683 citiri

Cătălin Gligan

Cătălin Gligan este coordonatorul departamentului de marketing al Axel Soft IT Group – distribuitorul exclusiv în România al soluțiilor de securitate informatică ESET.
ESET furnizează soluții care ajută la susținerea conformității cu cerințele GDPR: soluții de criptare a datelor sensibile stocate sau transmise, soluții de autentificare cu doi factori (one time password) și soluții avansate de Data Loss Prevention.


Data Protection Experts 2018

Înregistrarea video

Transcriptul

Cătălin Gligan: Îmi propun ca, prin prezentarea de astăzi, să citez informații de interes dintr-un recent studiu IDC, derulat la comanda ESET, în legătură cu breșele de securitate și cu protecția datelor. Voi încerca, de asemenea – în momentul în care o să vină şi slide-urile, o să fie chiar mai ușor – să exemplific câteva tehnologii care ajută la prevenirea acestor incidente şi profit de această ocazie să vă reamintesc că în mapa ESET, care a fost distribuită către fiecare participant, am pus toate informaţiile, în detaliu, la care face legătura prezentarea mea referitoare, strict, la produsele care ajută la conformitatea cu cerinţele GDPR, alături de instrucţiuni sau indicaţii, prin care dumneavoastră să puteţi să descărcaţi şi să implementați în infrastructura companiei dumneavoastră soluţii de evaluare extinsă, care să vă convingă de eficacitatea lor, pe care să le folosiţi pănă la 60 de zile din durata acestora.

Încep prin a spune că mă numesc Cătălin Gligan, aşa cum am fost şi mai înainte prezentat, activez în cadrul Departamentului de Marketing al Axel Soft IT Group. Acesta este distribuitorul exclusiv în România al soluţiilor de securitate antivirus ESET. Câteva cuvinte şi despre companie, o să profit de acest avans pentru a trece mai rapid prin slide-uri. În spatele tehnologiei ESET, stă o experienţă de 30 de ani în inovaţia în securitatea IT. Compania poate fi regăsită la nivel global, are peste 110 milioane de clienţi în momentul de faţă, aflaţi în peste 200 de ţări. Sunt foarte multe Centre de Research and Development, centre tehnologice pe care le puteţi găsi la nivel global. Unul dintre ele se află chiar în România, la Iaşi. Era util să am și slide-urile. Până la urmă, o să reușin să le și avem. Super. În cazul acesta, începem.

Trecem în viteză, prin această parte introductivă, era partea de agendă. Am încercat eu să exemplific cei 30 de ani, plaja de clienți, Centrele de Research and Development, ajungem în zona de tehnologie cu performanță dovedită, ESET este lider mondial în distincțiile VIRUS Bulletin, acordate de o entitate de certificare din Marea Britanie, dar revin la esența discuției de astăzi. ESET a derulat un studiu IDC, a ales această companie de analiză pentru a afla care sunt tehnicile prin care companiile previn breșele de date. Care sunt lucrurile care îi preocupă şi ce lucruri au experimentat în această privinţă? Pentru acest lucru, IDC a făcut, la comandă, un studiu pe 700 de organizaţii din şapte ţări din Europa. Nu este şi România printre ele, dar profilul lor este foarte apropiat, cel puţin la trei dintre ele, şi aflăm foarte multe lucruri interesante în ceea ce priveşte breșele de date.

Acest aspect este foarte bine corelat cu riscurile care sunt expuse în Regulamentul GDPR. IDC a punctat că, zilnic, sunt 300.000 de sample-uri malițioase care apar. Acest lucru înseamnă că există o cantitate foarte mare de coduri malware şi de atacatori in the wire, cum s-ar spune, care lucrează în fiecare zi pentru a extrage sau a subtiliza date ale companiilor, pentru că acest lucru este foarte uşor de monetizat, ulterior, prin şantaj. Nici măcar nu mai trebuie să fi un tehnician excepţional să faci acest lucru. Există tehnologii în cloud care îţi permit să apelezi la atacuri. Din cele 700 de companii din cadrul studiului,  40% au declarat că au suferit o breşă de date în ultimele 24 de luni. Din cele care au declarat că au suferit o astfel de breşă, 73, scuze, 67 dintre companii au raportat costuri de peste 10.000 de euro, asociate acestor breşe. Cert este că nu fac companiile o evaluare foarte clară a damage-urilor produse, a impacturilor pe care le au, se desconsideră că valoarea este, în realitate, mult mai mare şi cert este că, din momentul în care sfera aceasta – în care este inclus şi GDPR-ul – de reglementare o cuprinde pe cea operaţională, e de aşteptat ca, prin amenzi şi penalităţi, aceste valori să crească considerabil. Pe o scală de la 1 la 5, companiile intervievate au declarat că, pentru ele, foarte importante în ceea ce priveşte securitatea informaţiilor sunt: parolele puternice, criptarea datelor în repaus sau în tranzit sau autentificarea multi-factor. Este foarte interesant faptul că au pus, în continuare, parolele puternice în top. Arată statusul curent al tehnologiei implementate în infrastructura lor, arată ce consideră ei că e eficient, iar, în realitate, parolele sunt foarte slabe în ceea ce priveşte securizarea informaţiilor. Companiile încă nu sunt pregătite să treacă la criptare sau autentificare multi-factori, deşi acestea sunt, de fapt, metodele eficiente de securizare a informaţiilor pe care le păstrează în infrastructură. Am ajuns aici la aspectul soluţiilor de securitate. Ele există şi au un caracter, nu neapărat miraculos, dar foarte eficient, dacă sunt implementate în infrastructura companiilor, pentru că ele se adaugă sistemului – unui sistem anti-malware deja existent – şi asigură companiilor protecţia în faţa breșelor de date, ci şi alinierea cu cerinţe GDPR, de care acestea au nevoie şi sunt soluţii de decriptare, de autentificare prin doi factori a accesului şi soluţiile care previn scurgerile de date.

Criptarea este clar o soluţie eficientă care permite, nu doar protejarea în faţa breșelor de date, ci şi la alinierea eficientă cu cerinţelor GDPR. În art. 32 din securitatea proceselor, se precizează că anonimizarea şi criptarea datelor cu caracter personal protejează informaţiile vulnerabile din companii în caz de furt şi pierdere şi reprezintă o metodă simplă, stabilă şi solidă de protejare a informaţiilor critice. Notificarea breşelor de securitate se face, teoretic, către Autoritate, într-un interval de numai 72 de ore, dar există o obligativitate să se facă şi către persoanele vizate, dar ea nu mai este necesară dacă datele care au fost sustrase sau compromise în urma incidentului au fost anterior anonimizate. Această procedură face ca criptarea să fie considerată o garanţie suficientă pentru a exclude riscurile şi consecinţele implicite pentru reputaţia corporativă, în cazul în care compania ar trebui să comunice tuturor celor implicaţi în breşa de securitate că acest lucru s-a petrecut. Ce înseamnă, cât de eficientă este criptarea, de ce este ea luată în calcul în cadrul DGPR ca o metodă eficientă? Dacă ar fi să luăm un exemplu pentru a testa, prin forţă brută, o cheie de 128 de biți AES, ar fi nevoie ca fiecare din cei 7 miliarde de oameni de pe Pământ să testeze, în fiecare secundă, un milion de chei, vreme de aproximativ 1,5 trilioane de ani. Se poate, după cum se vede, dar durează. Revenim la criptare. Statistic vorbind, atacurile din exterior derulate asupra infrastructurilor din companii sunt cauza cea mai plauzibilă a breşelor de date, cea care a fost înregistrată până acum. Criptarea este o soluție foarte eficientă, pentru că previne orice risc cu privire la breșele de date, din moment ce datele au fost criptate. De asemenea, un al doilea risc foarte important este ca dispozitivele furate sau dispozitivele din companie să fie furate sau pierdute. Este, probabil, cel mai plauzibil scenariu pentru companiile mici, care să spunem că nu sunt neapărat în vizorul hackerilor, dar care trec foarte ușor prin aceste scenarii. În acest caz, criptarea laptop-urilor sau a stick-urilor USB este, cu adevărat, o metodă foarte eficientă la adresa datelor cu caracter critic.

Soluţia ESET se numeşte ESET Endpoint Encryption, este cea la care am vrut să ajung în momentul de faţă. Este o soluție cu implementare simplă, interacţiune minimă cu utilizatorul, este o cerinţă esenţială şi un proces complet transparent de criptare. Este, în plus, o soluţie foarte flexibilă. Ea permite criptarea integrală a hard discului, a unor partiții sau doar a unor fişiere şi foldere din PC. Este foarte important că soluţia se implementează la nivel de client Outlook email. Acest lucru înseamnă că există opţiunea de criptare selectivă a email-urilor pe care le dorim, care conţin informaţii confidenţiale. De asemenea, soluţia permite criptare de text şi de clipboard pentru orice clienți, email, inclusiv pentru webmail. În plus, merită menţionat că soluţia dispune de o interfaţă de administrare centralizată a tuturor cheilor de criptare, dispunând inclusiv de o interfaţă web, pe care se poate face managementul centralizat al cheilor de criptare. Soluţia avansată este adresată companiilor de mari dimensiuni, care scuteşte foarte mult efort în identificarea cheilor de criptare, pentru că toate aceste procese se fac automat.

O altă soluţie care este esenţială în această arhitectură şi care şi ea contribuie la o conformitate cu GDPR, este cea de securizare a autentificării. Parolele one time password sunt foarte eficiente, pentru că, fiind generate aleator, ele nu pot fi nici prezise şi nici reutilizate. Acest lucru ajută, categoric, la conformitatea cu GDPR, pentru că validează excelent identitatea utilizatorilor. Soluţia ESET se numește ESET Secure Authentication. Practic, ce se întâmplă? Angajaţii, la momentul în care accesează reţeaua companiei, mai ales din exterior, primesc prin SMS sau generează pe propriul smartphone o parolă care dublează şi întăreşte procesul de autentificare tradiţional prin user şi parolă. Apare această parolă unică, prin care vizitatorii pot să acceseze resursele companiei. Discutăm aici de VPN, de Outlook Web Access, de Sharepoint, de Dynamics, dar şi de aplicaţii personalizate pe care le are compania, la care se poate implementa soluția via APPIA. Se rezolvă, astfel, problema parolelor ușor de prezis sau de sustras. Sunt aici lucruri foarte evidente, parolele statice care pot fi incredibil de ușor interceptate, parolele simple care nu conțin combinații aleatoare, parole. Problema utilizării parolelor din conturile business în conturile private, cu riscurile de rigoare, parolele care includ informații legate de utilizator sau variaţiilor simple la momentul în care utilizatorului i se cere să schimbe parola, mai adaugă o cifră sau schimbă o chestie simplă și o folosește zece ani. Cert este că pentru arhitectura acestei soluții ESET, se adaugă infrastructurii oricărei companii, nu e nevoie de o cerință hardware suplimentară deosebită și se implementează extrem de repede, cea mai rapidă implementare putând să ajungă la 10 minute.

În cele din urmă, există și soluții care previn pierderea de date, soluții dedicate, contribuie și ele la conformitatea cu GDPR. Într-un mod aparte, safetica este o soluție din portofoliul Alianței Tehnologice ESET, este o soluție de data lost prevention, cum poate ea să ajute în mai multe feluri? Cert este că PC-ul, stația de lucru al angajatului, este locul în care se întâmplă cam toată acțiunea dintr-o companie. Angajații operează cu datele critice din companie, navighează pe web, deschid email-uri, printează documente și își conectează la dispozitivele din cadrul companiei propriile dispozitive mobile. Safetica dispune de un agent, pe care îl implementează la nivelul fiecărei stații, mai ales asupra celor care părăsesc infrastructura companiei și acest client contribuie la conectarea permanentă cu serverul aplicației. Serverul creează o bază de date cu toate PC-urile, stațiile din companie, în care creează profile de utilizare pentru fiecare utilizator în parte, stocând toate datele relevante ale comportamentului pe care aceștia îl au în interiorul companiei, reglementând și impunând toate politicile de securitate a datelor pe care compania le dorește. Cum poate ajuta ea la conformitatea cu GDPR? În primul rând, prin impunerea unui audit al utilizării datelor. Aplicația urmărește traseul complet al documentelor sensibile, cine le deschide și cum sunt gestionate și stochează în permanență acest lucru. Impune un ghid de utilizare a documentelor, adică impune reguli clare, definind cine poate opera cu datele sensibile și cum. Educă angajații, în sensul în care le comunică, în permanent, ce date trebuie tratate cu prudență și care sunt regulile de utilizare. De asemenea, simplifică procedurile de criptare pentru care își au propria agendă de criptare și previne scurgerile de date, în sensul că monitorizează permanent toate canalele și metodele de comunicare, email-urile, imprimantă, fluxul de imprimare, porturile USB, dispozitivele mobile, cam orice este monitorizat.

Sunt foarte multe aspecte pe care aș putea să le mai detaliez aici, referitor la cum ajută o soluție de DLP în implementarea politicilor de securitate sau în controlul accesului sau în managementul activelor definind ce informații au un caracter confidenţial și ce nu, făcând maparea respectivă. Sunt foarte multe elemente legate de securitatea operațiunilor și comunicațiilor, mă rezum doar la a reaminti că în mapa ESET, pe care am încercat să o distribuim tuturor, oricăruia dintre dumneavoastră, veţi regăsi toate detaliile despre soluţiile pe care le-am prezentat şi cel mai important aspect este acesta, că le puteţi testa până la 60 de zile în infrastructura companiei, fără niciun fel de restricţii, pentru a identifica cât de eficiente sunt în ceea ce priveşte nevoile dumneavoastră curente.

Vă mulţumesc foarte mult!