Atacul mobil, noua spaimă de la birou

Noile tehnologii nu vin niciodată fără riscuri adiacente – telefoanele mobile, rețelele sociale sau cloud-ul sunt astăzi inamicul numărul 1.0 al mediului corporate. O lecție despre cum să inovezi, dar să cazi în picioare în cazul unui atac cibernetic.

Foto: huskypawgames.com

 

Un atac informatic devastator. E spaima resimțită de jumătate dintre șefii marilor companii din lume, spune un studiu Kaspersky (.pdf). În condiţiile în care mai bine de trei sferturi dintre acestea au raportat breșe în securitatea informațională în ultimul an, după cum reiese dintr-un raport realizat de Deloitte. Şi în loc de cireaşă de pe tort: investițiile marilor corporații în securitate sunt încă la piciorul broaștei, reprezentând sub 10% din bugetul alocat departamentelor de IT.

 

Cu gândul la soluții de stocare a datelor sensibile în cloud, unde știu ei că e mai sigur totul, șefii de companii uită să verifice amenințarea de lângă ei: dispozitivele mobile ale angajaților, care adesea funcționează ca stat în stat și pot oferi o breșă ideală pentru hackeri spre secretele corporate. András Kabai, manager în cadrul grupului Security & Privacy al Deloitte Ungaria, vorbește în exclusivitate pentru Das Cloud despre pașii pe care trebuie să-i urmeze companiile pentru a-și feri datele de cyberprădători.

 

Ce presupune munca ta de zi cu zi la Deloitte?

 

Am atribuții tehnice, dar și proiecte de management, teste de penetrare a infrastructurii, teste de aplicare a securității, review-uri de cod sursă, analiză de malware, evaluări de vulnerabilitate și alte proiecte legate de securitate IT. Fac testări, dar în același timp mă ocup de proiecte și coordonez activități.

András Kabai, manager în cadrul grupului Security & Privacy la Deloitte Ungaria. Foto: hacktivity.com

 

Ce tipuri de companii sunt cele mai expuse astăzi atacurilor hackerilor?

 

Orice companie poate fi o țintă potențială pentru atacuri, totul depinde de ceea ce vor să obțină atacatorii. Aș spune totuși că cele mai expuse sunt companiile care operează cu informații sensibile (ex: numere de cărți de credit), ce pot fi rapid transformate în bani. Și companiile ce se bucură de publicitate semnificativă sunt, la rândul lor, mai expuse acestor atacuri.

 

Care este definiția ta pentru hackeri în ziua de azi? Trebuie făcută o distincție între ei? Ar trebui să fie angajați de companii pentru a le ajuta în eforturile lor de securizare?

 

Hackerul este un expert care poate gândi în afara cutiei și care e capabil să găsească soluții la probleme specifice. În loc de tipologii precum “bun” sau “rău”, eu prefer prefixele white hat și black hat, utilizate mai frecvent în comunitatea de security. Media asociază, în general, termenul hacker cu categoria black hat, făcând referire la activități ilegale, așa că trebuie clarificat că nu toți hackerii sunt răi.

 

Deși atât hackerii black hat, cât și white hat au tehnici similare, scopurile lor sunt diferite. Există o mulțime de hackeri white hat sau etici, care au cunoștințe la fel de bune, dacă nu superioare, celor black hat, dar își fac munca într-un context contractual și își folosesc talentul pentru a face sistemele mai sigure descoperind și reparând vulnerabilități și deficiențe de control.

 

”Orice companie poate fi o țintă potențială pentru atacuri, totul depinde de ceea ce vor să obțină atacatorii. Aș spune totuși că cele mai expuse sunt companiile care operează cu informații sensibile” – András Kabai

Pentru companii e esențial să coopereze cu specialiști în securitate IT. În funcție de mărimea sau de posibilitățile unei companii, nu e de fiecare dată necesar să angajeze un grup de experți cu normă întreagă. În cazul acesta, o companie externă de consultanță în securitate poate să fie mai de folos. E cazul companiei la care lucrez, Deloitte.

 

Pe de altă parte, să angajezi hackeri black hat pentru a oferi companiei orice consultanță în privința securității poate avea consecințe neprevăzute.

 

Cât de sigur este azi pentru o companie să folosească cloud computing pentru a stoca datele sensibile? Este acest mediu mai puțin expus decât cele tradiționale?

 

Poate fi o soluție sigură, dacă ne gândim la disponibilitatea acestor servicii și la abundența lor, dar securitatea este în continuare o problemă complexă. Deși cloud computingul și soluțiile de stocare sunt tot mai omniprezente, există motive ce împiedică companiile să își stocheze datele sensibile în cloud. Nu poți fi niciodată sigur cine va accesa această informație, ce se întâmplă dacă un bug sau o greșeală apare din cauza unei situații neprevăzute din cloud și așa mai departe. Cred că soluțiile de tip cloud sunt bune pentru o parte din companii pentru că oferă eficiență și costuri reduse, dar nu reprezintă soluția ultimă pentru stocare a datelor sensibile. În clipa de față, nu-mi pot imagina o situație în care băncile să poată stoca informații despre clienți și tranzacții în cloud.

 

În ultimii ani n-am auzit de multe acțiuni de hacking în cloud, dar acest lucru se va schimba în mod sigur în viitorul apropiat, pe măsură ce soluțiile de tip cloud devin disponibile pe scară largă.

 

Dispozitivele mobile sunt considerate de către experții Deloitte ca fiind principala amenințare de securitate în 2012. Ce măsuri ar trebui să adopte companiile pentru a face sigure aceste dispozitive la locul de muncă?

”Într-un mediu corporate, nu este foarte indicat să lase managementul dispozitivelor mobile la latitudinea utilizatorilor” – András Kabai

 

Companiile trebuie să fie conștiente că dispozitivele mobile au aproape aceleași capabilități ca și computerele din rețeaua lor. De aceea e foarte important pentru companii să aplice controale de securitate și asupra acestor device-uri. Într-un mediu corporate, nu este foarte indicat să lase managementul dispozitivelor mobile la latitudinea utilizatorilor. E important să se impună criptarea memoriei lor și implementarea de PIN-uri / parole de accesare a lor pentru a preveni accesul ilegal la datele stocate pe ele sau în sistem.

 

Există o constantă bătălie între securitate și transparență în privința informațiilor deținute de companii. Cum vezi interacțiunea dintre aceste două în viitor?

 

Securitatea și transparența nu sunt în antiteză una cu cealaltă, dar e totuși important să se găsească un echilibru între ele. Chiar și în interiorul Uniunii Europene, țările au legislații diferite în privința publicării de informații despre incidentele de securitate care expun secrete bancare sau date private. Unele țări cred că mai multă transparență va forța companiile să își îmbunătățească controalele de securitate sau să evite publicitatea negativă, în timp ce altele cred că o transparență mai redusă este răspunsul corect în cazul oricărui incident de securitate. Observ o tendință în privința transparenței, pe de altă parte înțeleg perfect de ce limitarea acesteia când există motive evidente (de exemplu, secrete de stat).

 

Cât de pregătită este România în calitate de stat membru NATO în cazul unui atac cibernetic?

 

Dacă aș exprima o viziune adecvată și detaliată vizavi de nivelul de pregătire, înseamă că ar exista deja o problemă reală cu programul de apărare. Așa numitul război informațional nu diferă semnificativ de tipurile de atac ce au loc în mediul privat. Atacuri de tip DNS, malware-uri special concepute, social engineering și inteligența avansată sunt tehnici frecvent utilizate în războaiele cibernetice, la fel cum sunt și atunci când un grup de hackeri atacă o companie. Trăim o perioadă cu provocări deoarece viteza de schimbare în securitatea mondială e din ce în ce mai mare, iar programele de apărare trebuie să țină pasul cu inamicii. Războiul cibernetic e destul de diferit de cel tradițional, dar în cele din urmă acesta e guvernat de aceleași resurse ca unul tradițional: cunoaștere, echipamente, experiență și bani. Nu mă îndoiesc că NATO privește amenințarea cibernetică foarte în serios. A fost deseori expusă de liderii politici și a fost prezentă pe agenda de discuții din acest an de la Davos.

 

András Kabai este unul dintre speakerii conferinței Defcamp, unde Das Cloud este partener media. Prezentarea sa, “Hunting and exploiting bugs in kernel drivers”, poate fi urmărită în cursul zilei de mâine, începând cu ora 11.30.

Alte articole