ay in hevAnaliza atacurilor cibernetice identificate în perioada ultimilor 2-3 ani evidențiază în primul rând faptul că modalitatea în care este abordată în prezent securitatea infrastructurilor atacate nu este eficientă, iar răspunsurile adecvate nu par a fi prezente, atât în ofertele de tehnologii și servicii pe care le generează piața globală de profil, cât și în măsurile legislative și administrative ale guvernelor.
Această concluzie poate fi susținută prin analiza calitativă și cantitativă a volumelor uriașe de date generate de platformele dedicate colectării de alerte privind incidentele de Securitate cibernetică care au loc la nivel global. Evoluția calitativă a atacurilor relevă o utilizare în creștere a unor tipuri de malware din ce în ce mai greu de detectat, indiferent de soluțiile tehnologice destinate detecției utilizate la nivelul infrastructurii atacate, iar evoluțiile cantitative generează din ce în ce mai multe date, pentru analiza eficientă a cărora, majoritatea instrumentelor tehnologice existente nu demonstrează decât cel mult o valoare adăugată pentru investigația post-incident.
Nu mi-am propus o analiză a statisticilor din ce în ce mai numeroase care descriu incidentele/atacurile ce se derulează online în ultima perioadă și nici redactarea unei analize tehnice, ci voi încerca să argumentez o potențială soluție care ar permite îmbunătățirea răspunsului mediului de afaceri la amenințările cibernetice reale, inclusiv printr-un model de business sustenabil și cu efecte directe în costurile pe care le implică reducerea riscurilor de Securitate cibernetică.
Unul dintre factorii care permit atacatorilor, indiferent de natura și motivația acestora, să extindă un anumit tip de atac asupra mai multor categorii de infrastructuri, din același domeniu de activitate, este lipsa de comunicare reală la nivelul segmentului de business amenințat. De regulă, și aici exemplul cel mai bun este domeniul financiar-bancar, comunicarea între companiile care activează într-un mediu competitiv este limitată, motivele fiind lesne de înțeles. Există numeroase exemple în perioada ultimilor ani când, dacă o bancă care a fost victima unui atac cibernetic reușit, ar fi transmis comunității date descriptive minimale referitoare la incident (ex: indicatori de compromitere) – care sub nicio formă nu ar putea conduce la afectarea obiectivelor de afaceri și nici nu ar fi prejudiciat aplicarea reglementărilor privind confidențialitatea adoptate în domeniul bancar, ar fi fost evitate atacuri similar îndreptate cu succes ulterior asupra altor bănci.
Trecând peste necesitatea implicării autorităților de reglementare, dar luând în calcul efectele imediate și pe termen lung ale măsurilor de reglementare care sunt în curs de implementare la nivel national și la nivelul UE (Ex: Directiva NIS, Data Protection), care vor genera efecte pozitive asupra nivelului general de Securitate cibernetică, voi încerca să aduc câteva argumente pentru ca, de exemplu băncile, urmând alte exemple din trecut (ROMCARD, Biroul de Credit etc.) care au fost generate tot ca răspuns la realități pe care nu le-au mai putut ignora, să se organizeze singure, beneficiul final fiind controlul riscurilor de Securitate și al banilor aruncați uneori pe soluții tehnologice și servicii care se dovedesc inutile într-o situație reală:
– Constituirea unei structuri de tip CERT private va fi sub controlul total al acționarilor – orice decizie privind serviciile oferite, structura funcționară, investițiile și costurile operaționale;
– Constituirea într-o structură private poate fi susținută pe un model de business, astfel încât, pe baza unei guvernanțe coerente și exploatând nevoia de servicii de pe piața de profil, CERT-ul financiar poate deveni o entitate care se autofinanțează într-o perioadă scurtă de timp și de ce nu, în timp, generatoare de profit;
– Obiectivul principal al unui CERT privat în sectorul financiar bancar este schimbul de informații în timp real la nivelul întregului sector, astfel încât să fie asigurat un răspuns adecvat la orice potențială amenințare cibernetică;
– Cooperarea informală și formală cu sectorul public (CERT-RO, CyberINT etc.) ar putea fi realizată prin intermediul acestei platforme, unice, la nivelul întregului sector bancar;
– Colectarea de date cu un nivel de calitate ridicat referitoare la amenințările cibernetice care afectează domeniul financiar-bancar poate constitui baza pentru constituirea unui sistem de alerte bazat pe analize proprii, conținând date validate și evaluări realiste ale riscurilor la care este expus sectorul financiar-bancar din România, evident și prin raportare la contextual global;
– În cadrul CERT-ului privat se pot dezvolta capabilități tehnologice și expertiză specifice avansate de răspuns la incidente de securitate cibernetică, care ar putea completa în situații de criză, capabilitățile proprii dezvoltate la nivelul fiecărei entități din sistem;
– Având în vedere perspectiva obligativității realizării managementului și raportării incidentelor de Securitate cibernetică la nivelul întregului sistem financiar bancar, identificat ca furnizor de servicii esențiale în noua Directivă NIS, o structură de tip CERT susținută de întregul sector ar putea contribui la eficientizarea gradului de conformitate cu cerințele legale și costurilor aferente acestui process;
– Diversitatea tehnologică care există în sectorul financiar-bancar în raport cu soluțiile utilizate pentru reducerea riscurilor de Securitate cibernetică creează dificultăți majore în cee ace privește transmiterea de informații tehnice între diferite entități. Ca și în cazul comunităților de tip CERT guvernamentale, utilizarea unor comunicări standardizate poate crea un limbaj comun pe acest segment de activitate, având ca obiectiv final creșterea capacității de răspuns la atacuri cibernetice la nivelul întregului sector de business;
– Nu în ultimul rând, cooperarea la nivel international cu structuri similare, este un proces care ar aduce beneficii evidente, atât în perioadele de operare normală, cât și, în special, în situații de risc, natura distribuită și globală a unora dintre atacurile cibernetice cu grad ridicat de risc făcând din cooperarea internațională, bazată pe criterii clare de încredere, un factor decisiv privind capacitatea de protejare reală a infrastructurilor informatice și de comunicații utilizate pe scară din ce în ce mai largă în sectorul financiar bancar.
re…