Rolul critic al securității supply-chain în creșterea rezilienței la atacurile cibernetice
Autor: DCBusiness Team | 15 oct, 17:57
Sergiu Zaharia, Cyber Security and Privacy Officer Huawei Romania & Moldova și Oana Buzianu, vicepreședinte Wintech au discutat, la DCNews și DCBusiness, despre securitatea supply-chain.

În opinia lui Sergiu Zaharia, amenințările de securitate afectează întreg lanțul de aprovizionare. O mare parte din ținte sunt atacate prin intermediul partenerilor de afaceri, care nu au luat din timp măsuri eficiente de protecție cibernetică.

”Un procent de 83%, dacă nu mă înșel, din furnizorii care au fost compromiși, prin care s-a lansat apoi atacul către organizația țintă, sunt companii din sectorul tehnologiei. Iar cei care au fost atacați, de multe ori nu sunt din domeniul tehnologic. Si atunci, tu, dacă nu te pricepi așa de mult la tehnologie, ai mai multă încredere în cineva care se pricepe. Și tocmai acolo este paradoxul pentru că acei furnizori care ofereau diverse servicii IT&C nu au fost suficient de bine pregătiți pentru a contracara atacuri care, în jumătate din cazuri, sunt lansate de grupuri APT - Advanced Persistent Threat, adică grupuri care au resurse foarte mari, sunt insistente, atacă șase luni doi ani dacă e nevoie. 

Dar, dacă ne gândim la paradoxul acesta al încrederii eu sunt un retailer și cred că un furnizor de cloud este mai sigur decât mine, adică înțelege partea de securitate cibernetică mai mult și poate ca eu dacă sunt un retailer nici nu am capabilități să testez soft-ul pentru că există conceptul Trust, but verify; am încredere în furnizori dar poate mă iau din când în când niște module software și le scanez eu sau angajez o companie terță care oferă astfel de servicii și îmi dau seama dacă sunt vulnerabilități pentru că acum nu există tehnologii care să poată să analizeze partea asta de soft.

Această încredere vine din faptul că eu mă folosesc de niște organizații care furnizează tehnologie si, pentru a crește nivelul de încredere, trebuie să am o relație foarte bună cu acel furnizor și să fac un Supply Chain Risk Management,care analizează furnizorii și își dau seama că unii răspund la nevoile mele de securitate.

G Ad:

Undeva la 50-60% dintre companiile respective țintă nu au modificat procesul lor de Procurement, au o relație de Trust blind.

Nu mai există conceptul de protecție 100%. Trebuie să te pregătești pentru impact. Dacă ai un grup APT - Advanced Persistent Threat care te atacă constant, este clar că undeva tu ai fost compromis. Dar ce înseamnă să te pregătești de impact înseamnă că deși ai fost compromis și deși acel grup, de exemplu, vrea să-ți ia datele, tu trebuie să ai niște măsuri ca să eviți ieșirea acelor date în afară, și există tehnologii care sunt destul de mature la acest moment, și atunci tu ești pregătit de impact. Ai pe cineva înăuntru care încearcă să-ți ia datele dar nu poate să le scoată pentru că tu vezi”, declară reprezentantul Huawei Romania & Moldova.

Oana Buzianu subliniat că un rol foarte important în prevenirea pagubelor unor atacuri informatice îl are educația personalului.

”Aș adăuga educația personajului insuficient implicat. Ce înseamnă un clic pe un atașament care poate să producă dezastre. Degeaba eu ca organizație am controale tehnice adecvate. Degeaba investesc în aplicații automatizate în managementul riscului în Enterprise Manager. Dacă nu există acel echilibru între o soluție tehnică complexă potențial inutilizabilă de către personalul meu nepregătit suficient împotriva atacurilor. Nu cred că există o organizație care să protejeze sau să se protejeze și să protejeze 100%. Totul se învață din din acele lesson learned. Odată ce am fost atacat, știu să împiedic cel puțin atacuri similare”, a menționat vicepreședintele Wintech.

În ceea ce privește protecția datelor cu caracter personal, Sergiu Zaharia spune că acțiunile de prevenție, incluse chiar și în GDPR, trebuie dublate de o serie de tehnologii care analizează comportamentul.

”Când un furnizor de automobile din acestea transmite pachete de date către alți furnizori, astfel încât datele să rămână confidențiale legate de traseele anterioare și așa mai departe din motive de privacy. Există atacuri care încearcă să detecteze data set-ul anterior de instruire și atunci dacă ne gândim la un Supply Chain de know how, pentru că nu există numai de servicii, tu, pentru ca să dezvolți un automobil autonom în viitor, ai nevoie de know how de la mai mulți furnizori dar asta duce la un risc major de acces la datele care au intrat în procesul de instruire al celorlalți, adică oameni poate care au mers cu mașini ce pedale au apăsat ce butoane dacă au fost șoferi umani sau alte elemente de prevedere. Deci trebuie să ne așteptăm în viitor și la un un nou tip de atac pe zona de supply chain de know how nu numai de date de de procese produse servicii și așa mai departe”,  a mai spus Zaharia.

Citește și: Câștigătorii crizei de semiconductori: Profituri ridicate pentru TSMC, liderul mondial de microcipuri

La rândul său, Oana Buzianu a menționat că GDPR trasează foarte clar limitele în care pot acționa companiile pentru protecția eficace a datelor.

”Regulamentul general de protecția datelor cu caracter personal, în articolul 28, a venit în sprijinul acestui ecosistem cu niște dispoziții specifice pe relația operator împuternicit și lanțul de aprovizionare respectiv toate principiile de protecție a datelor și nu doar securitatea să fie tratate corespunzător, adică transmiți principiul securității și cerințele de securitate în organizația subcontractantului prin lanțul de aprovizionare. Pentru asta același articol 28 limitează operatorul la utilizarea unor împuterniciți care nu pot oferi garanții specifice cu privire la implementarea unor măsuri tehnice și organizatorice, spune regulamentul, adecvate pentru respectarea protecției datelor.

Această idee de garanții suficiente cuprinde mai mult decât crearea unui contract, deși utilizarea contractului este un mecanism cheie de control, dar se concentrează pe dovezile asupra competenței persoanelor împuternicite subcontractanților din din lanțul de aprovizionare.

Dacă eu nu pot prezenta garanții suficiente că pot aplica măsuri tehnice și organizatorice corespunzătoare atunci externalizez către o terță parte cum ar fi furnizorul de cloud, care mă asigură că riscurile mele sunt diminuate prin externalizare și verificarea corespunzătoare a acestor riscuri se face conform legii conform regulamentului”, a declarat Oana Buzianu.

 

Ştiri Recomandate

Horoscop. Decembrie, luna SUCCESULUI pentru aceste zodii

Ultima lună a anului 2021 va fi o perioadă puternică din...

COVID-19. Indignare la OMS: Așa nu mai merge! Trebuie făcut

În actuala conjunctură a pandemiei este prioritar "să...

Crossuri parteneri
Crossuri parteneri
DCMedical.ro
DCMedical.ro
DefenseRomania.ro
DefenseRomania.ro
StiriDiaspora.ro
StiriDiaspora.ro
DCNews.ro
DCNews.ro
Spectacola.ro
Spectacola.ro