Aceasta a fost şi tema celei mai recente ediţii a Club Business Magazin, organizat împreună cu Bitdefender. Invitaţii au încercat să definească soluţiile de securitate necesare în zona farma şi în sistemul medical, răspunzând la următoarele întrebări: cine are interesul de a fura datele ale pacienţilor? Ce pot face atacatorii cu informaţiile obţinute în mod fraudulos? Cum trebuie să reacţioneze companiile în cazul unei breşe de securitate? Cât ar trebui să investească organizaţiile pentru a-şi proteja datele?
BUSINESS MAGAZIN: Ce diferenţe există, în materie de securitate IT, între o companie obişnuită şi una din zona farma sau din sistemul medical?
LIVIU ARSENE, senior eThreat analyst, Bitdefender: Diferenţa majoră, cel puţin din punctul de vedere al securităţii, dintre companiile de farma şi restul companiilor constă în primul rând în datele pe care le protejează. Dacă firmele din farma protejează date confidenţiale de la pacienţi precum starea de sănătate, antecedente medicale, reţete medicale şi aşa mai departe, o firmă oarecare, să spunem de arhitectură, nu ar avea atât de mult de pierdut dacă şi-ar pierde toate datele. Doar clienţii lor ar suferi, probabil, mici inconvenienţe. În schimb, în domeniul medical, dacă un pacient şi-a pierdut datele, acest lucru ar putea deveni o problemă, şi asta pentru că acele date medicale pot fi folosite în diverse scopuri. Cel puţin în Statele Unite, spre exemplu, dacă cineva are acces la antecedentele tale medicale, poate la un moment dat chiar să aplice pentru programe de asigurări medicale, iar asta înseamnă că poate încasa diverse alocaţii medicale sau poate cumpăra medicamente scumpe la preţuri reduse. Cu alte cuvinte, companiile din zona farma au foarte multe date de protejat, au o responsabilitate foarte mare faţă de clienţii lor şi cred că interesul este chiar mai mare pentru atacatori de a avea acces la acele date.
MIHAI GURAN, regional operations sales director, Bitdefender: Cu siguranţă, multe companii gestionează date personale. Evident, o companie din domeniul medical are acces la informaţii personale mai sensibile, şi atunci suntem într-o zonă unde există ceva mai multe reglementări pe această temă. Trebuie deci avută ceva mai multă grijă, trebuie planificat mai din timp ceea ce trebuie făcut, sistemul de securitate a datelor, accesul la date, cine are acces, poate un grad în plus faţă de alte sisteme.
BOGDAN TUDOR, CEO Class IT Outsourcing: Aceasta este diferenţa majoră, că datele stocate nu aparţin numai companiei, ci aparţin pacienţilor. Sunt date cu caracter personal şi atunci necesită un grad de protecţie mult mai mare decât cel pe care l-am asigura unor documente care aparţin unei companii, pentru că riscul nu ţine doar de accesul neautorizat la datele companiei, ci la expunerea informaţiilor într-un mediu public, ceea ce evident poate să afecteze major bonitatea unei companii şi poate chiar să ducă la falimentul unor afaceri. Atunci când datele nu sunt protejate corespunzător, obţinându-se printr-un mod neautorizat acces la ele, riscul este atât de folosire a informaţiilor cât şi de publicare a acestora. Aceste date se pot cuantifica în sume mult mai mari de bani decât în cazul datelor private ale unor companii.
MIHAI GURAN, Bitdefender: Bitdefender are un business în America, şi la mine în echipă sunt mai multe persoane din America. Te gândeşti la următorul lucru: la un moment dat, ai un contract cu un asigurător, poţi să dai nişte date, şi aici ne gândim de exemplu că trebuie să fim atenţi la ce date cerem şi la ce date primim, pentru că sunt nişte reglementări mai stricte. Eu, ca manager, aş putea să primesc nişte date, să mă uit pe o fişă şi să spun: „OK, colegul meu are o anumită boală“, dar eu nu sunt specialist, pot să judec greşit un anumit lucru. Sunt documentate mai multe situaţii în care, din cauza unor astfel de transferuri de date către angajatori, aceştia s-au îndreptat împotriva furnizorilor de servicii medicale şi au obţinut chiar despăgubiri, pentru că astfel de date nu trebuia să ajungă la angajator. Sigur, e un alt aspect, nu numai cel de fraudă. E o gamă de aspecte mult mai extinse.
BOGDAN TUDOR, Class IT Outsourcing: Şi la noi există un cadru reglementat, legea protecţiei datelor cu caracter personal, însă trecând prin cuprinsul acestei legi am identificat nişte paragrafe foarte vagi privind modalitatea efectivă de protecţie a acestor date. Legea se concentrează mai mult pe controlul accesului decât pe protecţia informaţiei, lăsând la latitudinea companiilor din industrie să găsească modalitatea optimă de protejare a informaţiei.
BUSINESS MAGAZIN: Care sunt cele mai recente incidente de acest tip?
LIVIU ARSENE, Bitdefender: 91% din companiile de farma au suferit, în ultimii trei ani, o breşă de securitate. Cred că şi acum, undeva, o companie de farma este în plină breşă de securitate. Cred că ar trebui cuantificat la mărimea companiei de farma care a avut o breşă; chiar anul acesta a avut loc un incident la o companie de asigurări medicale, Anthem. În urma unui atac au pierdut datele a 80 de milioane de pacienţi. 80 de milioane de oameni care aveau asigurare la ei au avut datele medicale compromise. Pagubele financiare estimate au fost enorme, dar problema este că în Statele Unite, dacă ai acces la aceste date ai acces şi la SSN, acel social security number. Şi trebuie să vă spun că este extraordinar de simplu să faci un furt de identitate doar pe baza acestui SSN; pot să te duci în orice supermarket să cumperi un card de credit, să îl ataşezi unui SSN cu o adresă fictivă şi să faci cumpărături în numele acelei persoane. Ai nevoie de un singur tip de date.
BOGDAN TUDOR, Class IT Outsourcing: În România nu avem exemple foarte recente, dar îmi amintesc de un incident care a avut loc în urmă cu 5-6 ani legat de protecţia datelor cu caracter personal, în care un angajat al companiei a avut acces la mai multe informaţii decât ar fi trebuit, iar apoi a şantajat compania cu publicarea acestor informaţii. Este o companie cunoscută în piaţa din România, a fost şantajată, cazul a fost raportat la poliţie şi până la urmă cazul a fost soluţionat. S-a ajuns însă în acea situaţie, şi cel mai important lucru este să nu se ajungă până acolo. Este important să protejăm informaţia astfel încât accesul neautorizat să nu fie posibil. Iar acesta poate avea loc atât din interior cât şi din exterior; există o statistică de acum 4-5 ani care spunea că peste 70% din atacurile asupra companiilor vin din interiorul acesteia, şi nu din exterior. Cred că e extrem de important să ne uităm cine are acces la date, cum are acces la date, cum pot acestea pleca din companie, pentru că o soluţie de securitate nu înseamnă doar antivirus, înseamnă mult mai mult, protecţia datelor care sunt stocate şi protecţia la accesul neautorizat, protecţie la ieşirea datelor într-un mod neautorizat pe stick-uri USB sau alte metode.
LIVIU ARSENE, Bitdefender: În ultimii trei ani a fost introdus conceptul celor trei A: access, account şi authorisation. Oricine are autorizaţia de a se lega într‑un cont trebuie să fie şi monitorizat pentru acţiunile pe care le desfăşoară în interiorul reţelei respective. O simplă soluţie de securitate ajută, previne marea majoritate a ameninţărilor. Am citit un studiu recent potrivit căruia peste 54% din ameninţările detectate, cel puţin pe zona de farma, au venit prin e-mail. E interesant, pentru că majoritatea atacatorilor exploatează curiozitatea angajatului. Aşadar şi angajatul trebuie să fie educat, să fie antrenat să recunoască semnele vizibile ale unor astfel de atacuri.
BUSINESS MAGAZIN: Există un profil al angajatului care reprezintă o ţintă atractivă pentru acest tip de atacuri?
BOGDAN TUDOR, Class IT Outsourcing: Profilul angajatului cel mai probabil să fie exploatat e profilul angajatului. Şi atunci, e de datoria noastră ca IT-işti să ne asigurăm că nu ajung aceste mesaje maliţioase în inboxul utilizatorului, folosind toate metodele pe care le avem la dispoziţie. O soluţie de securitate este şi o soluţie anti‑spam, sau mai bine zis anti mesaje maliţioase, care sunt transmise prin spam dar nu au rolul de a genera nişte vânzări, ci sunt pur şi simplu maliţioase, conţin nişte ataşamente care atunci când sunt deschise încep să provoace găuri de securitate în propria reţea. Într-adevăr, ţine de o educaţie a utilizatorului pe care am văzut-o şi o văd din ce în ce mai des. Nu toate companiile acordă destul de mare importanţă acestui aspect, limitându-se la antivirus, iar această practică lasă jumătate din riscurile care ar putea apărea neacoperite. O soluţie completă de securitate îţi asigură şi o protecţie completă.
MIHAI GURAN, Bitdefender: În Statele Unite şi pe pieţele mari, dezvoltate, există două lucruri diferite faţă de România: statistici şi nişte legi ceva mai bine definite. În America, reglementările sunt cuprinse în HIPA, adică Health Inssurance Portability and Accountability (portabilitatea şi responsabilitatea asigurării medicale – n.red.). Sunt două fenomene acolo, să spunem că lucrezi la o compania şi ai o asigurare în California şi decizi să te muţi în Florida. În acel moment trebuie să iei datele de la furnizorul tău de servicii medicale din California şi să le muţi în alt teritoriu. Ei au reglementat acest lucru foarte bine; practic, e ca şi cum te-ai muta dintr-un stat european în altul. Nu ştiu dacă în ziua de azi există vreo reglementare care să permită acest lucru în interiorul Uniunii Europene. În ceea ce priveşte răspunderea pe care o poartă furnizorii de servicii medicale, reglementările sunt pe trei niveluri: unul administrativ, unul fizic, de acces la date, şi unul tehnic. Fiind mai legaţi de zona de IT, vă pot spune că şi la nivel tehnic sunt furnizori mai mici şi furnizori mai mari, scopul legii nu este să îi pună pe toţi să cheltuie bani, ci să ne asigure că lucrurile se fac aşa cum trebuie şi că există un plan. Asta înseamnă că trebuie să ai o soluţie antivirus şi antimalware, trebuie să ai o soluţie de perimetru, de tip firewall, managementul parolelor şi un plan „ce se întâmplă dacă?“. Legea trebuie însă să fie şi pentru companiile mici, şi pentru cele mari. Trebuie făcut un registru, cine şi ce a accesat, la ce oră şi aşa mai departe.
BUSINESS MAGAZIN: Ce pot să facă atacatorii cu datele obţinute în mod fraudulos?
BOGDAN TUDOR, Class IT Outsourcing: Eu nu cred că ne-am ars suficient în România, am observat în ultimii 15 ani, de când mă ocup zi de zi cu serviciile IT, o proastă practică de genul „stai să se întâmple ceva şi vedem după ce facem“. La noi nu există reglementări atât de detaliate precum cele din Statele Unite, şi poate ar fi bine să ne mai inspirăm de la ei, pentru că nu vrem să fim prinşi în ofsaid. Iar inventivitatea celor care comit astfel de infracţiuni depăşeşte ceea ce noi ne-am putea imagina. Am vorbit de şantaj, am vorbit de folosirea datelor în vederea furtului de pe card bancar, probabil că vom vorbi de vedete care s-au tratat de cine ştie ce, având o presă de scandal care probabil că şi plăteşte pentru astfel de informaţii. Aş prefera să nu mă gândesc eu la ce s-ar putea face cu datele, pentru că inventivitatea lor e mult peste ce îmi pot imagina.
