Cum îți securizezi lucrul de acasă. Sfaturi, soluții de la un expert IT #deladistanta, Ep.3

Lucrul cu angajații, de acasă, sau telemunca poate deveni riscant pentru infrastructura IT și datele firmei dacă antreprenorii nu se protejează de atacurile care s-au întețit în criza coronavirus Covid-19.

Am discutat cu Mădălin Dumitru, CEO Cyber Smart Defence despre soluții practice pentru securizarea lucrului de acasă într-un dialog #deladistanță pe canalul Youtube StartupCafe.ro.

Citește transcrierea adaptată a înregistrării transmisiunii LIVE (miercuri 25 martie 2020).

StartupCafe.ro: Este ora 19.00. Ca în fiecare seară, suntem la dialogul #deladistanta împreună cu Adrian Dragomir, fondator Termene.ro.

În seara asta avem un invitat, Mădălin Dumitru, CEO Cyber Smart Defence și discutăm despre cum îți securizezi lucrul de acasă.

Încercăm să obținem de la Mădălin sfaturi, soluții, cum să ne protejăm rețeaua de acasă pentru că, acasă e una, la birou e altceva.

Mădălin, cu ce începem? Cum se poate întâmpla? Ce ne paște?

Mădălin Dumitru, specialist IT în securitate cibrnetică: Contextul actual în care această pandemie a pus stăpânire, prin frică și prin teroare, asupra omenirii, ăsta este un context, un cadru perfect pentru hackeri, pentru a exploata această teamă.

Observăm o intensificare a atacurilor cibernetice în ultima perioadă, mai ales că majoritatea angajaților de pe planetă, în momentul de față, lucrează de acasă. Lucrează dintr-un mediu mai puțin securizat.

Hackerii știu lucrul ăsta. Evident că hackerii sunt niște persoane inteligente care, mereu sunt cu un pas înaintea utilizatorului. De asta se întâmplă și foarte multe atacuri cibernetice cu succes.

Sunt foarte multe scenarii de atac pe care noi le-am identificat în ultima perioadă, în ultima lună. Eu spun de prin 2012 că noi suntem în mijlocul unui război cibernetic care se duce pe mai multe direcții.

Fake news, deepfake, exfiltrare de informații, spionaj economic, statele se atacă între ele pentru a-și afecta infrastructurile, utilizatorii, la rândul lor, sunt atacați de către criminalii cibernetici pentru a-i păcăli și a obține foloase materiale.

Deci, de prin 2012 de când am început noi, ca și companie, ne ocupăm cu simularea atacurilor cibernetice pentru a identifica vulnerabilitățile, pentru a identifica breșele de securitate și pentru a ajuta companiile și antreprenorii ca, în momentul în care se întâmplă un atac cibernetic, ei să fie pregătiți. Dacă vreți, e ca un fel de drive test pe care îl faci cu mașina înainte de a o lansa.

STARTUPCAFE.RO:  Să revenim la noi, ca utilizatori, că statele au infrastructură de apărare împotriva hackerilor. Noi, oamenii obișnuiți, cum suntem? Ce trebuie să facem? La ce să ne așteptăm?

Mădălin Dumitru: O să spun și câteva scenarii de atac, după care o să vin cu câteva soluții pe care noi le-am identificat și cum îi ajutăm noi pe clienții noștri să-și implementeze aceste măsuri de securitate.

Ransomware este un atac extrem de folosit. Practic, inclusiv spitalele sunt atacate pentru a li se cripta sistemele informatice, datele confidențiale.

De ce? Pentru că știu că la spitale există o presiune foarte mare, acum există și bugete alocate de către toate statele. Și atunci, hackerii atacă spitalele pentru a cripta datele, analizele.

Vă dați seama ce înseamnă, la un spital, să nu poți să accesezi rezultatele analizelor în timp util, șamd.

StartupCafe.ro:  Exact asta ar lipsi acum, când au probleme mult mai serioase.

Mădălin Dumitru: Hackerii știu acest lucru și folosesc asta la maxim pentru a face bani. Datele pacienților, analizele, șamd.

Domenii de internet și aplicații rău intenționate

În ultimul timp am identificat peste 8000 de domenii de internet înregistrate pentru a face phishing. Multe dintre ele, fie că simulează mailuri venind de la magazine online cu lichidări de stocuri pentru măști, pentru dezinfectanți, chiar și teste pentru detectarea acestui virus, COVID-19.

Exploatează această disperare a oamenilor de a cumpăra aceste produse, indiferent de preț și fac chiar și lichidări de stocuri, oferte de preț, șamd.

Un alt tip de atac l-am identificat pe aceste hărți care îți arată în timp real răspândirea virusului în zona ta.

Există inclusiv aplicații mobile care au fost scoase din Google Play Store și Google App Store Apple, aplicații care îți arătau câte persoane sunt infectate în zona ta.

Deci tot ce ține de zona asta din jurul acestui virus și această pandemie, este exploatat la maxim de către hackeri și se pare că o fac cu succes.

StartupCafe.ro:  Acum e un val de informații, propuneri, unele de bună credință, altele malițioase, cum spui. Cum facem diferența asta? Cum știu eu că o aplicație, care poate să fie utilă, de fapt urmărește altceva?

Adrian Dragomir: Asta voiam să întreb și eu. Am avut cazul de astăzi cu acel site de government care părea destul de oficial.

Mădălin Dumitru: Noi am identificat acel site (n.r. - marți) și, după o analiză foarte atentă asupra lui azi noapte (n.r.- marți noapte), azi dimineață (n.r - miercuri) am trimis această alertă către clienții și colaboratorii noștri, în care spuneam că acest site întrunește toate condițiile pentru a fi un site de phishing.

Înregistrezi un domeniu de tip e-government.ro, adică să pară că este o instituție abilitată, că vine de la autorități, acest domeniu care este înregistrat – atenție! - pe o persoană fizică, deci nici măcar pe o companie (bun, ar fi trebuit să fie înregistrat pe o instituție), după care, pe site-ul respectiv erau niște date ”lorem ipsum”, aceste ” dummy text”- textele acestea care se pun de obicei când nu ai text.

Deci, site-ul respectiv era atât de obscur și atât de dubios, încât noi am alertat clienții și colaboratorii noștri ca fiind un posibil site care colectează date cu caracter personal.

Ce trebuie să știți este că, acest formular colecta date cu caracter sensibil și confidențial, precum CNP, adresă și foarte, foarte multe alte date.

Până la urmă, chiar dacă acela care deține site-ul respectiv a vrut să facă o faptă bună, modul în care era prezentat acest site, pe noi ne-a făcut să credem că este un site de phishing și, prin urmare, am alertat că este periculos.

StartupCafe.ro:  Mădălin, dar dacă tocmai ați ucis, din fașă, o inițiativă de bună credință?

Mădălin Dumitru: Părerea mea este că o astfel de inițiativă nu aparține unei companii, să colecteze datele cu caracter personal ale noastre - CNP, adresă, loc de muncă, telefon, adresă de mail. În primul rând este împotriva regulamentului Data Protection, GDPR.

Acest formular este, până la urmă, un formular pe care trebuie să îl completezi, să îl printezi și să îl arăți autorităților, ca să te poți deplasa.

Adrian Dragomir: Eu nu cred nicio secundă că acest site a fost făcut cu bună credință. Nu faci un site de asemenea natură cu bună credință și îi pui numele e-government. Nu faci așa ceva!

Mădălin Dumitru: Noi ne-am făcut datoria să alertăm clienții și colaboratorii noștri să nu-și completeze datele pentru că erau antreprenori care au dat mai departe angajaților lor ca să le faciliteze această posibilitate de a-și completa formularul.

Dacă ar fi fost pe site-ul unei instituții, ar fi fost altceva.Dar, revenind la metodele de atac.

Sunt foarte multe site-uri care vând aceste măști, dezinfectanți, teste de COVID. Sunt foarte multe știri false, tot felul de video-uri înregistrări audio care circulă și pe care noi, dacă le distribuim fără a le verifica sursa, contribuim la această manipulare și la această panică globală.

Se folosesc, de exemplu, foarte multe site-uri pentru donații, unde să intri să donezi pentru spitale, șamd.

Există site-uri care sunt fake și care simulează site-uri de investiții pentru companii. Practic, poți să cumperi acțiuni la companii care urmează să descopere acest vaccin și poți să te ”îmbogățești” foarte repede. Devii un investitor într-o companie farmaceutică, ”cu potențial foarte mare”.

StartupCafe.ro:  Asta deja este foarte sofisticat, pentru că se adresează unor oameni avizați.

Mădălin Dumitru: Care au bani, adică. Inclusiv în zona Dark web, în zona hackerilor, în zona neagră, acolo unde există un loc în care hackerii discută între ei și pun la cale tot felul de infracțiuni.

Evident că foarte mulți dintre noi nu avem acces în această zonă. Vreau să vă spun că se vând inclusiv fiole cu salivă infectată cu COVID-19. Sau există oameni care sunt infectați și care pun anunțuri că sunt dispuși să se ducă în zona lor și să infecteze la comandă pe cineva.  

Se întâmplă niște lucruri. Dacă vă arăt o imagine pe care eu am surprins-o în Dark web, pur și simplu o să fiți șocați.

Măsuri de siguranță pentru lucrul de acasă

Revenind acum la ”Work from home” și la măsurile de siguranță pe care antreprenorii trebuie să le înțeleagă și trebuie să le implementeze, din punctul nostru de vedere.

Am făcut un document cu o serie întreagă de măsuri ușor de înțeles pentru orice fel de antreprenor, chiar dacă el nu are cunoștințe în domeniul IT sau în domeniul securității. Venim în sprijinul lor cu astfel de măsuri.

Spunem noi aici: implementarea autentificării în doi pași - ”two factor authentication”, inclusiv pentru aplicațiile de social media, adrese de mail, orice alte aplicații care au date sensibile.

În afară de user și parolă trebuie folosit ”two factor authentication”. Recomandat ar fi să se folosească un token virtual de tip ”Google Authenticator” și nu neapărat numărul de telefon, mai ales cel expus pe care îl cunoaște toată lumea. Pentru că există atacuri sofisticate de tip SIM hijacking, (n.r – deturnarea cartelei SIM), silent SMS, șamd.

StartupCafe.ro:  Hai să explicăm un pic. Poate sunt oameni care nu știu și, cu siguranță sunt oameni care nu știu ce înseamnă ”Two factor authentication”.

Mădălin Dumitru:  ”Two factor authentication” este autentificarea în doi pași, în sensul în care, în afară de username și parolă, majoritatea providerilor de servicii mari au această opțiune care presupune trimiterea unui cod prin SMS, la fel ca la bancă, trimiterea unui cod pe e-mail.

Deci, practic, ai completat userul și parola și mai este un câmp pe care îl completezi cu acest cod pe care ar trebui să îl primești pe SMS sau să ți-l genereze o aplicație de tip ”Google Authenticator” sau să primești un mail.

Cu cât activezi mai multe măsuri de securitate, mai ales pe zona de e-mail, zona de CRM, zona de ERP expusă la internet, cu atât e mai bine. Chiar dacă ești conectat prin VPN există atacuri sofisticate care te pot expune. 

Procedurile de acces de la distanță și resursele accesibile fiecărui angajat trebuie foarte clar definite, precum accesul la dispozitive.

Noi lucrăm de acasă. ”Lucrăm de acasă” înseamnă că suntem într-o rețea slab securizată sau, inclusiv, am putea spune ”complet nesecurizată”. Majoritatea dintre utilizatorii care lucrează de acasă au routere care vin cu parolele ”default” de la Internet service provider.

După care sunt dispozitivele copiilor din familiile noastre care descarcă tot felul de jocuri iar acele jocuri sunt infectate cu malware.

Pot, prin ceea ce se numește ” command and control center” să descarce un malware și să facă, ceea ce se numește ”lateral movement”. Deci activitatea copiilor trebuie să fie foarte bine divizată, controlată și restricționată.

StartupCafe.ro:  Circulă tot felul de ponturi. ”Deschide PDF-ul ăsta că nu știu ce se întâmplă”. Și vezi un banc, o poză, o glumiță. Cum reacționăm la asta? Pentru că avem nevoie să ne destindem un pic și pare ok să faci asta...

Mădălin Dumitru: În primul rând, trebuie să segregăm complet, să separăm ceea ce înseamnă muncă și viață personală.

Adică noi avem două device-uri. Unul îl folosim pentru muncă, am instalat pe el doar aplicații care țin de job, VPN aferent, aplicațiile respective, mail, CRM, ERP , Office 365 și toate celelalte tool-uri cu care eu lucrez zi de zi.

Un telefon separat în care am instalat Instagram, Facebook, Tinder, aplicații care țin de viața personală.

StartupCafe.ro:  Adrian, voi cum v-ați instruit oamenii? Că voi vă bazați pe surse IT, lucrați de la distanță. Ce măsuri de precauție ați luat?

Adrian Dragomir: Eram deja securizați și centralizați cu tot ceea ce înseamnă telecomunicații într-un singur punct, în Data Center-ul din sediul din Ploiești și, datorită GDPR-ului, încă de un an și ceva am securizat laptopurile, fiecare calculator se accesează cu ajutorul unui USB criptat - dacă nu deții USB, nu îl poți accesa -, deconectare automată a user-ilor.

GDPR ne-a ajutat foarte mult să ne pregătim pentru această etapă. VPN-urile erau deja securizate pentru că aveam mai multe locații. Nodul central era în Ploiești și atunci a trebuit să asigurăm și zona asta.

Ne-a găsit pregătiți iar de-a lungul timpului, ne-a ajutat și Mădălin și echipa lui să punem la punct acele zone unde ei au considerat că trebuie să aducem o îmbunătățire, în ceea ce privește securitatea.

Cum păzești resursele IT din companie de angajații supărați

Adrian Dragomir: Eu am o întrebare pentru Mădălin: Vor fi foarte multe concedieri în perioada următoare. Este clar.     

Mădălin Dumitru: Există angajați care au fost concediați și există posibilitatea ca, aceștia să își dorească să se răzbune pe companie.

Adrian Dragomir: Ce măsuri ar trebui să ia compania pentru a evita aceste situații? O situație care reprezenta un risc și înainte dar acum vedem: lumea este într-o stare de negare, avem în continuare oameni care nu înțeleg, nu au reușit să se adapteze la ceea ce se întâmplă.

Am prieteni antreprenori cu care stau de vorbă, spun că ar trebui să ia măsuri și oamenii n-au înțeles. S-au întors împotriva lor, au ieșit discuții.

Mădălin Dumitru: Antreprenorul trebuie să fie stăpânul propriei flote de IT. În primul rând trebuie să o dețină, după care trebuie să instaleze softuri de MDM - Mobile Device Management (Gestionare a dispozitivelor mobile), antivirus care să fie controlat de la headquarter, dintr-un singur punct, să fie Enterprise Management System.

Practic, dacă eu doresc să opresc accesul unui angajat, chiar dacă el este la el acasă, pe laptopul companiei, trebuie să am posibilitatea ca, în mai puțin de 10 minute, să îi opresc accesul la datele sensibile ale companiei, acestea însemnând: e-mail, chiar și echipamentul- laptopul, prin Enterprise Management System al antivirusului, să îi pot bloca USB- ul.

Nu să las la atitudinea lui sau la buna lui credință că nu va introduce stick-uri de memorie dubioase în laptopul companiei, că nu va trimite date. Trebuie să am o soluție de DLP - Data Loss Prevention.

Toate aceste lucruri pe care le spun aici sunt procese și fac parte dintr-un plan de Disaster Recovery. Toate lucrurile astea trebuiau făcute și implementate până acum.

 Se fac simulări tip ”fire drill” (n.r. – antrenament de incendiu), adică vii și spui: ”De mâine, toată lumea lucrează de acasă”.  Să fii operațional și să fii în postura în care 24h să fii up & running (n.r. funcțional)

Aceste scenarii nu le poți pune în practică în timpul războiului. Le pregătești pe timp de pace. Noi facem din 2012 audituri de securitate cibernetică, simulăm atacuri cibernetice și dăm astfel de soluții de măsuri de securitate astfel încât, toți clienții noștri în momentul de față- și nu numai ai noștri, toți clienții unei companii de securitate unde noi vedem partea neagră a lucrurilor...

Aici fac o paranteză. Noi, la Cyber Smart Defence suntem obișnuiți să ne luptăm cu un inamic invizibil. Cu hackerul. Ceea ce se întâmplă pe planetă, în momentul de față, este un inamic invizibil. Nu ai pe cine să dai vina.

Pur și simplu trebuie să ataci problema, nu omul. Ataci virusul, nu omul. Cum văd și la televizor- toată lumea discută despre alți oameni, despre ce ar putea să se facă. Dar problema trebuie atacată, nu omul.

Și atunci, strict atacând problema, acest plan de Disaster Recovery, Business Continuity, astfel încât să poți trimite să lucreze oameni cu laptopuri deja pregătite: Ia foc clădirea, vine un cutremur și cade toată clădirea.

Vreau să mai spun câteva măsuri de securitate foarte importante.

• Monitorizarea traficului, VPN - Virtual Private Network. Practic, conexiunea între laptop și headquarter și birouri, unde se transportă aceste date sensibile, trebuie făcută într-un mod sigur.
• Trebuie monitorizat traficul printr-o soluție de Business Internet Security. Ce face angajatul ăla, ce fel de date transferă. Tu ai pe de-o parte o vulnerabilitate care este omul, angajatul care este neatent, neinstruit sau supărat că a fost dat afară sau i s-a micșorat salariul. Și atunci, tu trebuie să te aperi de mulți factori pe care trebuie să-i prevezi.
• Adresele de mail care sunt, la fel, foarte targetate, soluțiile CRM. Există o procedură de politică de IT pentru lucrul de acasă. Tu nu ai voie să accesezi pe laptopul de acasă- că lucrezi de acasă nu înseamnă că ai deschis un Tab cu Netflix, te uiți pe site-uri pornografice și de pe alt Tab lucrezi în CRM-ul companiei. Nu există așa ceva.

Trebuie să ai măsuri. Trebuie să instruiești angajatul și să ai măsuri de a-l verifica că, într-adevăr, el respectă aceste proceduri.

Din 100 de companii testate, 98 aveau vulnerabilități critice

StartupCafe.ro:  Sigur că așa trebuie făcut dar sunt o sumedenie de firme mici care, pe de-o parte poate că nu s-au gândit și pe de altă parte poate că nu au resursele să facă lucrurile astea. Mai pot face ele ceva acum? Și dacă da, ce?

Mădălin Dumitru: Better safe than sorry (n.r. – mai bine sigur decât să îți pară rău). Trebuia să le faci la timpul lor.

Dacă totuși nu te-ai gândit că ți se poate întâmpla așa ceva sau că va fi nevoie, acum, în al 12-lea ceas - pentru că planeta se schimbă și o să vedeți că, odată cu acest social distancing, lumea o să lucreze diferit -, o să descoperim multe avantaje în a lucra remote, observăm că în București respirăm aer de munte, nu mai este poluare.

Operatorii de telecomunicații care pot să dea soluții la cheie - practic noi, împreună cu partenerul nostru Orange, cu Adi, cu partenerii cu care lucrăm foarte bine am găsit soluții pentru companii mici și mijlocii care să aibă într-un pachet conectivitate, internet, (dacă angajatul nu are internet acasă, îl conectează la internet), VPN- Virtual Private Network, monitorizarea traficului, soluții de PaaS- Platform as a Service.

Din partea noastră, pe lângă măsurile de securitate care trebuie implementate, venim și le și testăm. Îi învățăm: ”Nu mai folosiți telefonul sau grupurile de WhatsApp pentru a discuta chestiunile sensibile.

Iată de ce. Pentru că WhatsApp nu este sigur, pentru că nu ai acces la codul sursă, pentru că nu are encripție de tipul ”elliptic curve encryption”, cum are Signal, de exemplu. Este o serie întreagă de lucruri pe care noi îi învățăm pe clienți.

Sfatul este să meargă la un operator de telecomunicații și să le spună: ”Am 20 de angajați, sunt o firmă de contabilitate, nu știu ce să fac”. Dacă omul de la IT - dacă o mai fi disponibil - nu face față, nu știe, să poată să apeleze la astfel de companii care să-l poată ajuta.

StartupCafe.ro:  Noi folosim o aplicație care este în mare vogă, în vremea asta, o folosește toată lumea. Google are multe aplicații, se mai folosește Skype. Aceste aplicații sunt sigure?

Mădălin Dumitru: Înainte de a crede dacă ceva este sau nu sigur - bineînțeles că noi la Cyber Smart Defence credem, dar verificăm.

Eu până nu testez, până nu supun la un atac cibernetic real, simulat, precum fac hackerii, nu pot spune despre ceva că este 100% sigur.

98% dintre auditurile de securitate pe care le-am făcut în ultimii 7 ani, în 98% dintre situații am găsit vulnerabilități critice. Deci, repet, din 100 de companii testate, 98 aveau vulnerabilități critice. Adică un hacker putea avea acces la date sensibile.

Documentare, vigilență și atenție la date

Mădălin Dumitru: Cum verific? De exemplu, un site.

• Mă uit pe un site și vreau să aflu cine este în spatele lui.  
• Mă duc la RoTLD unde fac un quiz (n.r – o interogare) văd ce companie este,
• Iau numele companiei și îl caut în Termene.ro unde pot să am o grămadă de informații.
• Văd despre compania respectivă: dacă are procese în instanță, dacă are datorii, care e evoluția companiei, ce angajați are. Adică informații. Mă documentez.

Dacă nu am chef să fac acest research care este recomandat - în general, pentru orice faci, trebuie să crezi dar să verifici - mă duc pe site-uri care sunt super tradiționale și cumpăr doar de pe acele site-uri.

Deci eu, primul lucru pe care l-am făcut când mi s-a părut foarte dubios acest site: e-gouvernment.ro...

StartupCafe.ro:  ...și pe care, deja, autoritatea pentru protecția datelor personale spune că îl va investiga. Este o știre publicată chiar cu câteva ore înainte de a intra noi în direct. Au mai fost și tot felul de alte aplicații. E drept că și noi, în perioada asta, încercăm să fim cât mai deschiși și cât mai utili. Putem pica toți în capcane de genul ăsta.

Mădălin Dumitru: E adevărat, dar eu nu știu dacă persoana respectivă a vrut să facă rău. Poate omul a vrut să facă bine.

Ideea este așa: până la urmă este un formular pe care îl printezi. Există un document PDF care este cu câmpuri editabile și completezi acolo.

Dar eu, dacă aș fi vrut să ajut, nu m-aș fi riscat ca și companie, ca și persoană, să pun un astfel de formular la dispoziție, pentru că mi-aș face mai mult rău decât aș putea să fac bine.

Faptul că te încarci cu atât de multe date cu caracter confidențial- dacă vă uitați la formular, o să vedeți ce este acolo: e data nașterii, e CNP, loc de muncă, adresa de mail.

Startupcafe.ro:  Cred că unul dintre primele lucruri care ar fi trebuit, cumva - și probabil că asta v-a atras și vouă atenția - este că dacă te uiți pe comunicările oficiale, eu nu-mi aduc aminte ca formularul acela inițial de declarații să-ți fi cerut CNP-ul.

Mădălin Dumitru: Cu ajutorul Termene.ro am reușit să văd cine este compania. Între timp am fost sunat de câțiva colegi din breasla noastră de cyber security și ne-au spus că  omul este serios.

Bun, e în regulă. Eu atac problema, nu omul. Problema este că eu am găsit un site care era de phishing și pe care nu i-aș fi lăsat pe colaboratorii mei să-și pună datele.

Nu știu cine e omul. Problema mă interesează. Ca să sintetizezȘ vreau să încurajez pe toată lumea să rămână strong. O să trecem și peste acest eveniment. Să fim vigilenți pentru că hackerii n-au niciun stres cu COVID în perioada asta.

Adrian Dragomir: Am primit un mesaj pe chat acum. ”Aveți o nouă audiență- hackerii”

Mădălin Dumitru: Îndemnul meu este să fim vigilenți, să fim atenți unde ne punem datele, cui dăm datele noastre, unde ne punem cardul bancar. Inclusiv la știri - mă uit ce site este în spate, care sunt oamenii care sunt  în spatele acelui serviciu online, cine este beneficiatul direct. Termene.ro ne ajută foarte mult. Este un tool pe care îl folosesc aproape zilnic.

Întotdeauna, trust but verify. Crezi dar verifici. Acesta este sfatul meu.