Perioada pandemică prin care trecem a pus o presiune și mai mare asupra echipelor de răspuns la incidente informatice. Ca și cum această situație nu era suficientă, tacticile și metodele folosite de atacatorii cibernetici s-au diversificat și au crescut în complexitate. Toate acestea au dus la o creștere fără precedent a cazurilor în care date informatice ale unor companii foarte mari au fost expuse public, iar consecințele au fost în multe cazuri foarte grave: sancțiuni din partea statelor unde activau, prestigiul afectat ori pierderi financiare ca urmare a acțiunilor întreprinse pentru remediere.
Această realitate a dus către o conștientizare și mai mare a importanței care trebuie oferită protecției securității informațiilor iar acest lucru s-a văzut deja prin plasarea acestui departament printre locurile fruntașe în ceea ce privește investițiile.
Analizând evoluția celor mai bune practici în vederea creșterii rezilienței împotriva atacurilor informatice, se observă o schimbare în strategia factorilor decidenți dintr-o companie prin implementarea unor măsuri menite să sporească securitatea datelor informatice. Acest lucru reprezintă un pas foarte important marcând o tranziție de la o strategie prin care această zonă era una dacă nu ignorată, în cel mai bun caz aflată în coada priorităților. Accentul se punea pe rapiditatea cu care informația circula și nu pe asigurarea confidențialității și integrității acesteia.
Până nu demult, într-una din cele mai sensibile industrii, cea bancară, simpla deținere a unui cont de utilizator și a unei parole era suficientă pentru a efectua operațiuni financiare. Evident că această situație a dus în timp la dezvoltarea unei întregi cazuistici constând în transferuri neautorizate de sume de bani din contul unor persoane de bună credință în altele deținute de atacatori. Luând doar acest exemplu se observă că lucrurile au evoluat foarte mult, în prezent
fiind necesar un număr de operațiuni suplimentare pentru a efectua o simplă plată, autentificarea făcând-se în mai mulți pași, simpla deținere a unui cont de autentificare și a unei parole nemaifiind suficientă. Ca măsură de siguranță suplimentară și băncile au investit în echipe care monitorizează tranzacțiile suspecte și alertează clientul în momentul în care detectează o potențială activitate frauduloasă.
Toate aceste schimbări au fost posibile și printr-o colaborare mai puternică între persoanele îndreptățite cu securitatea datelor informatice, precum CIO sau CISO, cu departamentele de business, cele din urmă conștientizând importanța protejării datelor cu care ei lucrează precum și ale clienților. Se poate observa că în ultimii doi ani au crescut raportările cu privire la situația securității informației către consiliile de conducere, demers solicitat, în cele mai multe cazuri, chiar de către acestea pentru a fi la curent cu riscurile la care se expun pe această arie.
Consecințele schimbării
O consecință logică a acestei schimbări de strategie este și creșterea bugetului alocat pentru investiții în zona de protecție a informației. Deloc surprinzător este faptul că acele companii care au experimentat deja un atac informatic, chiar și unul relativ minor, se așteaptă ca în următorii ani să-și crească investițiile în această zonă. Piața se mișcă însă diferit în funcție de experiențele pe care le-au avut companiile. Dacă unele au decis să investească în soluții de detectare a intruziunilor în rețeaua lor ori măsuri de prevenire și stopare a e-mail-urilor dăunătoare, altele s-au orientat către soluții de „Multi-Factor Authentication” (autentificare în mai mulți pași) sau către tehnologii care să îmbunătățească autorizarea și controlul accesului la resursele companiei.
Poate cea mai întâlnită situație este cea a externalizării serviciilor de răspuns la incidentele informatice. Companiile au realizat că eficiența investiției masive în soluții de securitate este mult diminuată dacă nu este dublată și de profesioniști care să știe cum să le integreze și interconecteze astfel încât să maximizeze avantajele acestora.
Un alt exemplu relevant pentru modul în care factorii decidenți au început să pună accent pe investiția în domeniul securității informației este întâlnit în cazul achiziției unei alte entități. Se observă astfel, din ce în ce mai des, o cerere pentru verificarea posibilelor antecedente de natură să scoată la iveală vulnerabilități din trecut pentru compania care este achiziționată.
Cunoscute în domeniu ca „cyber due dilligence”, aceste activități sunt solicitate tocmai pentru a se cunoaște riscurile la care companiile se expun, din punctul de vedere al securității informatice, odată cu achiziționarea unei alte entități și integrarea acesteia în infrastructura deja existentă.
Este celebru cazul unui mare lanț hotelier care a achiziționat unul dintre competitorii săi, iar la o perioadă de timp au suferit o exfiltrare a datelor cauzată tocmai de o vulnerabilitate care se regăsea în sistemele companiei pe care au cumpărat-o. Astfel, în toate titlurile apărute pe acest subiect în acea perioadă se menționa numele lanțului hotelier ca fiind cel responsabil de incident, deși problema inițială a plecat de la compania achiziționată și, din lipsa unui „cyber due dilligence”, a rămas nedescoperită la momentul la care au cumpărat-o.
Spre deosebire de alte departamente, cel de răspuns la incidente de securitate nu are perioade mai puțin aglomerate, fiind supus permanent amenințărilor cibernetice și într-o continuă stare de alertă. Persoanele care au putere de decizie într-o companie sunt, așadar, din ce în ce mai mult în postura de a lua o decizie: implementează o serie de pași simpli spre îmbunătățirea capacității de apărare împotriva atacurilor informatice alocând o parte din investiții în acest sens sau doresc să continue cu o strategie bazată pe reactivitate în care sunt nevoiți să stea în expectativă și să intervină doar când apare un incident. În cel de-al doilea scenariu, s-a dovedit că riscurile asumate sunt uriașe întrucât în foarte multe cazuri prejudiciile cauzate sunt iremediabile.