Mediul economic din România este în punctul în care din ce în ce mai multe procese se mută din mediul fizic în online, iar pandemia a forțat multe business-uri să adopte un stil de lucru hibrid sau chiar remote, ceea ce a dus la o creștere semnificativă a atacurilor cibernetice, atât în densitate, cât și în intensitate. La întrebările despre măsurile pe care companiile le pot lua pentru a se proteja împotriva amenințărilor cibernetice, dar și ce prevede legislația în domeniu, a răspuns Enis Arif, Manager de produs Servicii de Securitate certSIGN.
1. Care sunt principalele probleme cu care se confruntă firmele mici și mijlocii în ceea ce privește securitatea cibernetică?
”În contextul actual nu se mai pune problema dacă, ci când vei fi supus unui atac, astfel firmele mici și mijlocii, chiar dacă nu își dau seama, sunt foarte vulnerabile în fața atacatorilor. Atacurile pot fi targetate intenționat asupra respectivei companii din diverse motive sau pot fi chiar neintenționate. În plus, se folosesc foarte mult device-urile personale pentru a accesa resursele companiei – e-mail, aplicațiile interne ale companiei, iar toate acestea duc la vulnerabilități despre care multe companii, mai ales cele mici, nu sunt întotdeauna conștiente.
În general, corporațiile au deja sistemele puse la punct pentru că, fiind vorba de companii cu mulți angajați și multe resurse de accesat, se simte nevoia implementăriii unor politici și reguli. Pericolul mai mare este la o companie cu număr mic de angajați, care de multe ori neglijează aspectele acestea.”, a precizat Enis Arif.
2. Ce ar trebui să facă firmele mici și mijlocii din punct de vedere al legislației?
”Aici este o capcană în care cad destul de mulți. Din 2018 a apărut Legea nr. 362 care implementează directivele privind securitatea rețelelor și informațiilor sau directivele NIS. Ele sunt transpuse în legislația românească și vin cu niște obligații pentru firmele din România și deși această lege pare a fi făcută pentru prestatorii de servicii esențiale, se aplică multor alte companii care nu sunt poate conștiente de lucrul acesta.”, a subliniat colegul nostru.
Companiile, indiferent de mărimea lor, ar trebui în primul rând să implementeze aceste măsuri minime de igienă cibernetică. În primul rând să-și pregătească personalul și să-l instruiască pentru a înțelege riscurile la care sunt expuși în mediul online, pentru a ști cum să reacționeze în momentul în care primesc un e-mail care pare suspect. Trebuie să-și implementeze proceduri prin care să aibă periodic audituri asupra sistemelor IT folosite în companie, pot folosi servicii de scanare de vulnerabilități care sunt oferite în piață de multe companii, inclusiv certSIGN.
3. Care ar fi câteva măsuri pe care le recomanzi firmelor mici și mijlocii și nu numai, pentru a se proteja?
Iată mai jos câteva măsuri pe care orice companie le poate lua pentru a oferi un minim de protecție datelor sale:
- educația – instruirea personalului și existența unor proceduri foarte clare despre ce, cum, când și de către cine se face accesul la date, proceduri care să poată fi urmărite, auditate;
- protecție suplimentară în ceea ce privește acces controlat în birourile companiei și la resursele acesteia;
- proceduri periodice de back-up a datelor importante;
- detecție la nivel minim – să existe un antivirus instalat pe fiecare stație, un firewall;
- pregătire pentru răspuns la un atac – recuperarea datelor, restabilirea serviciilor, a site-ului în cazul în care a fost atacat, PR, comunicare media – dacă au fost furate conturi sau date ale cardurilor.
”Primul pas este conștientizarea riscurilor de a avea atacuri asupra datelor companiei. Într-un fel sau altul ele pot fi atacuri de natură informatică, cum ar fi spargerea site-ului, până la un spionaj economic sau în a targeta un angajat ori a anumitor angajați, pentru a obține informații. Acestea pot fi obținute prin tot felul de metode: de phishing, de smishing. E-mailurile de phishing sunt din ce în ce mai complexe, astfel că poți fi păcălit foarte ușor dacă nu ai fost instruit înainte de a te lovi de ele.” a completat Enis Arif.