Skip to main content

Securitate cibernetică

20 iunie 2024

 

Aducerea sălii de consiliu pe câmpul de luptă cibernetic

Experții în cibernetică instruiesc liderii corporativi să ia decizii cu miză mare care le vor proteja companiile de atacurile ransomware și spyware în creștere, precum și de alte amenințări.

Christine Gibson

Contributor

La începutul anului 2020, un grup extrem de sofisticat de hackeri a reușit unul dintre cele mai răspândite atacuri cibernetice din istorie. Se crede că lucrează pentru guvernul rus, aceștia s-au infiltrat în sistemele informatice ale unui dezvoltator de software de management IT numit SolarWinds și au încorporat cod malițios în linia de instrumente de monitorizare a companiei.

Până în iunie, malware-ul le oferise hackerilor acces la mecanismele interne ale sutelor de agenții federale și companii din topul Fortune 500. Până când a fost detectat atacul cibernetic, grupul avea la dispoziție luni întregi de zile pentru a spiona operațiunile guvernamentale și corporative.

Atât pentru sectorul public, cât și pentru cel privat, incidentul a servit ca un semnal de alarmă în fața unei amenințări în continuă creștere. Atacurile cibernetice sunt la fel de vechi ca internetul, dar în ultimii ani au devenit mai sofisticate, insidioase și distructive. Deși pierderile directe raportate în urma atacurilor cibernetice sunt mici, în jur de 500.000 de dolari, Fondul Monetar Internațional a raportat recent că riscul unor pierderi extreme - de cel puțin 2,5 miliarde de dolari - a crescut.

Având în vedere cât de mari sunt mizele, responsabilitatea de a proteja o corporație de atacurile cibernetice revine membrilor săi de rang înalt: consiliul de administrație. O parte crucială a sarcinii sale actuale este de a evalua dacă există cultura și guvernanța potrivite pentru a proteja sistemele companiei de amenințările cibernetice, iar pentru a face acest lucru, au nevoie de o înțelegere nuanțată a riscului cibernetic.

„Consiliile de administrație trebuie să fie perspicace din punct de vedere financiar, desigur, dar trebuie să fie și perspicace din punct de vedere cibernetic”, spune Ron Green, bursier în domeniul securității cibernetice la Mastercard și fost director de securitate. „Ei se confruntă cu această provocare în fiecare zi, fie că știu sau nu.”

Totuși, acest nivel de expertiză este rar întâlnit în rândul directorilor. Doar 12% din consiliile de administrație ale companiilor din S&P 500 includ un specialist în securitate cibernetică, spune Kimberly Cheatle, directoarea Serviciilor Secrete din SUA, citând un studiu din 2023 realizat de NightDragon, o firmă de capital de risc care finanțează companii de securitate cibernetică, și de Diligent Institute.

Pentru a ajuta directorii să își protejeze companiile - și concetățenii - de criminalitatea cibernetică, Mastercard a dezvoltat un curs de instruire, Cybersecurity Board Academy, în colaborare cu Serviciul Secret al SUA, Agenția pentru Securitatea Cibernetică și Infrastructură, Asociația Națională a Directorilor Corporativi și NightDragon. „Aceasta este o oportunitate cu adevărat unică de a începe să eliminăm acest decalaj”, spune Cheatle.

Prima sesiune a Academiei Consiliului Directorilor CISA și a Serviciilor Secrete, care a avut loc marți la Centrul de Instruire James J. Rowley al Serviciilor Secrete din South Laurel, Maryland, a reunit directori corporativi și experți din industrie pentru a explora stadiul actual al tehnologiei în domeniul protecției rețelelor digitale.

 

Ron Green, bursier Mastercard în domeniul securității cibernetice, se adresează directorilor corporativi care participă la o sesiune de instruire privind riscul cibernetic și reziliența, desfășurată la începutul acestei săptămâni în Maryland. (Credit foto: Rebecca Abraham)

„Am vrut să ne asigurăm că consolidăm acea conectivitate”, spune Jen Easterly, directoarea CISA. Sectorul privat, spune ea, „evident că nu ar trebui să se aștepte să înfrunte singur actorii sofisticați ai statului-națiune.” „Așadar, pune un accent real pe creșterea și consolidarea conectivității dintre sectorul public și sectorul privat.”

Lucrând împreună pentru protejarea infrastructurii naționale

Într-o lume din ce în ce mai interconectată, securitatea cibernetică trebuie să fie un efort de echipă. Așadar, Mastercard și partenerii săi au invitat directori din companiile Fortune 500 și mulți reprezentanți ai infrastructurii critice din SUA pentru a învăța direct de la experți guvernamentali și din industrie. Într-o programă de curs bazată pe principiile NACD și ale Internet Security Alliance pentru o supraveghere eficientă a riscurilor cibernetice, participanții au discutat despre amenințări, guvernanță, protecție și reziliență, construind o bază de bune practici pentru apărarea cibernetică continuă.

În cadrul acestor atacuri, pagubele pot depăși cu mult limitele financiare, actori infracționali și susținuți de stat organizând campanii de spionaj sau încercând să dezactiveze infrastructura națională critică. Nicio instituție nu este interzisă. Spitalele, sistemele școlare, laboratoarele de cercetare medicală, administrațiile statale și locale - toate au devenit ținte. Și, deoarece o mare parte din infrastructura SUA este deținută de entități private, sectorul de afaceri joacă un rol crucial în apărarea civilă.

„Găsirea unor modalități de a fi vigilenți în această privință în numele companiilor noastre - în numele țării noastre - este esențială pentru ceea ce facem”, a declarat Stephen Jennings, director independent la producătorul de cipuri Analog Devices, care s-a numărat printre cei 16 directori care au participat la sesiunea inaugurală. „Înțelegem mai bine capacitățile de aplicare a legii, cele mai recente tendințe, cele mai recente riscuri.”

„Securitatea cibernetică trebuie să fie un efort colectiv, iar acum putem avea mai multă influență între industrie și sectorul public pentru a o combate în viitor.” Amenințarea nu va dispărea prea curând. „Aceasta va fi o luptă continuă.”

Stephen Jennings

Programul creează, de asemenea, un parteneriat public-privat continuu, astfel încât participanții să poată continua să învețe unii de la alții și să fie cu un pas înaintea amenințărilor. Membrii consiliului de administrație pot accesa o rețea tot mai largă de expertiză în domeniul securității cibernetice, în timp ce CISA și Serviciul Secret au o cale de a oferi feedback pentru a-și ajusta mesajele către sectorul privat în general.

„Securitatea cibernetică trebuie să fie un efort colectiv, iar acum putem avea mai mult efort între industrie și sectorul public pentru a o combate în viitor”, spune Jennings. „Amenințarea nu va dispărea prea curând.” „Aceasta va fi o luptă continuă.”