Despre falsul sentiment de securitate, cauzele si costurile lui

Studiul, realizat de catre compania de consultanta Grant Thornton, estimeaza ca valoarea totala a pagubelor inregistrate in Europa s-a ridicat la 57 de miliarde de euro. Ceea ce, potrivit analistilor citati, reprezinta in medie aproximativ 1,2% din cifra de afaceri a companiilor-victime, fara a mai lua in calcul deficitul de imagine si modul in care sunt afectate relatiile cu clientii. Desi riscurile sunt evidente, iar pierderile aferente sunt substantiale, doar jumatate (52%) din cele 2.500 de companii din 35 de tari care au participat la cercetarea Grant Thornton sustin ca detin o strategie de securitate.
Cat de eficienta este aceasta strategie reprezinta insa un alt aspect. Unul delicat pentru ca perceptia organizatiilor asupra propriilor capacitati de a face fata unui incident de securitate este, frecvent, prea optimista.
Astfel, potrivit unui studiu realizat anul trecut de catre furnizorul de solutii de securitate Fortinet, 66% din organizatii se declarau increzatoare in ceea ce priveste eforturile in directia asigurarii protectiei informatice.
Optimismul de care au dat dovada doua treimi din cele 250 de companii intervievate nu pare insa pe deplin justificat daca tinem cont de faptul ca acelasi studiu arata ca 3 din 4 participanti indicau drept o prioritate critica imbunatirea nivelului de protectie impotriva noilor amenintari de tipul Advanced Persistent Threat (APT), de exemplu.
Specialistii interpreteaza aceasta discrepanta ca un dezacord flagrant intre perceptia generala si situatia reala. Cauzele sunt multiple si au la baza o supraevaluare a nivelului de securitate, datorata, pe de o parte lipsei competentelor si experientei in acest domeniu, iar pe de alta ineficientei si/sau inexistentei instrumentelor necesare pentru depistarea in timp util a amenintarilor informatice.
Explicatii detaliate in acest sens ofera doua studii RSA, companie care, pentru evaluarea nivelului de protectie al organizatiilor, nu a mai apelat la sistemul generic de autoevaluare, ci a utilizat chestionare realizate de catre profesionisti in domeniul securitatii informatiei.
Astfel, editia de anul trecut a Cybersecurity Poverty Index, care a urmarit evaluarea nivelului de maturitate al programelor de protectie utilizate de catre organizatii, a folosit un chestionar creat de National Institute of Standards and Technology (SUA). Rezultatele vorbesc de la sine: 75% dintre respondenti s-au declarat “imaturi” din punct de vedere al nivelului de securitate. Principala zona de slabiciune indicata a fost abilitatea organizatiilor de a evalua si atenua efectul incidentelor la care sunt expuse. Ceea ce inseamna ca, practic, respectivele companii nu isi pot prioritiza corect activitatile si investitiile in zona de securitate. Este o situatie frecventa mai ales in cazul companiilor cu deficit de competente si infrastructuri de securitate invechite, care nu mai fac fata noilor tipuri de amenintari informatice.
Cea de a doua analiza RSA relevanta pentru explicarea fenomenului de supraevaluare a utilizat un benchmark creat de catre Security for Business Innovation Council. Si in acest caz concluziile sunt elocvente: mai mult de jumatate din organizatiile intervievate (55%) nu detineau instrumentele si competentele necesare depistarii si monitorizarii in timp util a incidentelor.
Ce inseamna, concret, acest lucru? Ca intervalul dintre momentul petrecerii unui incident si cel al identificarii si solutionarii sale se prelungeste peste limitele in care pagubele pot fi asumate, respectiv tinute sub control. Care este gradul de incidenta al acestui risc? Unul foarte ridicat, daca tinem cont ca studiile statistice arata ca, la nivel global, durata medie de depistare este intre 100 si 200 de zile. Conform Ponemon Institute, in 2015 in sectorul financiar-bancar erau necesare, in medie, 98 de zile pentru decelarea unui incident si 26 pentru remedierea efectelor acestuia. Total – 124 de zile!, in conditiile in care in bancile aloca importante resurse financiare si umane protectiei informatice, securitatea fiind o componenta core-usiness.
Toate studiile de securitate – atat cele citate, cat si cele neincluse in acest material – confirma faptul ca, in conditiile globalizarii accelerate, atacurile informatice nu mai fac “discriminari geografice”. Rapoartele CERT-RO – principala entitate cu atributii in domeniul securitatii la nivel national – arata ca, de cativa ani, Romania nu face exceptie de la aceasta regula si ca a evoluat rapid de la stadiul de “sursa” si “mediu de tranzit”, catre cel de “tara-tinta” a atacurilor. La momentul actual, concluzia specialistilor CERT-RO este ca, din punct de vedere al riscului, Romania este la acelasi nivel cu oricare alta piata dezvoltata.
Gradul de expunere al companiilor la riscurile de securitate nu mai este strict corelat nici cu ordinul de marime al organizatiilor. Studiul Cybersecurity Poverty Index citat a demonstrat statistic ca “marimea nu conteaza”: 83% din organizatiile mari, cu peste 10.000 de angajati, s-au autoevaluat ca “nu prea bine pregatite” pentru a face fata noilor tipuri de amenintari, spre deosebire de doar 68% din companiile avand intre 1.000 si 10.000 de angajati.
Datele de mai sus reprezinta probe solide impotriva argumentatiilor de tipul “Nu mi se poate intampla tocmai mie!” si justifica apelul la specialisti pentru decelarea si consolidarea zonelor sensibile din arhitecturile de securitate, respectiv crearea unor abordari proactive de abordare a amenintarilor. Altfel, riscul de a pica in “pacatul” supraevaluarii creste vertiginos, cu riscurile aferente si – mai ales! – pagubele inevitabile.