Adoptarea lucrului la distanţă a accelerat digitalizarea și implicit a adus în prim plan nevoia de securitate cibernetică. Cu toate acestea, pare că nu trece zi fără să auzim de un alt incident de securitate. Iar odată cu breșele de securitate sau scurgerile de date care apar în mod regulat, nu e de mirare că majoritatea oamenilor s-au obișnuit cu astfel de incidente.
Pentru mediul de afaceri, însă, protecția și confidențialitatea datelor sensibile este mai importantă ca oricând. Companiile afectate sunt nu numai obligate să anunțe publicul că a avut loc o breșă de securitate, ci li se impune și să plătească amenzi substanțiale, potrivit reglementărilor în conformitate cu GDPR.
Mai mult decât atât, Legea nr. 362/2018 care transpune așa-numita Directivă NIS (Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 obligă Operatorii de Servicii Esențiale (OSE) din 7 sectoare de activitate economică (Energie, Transport, Sectorul bancar, Infrastructuri ale pieței financiare, Sectorul sănătății, Furnizarea și distribuirea de apă potabilă, Infrastructură digitală) la stabilirea de măsuri și cerințe pentru asigurarea efectivă a securității, amenzile în caz de neconformitate ajungând până la 5% din cifra de afaceri.
Gravitatea incidentelor de securitate a costat deja unele companii întreaga lor activitate, iar predicțiile nu arată mai bine. În 2020, costul mediu al unui incident de securitate a crescut cu 9,8% față de anul trecut. 80% dintre aceste incidente au dus la expunerea informațiilor personale confidențiale ale clienților.
Deși aceste costuri cresc anual, există măsuri pe care companiile le pot implementa pentru a minimiza amenințarea. Aplicarea procedurilor și a planurilor de recuperare corecte poate ajuta enorm.
În acest articol, vom analiza ce înseamnă un incident și o breșă de securitate și modul corect de a identifica și izola un astfel de atac cibernetic. Vom vorbi, de asemenea, despre o metodă proactivă care te poate ajuta să previi incidentele de securitate pe viitor.
Ce e un incident de securitate?
Majoritatea organizațiilor au avut deja parte de incidente de securitate. Unele au avut de-a face, cel mai probabil, și cu breșe de securitate a datelor. Deși, la prima vedere, ar putea părea similari, acești termeni diferă prin modul de clasificare.
Un incident de securitate este un eveniment care duce la încălcarea politicilor de securitate ale unei organizații și supune datele sensibile la risc de expunere. Incidentul poate include mai multe tipuri de evenimente, printre care și breșa de securitate a datelor.
În esență, toate breșele de securitate a datelor sunt incidente de securitate, dar nu toate incidentele de securitate sunt breșe de securitate a datelor.
Un incident de securitate poate implica orice tip de date, inclusiv informații personale sensibile sau date nereglementate, cum ar fi proprietatea intelectuală. Dacă un incident de securitate are ca rezultat accesul neautorizat la date, acesta poate fi clasificat ca o breșă a securității datelor și ar trebui evaluat din perspectiva raportării la ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în termen de 72 de ore din momentul conștientizării acestuia.
Tipuri de incidente de securitate
Incidentele de securitate acoperă o varietate de tipuri de evenimente, în funcție de modul în care s-a obținut accesul și al căror sisteme au fost afectate:
- Infecție cu aplicații malware sau ransomware
- Compromiterea unor sisteme informatice expuse la internet (de ex. Site-uri web)
- Pierderea sau furtul echipamentelor
- Utilizarea neautorizată a unui activ pentru procesarea sau stocarea datelor
- Modificări frauduloase ale pieselor de hardware, firmware sau software
- Utilizarea necorespunzătoare a datelor sau dispozitivelor.
De ce au loc incidente de securitate
Majoritatea incidentelor de securitate sunt cauzate de infractori cibernetici și pot varia de la incidente cu risc scăzut la cele cu risc ridicat. Totuși, unele incidente se pot întâmpla chiar și accidental. Iată câteva dintre cele mai comune cauze și motive pentru incidentele și breșele de securitate:
- Parole nesigure
- Procese necorespunzătoare
- Vulnerabilități ale sistemului
- Lipsa actualizării sistemelor și serviciilor esențiale
- Atacuri asupra partenerilor de afaceri, pe supply-chain (furnizori sau clienți)
- Aplicații malware sau ransomware
- Eroare umană
Cum și pe cine afectează incidentele de securitate
Incidentele de securitate pot afecta orice tip de utilizator vulnerabil, de la persoane fizice la companii multinaționale. Deși am vorbit despre breșele de securitate care afectează organizațiile mari, aceleași incidente de securitate se aplică computerelor și altor dispozitive, atât ale IMM-urilor, cât și ale utilizatorilor de zi cu zi.
Aceste atacuri pot duce la compromiterea identității și a reputației companiei și chiar la furtul de bani. O problemă majoră cu aceste tipuri de breșe este că atacul și infiltrarea în rețea pot rămâne nedetectate pentru perioade lungi de timp. Uneori, aceste intruziuni nu sunt detectate niciodată.
Care sunt costurile unui incident de securitate
Daunele provocate de un incident de securitate pot fi masive și devastatoare pentru compania sau organizația ta. Conform statisticilor, prețul plătit este mai mare dacă incidentul a expus datele clienților sau dacă a fost rezultatul unui atac.
Un raport anual IBM, bazat pe analiza aprofundată a breșelor experimentate de peste 500 de organizații din întreaga lume, a constatat că, în 2020, costul mediu al unei scurgeri de date a fost de 3,35 milioane USD, cu 9,8% mai mult față de anul trecut.
În România, un atac cu o aplicație ransomware ce reușește criptarea datelor unui sistem informatic critic (de ex. sistemul de contabilitate) obligă victimele la plata unor sume cuprinse între 3,000 și 35,000 de euro pentru fiecare sistem compromis, fără a fi luate în calcul pierderi asociate indisponibilității sistemului sau afectarea reputației.
Totuși, oportunitățile de afaceri pierdute rămân unul dintre cele mai costisitoare efecte ale unei breșe a securității datelor, reprezentând aproape 40% din costuri. Cifra cumulează scăderea numărului de clienți, pierderea veniturilor și costul mai ridicat al achiziției de new business, asociat unei reputații negative.
4 lucruri de făcut în cazul unui incident de securitate
Dacă securitatea companiei sau organizației a fost încălcată, este vital să declanșați o procedură rapidă și eficientă de răspuns la acest incident cibernetic pentru a minimiza daunele.
Iată 4 pași pe care să îi urmezi după ce ați suferit un incident sau o breșă de securitate:
1. Oprește atacul
- Asamblează o celulă de criză, cu persoane care sunt calificate în limitarea daunelor provocate de amenințări la adresa securității.
- Izolează și limitează accesul la informațiile confidențiale din orice sisteme accesate în cadrul incidentului. Astfel, poți preveni răspândirea incidentului pe întreaga rețea.
- Dezvoltă un proces pentru remedierea pe termen scurt, astfel încât să reluați funcționarea normală a business-ului.
2. Determină severitatea incidentului
- Începe procesul de colectare a informațiilor, investigând de unde a pornit incidentul.
- Verifică ce sisteme au fost afectate și care a fost vectorul de atac.
- Identifică punctele vulnerabile din sistemul de securitate.
- Dacă este cazul, colectează informații despre breșa de securitate a datelor – ce tipuri de date au fost expuse și ce nivel de risc prezintă acestea.
3. Notifică părțile implicate
Pregătește o notificare de încălcare a securității datelor și trimiteți-o tuturor organizațiilor implicate, în funcție de specificul incidentului – avocați, mass-media, compania de asigurări, forțele de ordine, instituțiile guvernamentale etc.
4. Implementează măsuri de prevenție ale incidentelor de securitate viitoare
Un singur incident de securitate este de ajuns pentru a scădea încrederea clienților în companie. Un al doilea incident vă va costa, cu siguranță, și mai mult.
Dincolo de constatările negative, raportul IBM subliniază faptul că există o serie de măsuri pe care întreprinderile le pot lua pentru a-și minimiza riscul și ramificațiile unui atac cibernetic:
- Companiile care au implementat tehnologii de automatizare în cadrul unor servicii de securitate cibernetică au avut mai puțin de jumătate din costurile unei breșe de securitate a datelor comparativ cu cele care nu au implementat aceste instrumente.
- Contribuția principală la costurile mai mici a fost timpul de răspuns semnificativ mai scurt la breșe, cu peste 27% mai rapid decât în cazul companiilor care nu au implementat încă elemente de automatizare a securității.
- Pregătirea pentru răspunsul la incidente (IR) a contribuit la economii semnificative pentru companiile cu o echipă de IR care utilizează exerciții sau simulări pentru a testa planurile IR.
Cum să previi un incident de securitate
Primul lucru pe care trebuie să-l faci pentru a preveni atacurile viitoare este să remediezi orice a cauzat incidentul inițial.
Apoi, este important să optezi pentru un sistem de securitate proactiv, care te ajuta să îmbunătățești capacitățile de monitorizare și de răspuns la breșele și incidentele de securitate cibernetică și anume un Centru Operațional de Securitate.
Iată beneficiile unui Centru Operațional de Securitate (SOC):
- Acces la o echipă completă de specialiști antrenați în identificarea vulnerabilităților (eg. Red Team Penetration Tester) și amenințărilor existente (eg. Threat Hunter) dar și specialiști pregătiți pentru a monitoriza și răspunde la incidente de securitate (eg. Analiști L1-L3, specialiști forensics, analiza malware etc.)
- Protecție 24 * 7/365 de zile pe an împotriva incidentelor și infracțiunilor, indiferent de vectori, ora zilei sau de tipul incidentului.
- Implementarea unui sistem de securitate pentru perimetrul companiei pentru monitorizarea, prevenirea, detectarea și reacția la amenințările și atacurile de securitate cibernetică.
- Costuri lunare reduse și previzibile, atât financiare, cât și de efort, prin automatizarea funcțiilor de securitate.
- Optimizarea continuă a modelului de securitate, bazată pe analize aprofundate, ce urmăresc evoluția gradului de risc.
- O perspectivă cuprinzătoare asupra activelor și operațiunilor companiei, pentru a evita pierderea datelor importante.
Cu propriul centru operațional de securitate gestionat de către experți, puteți preveni viitoare incidente și breșe de securitate înainte ca acestea să aibă loc.
Centrul de operațiuni de securitate BIT SENTINEL (BSS-CERT) este o soluție eficientă proiectată, operată și gestionată de specialiști în securitate cu experiență și certificate, oferind capacități ofensive și defensive prin detectarea, analiza și remedierea amenințărilor cibernetice.
De la înființare, echipa BIT SENTINEL s-a concentrat pe furnizarea de servicii de securitate de înaltă calitate, cum ar fi testarea avansată de tip white box sau black box penetration testing, revizuirea codului sursa al aplicațiilor, servicii de forensics, analiza malware și răspuns la incidente.
BSS-CERT este unul dintre primele centre din România ce operează pe modelul SOC-as-a-Service, adaptând serviciile pentru clienți din principalele verticale și industrii cu valențe critice (Energie, Transport, Sectorul bancar, Infrastructuri ale pieței financiare, Sectorul sănătății, Furnizarea și distribuirea de apă potabilă, Infrastructură digitală), care au nevoie de capabilități avansate de monitorizare, detectare, răspuns la incidente de securitate informatică dar și experiență în zona de threat intelligence.
Centrul de operațiuni de securitate funcționează în prezent în orele normale de lucru în București, România, putând fi extins cu o monitorizare 24/7, în funcție de nevoile clienților. Mai mult, echipa noastră de ingineri are capabilități de a activa Service Level Agreements (SLA) 24/7.