BUNE PRACTICI PRIVIND SECURITATEA INFORMAȚIILOR SI PROTECȚIA DATELOR

Digitalizarea proceselor dă mari batai de cap departamentelor IT in ceea ce priveste securitatea informațiilor atat din infrastructura locala cat si din cloud. În contextul actual, în care informația este privită ca o resursă strategică a organizației, a crescut foarte mult importanța informatizării proceselor și a integrării aplicațiilor și sistemelor informatice. Ele trebuie să faciliteze utilizarea în comun a datelor și mișcarea lor în cadrul organizației.

Sistemele informatice integrate desemnează sisteme complete în cadrul cărora se desfășoară procese de afaceri, practici manageriale, interacțiuni organizaționale, transformări structurale și management al cunoștințelor.

În acest context, riscurile și tipurile de atacuri la care sunt expuse companiile s-au diversificat. E-mailurile ce conțin atașamente infectate cu ransomware sunt din ce in ce mai bine elaborate, toate urmărind același lucru. Sa facem CLICK pe atașament. Este din ce în ce mai important să informăm constant membrii organizației, despre atacurile de tip social engineering.

Securitatea informațiilor si Ingineria Sociala

1. Ingineria Sociala

Scurt istoric:

Ingineria socială a fost dezvoltată încă din secolul  al XIX-lea de către Charles Fourie, sociolog francez, adept al curentului socialismului utopic. Denumită și inginerie umană, este considerată în prezent ca o aplicare în practică a științelor sociale. 

Cea mai cunoscută aplicabilitate este în cadrul infracțiunilor informatice, domeniul care a și dezvoltat-o extrem de bine din punct de vedere al tehnicilor. În domeniul informatic tehnicile de inginerie socială reprezintă metode non tehnice de furturi de informații din rețelele informatice. Sunt aplicate cu succes atunci când omul nu poate învinge tehnologia (când sistemele de protecție a rețelelor informatice sunt greu de penetrat). Structurarea a fost inițiată de specialiști în securitatea informatică ca Kevin Mitnick în cartea „The Art of Deception”, Christopher Hadnagy în cartea sa „The Art of Human Hacking” sau Dr. Robert Cialdini în cărțile  „Influence” și „Persuation”.

Securitatea informațiilor si Social Engineering

Utilizări

Atunci când vorbim de fake-news, trolling, manipulare, dezinformare, phishing, payroll, tehnici de elicitare, toate sunt de fapt inginerii sociale. Aplicarea lor precum și scopul urmărit fiind același, doar mediul aplicării lor făcând diferența.

Securitatea informațiilor este în stransă legatură cu conștientizarea angajaților referitor la atacurile de tip inginerie socială. Acestea urmăresc să submineze încrederea, să creeze polarități, să distrugă/blocheze infrastructurile informatice, toate cu scopul final de a obține un avantaj financiar.

Astfel, tehnicile de inginerie socială pot fi utilizate în vederea obținerii succesive a unor informații sau reacții ale unor angajați din cadrul companiei/instituției țintă. Ele pot fi de asemenea precursorul unor acțiuni de tip cyber sau a unor acțiuni de sabotaj, terorism sau subversiune. Scopul final poate fi obținerea, distrugerea, alterarea unor informații de interes din rețelele informatice a obiectivului țintă, scăderea moralului angajaților prin compromiterea conducerii, acțiuni de spionaj, atacuri teroriste, afectarea infrastructurilor naționale critice.

Afla cum rezolva tehnologia Blockchain rezolva probleme de securitate cu care se confrunta multe dintre organizatii.

Ușurința cu care de multe ori asemenea atacuri au succes se datorează lipsei de pregătire a personalului angajat sau/și nerespectarea normelor privind securitatea informațiilor. Atacurile de tip inginerie socială sunt eficiente deoarece exploatează trăsăturile de caracter comune la oameni precum și aspectele de ordin sufletesc: frica de șefi, aspirațiile în carieră, amabilitatea excesivă, tare comportamentale, frustrări personale, lipsa disciplinei în muncă. În condițiile în care studiile vechi și noi arată că poporul român are ca și caracteristică o parte din aceste trăsături (indisciplina în muncă, amabilitatea excesivă) putem spune că noi românii avem o serie de vulnerabilități „din construcție” care pot fi exploatate cu ușurință. Astfel, pe teritoriul țării identificăm o serie de tipuri de inginerii sociale originale, exportate cu succes și in alte țări cu populație la fel de naivă (ex. trompeta, metoda accidentul, excrocheriile bancare, etc.).

Calul Troian ca studiu de caz

Putem sa considerăm că cel mai vechi atac de inginerie socială aplicat cu succes este celebrul Cal Troian conceput și pus în practică de către eroul antic Ulise. Scopul urmarit fiind de a „penetra” măsurile de protecție fizică a cetății Troia, rămasă necucerită timp de 10 ani. Planul a fost extrem de simplu și eficient. Conform legendei, pentru a introduce calul de lemn, intenționat proiectat mai mare decât porțile, troienii și-au eliminat din proprie inițiativă barierele fizice de apărare a cetății prin distrugerea porților de acces. De asemenea, au eludat regulile de acces în cetate, neverificând conținutul acestui vehicul (umplut cu militari de elită),  bazându-se pe un bias al epocii în care, dacă o construcție statuară de orice formă are dimensiuni mari, atunci cu siguranță are un scop religios și este o binecuvântare să o deții. În prezent acest procedeu stă la baza mai multor tipuri de atacuri cibernetice.

Cum acționează 

Identificarea unui atac de inginerie socială este extrem de greu de prevenit deoarece trebuie să luptăm împotriva tendințelor umane. Sigurul mod este ca personalul organizației țintă să fie conștient, precaut și sceptic. Ingineria socială este extrem de eficientă ca metodă de atac iar organizațiile trebuie să o ia în serios.

De obicei ingineria socială luptă cu ajutorul mijloacelor non-tehnice și utilizează contactul de la persoană la persoană sau comunicațiile prin telefon și internet. Inginerii sociali construiesc sisteme de încredere pentru a-și atinge scopul. De exemplu ei pot utiliza sursele deschise ca bază de început (Linkedin, Facebook, Instagram), maximizând efectele acțiunii lor.

atacurile cibernetice de tip phishing
Angajatul român aduce cu el la locul de muncă vulnerabilitățile sale personale, datorate:
  • nivelului de cultural
  • mediului în care locuiește
  • nivelului de educație
  • profilului psihologic
  • experiențelor anterioare
  • coeficientul de inteligență (IQ)
  • biasuri cognitive

Ingineria socială poate fi un atac „de la persoană la persoană” în care o persoană încearcă să determine un membru al personalului obiectivului/organizației țintă să facă ceva necorespunzător. Furnizarea de informații sensibile sau permisiunea de a intra într-un obiectiv (sau rețea informatică) considerat sigur.

Limitele lor sunt date doar de caracteristicile personale (inteligență, creativitate, imaginație). Pentru inginerii sociali nu există limite atât timp cât scopul final nu este atins. Se utilizează fără scrupule efectul unor evenimente recente cu impact major (ex: calamități naturale, crize), se caută în gunoiul clădirilor organizației sau persoanelor țintă (extrase bancare sau telefonice, cutii ale componentelor hardware, post-it-uri cu însemnări), se montează diverse dispozitive tehnice la limita legii, etc. Când nu se poate învinge tehnologia inginerul se îndreaptă spre cel mai vulnerabil element din sistemul de securitate – OMUL. Se exploatează caracteristici umane ca ignoranța, naivitatea, reciprocitatea, emoțiile.

Cele mai cunoscute tehnici de inginerie socială poartă denumiri ciudate pentru români, date de specialiștii cibernetici din străinătate (ex: piggybacking, computer tehnician, bribery, spoofing, etc.)

Se pot utiliza de asemenea, metode de ghicire a parolelor ca guesingshoulder-surfing, dictionary-attack (cine nu a vizionat filmul Why him?) 

Securitatea si atacurile de tip phishing

1.1. Atacuri de tip phishing

In comparatie cu ingineria solciala, la aceste tipuri de atacuri nu sunt necesare informatii despre companie si angajati ei ci se aplica o strategie de volum. Aceasta modalitate extrem de simplista la prima vedere reprezintă pana la 75% din incidentele de fraudă, în timp ce doar 25% pot să fie cauzate de malware.

Includerea colaboratorilor si a contractorilor in strategia de Securitate deoarece unele dintre aceste companii pot sa aibă o protecție mai slaba sau chiar nicio protecție. Ele pot fi folosite ca breșa de acces pentru malware sau tentative de phishing.

  • Implementați protocoale interne si puneți în aplicare o procedură pentru a verifica legitimitatea cererilor de plată primite prin e-mail.
  • Faceți teste de intruziune la intervale regulate prin testarea vigilentei angajaților.

Cateva exemple:

Recomandări:

Să conștientizăm angajații români referitor la pericolele reprezentate de atacurile de tip inginerie socială pentru organizația în cadrul căreia își desfășoară activitatea dar și pentru bunăstarea familiile lor, prin următoarele metode: 

  • Ridicarea nivelului de alertă prin informări publice referitoare la principalele tipuri de atacuri (discuții informale, utilizarea instrumentelor media digitale);
  • Mediatizarea atacurilor de tip inginerie socială în cadrul unor conferințe de profil;
  • Pregătirea unor specialiști în combaterea ingineriilor sociale pe grupuri țintă;
  • Propunerea unor politici, măsuri, proceduri în vederea prevenirii atacurilor de inginerie socială.
  • Angajatul ideal este un angajat bine informat, sceptic, atent, disciplinat!​
  • Angajații trebuie proceseze cererile de plată cu prudență iar educarea personalului este vitala pentru prevenirea atacurilor prin “social engineering”.​
Securitatea in mediul cloud

3. Riscuri asociate serviciilor in cloud

Un sistem de aplicații integrat trebuie să reprezinte soluția pentru orice organizație care necesită un sistem informatic modern, indiferent dacă acesta automatizează procesele interne din cadrul organizației, relațiile cu clienții sau pe cele cu furnizorii și partenerii. Adoptarea unor aplicații disparate pentru diferite activități ale fluxului de afaceri, poate reprezenta o soluție bună pentru moment. Poate genera însă mari probleme legate de fragmentarea informației și dezvoltarea ulterioară a sistemelor, prin încercarea de a integra soluții ulterioare.

Soluțiile Cloud creaza brese de securitate ce trebuie constientizate si minimizate

Majoritatea organizațiilor se străduiesc să pună la punct standarde și măsuri cu privire la securitatea în Cloud care să fie aliniate cu standardele interne. Aceste provocări strategice și operaționale trebuie să adreseze în mod consistent riscurile la care se supune o organizație. Fiecare platformă și furnizor de servicii Cloud au propriile cerințe și standarde cu privire la securitatea cibernetică. În încercarea de a grăbi adoptarea soluțiilor Cloud, acei lideri și manageri cărora le lipsesc cunoștințele despre securitatea cibernetică, neglijează destul de des să implementeze controale și măsuri esențiale. Aceasta din cauza unei înțelegeri greșite și generalizate că măsurile de securitate oferite de furnizorii de soluții Cloud sunt suficiente pentru a le proteja afacerea.

Dincolo de a se asigura ca riscurile sunt cunoscute iar cerințele de conformitate sunt adresate, este bine sa se înțeleagă și să accepte responsabilitatea fiecăruia pentru protejarea afacerii. Așadar, atât directorii executivi cât și managerii de departamente, fie că sunt din departamentul Financiar, Resurse Umane, Risc sau IT sunt responsabili să se asigure că organizația are un program de securitate cibernetică care adresează atât riscurile clasice cât și riscurile generate de folosirea soluțiilor Cloud.

Securitatea informațiilor si Strategia de cloud
Primul pas in transformarea digitala este strategia de cloud

Furnizorii de soluții Cloud și-au asumat responsabilități minime cu privire la securitate in ciuda a ceea ce comunică pe această temă. Clienții (organizațiile care folosesc soluțiile Cloud) sunt în ultimă instanță responsabili pentru asigurarea securității cibernetice și pentru gestionarea riscurilor și a aspectelor ce țin de conformitate și reglementări în vigoare. Deoarece folosirea din ce în ce mai intensivă a soluțiilor Cloud aduce cu sine noi amenințări, companiile trebuie sa analizeze în mod continuu modul în care au implementat măsurile tradiționale de protecție, precum soluții firewall, controale de acces, jurnalizarea evenimentelor la nivelul sistemelor informatice etc. și să se asigure că rămân operaționale și actualizate.

Amenintari de securitatea informațiilor in cloud
Managerii IT nu trebuie sa lipseasca din board

Directorii trebuie să înfrunte această nouă realitate cât mai rapid prin alocarea unei echipe dedicate (sau măcar o persoană), să înțeleagă cerințele cu privire la responsabilitatea ambelor părți implicate. Trebuie să pună în practică un cadru de lucru care să ajute la protejarea organizației de amenințările cibernetice. Mai mult, pentru a proteja organizația, este critic ca orice angajat să fie educat cu privire la riscurile generate de folosirea soluțiilor Cloud, să cunoască și să respecte politicile implementate pentru a adresa aceste riscuri.

Reglementări privind datele stocate în Cloud

GDPR are un efect direct pentru orice organizație ce folosește servicii în Cloud si introduce procese și cerințe complexe cu privire la procesarea datelor cu caracter personal al cetățenilor UE. În consecință, va afecta toate organizațiile care folosesc servicii Cloud. În lumina GDPR, organizațiile trebuie să înțeleagă daca furnizorul de soluții Cloud folosește bune practici esențiale atunci când vine vorba de securitatea datelor. Segregarea responsabilităților, identificarea și clasificarea datelor (pentru a facilita „dreptul de a fi uitat”, conform GDPR), criptarea sau pseudo-anonimizarea datelor, etc… Detalii AICI

Ca urmare, furnizorii de soluții Cloud pot fi puși în situația să implementeze aceste măsuri (și altele) pentru a asigura conformitatea nu doar cu GDPR, dar și cu alte cerințe de reglementare aplicabile pentru fiecare tip de business.

personal informat

4. Amenințări din afara sau din interiorul organizației  

  • 45% dintre organizații considera ca angajații sunt principalul pericol in ceea ce privește securitatea din mediul cloud
  • In topul masurilor urgente pe care peste 50% dintre companii le-ar lua pentru reducerea riscurilor in securitatea informațiilor sunt trainingul angajaților si o politica de securitate mai stricta.
Reducerea riscurilor in securitatea informațiilor

În timp ce hackerii sunt principala grijă printre specialiștii în securitate cibernetică,  mai sunt si riscurile asociate amenințărilor care vin din interiorul organizației. În timp ce amenințările interne sunt de cele mai multe ori situații în care credențialele de acces ale unui utilizator sunt furate iar angajatul devine (fără voia lui și fără să știe) doar un punct de acces pentru un hacker extern, amenințarea cu adevărat serioasă este mult mai dificil de detectat.

Adevăratul infractor cibernetic din interiorul organizației, în funcție și de obiectivul urmărit, folosește cunoștințele despre organizație și privilegiile avute pentru a fura informații fără a fi detectat sau mai mult, pentru a produce întreruperi în operațiunile companiei.

Consider ca este spațiu de îmbunătățire în aceasta zonă deoarece angajații încalcă destul de des politicile cu privire la folosirea serviciilor în Cloud.

Chiar dacă punem la punct o structură perfectă de apărare împotriva infractorilor cibernetici din afara organizației, sunt puține lucruri pe care le putem face pentru a ne apăra de cei care trăiesc și lucrează cu noi zi de zi. În primul rând ar trebui ar trebui să ne pregătim angajații și să îi facem conștienți de responsabilitățile lor cu privire la politicile interne ale companiei, deoarece majoritatea incidentelor generate din interiorul organizației apar din cauza faptului că oamenii nu știu ce este bine și ce este rău. Ulterior, putem implementa măsuri tehnice specifice, precum autentificare adaptivă, care cere utilizatorului folosirea unui al doilea factor de autentificare bazat pe context (pentru a preveni apariția și proliferarea amenințărilor generate din interiorul organizației) sau o monitorizare continuă pentru identificarea activităților care ies din tiparul obișnuit și alertarea echipelor de protecție cibernetică a activităților posibil malițioase.

Training angajati

Când vine vorba de cele mai presante provocări cu privire la securitatea cibernetică, cea mai des menționată în cadrul studiului nostru este abilitatea de a detecta și a răspunde la incidentele de securitate atunci când acestea apar în mediul Cloud. Printre celelalte provocări se mai poate menționa lipsa vizibilității cu privire la punctul din cadrul infrastructurii de unde a provenit un atac cibernetic, lipsa colaborării intre echipele operaționale IT și echipele de securitate, lipsa fondurilor pentru inițiativele de securitate cibernetică și altele.

Lipsa vizibilității rămâne principala provocarea în adoptarea soluțiilor Cloud

Lipsa vizibilității este cel mai comun refren atunci când vine vorba de securizarea modului de folosire a serviciilor în Cloud. Acest lucru este datorat faptului că asigurarea securității atunci când serviciile sunt în Cloud este fundamental diferită de situația în care serviciile sunt oferite din locațiile proprii, aici incluzând și incapacitatea clienților (de servicii Cloud) de a accesa nivelul fizic la rețelei.

Educatia este cheia
Metoda cea mai eficienta de a tine la distanta atacurile de tip social engineering sau phishing, este aceea de educare continua a angajatilor.
Recomandări pentru angajați:
  • Aplicați în mod strict procedurile de securitate pentru plăți și achiziții publice. Nu trebuie omisă nicio etapă!
  • Verificați întotdeauna cu atenție adresele de e-mail atunci când gestionați informații sensibile sau transferuri de bani. Fraudatorii folosesc adesea e-mailuri de tip copycat, unde un singur caracter diferă de original;
  • Dacă aveți îndoieli cu privire la un ordin de transfer, e de preferat să consultați un coleg competent, chiar dacă vi s-a solicitat discreția;
  • Nu deschideți niciodată link-uri sau atașamente suspecte primite prin e-mail. Trebuie acordată o atenție deosebită când se verifică email-urile personale pe computerele companiei;
  • Restricționați informațiile și acționați cu prudență în ceea ce privește mediile sociale;
  • Dacă primiți un email sau un apel suspect, trebuie întotdeauna să informați departamentul IT.
Infrastructura si Securitatea

5. Atacuri asupra infrastructurii

Auditul IT Este punctul de pornire si constă în analiza de detaliu a infrastructurii hardware și software în vederea identificării situației actuale. Raportul de audit IT trebuie sa conțină și setul de recomandări de bune practici în scopul optimizării resurselor organizației.

Pe lângă Antivirus/Anti spam si Firewall care nu au voie sa lipsească si care necesita update permanent, va recomand implementarea unui Serviciu de inspecție a traficului la nivel de DNS. Acesta reprezintă prima linie de apărare împotriva amenințărilor de securitate cibernetică, traficul fiind analizat înainte de a se realiza conexiunea client-server.

Backup & Restore si Serverele Virtuale sunt si ele servicii importante prin care se diminuează riscurile.

Securitatea informațiilor si Incidente de securitate in cloud

Recomandare:

Soluție de securitate la nivel de DNS. Nu e nevoie să instalați niciun echipament hardware sau software care necesită actualizare. DNS este protocolul care stă la baza funcționării internetului și care mapează numele de domenii în adrese IP. Ori de câte ori un dispozitiv se conectează la internet, trebuie să interogheze un server de DNS și să întrebe care e adresa IP a domeniului, pentru a-l putea accesa.