Nicola Sotira : Alfabetizarea digitală a societăţii este o urgenţă

Nicola Sotira : Alfabetizarea digitală a societăţii este o urgenţă

Interviu cu Nicola Sotira, General Manager al Global Cyber Security Center în cadrul Poștei Italiene

Laurent Chrzanovski: Domnule Sotira, cum fac față companiile italiene amenințărilor cibernetice din ziua de azi?

Nicola Sotira: Ei bine, este o panoramă foarte complexă. Ca să vă faceţi o idee, datorită raportului anual al CLUSIT (Asociaţia Italiană pentru Securitatea Sistemelor Informatice, NdR) știm că numărul a tacurilor și impactul lor asupra economiei italiene este în creștere. Pe de altă parte, alt studiu realizat anul acesta de către KPMG și BT, arată că 94% dintre decidenţii cheie din IT sunt conștienţi de aceste ameninţări și știu că atacurile cibernetice pot face rău organizaţiilor lor. Dar din același studiu reiese și partea întunecată a medaliei, și anume faptul că 47% dintre cei intervievaţi recunosc că nu au o strategie pentru a combate criminalitatea cibernetică.

Laurent Chrzanovski: De unde credeți că provine această problemă și care credeți că sunt rădăcinile acestei dihotomii? 

Nicola Sotira: Ne confruntăm cu probleme de management și cu modul în care managementul adresează securitatea cibernetică în organizaţiile lor.

Faptul că nu au o strategie în acest domeniu semnifică faptul că board-ul companiei nu este cu adevărat angajat în domeniul protecţiei digitale. Pentru a aborda corect acest domeniu avem nevoie de un angajament puternic al conducerii executive și avem nevoie ca securitatea cibernetică să facă parte din agenda lor, alături de problemele financiare și de business.

În plus dacă corelăm aceste date cu altele relevate de studiul KPMG și BT, care arată că 97% dintre companii au fost ţinta unor atacuri cibernetice și au trebuit să se confrunte cu acestea, 47% dintre acestea au mărturisit că au avut dificultăţi majore în administrarea și combaterea acestor atacuri. Astfel ajungem la subiectul educaţiei și training-ului în cadrul companiei, dacă este să vorbim despre conștientizare, și despre procesul de recrutare a angajaţilor, și despre a ști sau nu dacă profilul specialiștilor în securitate se potrivește activităţilor companiei.

Laurent Chrzanovski: Cum credeți că va evolua acest peisaj  nearmonios?

Nicola Sotira: Companiile au început să înţeleagă că securitatea cibernetică este un subiect major și că mai presus de toate securitatea este o parte a business-ului, nu ceva colateral. Multe companii au cooptat specialiștii de securitate în board, realizând că problemele trebuie rezolvate direct, la cel mai înalt nivel, pentru a interveni cât mai rapid posibil. De fapt, impactul unui atac de succes este devastator asupra business-ului

laurent-si-nicola-1
laurent-si-nicola-2

și CEO au început să înţeleagă asta: când serverele se opresc, mașinile se opresc, întregul lanţ industrial se oprește, pe scurt, toate activităţile sunt paralizate. În plus, dificultatea este dată și de extensia perimetrului de vulnerabilitate, care nu se mai limitează nici pe departe doar la zona unui server PC. O să vă dau un exemplu recent: o companie a fost atacată cu succes prin intermediul sistemului de aer condiţionat, deoarece firma care răspundea de controlul acestor aparate le-a conectat la reţeaua WiFi a companiei, deci infractorii au penetrat compania „prin aparatele de aer condiţionat”…

Laurent Chrzanovski: Prin urmare ce ar trebui făcut?

Nicola Sotira: Ţinând cont de complexitatea peisajului ameninţărilor, trebuie să construim și să punem la punct toate strategiile, pentru a face faţă noilor pericole, dar și pentru a continua să le supraveghem pe cele  existente. Nu trebuie să uităm niciodată că „vechile” tehnici funcţionează încă foarte bine. Vă pot da cel mai bun exemplu în legătură cu aceasta. În ultimele luni, o multinaţională din SUA a pierdut aproape 3 milioane USD în urma unui e-mail de phishing. Cum a fost posibil? E-mailul fals a fost conceput perfect, în cele mai mici detalii și de la șeful de departament și până la responsabilul financiar au aprobat transferul unei sume „normale” pentru acel nivel de business către un cont bancar din China.

Succesul s-a datorat unui lung proces de inginerie socială, infractorii știind că acea companie este în proces de restructurare, cu schimbări la nivelul factorilor de decizie și șefilor de departamente, mimând perfect interacţiunile umane și de încredere reciprocă între membrii noii echipe constituite. Singura eroare pe care au făcut-o atacatorii, acesta fiind și norocul  extraordinar al companiei, a fost că în acea zi banca din China a fost închisă din cauza unei sărbători naţionale, astfel încât oamenii legii, și în special FBI, au reușit să blocheze transferul banilor și să îi recupereze înainte să li se piardă urma. Dar revenind la cele afirmate anterior, acei câţiva antreprenori care mai sunt sceptici și care argumentează că securitatea nu este o chestiune de business ar trebui să reflecteze la acest caz. Dacă acest atac ar fi fost finalizat cu succes, ar fi devenit automat o problemă de business și compania ar fi trebuit să înregistreze o pierdere de 3 milioane USD în balanţa anuală.

Laurent Chrzanovski: Cum vă explicați că phishing-ul mai poate avea succes la un asemenea nivel, pentru că nu vorbim despre o persoană fizică, sau despre un IMM și nici măcar despre o companie locală?  

Nicola Sotira: Acest atac ne aduce către nucleul iniţiativelor pe care încercăm să le lansăm cu GCSEC. Atunci când vine vorba despre apărare, a miza totul pe tehnologie este o greșeală. Suntem oameni și problemele sunt pur și simplu umane, înainte de a deveni tehnologice. Compania despre care vorbim avea cu siguranţă instalate cele mai bune firewall-uri, antiviruși, protecţie la phishing și alte sisteme de securitate, dar mail-ul fals a trecut cumva de acestea și cineva a avut încrederea de a da click pe el. Un simplu click este dovada evidentă că indiferent ce sistem de securitate ai cumpăra, în lipsa educării angajaţilor, vei eșua din ce în ce mai mult. Aceasta este noua tendinţă. Din acest  motiv am decis să venim la Maker Faire cu un stand uriaș dedicat în întregime conștientizării. Am  prezentat de asemenea aplicaţia (app) CyberQuest pentru a măsura nivelul general de cunoștinţe al cetăţenilor pe subiecte de securitate și pentru a-i ajuta pe cei care vor folosi aplicaţia să conștientizeze riscurile la care sunt expuși online, indiferent de vârstă sau de profesie.

Laurent Chrzanovski: Relatând despre standul Poste Italiane/GCSEC/Polizia Nazionale, un ziar a  titrat că Dvs. considerați că este urgent să se facă o „alfabetizare digitală a societății”. Ce ați vrut să spuneți cu asta?

Nicola Sotira: Avem foarte mult de lucru, o muncă enormă de făcut. Graba de adoptare a tehnologiilor nu a fost însoţită și de o grabă de cunoaștere, cultură și educaţie despre cum să le utilizăm în siguranţă.

cyberquest

Folosim instrumente, unul sau două smartphone-uri, cu storage real, baze de date, PC-uri și una sau două conexiuni DSL conectate în permanenţă la internet… Mobilitatea oferită de smartphone-uri face ca prioritatea pentru o cultură digitală să fie și mai fierbinte, deoarece nu mai avem acea „barieră” pe care o aveam în urmă cu câţiva ani cu laptop-urile și PC-urile la care trebuia să te logezi ca să te conectezi la net. Acum suntem online 24/7/365, lucrăm cu smartphone-ul, adormim lângă acesta și tot el este și pe post de ceas deșteptător… Smartphone-ul partajează informaţii tot timpul, astfel încât nu se mai pune problema de a

scopri

înfiera un obiect ci se pune problema educării oamenilor despre ceea ce acest obiect este capabil.

Laurent Chrzanovski: Și în privința companiilor? 

Nicola Sotira: Trebuie să convingem board-ul să nu se mai gândească la securitatea cibernetică doar sub aspect tehnologic. Aceasta presupune team-building-uri constante, traininguri regulate de scurtă și lungă durată cu angajaţii, în funcţie de nivelul de importanţă al acestora în companie și alocarea controlată a accesului la materiale sensibile etc.

Laurent Chrzanovski: Pornind de aici și până la realitatea de a convinge Gruppo Poste Italiane să lanseze acest stand de clasă mondială la extrem de popularul târg „Maker Faire. The European Edition”, este un obiectiv pe care multe fundații nu au reușit să-l depășească. Cum ați reușit să vă concretizați ideea? 

Nicola Sotira: Parteneriatul cu ITU și cu Poliţia Comunicaţiilor ne-a ajutat să construim un concept foarte solid. Am reușit deoarece Poșta Italiană este conștientă de problematica imensă a pericolelor web, de la indivizi, la echipamentele de orice fel pe care le utilizăm, și până la autostrăzi, căi ferate și infrastructuri critice. Am vrut să arătăm, de asemenea, că doar Poșta Italiană și GCSEC pot realiza puţin dacă nu vom crește rapid cultura digitală a companiilor și a indivizilor. Difuzarea educaţiei, culturii, a bunelor practici și a conștientizării sunt raţiunile existenţei GCSEC și stau la baza deciziei de a înfiinţa fundaţia.

Laurent Chrzanovski: Care sunt primele reacții? 

Nicola Sotira: Ei bine, este încă prea devreme să analizăm profund impactul evenimentului, dar numărul de vizitatori, interesul publicului de toate vârstele, faptul că și-au făcut timp să viziteze cele 3 secţiuni ale expoziţiei, utilizarea noii aplicaţii și apoi întrebările  adresate membrilor echipei noastre și echipei de poliţie, dar și acoperirea mediatică au arătat că nu a fost o investiţie greșită. Mai mult, suntem mândri că pe lângă comunitatea vorbitorilor de engleză, italienii sunt acum primii beneficiari ai celor mai noi linii directoare ale ITU, elaborate în toamna lui 2015 și la începutul lui 2016. Acestea pot fi descărcate acum gratuit de pe site-ul  GCSEC. Acestea, împreună cu aplicaţia despre care am vorbit, sunt deja o realizare care își va arăta roadele multă vreme după ce acest eveniment își va fi închis porţile.

Autor: Laurent Chrzanovski

Material publicat în Cybersecurity Trends, nr. 3/2016

Nicola Sotira

Nicola Sotira este Director General al Global Cyber Security Center și Information Security Manager în cadrul Poștei Italiene. El lucrează în IT de peste 20 de ani, acumulând experienţă în cadrul unor companii internaţionale. Anterior, Nicola Sotira a fost director de vânzări la UC&C & Security Practices din cadrul WestconGroup Italia și VP Sales Italia în cadrul Clavister AB. Este profesor la Masteratul Network Security al La Sapienza University, Membru al Association for Computing Machinery. Promotor al inovaţiei tehnologice, a fost membru al mai multor start-up-uri din Italia și de peste graniţă.