Urmărește dezbaterea live

Rolul critic al securității supply-chain în creșterea rezilienței la atacurile cibernetice

DCBusiness Team |
Data actualizării: | Data publicării:

Sergiu Zaharia, Cyber Security and Privacy Officer Huawei Romania & Moldova și Oana Buzianu, vicepreședinte Wintech au discutat, la DCNews și DCBusiness, despre securitatea supply-chain.

În opinia lui Sergiu Zaharia, amenințările de securitate afectează întreg lanțul de aprovizionare. O mare parte din ținte sunt atacate prin intermediul partenerilor de afaceri, care nu au luat din timp măsuri eficiente de protecție cibernetică.

”Un procent de 83%, dacă nu mă înșel, din furnizorii care au fost compromiși, prin care s-a lansat apoi atacul către organizația țintă, sunt companii din sectorul tehnologiei. Iar cei care au fost atacați, de multe ori nu sunt din domeniul tehnologic. Si atunci, tu, dacă nu te pricepi așa de mult la tehnologie, ai mai multă încredere în cineva care se pricepe. Și tocmai acolo este paradoxul pentru că acei furnizori care ofereau diverse servicii IT&C nu au fost suficient de bine pregătiți pentru a contracara atacuri care, în jumătate din cazuri, sunt lansate de grupuri APT - Advanced Persistent Threat, adică grupuri care au resurse foarte mari, sunt insistente, atacă șase luni doi ani dacă e nevoie. 

Dar, dacă ne gândim la paradoxul acesta al încrederii eu sunt un retailer și cred că un furnizor de cloud este mai sigur decât mine, adică înțelege partea de securitate cibernetică mai mult și poate ca eu dacă sunt un retailer nici nu am capabilități să testez soft-ul pentru că există conceptul Trust, but verify; am încredere în furnizori dar poate mă iau din când în când niște module software și le scanez eu sau angajez o companie terță care oferă astfel de servicii și îmi dau seama dacă sunt vulnerabilități pentru că acum nu există tehnologii care să poată să analizeze partea asta de soft.

Această încredere vine din faptul că eu mă folosesc de niște organizații care furnizează tehnologie si, pentru a crește nivelul de încredere, trebuie să am o relație foarte bună cu acel furnizor și să fac un Supply Chain Risk Management,care analizează furnizorii și își dau seama că unii răspund la nevoile mele de securitate.

Undeva la 50-60% dintre companiile respective țintă nu au modificat procesul lor de Procurement, au o relație de Trust blind.

Nu mai există conceptul de protecție 100%. Trebuie să te pregătești pentru impact. Dacă ai un grup APT - Advanced Persistent Threat care te atacă constant, este clar că undeva tu ai fost compromis. Dar ce înseamnă să te pregătești de impact înseamnă că deși ai fost compromis și deși acel grup, de exemplu, vrea să-ți ia datele, tu trebuie să ai niște măsuri ca să eviți ieșirea acelor date în afară, și există tehnologii care sunt destul de mature la acest moment, și atunci tu ești pregătit de impact. Ai pe cineva înăuntru care încearcă să-ți ia datele dar nu poate să le scoată pentru că tu vezi”, declară reprezentantul Huawei Romania & Moldova.

Oana Buzianu subliniat că un rol foarte important în prevenirea pagubelor unor atacuri informatice îl are educația personalului.

”Aș adăuga educația personajului insuficient implicat. Ce înseamnă un clic pe un atașament care poate să producă dezastre. Degeaba eu ca organizație am controale tehnice adecvate. Degeaba investesc în aplicații automatizate în managementul riscului în Enterprise Manager. Dacă nu există acel echilibru între o soluție tehnică complexă potențial inutilizabilă de către personalul meu nepregătit suficient împotriva atacurilor. Nu cred că există o organizație care să protejeze sau să se protejeze și să protejeze 100%. Totul se învață din din acele lesson learned. Odată ce am fost atacat, știu să împiedic cel puțin atacuri similare”, a menționat vicepreședintele Wintech.

În ceea ce privește protecția datelor cu caracter personal, Sergiu Zaharia spune că acțiunile de prevenție, incluse chiar și în GDPR, trebuie dublate de o serie de tehnologii care analizează comportamentul.

”Când un furnizor de automobile din acestea transmite pachete de date către alți furnizori, astfel încât datele să rămână confidențiale legate de traseele anterioare și așa mai departe din motive de privacy. Există atacuri care încearcă să detecteze data set-ul anterior de instruire și atunci dacă ne gândim la un Supply Chain de know how, pentru că nu există numai de servicii, tu, pentru ca să dezvolți un automobil autonom în viitor, ai nevoie de know how de la mai mulți furnizori dar asta duce la un risc major de acces la datele care au intrat în procesul de instruire al celorlalți, adică oameni poate care au mers cu mașini ce pedale au apăsat ce butoane dacă au fost șoferi umani sau alte elemente de prevedere. Deci trebuie să ne așteptăm în viitor și la un un nou tip de atac pe zona de supply chain de know how nu numai de date de de procese produse servicii și așa mai departe”,  a mai spus Zaharia.

Citește și: Câștigătorii crizei de semiconductori: Profituri ridicate pentru TSMC, liderul mondial de microcipuri

La rândul său, Oana Buzianu a menționat că GDPR trasează foarte clar limitele în care pot acționa companiile pentru protecția eficace a datelor.

”Regulamentul general de protecția datelor cu caracter personal, în articolul 28, a venit în sprijinul acestui ecosistem cu niște dispoziții specifice pe relația operator împuternicit și lanțul de aprovizionare respectiv toate principiile de protecție a datelor și nu doar securitatea să fie tratate corespunzător, adică transmiți principiul securității și cerințele de securitate în organizația subcontractantului prin lanțul de aprovizionare. Pentru asta același articol 28 limitează operatorul la utilizarea unor împuterniciți care nu pot oferi garanții specifice cu privire la implementarea unor măsuri tehnice și organizatorice, spune regulamentul, adecvate pentru respectarea protecției datelor.

Această idee de garanții suficiente cuprinde mai mult decât crearea unui contract, deși utilizarea contractului este un mecanism cheie de control, dar se concentrează pe dovezile asupra competenței persoanelor împuternicite subcontractanților din din lanțul de aprovizionare.

Dacă eu nu pot prezenta garanții suficiente că pot aplica măsuri tehnice și organizatorice corespunzătoare atunci externalizez către o terță parte cum ar fi furnizorul de cloud, care mă asigură că riscurile mele sunt diminuate prin externalizare și verificarea corespunzătoare a acestor riscuri se face conform legii conform regulamentului”, a declarat Oana Buzianu.

 

Google News icon  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.

Articole Recomandate

Get it on App Store Get it on Google Play
DC Media Group Audience

Calculator schimb valutar

EUR
Azi 4.973
Diferența 0.0020
Zi precendentă 4.971
USD
Azi 4.6085
Diferența 0.0193
Zi precendentă 4.5892
Schimb
in
Curs valutar | Actualizat la 29-03-2024
EUR flag1 EUR = 4.9730 RON
USD flag1 USD = 4.6085 RON
GBP flag1 GBP = 5.8167 RON
CHF flag1 CHF = 5.0914 RON
AUD flag1 AUD = 2.9924 RON
DKK flag1 DKK = 0.6668 RON
CAD flag1 CAD = 3.3896 RON
HUF flag1 HUF = 0.0126 RON
JPY flag1 JPY = 0.0305 RON
NOK flag1 NOK = 0.4255 RON
SEK flag1 SEK = 0.4316 RON
XAU flag1 XAU = 327.8351 RON
Monede Crypto
1 BTC = 322383.65RON
1 ETH = 16316.53RON
1 LTC = 442.55RON
1 XRP = 2.83RON
Indicatori financiari
IRCC:
3 luni: 5.90% p.a.
ROBOR:
3 luni: 6.06%
6 luni: 6.08%
12 luni: 6.08%
EURIBOR:
3 luni: -0.4770 %
6 luni: -0.3880 %
12 luni: -0.1270 %
Indici bursieri | Sursa: BVB
Indice Ultima valoare Variatie
BET 16970.71 0.25%
BET-BK 3105.07 0.03%
BET-FI 60711.24 0.02%
BET-NG 1223.67 0.54%
BET-TR 35212.19 0.25%
BET-TRN 34400.58 0.25%
BET-XT 1448.15 0.20%
BET-XT-TR 2971.01 0.20%
BET-XT-TRN 2907.42 0.20%
BETAeRO 1084.67 0.00%
BETPlus 2503.38 0.22%
RTL 37293.32 0.26%

Opinii

Analistul Adrian Negrescu explicând cum stau lucrurile / FOTO: Facebook

Plafonarea prețurilor. Adrian Negrescu: Este doar o măsură de imagine, nimic altceva

Propunere controversată pe masa Executivului:...

Adrian Negrescu

Guvernul a uitat de austeritate (document). Negrescu: Drumul spre recesiune este bătut!

Ministerul Finanțelor a pus în dezbatere...

Un muncitor instalează o centrală termică / Foto: Freepik

POLITICA DE CONFIDENȚIALITATE | POLITICA COOKIES |

Copyright 2024 - Toate drepturile rezervate.
Informațiile BVB sunt destinate exclusiv pentru folosința individuală a utilizatorului final și nu pentru a fi redistribuite, revândute sau folosite în scop comercial.
cloudnxt2
YesMy - smt4.3.1
pixel