Imaginați-vă că mâine trebuie să plătiți salariile tuturor angajaților, iar o grupare de hackeri tocmai a preluat controlul întregului sistem informatic al firmei. Așa că nu mai știți cui și ce sume să plătiți și nici în ce conturi bancare să virați banii.
Timpul vă presează. Fie achitați răscumpărarea pe care v-o cer hackerii, în speranța că vă vor lăsa în pace, fie chemați o firmă de securitate cibernetică în care să vă puneți toată încrederea.
Mai mulți antreprenori români s-au trezit în astfel de situații critice, în ultimii 2 ani, spune Patrick Schraut, director de securitate cibernetică la NTT DATA EMEAL.
Invitat la București, la ITUPP, cea mai mare conferință de infrastructură digitală din telecomunicații din lume, specialistul a explicat – într-un interviu acordat spotmedia.ro - cum pot fi prevenite astfel de situații de criză. Iar atunci când nu mai e nimic de făcut, cum poate fi gestionat atacul informatic.
NTT DATA este o companie multinațională de consultanță și tehnologie a informației cu sediul central la Tokyo (în Japonia), dar care este prezentă pe mai multe continente.
NTT DATA EMEAL are filiale în Europa, Africa Orientul Mijlociu și America Latină.
Pe măsură ce digitalizăm, se înmulțesc și atacurile cibernetice. De ce avem mai multe atacuri?
În linii mari, schimbările țin, într-adevăr, de numărul de atacuri cibernetice, aflat în creștere, dar și de intensitatea lor.
În fiecare țară în care lucrăm, câte o companie are probleme din cauza atacurilor cibernetice în fiecare săptămână.
În trecut, atacatorii cibernetici reușeau să capete acces la un server. Și extrăgeau date de pe acel server. Nu era o situație chiar fericită, dar compania putea, totuși, supraviețui.
Dar ceea ce vedem - de la începutul acestui an - este că modul de lucru s-a schimbat. Atacurile vizează acum întregul sistem informatic al companiei. Iar atacatorii nu mai extrag date de pe un server – cum făceau până acum – ci criptează toate serverele companiei.
Imaginați-vă ce înseamnă asta! Ești la finele lunii și toate sistemele tale informatice au căzut. Nu poți da salariile. Practic, n-ai cum să faci plățile din cauză că: nu știi numele tuturor angajaților tăi, nu știi ce salariu are fiecare și nu știi contul în care să îi virezi fiecăruia banii.
Sau hai să ne gândim că ai fabrică. Chiar dacă partea de producție funcționează, cu serverele căzute n-o să poți livra absolut nimic, din cauză că pur și simplu nu poți gestiona partea logistică.
Astea sunt atacuri de tip ransomware (lansate cu intenția de a obține o recompensă – n.red.), nu?
Da, putem vorbi despre ransomware aici. E un tip de atac lansat masiv, în ultima perioadă.
Totul s-a transformat deja într-o afacere. Atacatorii lucrează business-to-business. Recrutează talente. Au pagini proprii pe care prezintă informații despre atacurile pe care le-au lansat.
Publică liste cu firmele cărora le-au criptat serverele. Și sunt prezentate distinct companiile care au plătit răscumpărarea cerută și și-au recâștigat accesul la date.
Sunt prezentate și firmele atacate care n-au vrut să plătească răscumpărare. Unora li se divulgă public datele interne.
Antreprenorul care plătește răscumpărarea are, totuși, vreo garanție că atacatorii nu-i vor cripta serverele din nou, a doua zi?
Recomandarea noastră este, oricum, să nu plătescă, din mai multe motive.
Primul motiv: atacatorii au criptat datele în timp ce sistemele informatice rulau. Așa că – și dacă primești cheia de decriptare – șansele să îți recuperezi într-adevăr toate datele sunt mai mici de 60%.
Apoi – după cum spuneam deja – dacă plătești, atacatorii te vor include în portofoliul lor.
Și va fi publica, pe Internet, informația că firma ta a fost atacată și că a plătit răscumpărarea solicitată.
Același grup care ți-a criptat serverele și apoi ți-a dat, contra cost, cheia de decriptare nu te va mai ataca. Ba dimpotrivă, odată cu cheia de decriptare, grupul îți va da și informații despre cum ți-au accesat sistemele și care îți sunt vulnerabilitățile, ca să le remediezi.
Dar de vreme ce se știe că ai plătit o dată, într-adevăr, ce garanție ai că nu te va ataca un alt grup? Sunt multe pe piață.
Și mai e un motiv să nu plătești. Dacă o faci, cu banii respectivi susții, de fapt, crima organizată. Finanțezi niște grupuri care, cu banii tăi, își vor spori capacitatea de a lansa atacuri informatice.
Dar sigur înțeleg că există situații în care n-ai încotro și plătești, din cauză că fără datele care ți-au fost criptate ai ajunge în faliment.
Dar cu titlul general, recomandarea rămâne aceeași: nu plătiți răscumpăre!
Ce poate face, totuși, antreprenorul, odată ce serverele i-au fost atacate și nu mai are acces la datele sale? În acea etapă, mai are rost să ceară ajutorul unei companii de securitate cibernetică? NTT Data, spre exemplu, intervine în astfel de cazuri?
Da, sigur, NTT DATA poate interveni în astfel de cazuri. Și chiar o face. Doar că e cea mai scumpă variantă de intervenție la care poți apela.
Noi am cumpărat mai multe tiruri în care am amenajat centre de date. În interiorul tirului sunt echipamentele, iar pe acoperiș este o antenă parabolică.
Dacă ne suni, venim cu aceste centre mobile de date într-un interval cuprins între 2 și 4 ore. Și ne asigurăm că ești înapoi pe linia de plutire în câteva ore, ca să poți primi emailuri, telefoane ș.a.m.d.
Și apoi – după rezolvarea situației de criză - putem începe să reconstruim.
Am intervenit, în acest fel, pentru o companie cu 40.000 de clienți. A fost ținta unui atac de tip ransomware. Totul era criptat. Am mobilizat circa 120 de oameni ca să readucem compania online.
Deci se poate, dar acea situație e critică. N-ai vrea să ajungi vreodată acolo.
Au fost și în România atacuri la care să interveniți cu tirurile în care sunt amenajate centre de date?
Sigur că da.
De câte ori s-a întâmplat?
Nu de atât de multe ori ca în alte țări. Aș spune că au fost mai puțin de 20 de astfel de intervenții, în ultimii 2 ani.
În alte țări am avut mult mai multe intervenții de tipul acesta. Dar pe măsură ce trece timpul, astfel de atacuri se vor înteți și în România ...
Ce e mai ieftin: să plătești NTT DATA să intervină cu centrele mobile de date sau să-i plătești pe atacatori să îți dea cheia de decriptare a datelor?
Cred că în unele cazuri, la prima vedere, ți s-ar putea părea mai ieftin să-i plătești pe atacatori. Dar pe termen lung, de fapt, vei ajunge să plătești, de fapt, mai mult. Fără doar și poate.
Cum vă spuneam: se va afla că ai plătit atacatorii ca să îți rezolvi problema. Deci ai putea fi vizat și de alte grupuri.
Și, în plus, chiar dacă îi plătești pe atacatori și îți rezolvi problema astăzi, oricum va trebui să investești, ulterior, în securitate cibernetică, astfel încât să nu mai ajungi în aceeași situație.
Multe companii amână investițiile în securitate cibernetică. Dar cumva, după ce cad victime unui atac masiv, banii nu mai sunt o problemă. Iar companiile sunt dispuse să plătească oricât e nevoie pentru siguranța lor.
De ce se întâmplă lucrurile astea, la o intensitate atât de mare? Devin atacatorii mai pricepuți?
E pur și simplu un business foarte, foarte profitabil. Și atunci e de așteptat ca, acolo unde afacerile merg bine, să apară și criminalii care vor să facă bani.
Chiar îmi amintesc despre un grup de atacatori care s-a retras de curând. Au postat pe site-ul lor un mesaj prin care transmiteau că au făcut deja peste 2 miliarde de dolari. Și le ajunge, se retrag.
Și ăsta este doar unul din 30-40 de grupuri similare.
De regulă, în relația cu crima organizată, statul și companiile reacționează. Dar arareori am auzit să fie cu un pas înainte, să prevadă și să blocheze amenințările. Reușiți să țineți pasul cu intensificarea amenințărilor cibernetice?
De fapt, cam ăsta e standardul, în industrie. În 99,99% din cazuri depistăm amenințarea și prevenim consecințele nocive ale unui atac.
Pentru noi, NTT DATA, un mare avantaj este mărimea companiei și faptul că nu ne ocupăm numai cu consultanță în securitate cibernetică.
Când navighezi pe Internet, gândește-te că 4 din 10 pagini pe care le accesezi sunt rutate prin serverele noastre.
În plus, noi avem peste 12 centre de operațiuni, la nivel global. Iar acolo procesăm lockfiles (fișiere jurnal – n.red.) de la peste 120.000 de clienți care gestionează milioane de sisteme informatice.
Le analizăm în timp real. Și acolo, în centrele noastre de date, în urma analizelor pe care le facem, depistăm aceste atacuri. Vedem toate tipurile de atacuri.
Și vă spun, creșterea e masivă, în ultima perioadă.
Există amenințări mai periculoase decât altele?
Sunt exploit-urile (secvențe de cod, succesiuni de date sau seturi de comenzi ce profită de o vulnerabilitate în scopul de a determina o funcționare nedorită – n.red.) cunoscute. Cele pe care le știm, le identificăm și le blocăm.
Și mai sunt așa zisele exploits 0Day.
Când ești vizat de amenințările 0Day, devii, de fapt, prima victimă a acelui tip de atac. Nu există încă soluții împotriva acelei amenințări.
Securitatea funcționează în felul următor: când ești victima unui atac nou, antivirusul tău, să spunem, învață. Și ulterior îi va proteja pe toți clienții de acea amenințare nouă.
Dar pentru că sunt noi și nimeni nu are soluții împotriva lor, exploit-urile 0Day sunt foarte scumpe.
Există o piață pentru aceste tipuri de amenințări informatice. Le poți cumpăra. Doar că – dacă vrei să ataci un iPhone, spre exemplu – s-ar putea să fie nevoie să scoți milioane din buzunar pentru un exploit 0Day.
De aceea, exploit-urile 0Day sunt foarte rar folosite. Și când totuși sunt folosite, scopul este un atac dedicat, nu unul care să vizeze mii de utilizatori, în același timp.
Cât de des apar astfel de amenințări noi, 0Day, pe piață?
Zilnic. Chiar avem clienți care încep de aici și ne întreabă: cum mă feresc de așa ceva?
Eu sunt de părere că, înainte să te aperi de exploit-urile 0Days, e bine să încerci să vezi care îți sunt vulnerabilitățile și se te ocupi de ele. Să te protejezi împotriva amenințărilor utilizate frecvent.
Ca să îți răspund la întrebare: suntem foarte bine pregătiți să facem față exploit-uilor cunoscute și – în baza experienței noastre – suntem gata să abordăm foarte repede exploit-urile 0Days.
Conduceți NTT DATA EMEAL, care deservește și America Latină, Orientul Mijlociu și parte din Africa. În toate aceste regiuni, sunt zone unde e periculos chiar și să mergi pe stradă. Mult mai periculos decât oriunde în Europa și decât în România. La fel stau lucrurile și în lumea digitală?
N-am observat o astfel de tendință.
În lumea digitală, cele mai multe și mai mari amenințări sunt acolo unde se pot face bani.
Virusurile și malware-ul caută adrese IP, nu țin cont de granițe. Atacatorii caută companii cu bani. Pot fi companii cu bani din China, din SUA, din Africa, din Europa ... nu contează. Atacatorii se duc după bani.
Per total - cu toate datele despre care vorbeați la dispoziție - ați spune că lumea digitală devine, pe zi ce trece, un loc mai sigur? Sau dimpotrivă?
N-aș putea să spun.
Părerea mea este, însă, că digitalizarea – pentru care avem nevoie și de cybersecuritate bună – ne aduce un câștig mult mai valoros decât banii pe care îi investim în noile tehnologii.
Sunt atâtea lucruri la care nici nu ne gândeam acum 10 ani și care au devenit posibile.
Vorbesc despre operațiile chirurgicale la distanță, spre exemplu. Gândiți-vă ce ar însemna un astfel de sistem de chirurgie fără securitate cibernetică adecvată. Un atac cibernetic ar putea ucide oameni!
Avem drone care distribuie medicamente oamenilor. Trebuie să ne asigurăm că ele nu sunt deturnate. Și cum faci asta? Cu securitate cibernetică.
Progresul tehnologic este major. Dar trebuie să ne asigurăm, în permanență, că tehnologia funcționează în siguranță.
Dacă mai întâi creezi tehnologia și abia apoi te gândești la siguranță, te va costa enorm ca să faci lucrurile cum trebuie.
Dar dacă te gândești de la început la siguranță, atunci ea va deveni încă un capitol pe care îl ai de parcurs, în proiectul tău. Și vei ajunge ușor la o tehnologie sigură.
Cred că, din acest punct de vedere, multe companii ar trebui să își schimbe mentalitatea.