{"id":215981,"date":"2023-05-16T08:30:00","date_gmt":"2023-05-16T08:30:00","guid":{"rendered":"https:\/\/bm.dev.synology.me\/?p=215981"},"modified":"2023-05-16T08:30:00","modified_gmt":"2023-05-16T08:30:00","slug":"luci-stanescu-consultant-cybersecurity-nu-mi-se-va-intampla-chiar-mie-sau-cum-se-poate-cutremura-un-business","status":"publish","type":"post","link":"https:\/\/bm.dev.synology.me\/?p=215981","title":{"rendered":"Luci St\u0103nescu, consultant cybersecurity: Nu mi se va \u00eent\u00e2mpla chiar mie\u201d sau cum se poate cutremura un business"},"content":{"rendered":"<p>\n<strong>\u00cen Rom\u00e2nia, 4 din 10 directori ori manageri din IMM-uri se declar\u0103 \u201enu foarte bine\u201d sau \u201edeloc\u201d informa\u0163i \u00een leg\u0103tur\u0103 cu riscurile infrac\u0163iunilor cibernetice. Cred c\u0103 ar trebui s\u0103 ne a\u015fez\u0103m \u00een jurul unei mese rotunde, speciali\u015fti \u00een securitatea informatic\u0103 al\u0103turi de deciden\u0163i din cadrul companiilor, \u015fi s\u0103 ridic\u0103m v\u0103lul mistic de pe acest domeniu \u00een care deciziile pot avea consecin\u0163e semnificative, a\u015fa cum au ar\u0103tat evenimentele recente.<\/strong><\/p>\n<p>\n\u00cen decursul a doar trei s\u0103pt\u0103m\u00e2ni, doi fo\u015fti directori au fost condamna\u0163i cu suspendare \u2013 vorbim de Joe Sullivan, ex-CSO al Uber, \u015fi Ville Tapio, ex-CEO al Vastaamo, o clinic\u0103 privat\u0103 de psihoterapie din Finlanda. Ce au ei \u00een comun? Condamn\u0103rile sunt legate de incidente de securitate \u015fi de ac\u0163iunile (dar \u015fi de inac\u0163iunile) celor doi privind securitatea datelor \u00een cadrul companiilor pe care le conduceau. Clinica a intrat ulterior \u00een faliment, chiar dac\u0103 avea o cifr\u0103 de afaceri de 15 milioane de euro.<\/p>\n<p>\nM-a\u015f fi a\u015fteptat ca primele astfel de sentin\u0163e date unor directori de companii (cazuri nemai\u00eent\u00e2lnite p\u00e2n\u0103 acum) s\u0103 ajung\u0103 s\u0103 fie dezb\u0103tute \u015fi \u00een afara comunit\u0103\u0163ii de cybersecurity. Vizibilitatea redus\u0103 a unui astfel de subiect \u00eemi pare un simptom al unei comunic\u0103ri deficitare din domeniu \u015fi m\u0103 face s\u0103 \u00eemi pun o prim\u0103 \u00eentrebare \u2013 oare noi, speciali\u015ftii \u00een securitate informatic\u0103, facem destul pentru a informa directorii IMM-urilor de responsabilitatea lor \u015fi a companiilor de a pune la punct securitatea informa\u0163iilor? Poate c\u0103 Ville Tapio ar fi apreciat un astfel de efort.<\/p>\n<p>\nOrice carte de specialitate va men\u0163iona ca pe un fapt incontestabil c\u0103 securitatea informa\u0163iei este un proces de business (nu de IT), ini\u0163iat \u015fi supravegheat de conducerea companiilor (CxO), f\u0103c\u00e2nd parte din \u201edue diligence\u201d \u015fi \u201edue care\u201d. Dar cum facem s\u0103 aducem teoria \u00een \u015fedin\u0163ele de strategie din companii?<\/p>\n<p>\nDup\u0103 obositorul bombardament informa\u0163ional din 2018 legat de GDPR, am r\u0103mas oare \u015fi cu altceva \u00een afar\u0103 de \u201eacorduri privind prelucrarea datelor cu caracter personal\u201d, notific\u0103ri de cookie-uri de care nu \u015ftim cum s\u0103 sc\u0103p\u0103m mai repede ap\u0103s\u00e2nd primul buton la \u00eendem\u00e2n\u0103 \u015fi politici de confiden\u0163ialitate uitate pe vreun \u201eraft pr\u0103fuit\u201d timp de cinci ani? P\u00e2n\u0103 la urm\u0103, regulamentul men\u0163ioneaz\u0103 de suficient de multe ori termenul \u201em\u0103suri de ordin tehnic \u015fi organizatoric\u201d \u2013 dar definite evaziv ca \u201erezonabile\u201d, \u201ecorespunz\u0103toare\u201d, \u201eadecvate\u201d ori \u201eeficace\u201d. Deci, greu de \u00een\u0163eles \u015fi implementat f\u0103r\u0103 ajutor specializat. Ar ajuta oare un limbaj mai prescriptiv, cu direc\u0163ii clare de aplicare? Eu am dubii. Poate c\u0103, tocmai, legisla\u0163ia primar\u0103 ar trebui s\u0103 fie vag\u0103, pentru a se putea mula pe situa\u0163iile individuale \u00een care se afl\u0103 companiile. Iar instrumentele de care dispunem noi, profesioni\u015ftii din domeniul securit\u0103\u0163ii (metodologii pentru analize de risc, standarde, baseline-uri sau framework-uri), sunt suficiente \u015fi ar trebui s\u0103 ne concentr\u0103m pe popularizarea acestora.<\/p>\n<p>\nCu siguran\u0163\u0103 exist\u0103 lideri \u015fi companii care \u015ftiu s\u0103 abordeze corespunz\u0103tor problema, \u00eens\u0103 dac\u0103 ne raport\u0103m la IMM-uri, sondajul Eurobarometru din 2022, \u201eSMEs and Cybercrime\u201d, citat \u015fi mai sus, m\u0103 pune pe g\u00e2nduri. Dac\u0103 r\u0103sfoie\u015fti studiul, iese imediat \u00een eviden\u0163\u0103 c\u0103 cel mai mare procent al r\u0103spunsului \u201eNu \u015ftiu\u201d este asociat \u00eentreb\u0103rii \u201eC\u00e2t de bine crede\u0163i c\u0103 sunt informa\u0163i angaja\u0163ii dumneavoastr\u0103 \u00een legatur\u0103 cu riscurile infrac\u0163iunii cibernetice?\u201d. Dar poate cel mai \u00eengrijor\u0103tor este procentul de 90% de IMM-uri din Rom\u00e2nia care au declarat c\u0103 nu au organizat \u00een ultimul an traininguri sau exerci\u0163ii de con\u015ftientizare asupra riscurilor cibernetice (este cel mai mare procent dintre \u0163\u0103rile sondate). Or, dac\u0103 tot ne refeream mai devreme la \u201em\u0103suri de ordin tehnic \u015fi organizatoric adecvate \u015fi eficace&#8221;, aceste traininguri sunt considerate nu doar printre m\u0103surile de baz\u0103, dar \u015fi cele mai eficiente din punct de vedere investi\u0163ional pentru a reduce amenin\u0163\u0103rile de phishing, folosite din ce \u00een ce mai des, at\u00e2t pentru fraud\u0103, c\u00e2t si pentru distribuirea de malware (cu to\u0163ii am auzit de \u015fantajul prin ransomware, nu?).<\/p>\n<p>\nPrivind spre viitor, avem ocazia sa nu repet\u0103m acelea\u015fi gre\u015feli ca \u00een cazul GDPR-ului. Recent a fost adoptat\u0103 o noua directiv\u0103 UE pe securitate, NIS2, ce ar trebui s\u0103 fie transpus\u0103 \u00een lege p\u00e2n\u0103 \u00een octombrie 2024. Dar aceasta vizeaz\u0103 doar companiile din sectoarele critice \u015fi importante, unde \u00een general exist\u0103 at\u00e2t oameni cu expertiz\u0103, c\u00e2t \u015fi norme de aplicare ceva mai detaliate. \u00cens\u0103 alte dou\u0103 regulamente ale UE (deci care nu vor necesita o a\u015fteptare pentru a fi transpuse \u00een legile na\u0163ionale), ePrivacy \u015fi Cyber Resilience Act, sunt \u00een lucru \u015fi vor avea sfere de influen\u0163\u0103 comparabile cu ale GDPR-ului. Cred c\u0103 cel din urm\u0103 are poten\u0163ialul de a avea un impact considerabil, fiindc\u0103 \u00ee\u015fi propune extinderea m\u0103rcii CE, prin definirea unor standarde minime de securitate, la orice produs cu \u201eo component\u0103 digital\u0103\u201d. Poate c\u0103 aceste noi legisla\u0163ii vor fi \u015fi oportunit\u0103\u0163i pentru a \u00eembina armonios at\u00e2t recomand\u0103rile speciali\u015ftilor din domeniul juridic, c\u00e2t \u015fi ale celor din domeniul securit\u0103\u0163ii informatice.<\/p>\n<p>\nTehnologia se transform\u0103 constant \u015fi ar fi bine s\u0103 \u0163inem pasul, chiar dac\u0103 sentimentul \u201enu mi se va \u00eent\u00e2mpla mie\u201d este unul r\u0103sp\u00e2ndit. De altfel, conform aceluia\u015fi sondaj european, doar \u00een anul precedent, 28% dintre IMM-uri au fost victime a cel pu\u0163in unui incident. Iar conform unui raport din noiembrie 2022 al ENISA, agen\u0163ia UE pentru securitate cibernetic\u0103, prognoza pare sumbr\u0103 \u2013 metodele de \u015fantaj evolueaz\u0103, ransomware-ul este men\u0163ionat ca prim\u0103 amenin\u0163are, iar dezvoltarea MSP-urilor (Managed Service Providers) creeaz\u0103 noi riscuri, \u00een contextul abuz\u0103rii lan\u0163urilor de furnizori de servicii, de software sau de hardware \u2013 mai ales dac\u0103 va continua s\u0103 predomine ideea c\u0103 externalizarea serviciilor ar \u00eensemna \u015fi externalizarea tuturor responsabilit\u0103\u0163ilor.<\/p>\n<p>\nO lume utopic\u0103 \u00een care nu avem riscuri de securitate cibernetic\u0103, fie c\u0103 sunt ele inten\u0163ionale, accidentale sau naturale, pare s\u0103 nu fie la orizont. \u00cen schimb, putem avea o lume \u00een care apel\u0103m instinctiv la profesioni\u015ftii din acest domeniu pentru a ne informa, a\u015fa cum nu ezit\u0103m s\u0103 apel\u0103m la un contabil pentru contabilitate sau la un avocat pentru sfaturi juridice..<\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00cen Rom\u00e2nia, 4 din 10 directori ori manageri din IMM-uri se declar\u0103 \u201enu foarte bine\u201d sau \u201edeloc\u201d informa\u0163i \u00een leg\u0103tur\u0103 cu riscurile infrac\u0163iunilor cibernetice. Cred c\u0103 ar trebui s\u0103 ne a\u015fez\u0103m \u00een jurul unei mese rotunde, speciali\u015fti \u00een securitatea informatic\u0103 al\u0103turi de deciden\u0163i din cadrul companiilor, \u015fi s\u0103 ridic\u0103m v\u0103lul mistic de pe acest domeniu [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[510,571,529,512],"tags":[235,54721,30997,10652,54720,87,219],"class_list":["post-215981","post","type-post","status-publish","format-standard","hentry","category-actualitate","category-business-hi-tech","category-opinii","category-revista-bm","tag-business","tag-consultant-cybersecurity","tag-imm-uri","tag-informatica","tag-luci-stanescu","tag-opinie","tag-securitate"],"_links":{"self":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/215981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=215981"}],"version-history":[{"count":0,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=\/wp\/v2\/posts\/215981\/revisions"}],"wp:attachment":[{"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=215981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=215981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bm.dev.synology.me\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=215981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}