Masurile de relaxare resimtite aproape in intreaga Europa isi au ecoul si in Romania, astfel incat din ce in ce mai multe companii le permit angajatilor sa se reintoarca la birou adoptand, asa cum este normal, anumite masuri sporite de protectie sanitara. Un factor care poate sa treaca adesea neobservat este riscul la care se expun companiile din punct de vedere al atacurilor informatice. Acest risc era unul ridicat inca dinainte de pandemia de Covid-19, iar un raport al FBI arata ca, la nivel global, pe intreg anul 2019 pierderile cauzate de atacuri informatice s-au ridicat la 3,5 miliarde USD, iar de la inceputul anului 2020 pana in prezent, aceste activitati ilicite au crescut cu 37% lunar.
In multe cazuri, masurile de securitate informatica implementate functioneaza atat timp cat utilizatorul se afla in aria lor de protectie. Nu de putine ori se intampla ca o conexiune catre mediul atacatorului sa fie detectata si oprita de una dintre tehnologiile folosite de companii pentru a-si proteja datele: servere proxy, firewall, sistem de prevenire a intruziunilor (IPS) si lista poate continua, afisandu-i utilizatorului si un eventual mesaj prin care il anunta ca traficul generat a fost blocat din motive de siguranta.
In momentul in care angajatul se conecteaza din alta locatie, de acasa, de exemplu, adeseori aceste masuri nu mai sunt eficiente, iar riscul de a fi tinta unui atac informatic creste exponential, cu atat mai mult cu cat vorbim de o perioada mare de timp. Mai ingrijorator este faptul ca nu toate atacurile informatice anunta utilizatorul ca sistemul acestuia a fost compromis, astfel incat sa se poata lua masuri pentru remedierea acestei situatii.
Daca, in cazul unui atac de tip Ransomware, scopul este tocmai de a-l instiinta pe utilizator ca datele lui au fost criptate urmand sa plateasca o suma de bani pentru a le recupera, altele au ca metode de operare instalarea unor mecanisme de persistenta pe statia infectata, pentru a putea fi ulterior exploatata in alte scopuri: participarea la o retea de tip botnet, exfiltrarea de date, identificarea altor sisteme din retea, miscare laterala catre acestea etc. Este de la sine inteles ca in cazul acestor scenarii atacatorul doreste sa treaca neobservat pentru a beneficia de cat mai mult timp de resursele sistemului exploatat, datele din acesta si nu numai.
Este mai important ca niciodata acum pentru companiile care isi reprimesc angatii la birou ca, odata ce statiile de lucru ale acestora se vor conecta din nou din aceeasi retea, sub aceeasi "umbrela", sa fie pregatite din punct de vedere logistic si administrativ pentru a reduce suprafata de atac si riscul de a fi tinta unor atacuri informatice. Implementarea unor politici si procese de raspuns chiar de la primele semne ale unei anomalii in traficul generat este vitala dar trebuie completata si cu alte masuri care sa le dea substanta si aplicabilitate: achizitionarea unor tehnologii avansate care sa automatizeze detectia si raspunsul la aceste incidente sau macar actualizarea tehnologiilor de protectie deja existente sunt doar cateva dintre masurile pe care ar trebui sa le ia in considerare companiile.
La fel de importanta este pregatirea angajatilor pentru a identifica semnele unui atac informatic si pasii pe care trebuie sa ii urmeze pentru a-l evita. Aici trebuie avut in vedere atat o pregatire generala a intregului personal cu privire la riscurile la care se expun in mediul online, dar mai ales a celor care sunt indreptatiti sa raspunda si sa stopeze aceste atacuri, activitate pe care companiile nu puneau foarte mult accent inainte de 2020.
*** Autor: Cristian Zaharia, Manager, Forensic, EY Romania
