ceea ce duce la un deficit de competenţe cibernetice corespunzătoare și de expertiză în UK. Mult prea adesea se întâmplă ca un incident, o intruziune sau o pierdere de date să escaladeze securitatea cibernetică până la agenda priorităţilor din board-ul companiilor.
Studiul iCyber-Security întărește această opinie prin confirmarea faptului că 43% dintre consultanţii de securitate consideră că instruirea și competenţele reprezintă cea mai mare ameninţare cibernetică cu care companiile din UK se confruntă. Un procent ameţitor de 93% consideră că investiţiile în securitatea cibernetică sunt insuficiente. Și același procent menţionează că investiţiile în acest domeniu sunt determinate de „ameninţări”. La final, 40% consideră acoperirea media negativă a intruziunilor, iar 30% lipsa de resurse competente ca determinante pentru outsourcing-ul securităţii cibernetice.
Deci, ce se întâmplă și de unde provin majoritatea ameninţărilor?
Ei bine, se pare că Application Level și Distributed Denial of Service (DDoS) sunt cele mai comune forme de atac, „parolele slabe” fiind cea mai răspândită vulnerabilitate. Dacă privim spre viitor, 40% dintre consultanţii pe probleme de securitate se așteaptă ca ransomware-ul și, 30% Identity Harvesting (furtul de identitate), să devină mai proeminente în următorii
2-3 ani, iar serviciile de cloud și dispozitivele conectate (IoT ) să devină zonele cel mai frecvent ţintite.

Reglementare sporită și consecințe

Multor organizaţii lipsa reglementărilor din industrie nu le-a fost de ajutor. Puţini vor contesta faptul că utilizatorii și companiile au nevoie de mai multă protecţie. Noile reglementări GDPR europene, care vor intra în vigoare de la 25 mai 2018, sunt considerate de unii consultanţi ca fiind deja depășite.
Cu toate acestea, multe companii, în mod special IMM-urile, nu sunt pregătite pentru această nouă reglementare și pentru notificarea în 72 de ore a intruziunilor și pentru îndeplinirea cerinţelor implicate. Nerespectarea reglementărilor poate duce la amenzi mari de până la 4% din cifra de afaceri anuală. Atât pentru companiile mari, cât și pentru cele mici, aceasta ar putea duce la paralizarea afacerilor dacă mai adăugăm și pierderile de business și pierderea reputaţiei.

Să avem o abordare pozitivă

Pe măsură ce lumea noastră digitală crește, vor crește și incidentele de securitate cibernetică iar intruziunile vor deveni inevitabile. Este de înţeles că organizaţiile din UK se simt ameninţate de dimensiunea, complexitatea și consecinţele implicate de securizarea datelor lor.
Totuși, este vital ca organizaţiile să nu permită o atitudine negativă în privinţa investiţiilor în securitatea cibernetică, ceea ce ar exacerba situaţia. A venit vremea ca investiţiile în securitatea cibernetică să devină o „opţiune pozitivă” și nu una pur reactivă și făcută din dorinţa conformării.
În prezent 80% din investiţiile în securitatea cibernetică se concentrează pe 20% dintre ameninţări. Trebuie ca abordarea să fie reconsiderată cu atenţie pentru a rebalansa situaţia și a realoca investiţiile în zonele în care pot să aibă cel mai mare impact.
Organizaţiile trebuie să scape de reţinerile pe care le au și să comunice problemele de securitate cu care se confruntă. Mult prea adesea este cerut ajutorul specialiștilor DUPĂ ce datele au fost compromise, când deja este prea târziu. Este mult mai înţelept să determini, planifici și să elimini vulnerabilităţile ÎNAINTE ca o intruziune să aibă loc.
Mulţi experţi în securitate cibernetică consideră că riscurile pot fi reduse dacă sunt angajaţi mai repede, în momentul în care sistemele și procesele sunt proiectate. Aceasta le-ar permite să optimizeze infrastructura și investiţiile, să facă IT-ul mai productiv și să prevină riscurile viitoare prin inovaţie tehnică, bune practici și o instruire cuprinzătoare pe securitatea cibernetică.

Acoperirea deficitului de competențe

Aceasta ne conduce spre adevărata esenţă a problemei: lipsa acută de profesioniști în securitate cibernetică cu care se confruntă companiile din UK, unde peste două treimi din companii se confruntă deja cu probleme de recrutare pentru angajarea personalului necesar pentru a se apăra în cazul unor atacuri majore.
Aproape jumătate din companiile britanice afirmă că deficitul de competenţe are un „impact semnificativ” asupra clienţilor lor și au determinat intruziuni în calculatoarele lor. Acest fapt este simptomatic pentru deficitul global de experţi în securitate, care ar urma să ajungă la 1,2 milioane în 2020 și să crească cu 20% pentru a ajunge la 1,8 milioane în 2022, conform asociaţiei ISC Squared.
Este esenţial ca Marea Britanie să investească rapid în extinderea fondului de profesioniști acreditaţi în securitate cibernetică. Fraudatorii și infractorii cibernetici nu au graniţe, astfel încât companiile au nevoie de strategii de securitate cibernetică mai ample și de experţi mai bine calificaţi pentru a le proteja mărcile și a le asigura securitatea afacerilor de azi și de mâine.
În timp ce majoritatea companiilor au cel puţin câteva protecţii tehnice de bază, cum ar fi firewall-uri, software cu patch-uri la zi și programe anti-malware, puţine sunt conștiente că pot fi certificate pentru toate măsurile de protecţie care sunt necesare.

Să cultivăm talentele naționale

Chiar înainte de intruziunea NHS, Guvernul UK a recunoscut securitatea cibernetică ca fiind o problemă de importanţă naţională – nu numai pentru companii ci și pentru infrastructură.
Anul acesta, în februarie, s-a deschis National Cyber Security Centre (NCSC) pentru a se asigura o concentrare clară în definirea rolului National Cyber Security Council (NCSC) în prevenirea atacurilor. 12 echipe separate de guvernul central au sarcina de a aborda și preveni potenţiale atacuri cibernetice.
Pentru a extinde competenţele, Guvernul a încheiat un parteneriat cu British Computer Society pentru a introduce module de curs de securitate cibernetică în curricula cursurilor de știinţa calculatoarelor, pentru a crea un plus de 20.000 de oameni cu competenţe pe an. În același timp, s-a făcut o investiţie de 20 de milioane
de lire sterline într-o nouă curriculă, pentru a oferi mai multor mii dintre cele mai strălucitoare tinere minţi oportunitatea de a dobândi cele mai recente competenţe, în timpul ciclului secundar de studii, în cadrul unor cluburi extracurriculare. Se speră ca astfel să se identifice și să se inspire viitoarele talente pentru a ajuta Marea Britanie să se confrunte cu provocările pe care le va avea de înfruntat.
Suplimentar, acum există facilităţi de training dedicate pentru experţi acreditaţi, pentru ca aceștia să- și sporească cunoștinţele și expertiza.
De exemplu, iCyber-Academy din Thames Valley, susţine o gamă largă de certificări și programe de training ale vendorilor și workshop-uri regulate pentru dobândirea de competenţe, precum și cursuri online pentru cursanţii proprii dar și pentru consultanţi și experţi în securitate cibernetică externi. Se observă o creștere a solicitărilor de cursuri pe măsură ce mai multe companii, persoane fizice și instituţii educaţionale se înscriu pentru dezvoltarea de competenţe.

Rescrierea regulilor, începând de la vârf

Ar fi  ușor pentru companii  să se simtă copleșite  de ameninţări și de urmările intruziunilor asupra datelor, iar pentru personal și clienţi să fie anxioși în privinţa consecinţelor. Totuși, tratând problema securităţii cibernetice ca pe o pro- blemă „umană”, și nu ca pe o problemă puă de IT, companiile pot dobândi un oarecare control.
Prin intermediul unui training adecvat ei își pot înzestra personalul în așa fel încât să diminueze riscurile și să își încurajeze clienţii să-și administreze mult mai eficient setările de securitate, parolele etc. Printr-o abordare mai proactivă, și nu doar prin răspunsuri reactive, și prin extinderea investiţiilor pentru a include specialiști și consultanţi independenţi în securitate, precum și pentru suport IT, nu ar trebui să existe nici un motiv pentru care să nu își poată reduce vulnerabilităţile.
Multe dintre aceste schimbări trebuie să vină de la vârf. Aceasta presupune ca directorii executivi să își însușească o parte din problematică și să o includă pe agenda discuţiilor regulate despre business, să încurajeze și să sprijine iniţiativele de securitate cibernetică, să alcătuiască echipe multifuncţionale și să responsabilizeze angajaţii prin resurse corespunzătoare.
Pentru a schimba cu adevărat atitudinea faţă de securitatea cibernetică, „crearea unei lumi digitale mai sigure” trebuie să devină piatra de temelie a modului în care facem business – nu ca ceva de care să-ţi fie frică, ci ca o alternativă de îmbrăţișat, celebrat și în care trebuie investit.

Alison Hanley

Alison Hanley este un consultant de marketing independent, specializată în fintech, cloud, servicii mobile și securitate cibernetică. Cu o carieră care se întinde pe o perioadă de 25 de ani, ea a lucrat pentru câteva companii europene de IT de top, atât din zona de consumer cât și businesses-to-business.