Încrederea clientului și măsurile de securitate cibernetică
"83%, dacă nu mă înşel, din furnizori acre au fost compromişi şi prin care s-a lansat apoi atacul către organizaţia țintă sunt companii din sectorul tehnologiei. Este un paradox. Cei care au fost atacaţi de multe ori nu sunt din domeniul tehnologic. Atunci, tu dacă nu te pricepi la tehnologie, ai mai multă încredere în cineva care se pricepe şi tocmai acolo este paradoxul pentru că acei furnizori care ofereau diverse servicii, neavând un sistem de securitate performant... Dacă ne gândim la paradoxul acesta al încrederii... eu sunt un retailer şi cred că un furnizor de cloud este mai sigur decât mine, adică înţelege partea de securitate cibernetică mai mult şi poate că eu, dacă sunt un retailer, nici nu am capabilităţi să testez softurile. (...) Această încredere vine din faptul că eu mă folosesc de nişte organizaţii care furnizează tehnologie şi pentru a creşte nivelul de încredere trebuie să am o relaţie foarte bună cu acel furnizor şi sunt companii care analizează furnizorii şi îşi dau seama că unii răspund la nevoile mele de securitate şi alţii noi. Există o inerţie în sensul că din acel raport făcut de o firmă de securitate rezultă nu numai că executivii sunt conştienţi şi chiar îşi doresc să se ia măsuri împotriva furnizorilor care nu respectă măsurile, dar undeva la 50% - 60 % din companiile ţintă din top nu au modificat procesul lor de procurement, nu au adăugat nici întrebări suplimentare, nu mai zic de o relaţie cu furnizorii cei mai relevanţi. Au o relaţie de trust blind, ceva de genul acesta", a spus Sergiu Zaharia (HUAWEI), la DCNews.
Direcțiile pentru o securitate cibernetică adecvată și creșterea încrederii clienților finali
"Organizaţiile trebuie să înțeleagă faptul că în ziua de astăzi nu mai există conceptul de a protecție 100%. Tu eşti compromis la un moment dat, dar trebuie să te pregătești pentru impact. Dacă ai un grup advanced persistent threat care te atacă în mod constant, înseamnă că undeva ai fost compromis. Deşi ai fost compromis şi acel grup vrea să îţi ia datele, tu trebuie să ai nişte măsuri ca să eviţi ieşirea acelor date în afară. Există tehnologii, pe lângă criptare, care monitorizează ieşirea anumitor date în afară. Atunci, tu eşti pregătit de impact", a spus Sergiu Zaharia.
"Aş adăuga educaţia personalului pe care cred că orice advanced persistent threat se bazează sau vizează acel personal insuficient implicat în ceea ce înseamnă un atac reuşit. Ce înseamnă un click pe un document care poate să producă dezastre. Degeaba eu ca organizaţie am controale tehnice adecvate, degeaba investesc în aplicaţii automatizate în managementul riscului, dacă nu există cele echilibru între o soluţie tehnică complexă, potenţial inutilizabilă de către personalul meu nepregătit suficient împotriva atacurilor. Nu cred că există o organizaţie care să protejeze 100% sau să se protejeze şi să protejeze 100%. Mai devreme sau mai târziu totul se învaţă. din acele lesson learned. Odată ce am fost atacat ştiu să împiedic atacuri similare ", a spus Oana Buzianu, la DCNews.
Soluții pentru a spori rezistența acestui lanț de aprovizionare (supply chain)
"Dacă ne uităm un pic la statistică asta covârșitoare în favoarea software-ului atacat, cred că, aplicând acel principiu Pareto 80 - 20, ar trebui să ne gândim la măsuri de securitate software care, din fericire, exista ca măsuri tehnice Poţi să scanezi codul tău software produs de tine, poţi să scanezi sub diverse forme mai multe tipuri de teste, codul sursă creat de furnizor, poţi să scanezi inclusiv codul făcut executabil. Asta ar fi primul lucru pe care poate să îl facă organizaţia ţinta. Evident, cea mai bună variantă este să comunice cu furnizorii astfel încât ei să facă lucrurile astea. Dacă vorbim de un ecosistem, am văzut că există nişte tendinţe evidente de a merge spre partea de blockchain, acea structură distribuită care are o proprietate foarte mare: faptul că are o mulțime de entități şi fiecare tine o listă de tranzacţii. Este un concept foarte utilizat. Această relaţie de încredere prin care se validează faptul că softul este integru, această verificare se poate face de nişte entităţi dintr-un blockchain astfel încât tu - companie din topul lanţului trofic care ar putea fi ţinta unui atac de tip supply chain - nu mai vb doar cu furnizorul tău şi aştepţi de la el să ia nişte măsuri, ci verifici şi cu ceilalţi din ecosistem. Şi ei verifica la rândul lor partea de software şi atunci tu beneficiezi de o majoritate de încredere, nu numai o entitate. În mediul academic se tinde cumva în zona asta. Este o chestie foarte nouă care ia avânt", a spus Sergiu Zaharia.
"Nu pot decât să adaug acea proiectare by design şi by default a interfețelor securizate din faza de proiect şi să mă asigur că în urma atacului, dacă se întâmplă să fie vorba de un atac, că pot să gestionez şi să îmi continui afacerea, pot să îmi recuperez datele tocmai ca să pot să îmi continui afacerea, să mă protejez suplimentar împotriva ameninţărilor, să tratez corespunzător riscurile emergente şi să mă pregătesc permanent pentru că acest mediu este un mediu extraordinar de dinamic şi faptul că am implementat nişte măsuri, nişte controale, respect legislaţia nu înseamnă că sunt conform şi pot să stau liniştit până la alte atacuri sau alte regulamente", a spus Oana Buzianu.
Fiți la curent cu ultimele noutăți. Urmăriți DCNews și pe Google News
