![\"\"](\"http:\/\/storage0.dms.mpinteractiv.ro\/media\/401\/341\/5539\/14888477\/3\/mad3901.jpg?height=465&width=620\")
<\/p>\n\nAceasta a fost \u015fi tema celei mai recente edi\u0163ii a Club Business Magazin, organizat \u00eempreun\u0103 cu Bitdefender. Invita\u0163ii au \u00eencercat s\u0103 defineasc\u0103 solu\u0163iile de securitate necesare \u00een zona farma \u015fi \u00een sistemul medical, r\u0103spunz\u00e2nd la urm\u0103toarele \u00eentreb\u0103ri: cine are interesul de a fura datele ale pacien\u0163ilor? Ce pot face atacatorii cu informa\u0163iile ob\u0163inute \u00een mod fraudulos? Cum trebuie s\u0103 reac\u0163ioneze companiile \u00een cazul unei bre\u015fe de securitate? C\u00e2t ar trebui s\u0103 investeasc\u0103 organiza\u0163iile pentru a-\u015fi proteja datele?<\/p>\n
\nBUSINESS MAGAZIN: Ce diferen\u0163e exist\u0103, \u00een materie de securitate IT, \u00eentre o companie obi\u015fnuit\u0103 \u015fi una din zona farma sau din sistemul medical?<\/p>\n
\nLIVIU ARSENE, senior eThreat analyst, Bitdefender: Diferen\u0163a major\u0103, cel pu\u0163in din punctul de vedere al securit\u0103\u0163ii, dintre companiile de farma \u015fi restul companiilor const\u0103 \u00een primul r\u00e2nd \u00een datele pe care le protejeaz\u0103. Dac\u0103 firmele din farma protejeaz\u0103 date confiden\u0163iale de la pacien\u0163i precum starea de s\u0103n\u0103tate, antecedente medicale, re\u0163ete medicale \u015fi a\u015fa mai departe, o firm\u0103 oarecare, s\u0103 spunem de arhitectur\u0103, nu ar avea at\u00e2t de mult de pierdut dac\u0103 \u015fi-ar pierde toate datele. Doar clien\u0163ii lor ar suferi, probabil, mici inconvenien\u0163e. \u00cen schimb, \u00een domeniul medical, dac\u0103 un pacient \u015fi-a pierdut datele, acest lucru ar putea deveni o problem\u0103, \u015fi asta pentru c\u0103 acele date medicale pot fi folosite \u00een diverse scopuri. Cel pu\u0163in \u00een Statele Unite, spre exemplu, dac\u0103 cineva are acces la antecedentele tale medicale, poate la un moment dat chiar s\u0103 aplice pentru programe de asigur\u0103ri medicale, iar asta \u00eenseamn\u0103 c\u0103 poate \u00eencasa diverse aloca\u0163ii medicale sau poate cump\u0103ra medicamente scumpe la pre\u0163uri reduse. Cu alte cuvinte, companiile din zona farma au foarte multe date de protejat, au o responsabilitate foarte mare fa\u0163\u0103 de clien\u0163ii lor \u015fi cred c\u0103 interesul este chiar mai mare pentru atacatori de a avea acces la acele date.<\/p>\n
\n<\/p>\n
\nMIHAI GURAN, regional operations sales director, Bitdefender: Cu siguran\u0163\u0103, multe companii gestioneaz\u0103 date personale. Evident, o companie din domeniul medical are acces la informa\u0163ii personale mai sensibile, \u015fi atunci suntem \u00eentr-o zon\u0103 unde exist\u0103 ceva mai multe reglement\u0103ri pe aceast\u0103 tem\u0103. Trebuie deci avut\u0103 ceva mai mult\u0103 grij\u0103, trebuie planificat mai din timp ceea ce trebuie f\u0103cut, sistemul de securitate a datelor, accesul la date, cine are acces, poate un grad \u00een plus fa\u0163\u0103 de alte sisteme.<\/p>\n
\nBOGDAN TUDOR, CEO Class IT Outsourcing: Aceasta este diferen\u0163a major\u0103, c\u0103 datele stocate nu apar\u0163in numai companiei, ci apar\u0163in pacien\u0163ilor. Sunt date cu caracter personal \u015fi atunci necesit\u0103 un grad de protec\u0163ie mult mai mare dec\u00e2t cel pe care l-am asigura unor documente care apar\u0163in unei companii, pentru c\u0103 riscul nu \u0163ine doar de accesul neautorizat la datele companiei, ci la expunerea informa\u0163iilor \u00eentr-un mediu public, ceea ce evident poate s\u0103 afecteze major bonitatea unei companii \u015fi poate chiar s\u0103 duc\u0103 la falimentul unor afaceri. Atunci c\u00e2nd datele nu sunt protejate corespunz\u0103tor, ob\u0163in\u00e2ndu-se printr-un mod neautorizat acces la ele, riscul este at\u00e2t de folosire a informa\u0163iilor c\u00e2t \u015fi de publicare a acestora. Aceste date se pot cuantifica \u00een sume mult mai mari de bani dec\u00e2t \u00een cazul datelor private ale unor companii.<\/p>\n
\nMIHAI GURAN, Bitdefender: Bitdefender are un business \u00een America, \u015fi la mine \u00een echip\u0103 sunt mai multe persoane din America. Te g\u00e2nde\u015fti la urm\u0103torul lucru: la un moment dat, ai un contract cu un asigur\u0103tor, po\u0163i s\u0103 dai ni\u015fte date, \u015fi aici ne g\u00e2ndim de exemplu c\u0103 trebuie s\u0103 fim aten\u0163i la ce date cerem \u015fi la ce date primim, pentru c\u0103 sunt ni\u015fte reglement\u0103ri mai stricte. Eu, ca manager, a\u015f putea s\u0103 primesc ni\u015fte date, s\u0103 m\u0103 uit pe o fi\u015f\u0103 \u015fi s\u0103 spun: \u201eOK, colegul meu are o anumit\u0103 boal\u0103\u201c, dar eu nu sunt specialist, pot s\u0103 judec gre\u015fit un anumit lucru. Sunt documentate mai multe situa\u0163ii \u00een care, din cauza unor astfel de transferuri de date c\u0103tre angajatori, ace\u015ftia s-au \u00eendreptat \u00eempotriva furnizorilor de servicii medicale \u015fi au ob\u0163inut chiar desp\u0103gubiri, pentru c\u0103 astfel de date nu trebuia s\u0103 ajung\u0103 la angajator. Sigur, e un alt aspect, nu numai cel de fraud\u0103. E o gam\u0103 de aspecte mult mai extinse.<\/p>\n
\n![\"\"](\"http:\/\/storage0.dms.mpinteractiv.ro\/media\/401\/341\/5539\/14888477\/4\/mad3953.jpg?height=465&width=620\")
<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: \u015ei la noi exist\u0103 un cadru reglementat, legea protec\u0163iei datelor cu caracter personal, \u00eens\u0103 trec\u00e2nd prin cuprinsul acestei legi am identificat ni\u015fte paragrafe foarte vagi privind modalitatea efectiv\u0103 de protec\u0163ie a acestor date. Legea se concentreaz\u0103 mai mult pe controlul accesului dec\u00e2t pe protec\u0163ia informa\u0163iei, l\u0103s\u00e2nd la latitudinea companiilor din industrie s\u0103 g\u0103seasc\u0103 modalitatea optim\u0103 de protejare a informa\u0163iei.<\/p>\n
\nBUSINESS MAGAZIN: Care sunt cele mai recente incidente de acest tip?<\/p>\n
\nLIVIU ARSENE, Bitdefender: 91% din companiile de farma au suferit, \u00een ultimii trei ani, o bre\u015f\u0103 de securitate. Cred c\u0103 \u015fi acum, undeva, o companie de farma este \u00een plin\u0103 bre\u015f\u0103 de securitate. Cred c\u0103 ar trebui cuantificat la m\u0103rimea companiei de farma care a avut o bre\u015f\u0103; chiar anul acesta a avut loc un incident la o companie de asigur\u0103ri medicale, Anthem. \u00cen urma unui atac au pierdut datele a 80 de milioane de pacien\u0163i. 80 de milioane de oameni care aveau asigurare la ei au avut datele medicale compromise. Pagubele financiare estimate au fost enorme, dar problema este c\u0103 \u00een Statele Unite, dac\u0103 ai acces la aceste date ai acces \u015fi la SSN, acel social security number. \u015ei trebuie s\u0103 v\u0103 spun c\u0103 este extraordinar de simplu s\u0103 faci un furt de identitate doar pe baza acestui SSN; pot s\u0103 te duci \u00een orice supermarket s\u0103 cumperi un card de credit, s\u0103 \u00eel ata\u015fezi unui SSN cu o adres\u0103 fictiv\u0103 \u015fi s\u0103 faci cump\u0103r\u0103turi \u00een numele acelei persoane. Ai nevoie de un singur tip de date.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: \u00cen Rom\u00e2nia nu avem exemple foarte recente, dar \u00eemi amintesc de un incident care a avut loc \u00een urm\u0103 cu 5-6 ani legat de protec\u0163ia datelor cu caracter personal, \u00een care un angajat al companiei a avut acces la mai multe informa\u0163ii dec\u00e2t ar fi trebuit, iar apoi a \u015fantajat compania cu publicarea acestor informa\u0163ii. Este o companie cunoscut\u0103 \u00een pia\u0163a din Rom\u00e2nia, a fost \u015fantajat\u0103, cazul a fost raportat la poli\u0163ie \u015fi p\u00e2n\u0103 la urm\u0103 cazul a fost solu\u0163ionat. S-a ajuns \u00eens\u0103 \u00een acea situa\u0163ie, \u015fi cel mai important lucru este s\u0103 nu se ajung\u0103 p\u00e2n\u0103 acolo. Este important s\u0103 protej\u0103m informa\u0163ia astfel \u00eenc\u00e2t accesul neautorizat s\u0103 nu fie posibil. Iar acesta poate avea loc at\u00e2t din interior c\u00e2t \u015fi din exterior; exist\u0103 o statistic\u0103 de acum 4-5 ani care spunea c\u0103 peste 70% din atacurile asupra companiilor vin din interiorul acesteia, \u015fi nu din exterior. Cred c\u0103 e extrem de important s\u0103 ne uit\u0103m cine are acces la date, cum are acces la date, cum pot acestea pleca din companie, pentru c\u0103 o solu\u0163ie de securitate nu \u00eenseamn\u0103 doar antivirus, \u00eenseamn\u0103 mult mai mult, protec\u0163ia datelor care sunt stocate \u015fi protec\u0163ia la accesul neautorizat, protec\u0163ie la ie\u015firea datelor \u00eentr-un mod neautorizat pe stick-uri USB sau alte metode.<\/p>\n
\nLIVIU ARSENE, Bitdefender: \u00cen ultimii trei ani a fost introdus conceptul celor trei A: access, account \u015fi authorisation. Oricine are autoriza\u0163ia de a se lega \u00eentr\u2011un cont trebuie s\u0103 fie \u015fi monitorizat pentru ac\u0163iunile pe care le desf\u0103\u015foar\u0103 \u00een interiorul re\u0163elei respective. O simpl\u0103 solu\u0163ie de securitate ajut\u0103, previne marea majoritate a amenin\u0163\u0103rilor. Am citit un studiu recent potrivit c\u0103ruia peste 54% din amenin\u0163\u0103rile detectate, cel pu\u0163in pe zona de farma, au venit prin e-mail. E interesant, pentru c\u0103 majoritatea atacatorilor exploateaz\u0103 curiozitatea angajatului. A\u015fadar \u015fi angajatul trebuie s\u0103 fie educat, s\u0103 fie antrenat s\u0103 recunoasc\u0103 semnele vizibile ale unor astfel de atacuri.<\/p>\n
\nBUSINESS MAGAZIN: Exist\u0103 un profil al angajatului care reprezint\u0103 o \u0163int\u0103 atractiv\u0103 pentru acest tip de atacuri?<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Profilul angajatului cel mai probabil s\u0103 fie exploatat e profilul angajatului. \u015ei atunci, e de datoria noastr\u0103 ca IT-i\u015fti s\u0103 ne asigur\u0103m c\u0103 nu ajung aceste mesaje mali\u0163ioase \u00een inboxul utilizatorului, folosind toate metodele pe care le avem la dispozi\u0163ie. O solu\u0163ie de securitate este \u015fi o solu\u0163ie anti\u2011spam, sau mai bine zis anti mesaje mali\u0163ioase, care sunt transmise prin spam dar nu au rolul de a genera ni\u015fte v\u00e2nz\u0103ri, ci sunt pur \u015fi simplu mali\u0163ioase, con\u0163in ni\u015fte ata\u015famente care atunci c\u00e2nd sunt deschise \u00eencep s\u0103 provoace g\u0103uri de securitate \u00een propria re\u0163ea. \u00centr-adev\u0103r, \u0163ine de o educa\u0163ie a utilizatorului pe care am v\u0103zut-o \u015fi o v\u0103d din ce \u00een ce mai des. Nu toate companiile acord\u0103 destul de mare importan\u0163\u0103 acestui aspect, limit\u00e2ndu-se la antivirus, iar aceast\u0103 practic\u0103 las\u0103 jum\u0103tate din riscurile care ar putea ap\u0103rea neacoperite. O solu\u0163ie complet\u0103 de securitate \u00ee\u0163i asigur\u0103 \u015fi o protec\u0163ie complet\u0103.<\/p>\n
\nMIHAI GURAN, Bitdefender: \u00cen Statele Unite \u015fi pe pie\u0163ele mari, dezvoltate, exist\u0103 dou\u0103 lucruri diferite fa\u0163\u0103 de Rom\u00e2nia: statistici \u015fi ni\u015fte legi ceva mai bine definite. \u00cen America, reglement\u0103rile sunt cuprinse \u00een HIPA, adic\u0103 Health Inssurance Portability and Accountability (portabilitatea \u015fi responsabilitatea asigur\u0103rii medicale – n.red.). Sunt dou\u0103 fenomene acolo, s\u0103 spunem c\u0103 lucrezi la o compania \u015fi ai o asigurare \u00een California \u015fi decizi s\u0103 te mu\u0163i \u00een Florida. \u00cen acel moment trebuie s\u0103 iei datele de la furnizorul t\u0103u de servicii medicale din California \u015fi s\u0103 le mu\u0163i \u00een alt teritoriu. Ei au reglementat acest lucru foarte bine; practic, e ca \u015fi cum te-ai muta dintr-un stat european \u00een altul. Nu \u015ftiu dac\u0103 \u00een ziua de azi exist\u0103 vreo reglementare care s\u0103 permit\u0103 acest lucru \u00een interiorul Uniunii Europene. \u00cen ceea ce prive\u015fte r\u0103spunderea pe care o poart\u0103 furnizorii de servicii medicale, reglement\u0103rile sunt pe trei niveluri: unul administrativ, unul fizic, de acces la date, \u015fi unul tehnic. Fiind mai lega\u0163i de zona de IT, v\u0103 pot spune c\u0103 \u015fi la nivel tehnic sunt furnizori mai mici \u015fi furnizori mai mari, scopul legii nu este s\u0103 \u00eei pun\u0103 pe to\u0163i s\u0103 cheltuie bani, ci s\u0103 ne asigure c\u0103 lucrurile se fac a\u015fa cum trebuie \u015fi c\u0103 exist\u0103 un plan. Asta \u00eenseamn\u0103 c\u0103 trebuie s\u0103 ai o solu\u0163ie antivirus \u015fi antimalware, trebuie s\u0103 ai o solu\u0163ie de perimetru, de tip firewall, managementul parolelor \u015fi un plan \u201ece se \u00eent\u00e2mpl\u0103 dac\u0103?\u201c. Legea trebuie \u00eens\u0103 s\u0103 fie \u015fi pentru companiile mici, \u015fi pentru cele mari. Trebuie f\u0103cut un registru, cine \u015fi ce a accesat, la ce or\u0103 \u015fi a\u015fa mai departe.<\/p>\n
\nBUSINESS MAGAZIN: Ce pot s\u0103 fac\u0103 atacatorii cu datele ob\u0163inute \u00een mod fraudulos?<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Eu nu cred c\u0103 ne-am ars suficient \u00een Rom\u00e2nia, am observat \u00een ultimii 15 ani, de c\u00e2nd m\u0103 ocup zi de zi cu serviciile IT, o proast\u0103 practic\u0103 de genul \u201estai s\u0103 se \u00eent\u00e2mple ceva \u015fi vedem dup\u0103 ce facem\u201c. La noi nu exist\u0103 reglement\u0103ri at\u00e2t de detaliate precum cele din Statele Unite, \u015fi poate ar fi bine s\u0103 ne mai inspir\u0103m de la ei, pentru c\u0103 nu vrem s\u0103 fim prin\u015fi \u00een ofsaid. Iar inventivitatea celor care comit astfel de infrac\u0163iuni dep\u0103\u015fe\u015fte ceea ce noi ne-am putea imagina. Am vorbit de \u015fantaj, am vorbit de folosirea datelor \u00een vederea furtului de pe card bancar, probabil c\u0103 vom vorbi de vedete care s-au tratat de cine \u015ftie ce, av\u00e2nd o pres\u0103 de scandal care probabil c\u0103 \u015fi pl\u0103te\u015fte pentru astfel de informa\u0163ii. A\u015f prefera s\u0103 nu m\u0103 g\u00e2ndesc eu la ce s-ar putea face cu datele, pentru c\u0103 inventivitatea lor e mult peste ce \u00eemi pot imagina.<\/p>\n
\n![\"\"](\"http:\/\/storage0.dms.mpinteractiv.ro\/media\/401\/341\/5539\/14888477\/2\/mad3792.jpg?height=465&width=620\")
<\/p>\n
<\/p>\n
\nBUSINESS MAGAZIN: Cine sunt ace\u015fti atacatori? Poate fi vorba chiar \u015fi de spionaj industrial?<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Nu \u015ftiu dac\u0103 putem duce discu\u0163ia at\u00e2t de departe, chiar dac\u0103 nu este exclus s\u0103 vorbim de spionaj industrial. Cu siguran\u0163\u0103 \u00eens\u0103 c\u0103 cei care ar fi interesa\u0163i sunt de aici, din Rom\u00e2nia. Am observat, de-a lungul timpului, c\u0103 exist\u0103 tendin\u0163a de a aduna c\u00e2t mai multe informa\u0163ii; dac\u0103 pleci de la un loc de munc\u0103, pleci cu ceva la tine, ca o plas\u0103 de siguran\u0163\u0103. Cred c\u0103 ar trebui s\u0103 ne protej\u0103m de genul \u0103sta de poten\u0163iale pericole.<\/p>\n
\nLIVIU ARSENE, Bitdefender: E greu de definit profilul unui astfel de calculator, \u00een principiu oricine vrea s\u0103-\u0163i atace sistemul sau s\u0103 pun\u0103 m\u00e2na pe ni\u015fte date vrea s\u0103 fac\u0103 bani, e simplu. Fie c\u0103 vinde datele mai departe sau cere o recompens\u0103 pentru ele sau \u00eencearc\u0103 s\u0103 le monetizeze \u00een orice alt fel, scopul final e de a face bani. Dac\u0103 este vorba \u015fi de angaja\u0163i care trag date \u00eenainte de a pleca din companie, asta este o cu totul alt\u0103 problem\u0103. Sunt alte solu\u0163ii care trebuie puse \u00een aplicare.<\/p>\n
\nBUSINESS MAGAZIN: Cum ar trebui s\u0103 ierarhizeze companie informa\u0163iile pentru a le proteja?<\/p>\n
\nLIVIU ARSENE, Bitdefender: \u00cen primul r\u00e2nd, trebuie s\u0103 defineasc\u0103 care sunt informa\u0163iile critice. Dup\u0103 ce \u0163i-ai dat seama care sunt informa\u0163iile cele mai valoroase pe care vrei s\u0103 le protejezi, atunci aplici asupra lor toate mijloacele de securitate pe care le po\u0163i folosi. \u015ei, eventual, pui liste de control de acces \u015fi altele. Orice companie ar trebui s\u0103 fac\u0103 lucrurile astea, cu at\u00e2t mai mult o companie din zona farma. Pentru orice astfel de proces de identificare a datelor e nevoie de un plan, de un proces de audit intern. Mai multe min\u0163i luminate din companie, pe l\u00e2ng\u0103 cei de la IT, trebuie s\u0103 se \u00eent\u00e2lneasc\u0103, s\u0103 cad\u0103 de acord nu doar asupra bunelor practici de securitate, dar \u015fi asupra lucrurilor care ar putea impacta firma sau clien\u0163ii ale c\u0103ror date sunt protejate. \u00cen cazul \u00een care exist\u0103 o bre\u015f\u0103 de securitate, iar acest lucru este o certitudine, exist\u0103 \u015fase pa\u015fi pentru a se preg\u0103ti: primul pas e chiar preg\u0103tirea pentru acea bre\u015f\u0103, pentru c\u0103 oricum se va \u00eent\u00e2mpla, al doilea este identificarea respectivei bre\u015fe de securitate \u00een timp util, al treilea pas e izolarea, pentru a nu se extinde \u00een toat\u0103 re\u0163eaua, al patrulea e eliminarea bre\u015fei, al cincilea e revenirea dup\u0103 o astfel de criz\u0103 iar ultimul pas este s\u0103 \u00ee\u0163i pui \u00eentrebarea \u201ece am \u00eenv\u0103\u0163at din toat\u0103 experien\u0163a asta?\u201c. Acest ultim pas e cel mai important, pentru c\u0103 urm\u0103toarea dat\u0103 c\u00e2nd se va \u00eent\u00e2mpla vei fi mai bine preg\u0103tit \u015fi vei putea s\u0103 r\u0103spunzi corespunz\u0103tor.<\/p>\n
\nMIHAI GURAN, Bitdefender: E o chestiune \u015fi de resurse, pentru c\u0103 atunci c\u00e2nd protejezi ni\u015fte date din care un posibil atacator ar putea face mul\u0163i bani, s-ar putea ca acesta s\u0103 investeasc\u0103 ni\u015fte resurse foarte mari \u00een a\u015fa fel \u00eenc\u00e2t s\u0103 penetreze sistemele de securitate. La fel se poate spune \u015fi despre atacurile acestea, de care se tot vorbe\u015fte, finan\u0163ate de guverne din mai multe p\u0103r\u0163i ale lumii. Resursele care se pot pune \u00een spatele unor astfel de atacuri sunt imense \u015fi probabil o companie normal\u0103 nu se poate proteja. Este important c\u00e2t de repede intervii, cu ce mijloace \u015fi cu personal intervii, c\u00e2t de repede po\u0163i s\u0103 remediezi situa\u0163ia; sunt studii care arat\u0103 c\u0103 cele mai multe organiza\u0163ii descoper\u0103 dup\u0103 200-300 de zile c\u0103 au fost penetrate.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Din punctul de vedere al teoriei, sunt \u015fapte cercuri concentrice, a\u015fa trebuie s\u0103 ne imagin\u0103m informa\u0163iile. Unele companii folosesc ceea ce se nume\u015fte containere de date, care se protejeaz\u0103 \u00eentr-un mod special, de la datele critice pentru supravie\u0163uirea companiei p\u00e2n\u0103 la cele mai pu\u0163in importante. Dac\u0103 se pierd pozele unui angajat nu e at\u00e2t de grav precum \u00een cazul \u00een care se pierd informa\u0163ii despre clien\u0163i, pl\u0103\u0163i, date medicale, acela este un incident major de securitate. Vizual, dac\u0103 vedem aceste containere de date este foarte u\u015for s\u0103 facem urm\u0103torul pas, adic\u0103 s\u0103 stabilim \u00een func\u0163ie de date ce efort vrem s\u0103 depunem pentru a le proteja. Securitatea are un cost, nu po\u0163i s\u0103 protejezi \u00een acela\u015fi mod pozele unui angajat \u015fi datele personale ale pacien\u0163ilor.<\/p>\n
\nBUSINESS MAGAZIN: Cine ar trebui s\u0103 aib\u0103 acces la date \u015fi cine monitorizeaz\u0103?<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Am observat o tendin\u0163\u0103 clar\u0103 spre externalizare, nu mai po\u0163i s\u0103 le faci pe toate, oric\u00e2t ai vrea. \u00cen domeniul securit\u0103\u0163ii, cu at\u00e2t mai mult nu merit\u0103 s\u0103-\u0163i asumi riscuri. Este un proces de durat\u0103, care vine cu un cost adi\u0163ional. \u015ei e jobul nostru, ca directori de IT, s\u0103 explic\u0103m companiei riscurile asociate \u015fi faptul c\u0103 respectivele costuri sunt mai mici. Iar aceasta e cea mai mare provocare: cum explici unui director general c\u0103, dac\u0103 cineva acceseaz\u0103 datele, m\u0103 cost\u0103 o anumit\u0103 sum\u0103? E dificil, \u015fi de-aceea de multe ori se evit\u0103. Trebuie f\u0103cut\u0103 o estimare, pentru c\u0103 s-ar putea ca aceasta s\u0103 fie de ajuns pentru a justifica unele costuri. Am observat c\u0103 directorii generali nu \u00een\u0163eleg limbajul nostru, al celor de la IT. Spre exemplu, dac\u0103 noi spunem c\u0103 exist\u0103 riscul ca cineva s\u0103 acceseze baza de date, r\u0103spunsul e: \u201eOK, p\u0103i f\u0103 ceva, asigur\u0103-te\u201c. Dac\u0103 spunem c\u0103 exist\u0103 riscul ca firma s\u0103 dispar\u0103 dac\u0103 cineva acceseaz\u0103 baza de date, asta se \u00een\u0163elege mult mai u\u015for. Am v\u0103zut c\u0103 unii plaseaz\u0103 protec\u0163ia datelor \u00een inima afacerii, ei spun c\u0103 dac\u0103 se \u00eent\u00e2mpl\u0103 ceva \u00ee\u015fi pierd inima afacerii, ceea ce este corect.<\/p>\n
\nMIHAI GURAN, BITDEFENDER: S\u0103 dau un exemplu, tot din America: unui angajat i s-a furat un laptop pe care erau 441 de \u00eenregistr\u0103ri de fi\u015fe, iar compania a primit amenzi de 50.000 de dolari din cauza unor pl\u00e2ngeri, nu \u015ftiu dac\u0103 o fi mult sau pu\u0163in, dar o solu\u0163ie software nu \u00eei costa 50.000 de dolari. \u015ei noi avem produse care se adreseaz\u0103 firmelor de servicii, firmelor de outsourcing, pentru c\u0103 este mult mai convenabil s\u0103 externalizezi problemele de securitate, mai ales dac\u0103 e vorba de o companie mic\u0103.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: E necesar ca o solu\u0163ie de securitate s\u0103 nu fie doar instalat\u0103, e mult mai important ce faci dup\u0103 acel moment, cum captezi informa\u0163iile, ce faci cu datele pe care le ob\u0163ii, cine se uit\u0103 \u00een fiecare zi pe ni\u015fte monitoare \u015fi identific\u0103 \u00een timp real atacurile care au loc asupra companiilor \u015fi mai ales ce ac\u0163iuni iei. De multe ori lucrurile se afl\u0103 \u00eentr-o zon\u0103 gri, poate sau nu s\u0103 fie vorba de un atac, \u015fi atunci ai nevoie de o echip\u0103 care s\u0103 fac\u0103 aceast\u0103 analiz\u0103. Bitdefender a contruit un produs care d\u0103 posibilitatea furnizorilor de servicii s\u0103 integreze solu\u0163ia \u00een propriile lor platforme de monitorizare; e important, pentru c\u0103 atunci c\u00e2nd lucrezi cu zeci sau sute de companii nu po\u0163i s\u0103 ai at\u00e2t de multe platforme de monitorizare, \u015fi atunci ai nevoie de o solu\u0163ie care s\u0103 ia toate informa\u0163iile \u015fi le publice \u00eentr-un loc centralizat.<\/p>\n
\nBUSINESS MAGAZIN: Ce pa\u015fi trebuie urma\u0163i dup\u0103 ce bre\u015fa de securitate s-a produs?<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Cea mai mare provocare este s\u0103-\u0163i dai seama c\u0103 ai o bre\u015f\u0103; dup\u0103 aceea trebuie s\u0103 identifici corect modalit\u0103\u0163ile de eliminare sau de diminuare a efectelor. Trebuie s\u0103 ai un plan, e mult mai u\u015for a\u015fa dec\u00e2t s\u0103 b\u00e2jb\u00e2i, s\u0103 te g\u00e2nde\u015fti \u00een momentul al\u0103 ce ai de f\u0103cut. Pare simplu pentru unii \u015fi complicat pentru al\u0163ii, dar v\u0103 asigur c\u0103 nu e nici simplu nici complicat. E ca la matematic\u0103: dac\u0103 te-ai preg\u0103tit de acas\u0103, chiar dac\u0103 nu toate exerci\u0163iile sunt la fel, dar m\u0103car vei avea idee despre ce e vorba.
\nLIVIU ARSENE, Bitdefender: De foarte multe ori nu po\u0163i identifica ideea pentru c\u0103 nu ai uneltele necesare, nici aplica\u0163iile necesare care s\u0103-\u0163i dea din c\u00e2nd \u00een c\u00e2nd o alert\u0103 c\u0103 ceva nu este \u00een regul\u0103.<\/p>\n
\nBUSINESS MAGAZIN: Ce diferen\u0163e exist\u0103 \u00eentre un furt de date \u015fi un atac asupra dispozitivelor medicale?<\/p>\n
\nLIVIU ARSENE, Bitdefender: E destul de simplu, \u00een primul r\u00e2nd o companie are de pierdut bani \u00een urma proceselor intentate de cei c\u0103rora le-a pierdut datele, \u00ee\u015fi pierde reputa\u0163ia \u015fi credibilitatea, lucruri ce pot afecta pe termen lung, exist\u0103 cazuri ale unor companii care au dat chiar faliment \u00een urma unor bre\u015fe de securitate. Din punctul de vedere al echipamentelor medicale, exist\u0103 mai multe precum pompe de insulin\u0103 sau pacemakere care pot fi controlate de la distan\u0163\u0103 de c\u0103tre atacatori. Chiar anul trecut au fost c\u00e2teva demonstra\u0163ii prin care s-a preluat controlul asupra unui pacemaker \u015fi s-ar fi putut provoca, \u00een teorie, un infarct.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Riscul ca cineva s\u0103 ob\u0163in\u0103 acces autorizat la astfel de echipamente este infinit mai mare, pentru c\u0103 pot muri oameni.<\/p>\n
\nLIVIU ARSENE, Bitdefender: Cum tendin\u0163a ast\u0103zi este s\u0103 avem c\u00e2t mai multe dispozitive medicale asupra noastr\u0103, evident riscurile cresc. G\u00e2ndi\u0163i\u2011v\u0103 c\u0103 sunt pacien\u0163i interna\u0163i \u00een spitale conecta\u0163i la dispozitive inteligente, iar acestea sunt toate conectate la re\u0163eaua spitalului. Dac\u0103 cineva g\u0103se\u015fte o priz\u0103 LAN acolo ar putea, \u00een teorie, s\u0103 preia controlul asupra tuturor dispozitivelor din acel spital \u015fi ar putea, din interiorul sau din exteriorul spitalului, s\u0103 afecteze to\u0163i pacien\u0163ii lega\u0163i la aparate.<\/p>\n
\nBUSINESS MAGAZIN: Ce buget ar trebui s\u0103 aloce companiile din farma \u015fi din sistemul medical pentru solu\u0163ii de securitate, pentru a le putea implementa cu succes?<\/p>\n
\nMIHAI GURAN, BITDEFENDER: Putem stabili mult mai u\u015for un buget pentru solu\u0163ii de protejare a dispozitivelor fizice sau virtuale, servere \u00een centrul propriu de date sau al furnizorului, aici vorbim de solu\u0163iile de baz\u0103. Dac\u0103 ne g\u00e2ndim la securitatea de perimetru, ar trebui securizat acela\u015fi centru de date, re\u0163eaua, solu\u0163iile se discut\u0103 \u00een general \u00een func\u0163ie de num\u0103rul de utilizatori sau l\u0103rgimea de band\u0103 folosit\u0103. E greu de spus dac\u0103 vorbim de un milion de dolari sau 20.000 de dolari. Bugetul trebuie stabilit de la caz la caz, e \u00een func\u0163ie de necesit\u0103\u0163i. Regulile de acces la o organiza\u0163ie cu 20 sau 50 de oameni sunt diferite fa\u0163\u0103 de cele pentru o organiza\u0163ie de sute sau mii de angaja\u0163i, care folose\u015fte furnizori externi de servicii de date. Aici vorbim de segmentarea accesului, poate nu vrem ca angaja\u0163ii dintr-o anumit\u0103 loca\u0163ie s\u0103 poat\u0103 vedea datele pacien\u0163ilor care se prezint\u0103 \u00eentr-o alt\u0103 loca\u0163ie, sau poate nu vrem ca psihiatrul s\u0103 vad\u0103 datele pe care trebuie s\u0103 le vad\u0103 gastroenterologul sau chirurgul. P\u00e2n\u0103 la urm\u0103, trebuie f\u0103cut un management al riscului, \u015fi cred c\u0103 foarte multe lucruri \u0163in de cei care conduc aceste organiza\u0163ii \u015fi de legisla\u0163ia specific\u0103. Este \u00eens\u0103 foarte important ca bugetul pentru solu\u0163ii de securitate s\u0103 fie luat \u00een calcul atunci c\u00e2nd se face o investi\u0163ie.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Recomand oric\u0103rei companii s\u0103 \u00eenceap\u0103 cu un audit de securitate \u00eenainte de a lua orice decizie \u00een aceast\u0103 zon\u0103. Cea mai important\u0103 \u00eentrebare pe care \u015fi-o poate pune o companie, din acest punct de vedere, este \u201ec\u00e2nd am f\u0103cut ultimul audit de securitate?\u201c. Din experien\u0163a noastr\u0103, \u015fi pot spune c\u0103 am f\u0103cut anul acesta peste 200 de audituri de securitate, r\u0103spunsul la \u00eentrebare este urm\u0103torul: \u201eAudit de securitate?\u201c Nu are doar rolul de a analiza cum se fac lucrurile din punctul de vedere al protec\u0163iei informa\u0163iei, ci \u015fi de a oferi solu\u0163ii; costul auditului ar putea fi acoperit doar prin eficientizarea solu\u0163iilor pe care le folosi\u0163i ast\u0103zi.
\nBUSINESS MAGAZIN: C\u00e2t de vulnerabile sunt zona farma \u015fi sistemul medical din Rom\u00e2nia \u00een fa\u0163a atacurilor cibernetice?
\nLIVIU ARSENE, Bitdefender: E greu de spus, pentru c\u0103 majoritatea bre\u015felor de securitate nu se raporteaz\u0103 \u015fi r\u0103m\u00e2n interne, apel\u00e2ndu-se la furnizorii de securitate.<\/p>\n
\nBOGDAN TUDOR, Class IT Outsourcing: Noi \u00eentreb\u0103m companiile c\u00e2t de mult au investit \u00een ultimul an \u00een solu\u0163ii de securitate, \u015fi atunci ne putem uita \u00een zona public\u0103, \u00een zona farma \u015fi putem adresa aceast\u0103 \u00eentrebare. Dac\u0103 r\u0103spunsul e \u201efoarte aproape de zero\u201c, r\u0103spunsul e evident. Dac\u0103 suma e foarte, adic\u0103 de ordinul c\u00e2torva sute de euro anual pe utilizator, atunci putem vorbi de o companie protejat\u0103. Repet, solu\u0163ia de securitate \u00eenseamn\u0103 mult mai mult dec\u00e2t antivirus, \u00eenseamn\u0103 de fapt o solu\u0163ie complet\u0103 de protec\u0163ie \u015fi de control la datele pe care le de\u0163ii, inclusiv modul \u00een care datele ies din companie, sunt \u015fterse sau eliminate atunci c\u00e2nd e nevoie, inclusiv modul \u00een care sunt salvate pentru backup.<\/p>\n
\nMIHAI GURAN, Bitdefender: Securitatea trebuie s\u0103 fie un ansamblu de m\u0103suri, iar din punctul de vedere al unui furnizor de tehnologie care vede mare parte din pia\u0163a din Rom\u00e2nia, pot s\u0103 spun c\u0103 eu m\u0103 simt \u00een siguran\u0163\u0103 ca \u015fi utilizator al serviciilor medicale oferite de furnizorii mari de la noi. \u015ei la nivel de sistem public au fost ni\u015fte proiecte, ni\u015fte licita\u0163ii, s-a organizat un centru de r\u0103spuns, exist\u0103 un plan. Din acest punct de vedere, m\u0103 simt lini\u015ftit; dar nimeni nu poate s\u0103 garanteze siguran\u0163\u0103 100%, dac\u0103 cineva aloc\u0103 resurse importante, e foarte probabil s\u0103 fii penetrat ca organiza\u0163ie.<\/p>\n","protected":false},"excerpt":{"rendered":"
Securitatea cibernetic\u0103 este o problem\u0103 din ce \u00een ce mai important\u0103, iar protejarea datelor \u015fi a dispozitivelor ridic\u0103 noi provoc\u0103ri pe m\u0103sur\u0103 ce lucrurile din jurul nostru devin conectate. Atunci c\u00e2nd vorbim \u00eens\u0103 de informa\u0163ii critice, cum ar fi date ale pacien\u0163ilor sau istoricul medical al acestora, m\u0103surile de securitate trebuie s\u0103 corespund\u0103 anumitor standarde.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[571],"tags":[238,273,38663,8039,49,201,8088,474,10322,17018,406,408,461,13028,16386,26871,219],"class_list":["post-129502","post","type-post","status-publish","format-standard","hentry","category-business-hi-tech","tag-acces","tag-angajare","tag-atacatori","tag-bitdefender","tag-business-magazin","tag-companii","tag-farma","tag-industrie","tag-informatii","tag-interes","tag-medici","tag-pacienti","tag-pierdere","tag-problema","tag-protectie","tag-protejare","tag-securitate"],"_links":{"self":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/129502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=129502"}],"version-history":[{"count":0,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/129502\/revisions"}],"wp:attachment":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=129502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=129502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=129502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}