75% dintre firmele romanesti nu au adaptat masuri corespunzatoare pentru managementul securitatii informatiilor. Exista riscul ca aceste companii sa sufere pierderi majore, daca informatiile de business sau datele cu caracter personal fac subiectul unor brese de securitate.
Cele mai multe firme romanesti nu au luat niciun fel de masuri de securitate suplimentare, in contextul in care, pe fondul pandemiei, au adoptat munca de acasa conform barometrului realizat de compania de consultanta Frames, la comanda Infosec Center.
Expertii afirma ca, fara masuri de management al securitatii informatiilor, exista riscul ca aceste companii sa sufere pierderi majore, daca informatiile de business sau datele cu caracter personal fac subiectul unor brese de securitate.
„Schimbarile legate de munca de acasa s-au facut de la o zi la alta si nu am avut timpul si resursele necesare sa adaptam corespunzator masurile pentru securizarea activitatilor online. In plus, ar fi trebuit ca angajatii sa beneficieze de instruire pentru noua realitate digitala, insa nu avem buget” – acest raspuns primit de la unul dintre participantii la sondaj ar putea defini pe ansamblu, opinia majoritara a celor 672 de participanti la barometrul realizat in perioada 25 octombrie – 1 noiembrie, care a urmarit sa afle perceptia mediului de afaceri in privinta managementului securitatii informatiilor si a pregatirii angajatilor pentru noua realitate a muncii de acasa.
Publicitate
Potrivit datelor studiului, realizat la nivel national, 67% dintre respondenti au declarat ca pandemia a determinat firmele pe care le conduc sau la care lucreaza sa adopte munca de acasa, o decizie pe care 87% o considera drept o masura pozitiva in contextul pericolului de infectare cu noul coronavirus.
Munca de acasa a venit cu avantaje dar si cu dezavantaje pentru firmele romanesti, mai ales pentru cele in care, inainte de pandemie, utilizarea emailului, a sistemelor de videoconferinta si altor platforme cloud reprezentau o necunoscuta.
Cele mai multe provocari le-a reprezentat absenta interactiunii sociale (cu colegii), mentionata de 58% dintre respondenti, absenta unui mediu de lucru optim (spatiu insuficient, conectivitate internet de slaba calitate, alte probleme logistice), sustinuta de 41%, si volumul mai mare de munca, amintit de 32% dintre acestia.
Pe lista provocarilor s-au mai aflat cresterea riscurilor de securitate cibernetica (24%) si problemele de management al angajatilor (19%).
In ceea ce priveste avantajele muncii de acasa, marea majoritate a respondentilor a indicat eliminarea timpului pierdut pe drum spre/de la serviciu (73%). Optimizarea timpului de lucru/eliminarea rutinei (52%) si existenta unui mediu de lucru fara restrictii (43%) s-au clasat pe urmatoarele doua locuri in topul avantajelor identificate de respondenti. Pentru o parte dintre ei (38%), un alt mare avantaj l-a reprezentat scaderea cheltuielilor personale generate de activitatea la birou (masa, transport, haine etc.)
Potrivit expertilor, dincolo de modul in care au reusit, logistic, sa le asigure angajatilor posibilitatea de a-si continua activitatea de acasa, marea problema identificata de barometru este ca prea putine companii au constientizat si au luat masuri pentru a-si proteja activitatea digitala.
„Pandemia Covid-19 a fost un catalizator pentru transformarea locului de munca. Din perspectiva securitatii cibernetice, vad o multime de provocari in privinta operatiunilor care trec de la protejarea activelor aflate in cea mai mare parte in spatele unui firewall, la unele aflate intr-un mediu IT predominant descentralizat, eterogen. Acomodarea intr-un ritm extrem de alert la noua realitate nu se poate face fara aparitia unor riscuri care trebuie evaluate, asumate si tratate corespunzator”, afirma Marius Haratau, manager Infosec Center.
Intrebati cum s-a schimbat atitudinea companiei in privinta securitatii cibernetice (al managementului securitatii informatiilor si protectiei datelor cu caracter personal) in ultimul an, 52% dintre respondenti au declarat ca a ramas neschimbata. Altfel spus nu au luat nicio masura suplimentara pentru managementul securitatii informatiilor. 23% au indicat faptul ca nu exista o strategie pe acest domeniu.
Doar 18% au declarat ca politica firmei a devenit mai stricta si numai 7% au indicat raspunsul ,,foarte stricta’’.
,,Daca in zona companiilor mari, a multinationalelor, exista politici de securitate bine definite, iar munca de acasa a impus noi restrictii de securitate si investitii in sisteme de securitate, in zona IMM-urilor exista inca o prea putina preocupare pe acest segment’’, a mai declarat Marius Haratau.
„Multi dintre angajati folosesc PC-uri/laptopuri personale in activitatile de la munca sau, daca au primit de la serviciu astfel de dispozitive, acestea sunt insuficient securizate, firmele evitand sa aloce fonduri suplimentare pentru achizitia de sisteme de securitate cibernetica. Asa se ajunge ca angajatii sa acceseze platformele companiei (pagini web, magazine online, baze de date etc.) in baza unor simple parole, usor de spart, atat de pe PC/laptop cat si de pe telefon’’, afirma Adrian Negrescu, managerul Frames.
In multe situatii, angajatii se conecteaza direct la reteaua companiei printr-un protocol numit Windows Remote Management (WinRM).
„Accesul in companie prin WinRM este deseori necesar, dar drepturile utilizatorilor trebuie limitate prin politici bine definite. Din pacate, 55% dintre toate sistemele scanate de catre Bitdefender prezinta vulnerabilitati ale WinRM ce ar putea fi exploatate de catre atacatori pentru a compromite reteaua’’, arata datele colectate in primele sase luni din 2020 de la terminalele business protejate cu solutii de securitate Bitdefender.
„Dincolo de companiile mari, care reprezinta exceptia, in firmele medii si mici, cursurile de pregatire a angajatilor in domeniul securitatii informatiilor si protectiei datelor cu caracter personal sunt, din pacate, inexistente. Dincolo de implicatiile financiare – multe dintre firme nu au fondurile necesare pentru a-si instrui angajatii, exista si o problema de management. Vestea buna este ca pandemia schimba treptat aceasta perceptie si, din semnalele primite din piata, exista tot mai multe firme care se precupa mai atent de acest aspect’’, afirma Marius Haratau.
Potrivit expertilor, pericolele pot veni inclusiv din zona unor servicii populare precum Google Drive si WhatsApp.
Un raport Kaspersky arata, recent, ca este important pentru organizatii sa inteleaga amenintarile relavante si modul in care acestea se pot infiltra la nivelul endpoint al companiei, de exemplu prin phishing in serviciile de cloud. Odata ce un serviciu web devine popular, se poate transforma intr-o tinta mai interesanta in randul atacatorilor cibernetici.
Potrivit datelor companiei, primele cinci aplicatii in care s-au observat cel mai des incercari de phishing sunt Facebook (4,5 milioane de tentative de phishing), WhatsApp (3,7m), Amazon (3,3m), Apple (3,1m) si Netflix (2,7m). Ofertele Google grupate impreuna, printre care YouTube, Gmail si Google Drive, au ocupat pozitia a sasea, cu 1,5 milioane de incercari de phishing.
Publicitate