Cristian Herghelegiu, Bittnet Group: Securizarea mediului de lucru în contextul unui război informatic global

Cristian Herghelegiu, Bittnet Group: Securizarea mediului de lucru în contextul unui război informatic global

Securitatea cibernetică a devenit unul dintre subiectele esențiale, de interes major, ale perioadei prezente. Intensificarea și diversificarea atacurilor informatice ale organizațiilor de tip hacking, ca parte a războiului informatic în urma conflictelor din Ucraina, necesită măsuri sporite de securitate și/sau rezolvare rapidă a consecințelor și blocajelor înregistrate în urma acestor tipuri de activități. În ce constau aceste atacuri, cum pot fi prevenite, ce soluții au specialiști, la toate aceste întrebări răspunde Cristian Herghelegiu, CEO Dendrio & VP Divizia de Tehnologie, Bittnet Group. El oferă, de asemenea, detalii și despre felul în care companiile Dendrio și Bittnet Training vor pune la dispoziția participanților la evenimentul Black Sea Defense, Aerospace and Security International Exhibition (BSDA), în perioada 19-20 mai 2022, un laborator de testare practică și învățare creat de CISCO, „Capture the Flag”, organizat sub formă de competiție, care simulează un mediu real de atac cibernetic, prin probe practice.

Cum comentați atacurile cibernetice din ultima vreme și frecvența lor? Care este obiectivul acestora și al organizațiilor de tip hacking?

Contextul creat în ultimii ani a favorizat înmulțirea exponențială a atacurilor cibernetice. Pe de-o parte pandemia a accelerat migrarea companiilor către modul de lucru de la distanță sau hibrid –  fapt ce a condus la creșterea „suprafeței de atac” pe care o țintesc atacatorii: din ce în ce mai multe servicii/aplicații accesate de la distanță, de multe ori de pe dispozitive proprii, negestionate de companie și nu de puține ori configurarea accesului și a sistemelor care oferă aceste servicii a fost făcută în grabă, pentru a răspunde pe moment unor cerințe de afaceri. Pe fondul unei lipse acute de personal cu competențe de cybersecurity (conform Linkedin, se estimează un deficit de peste 60.000 de persoane cu abilități în domeniul cybersecurity în 12 țări din UE studiate: https://blogs.microsoft.com/eupolicy/2022/03/23/the-urgency-of-tackling-europes-cybersecurity-skills-shortage/) aceste greșeli de configurare și protecție a sistemelor IT devin din ce în ce mai frecvente.

În mod evident, contextul geopolitic actual determină anumite atacuri țintite către entități guvernamentale, sisteme de utilități publice sau alte companii care oferă servicii de interes public. Dacă, de exemplu, în cazul atacurilor asupra populației sau a companiilor comerciale interesul atacatorilor este de cele mai multe ori unul financiar, în cazul atacurilor care au drept țintă actori principali guverne/jucători statali, obiectivele sunt mult mai diverse, aspectele financiare fiind de multe ori pe un plan secund.

Nu în ultimul rând, s-a simplificat extrem de mult modul în care atacatorii pot lansa atacuri asupra sistemelor țintă, implementarea unui asemenea atac putând fi făcută „as a service” – necesitând cunoștințe minime de securitate cibernetică și la costuri extrem de accesilbile. Acest sistem „as a service” nu a dus la creșterea complexității atacurilor, ci mai degrabă la sporirea numărului acestora. Prin implementarea unor măsuri standard de securitate și de continuitate a afacerilor, efectele negative ale acestor atacuri „standardizate” pot fi prevenite cu destulă ușurință.

Care sunt cele mai frecvente „victime” și de ce?

În ultimul raport ENISA pentru 2021 (European Agency for Cybersecurity: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021) se poate remarca faptul că la nivel european majoritatea atacurilor este îndreptată către organizații din zona administrației publice/guvern. Acestea sunt urmate de  atacuri împotriva utilizatorilor persoane fizice, a companiilor de servicii de comunicații/digitale (operatori de telecomunicații, ISP etc.), domeniul financiar bancar. Atacurile care generează cele mai multe victime în rândul persoanelor fizice sunt cele de tip „phishing” (impersonarea unor site-uri publice, cunoscute, cu dorința de a obține date de acces și ulterior obținerea unor beneficii financiare). În cazul companiilor și a instituțiilor publice, cele mai multe atacuri din ultimii ani au fost de tip ransomware (criptarea datelor și solicitarea unor sume de bani pentru de-criptarea/returnarea accesului).

              Un nivel minim de cunoștințe legate de modul de derulare al atacurilor de tip phishing, atenția la detalii și utilizarea unor platforme care au implementate protecții împotriva crypto-lockerelor (utilizarea serviciilor de stocare a datelor online cum ar fi Microsoft OneDrive, Google Drive etc) pot scuti atât persoanele fizice, cât și companiile de multe dintre neplăcerile cauzate de acest tip de atacuri.

Sporirea numărului acestora cere măsuri extinse de securitate și/sau soluții de anihilare a acestora. Ce ar trebui  să aibă în vedere atât companiile private, cât și instituțiile de stat în acest sens?

Aș începe cu un aspect extrem de important și de multe ori neglijat de multe companii: prevenția și protecția sistemelor informatice reprezintă un proces continuu care trebuie planificat, bugetat și executat ca atare, iar o componentă importantă este educarea utilizatorilor finali în perspectiva riscurilor cibernetice. Dacă ne uităm în raportul DESI pentru 2021, în România sub 6% dintre companii oferă angajaților tranining legat de tehnologie (procentul celor care oferă training pentru cybersecurity fiind semnificativ mai mic) comparativ cu peste 20% media UE.

De cele mai multe ori este necesară formarea unei echipe dedicate și dezvoltarea unui parteneriat cu una sau mai multe companii specializate în domeniul IT/cybersecurity care pot ajută compania să implementeze cele mai bune practici în domeniu.

              Pentru întărirea posturii de securitate cibernetică vor fi parcurse 3 etape mari:

1.) Evaluarea situației curente,

2.) Dezvoltarea și implemetarea unui plan de măsuri și

3.) Monitorizarea constantă a sistemului implementat – așa cum aminteam, vorbim despre un proces continuu.

Bineînțeles, în etapa de design și implementare a sistemului vom urmări dezvoltarea unor arhitecturi flexibile (sisteme ce se pot integra în arhitecturile IT complexe, componente care se pot reconfigura automat etc) bazate pe componente hardware performante. Nu în ultimul rând se vor modifica/optimiza procesele din interiorul companiei și se vor dezvolta/consolida procesele aferente asigurării continuității afacerii, astfel încât efectele unui atac cibernetic să poată fi minimizate.

Și, să nu uităm, anumite componente din acest proces de întărire al sistemelor companiei pot fi implementate rapid și cu un efort minim cum ar fi de exemplu implementarea unui factor multiplu de autentificare pentru acces la anumite servicii.

În calitate de experți în securitate informațională, ce recomandați, ca strategie de prevenție și/sau apărare pentru companiile și instituțiile de stat?

În primul rând toate sistemele informatice trebuie să fie construite pornind de la principiul implementării bunelor practici de securitate (fie că discutăm de implementarea infrastructurii fizice sau dezvoltarea aplicațiilor software). Serviciile periodice de audit (și implementarea corectă a recomandărilor aferente) oferă una dintre cele mai puternice metode de prevenire și asigurare a funcționarii organizației pe termen lung. Intrarea într-un plan de servicii – managed services – prin care procese din zona de IT pot fi preluate de companii specializate poate conduce, de asemenea, la o îmbunătățire semnificativă proceselor legate de tehnologie și implicit la creșterea eficienței și productivității respectivei organizații. Pentru organizațiile care gestionează volume mari de date sistemele de securitate bazate pe Artificial Intelligence (care pot permite trierea și escaladarea unor volume foarte mari de alerte sau sesizarea schimbării modelului de trafic în interiorul rețelelor) sunt absolut necesare.

Nu în ultimul rând, recomandăm investiția constantă în training – atât de specialitate pentru cei care operează direct infrastructurile de securitate cibernetică, cât și de cunoștințe generale pentru toți utilizatorii sistemelor informatice.

Cei interesați vă pot găsi în perioada 18-20 mai 2022 la evenimentul Black Sea Defense, Aerospace and Security International Exhibition (BSDA), care va avea loc la Romaero. Care sunt principalele informații care vor fi prezentate vizitatorilor, pe acest subiect?

Da, ne găsiți la standul 1752 din Pavilionul C. Împreună, Bittnet Training și Dendrio ating două componente esențiale în politica de securitate a oricărui tip de organizație: oameni și tehnologie. Rolul nostru la Black Sea Defense, Aerospace and Security Internațional Exhibition (BSDA) este acela de a prezenta conceptul de CyberSecurity în Defence ca rezultat al competențelor de Securitate pe care le avem la nivel de Bittnet Group (Bittnet Training prin crearea de proiecte de educație privind formarea specialiștilor în CyberSecurity și Dendrio cu inginerii certificați specializați în implementarea infrastructurilor securizate). Sinergiile pe care le putem crea prin competențele specialiștilor noștri sunt unice la nivelul țării și, credem noi, critice dacă ne raportăm la contextul geopolitic actual.

• În cadrul expoziției, Dendrio și Bittnet Training vor prezenta un demo, o competiție de tip „Capture the Flag”. Cine se poate înscrie și cum?

„Capture the Flag” este un laborator organizat sub formă de competiție, care simulează un mediu real de atac cibernetic, prin probe practice. Competiția este de tipul Red Team – Blue Team, cu sarcini de atac și de apărare și are scopul de a ajută la înțelegerea și aprofundarea tipurilor de atacuri cibernetice și a tehnologiilor de securitate CISCO ce protejează împotriva lor.

Pentru rezolvarea tuturor probelor din laboratorul Capture the Flag sunt necesare mai mult de 30 de ore, de aceea Echipa Cisco România împreună cu inginerii Dendrio au selectat un număr mai mic de probe care să se poată rezolva în cadrul BSDA, în sala de ședințe special amenajată din cadrul Romaero. Scopul laboratorului este acela de a expune specialiștii în securitate cibernetică din structurile de apărare ale țării într-un mediu securizat, la situații reale de război cibernetic pentru a exersa măsuri de prevenție sau de remediere. La competiție se pot înscrie participanții la BSDA care au competențe de securitate cibernetică. O vor putea face atât la standul nostru 1752 din pavilionul C în cursul zilei de 18 mai sau online, completând un formular. 

Competiția se va desfășura în zilele de 19 și 20 mai în sala special amenajată din cadrul Romaero, iar rezultatele competiției se vor putea urmări în timp real pe un ecran la standul 1752 din pavilionul C. În sala de competiție, participanții la laborator vor fi asistați permanent de către un proctor din cadrul echipei Cisco România și unul din echipa noastră pentru a facilita înțelegerea probelor.

În măsură în care interesul pentru competiție va depăși limitele fizice ale zilelor de expoziție, putem organiza pentru specialiștii în securitate cibernetică, la cerere, un laborator cu toate probele din Capture the Flag. Este o activitate care are aplicabilitate atât în zona de Defense, cât și în zona comercială, iar pentru solicitări lăsăm o adresa de e-mail: askformore@dendrio.com

Cum îi poate ajuta acest tip de exercițiu pe specialiștii în securitate cibernetică și de ce este important să ia parte la o astfel de experiență?

Scenariile gândite împreună cu specialiștii Cisco vor oferi participanților ocazia să înțeleagă cum gândesc atacatorii, în cazul anumitor atacuri. Este o inversare a rolurilor care permite „apărătorilor cetății” să pătrundă în mintea hackerilor, să înțeleagă instrumentele de atac, cum se derulează aceste procese, cum se pot evita anumite bariere… Credem că asemenea antrenamente sunt absolut necesare pentru creșterea abilității de răspuns în cazul unui atac cibernetic. De asemenea, vorbim despre un joc, o simulare – deci participanții vor învață lucruri noi, dificile, într-un context amuzant și sigur.

Ce altceva mai pot afla vizitatorii evenimentului legat de securitate informațională, în acestă perioadă?

Vom discuta atât despre soluții tehnologice de ultimă oră, cât și despre procesele care stau în spatele unor echipe performanțe de cybersecops. Vom avea curicule de training dezvoltate special pentru organizațiile care activează în zona de apărare. Nu în ultimul rând, în cadrul evenimentului vor fi colegi din echipele Dendrio, Bittnet Training și GRX care sunt zilnic implicați în astfel de proiecte – cu experiență reală.

Atacurile malițioase par să se fi înmulțit nu doar asupra instituțiilor, ci și asupra persoanelor fizice. Care sunt, din experiența dumneavoastră, acțiunile de acest tip cu cele mai mari șanse de reușită?  

Din nefericire volumul acestor atacuri a crescut, iar digitalizarea creează premisele accelerării acestui proces… Atacurile de tip phishing prin e-mail sau sms (prin care atacatorul impersonează site-ul unei bănci/instituții publice etc) reprezintă cel mai mare vector de atac asupra populației, în general. Aș spune că o minimă informare – ce înseamnă un atac de tip phishing? Cum recunosc un astfel de atac? Ce se întâmplă dacă totuși am greșit și am dat click pe un link malițios? – toate aceste întrebări își pot găsi răspunsuri simple, la un click distanță sau în discuție cu specialiștii noștri.

Pe ce canale se pot primi conținuturi de acest fel și la ce să fim (mai) atenți ca de obicei?

Spuneam anterior că mesajele prin e-mail sau smsurile sunt cele mai frecvente căi de atac. De asemenea, dispozitivele nesecurizate (camere de luat vederi, sisteme de acces inteligente sau sisteme IoT) sunt capturate, atacate în mod frecvent și utilizate ulterior pentru lansarea unor atacuri la scară globală. Implementarea unor sisteme IT cât mai performante – care să beneficieze de un proces constant de actualizare al sistemelor de operare, de exemplu, sau de echipe specializate de suport și de un eco-sistem de parteneri extins  – ar fi una dintre recomandările noastre.

Ce alte proiecte de securitate urmează să mai dezvoltați în cadrul Bittnet Group și al companiilor din grup, Dendrio și Bittnet Training?

În zona de educație, Bittnet Training a dezvoltat o serie de materiale de conținut, cu focus pe securitate cibernetică, sub formă de Security Learning Toolkit. (https://bittnet.ro.digital/security-learning-toolkit).

Aceste resurse pun accent pe:

• Calendarul evenimentelor Cybersecurity 2022
• Tendințe și predicții privind securitatea cibernetică
• Certificări de securitate Microsoft recomandate specialiștilor cloud
• Principalele soluții de securitate în cloud – Microsoft Azure și Microsoft 365
• Top certificări și competențe AWS Cloud Security
• Top cursuri de securitate recomandate de Bittnet Training
• Rezultatele și concluziile studiilor despre securitatea cibernetică

Totodată, venim cu inițiative de „awareness”, conștientizare și educare a pieței în zona de Certified Ethical Hacker. În acest sens, pe 26 mai, Bittnet Training organizează evenimentul online: „Ce au în comun securitatea IT și un pilot de aviație? Checklist to take off in penetration testing world!”. Această sesiune este adresată specialiștilor IT în securitate, iar trainerul ne propune o abordare a securității privită dintr-o perspectivă ofensivă și cum să înveți ca să-ți începi carieră de hacker etic.

Înscrierile se fac direct pe site: https://www.bittnet.ro/noutati/checklist-to-take-off-in-penetration-testing-world/

Prin integrarea companiilor iSec și GRX sub un singur brand – acțiune ce urmează să fie anunțată în viitorul apropiat – și prin consolidarea activităților companiilor din cadrul grupului Bittnet care au expertiză în cybersecurity suntem în măsură să oferim clienților noștri un set de servicii complete. Audit și analiză a situației curente, implementarea infrastructurilor IT complexe, suportul acestor infrastructuri, managementul zilnic al soluțiilor oferite (Managed services), intervenții specializate cu echipe dedicate în caz de incident cibernetic și mai ales trainingul personalului și auditarea recurentă a infrastructurilor – toate aceste servicii sunt disponibile integrat. Urmează să lansăm, de asemenea, un număr de servicii de cybersecurity pe bază de abonament lunar, prin care absolut toate companiile (atât structuri guvernamentale sau companii mari, cât și cele din categoria IMM) să poată accesa extrem de rapid serviciile noastre. Vom reveni în viitorul apropiat cu mai multe detalii și despre acest subiect.