Consulting Jobs

CUMPANASU INSOLVENCY recruteaza Practician in Insolventa

CUMPANASU INSOLVENCY recruteaza Practician in Inso...

CUMPANASU PARTNERS recruteaza Middle Level Lawyer

CUMPANASU PARTNERS recruteaza Middle Level Lawyer ...

CUMPANASU PARTNERS recruteaza Middle Level Lawyer

CUMPANASU PARTNERS recruteaza Middle Level Lawyer ...

CUMPANASU PARTNERS recruteaza Senior Lawyer

CUMPANASU PARTNERS recruteaza Senior Lawyer cu exp...

Cumpanasu Partners is looking for experienced lawyers

Cumpanasu Partners is looking for lawyers experien...

Cumpanasu Partners is looking for new lawyers

Cumpanasu Partners is looking for lawyers experien...

Reff & Asociatii isi deschide portile pentru viitorii profesionisti

Reff si Asociatii SCA, societatea de avocati repre...

Duncea Stefanescu is recruiting experienced lawyer and junior lawyer

Experienced Lawyer, Advisory Requirements- full...

It’s your career. Where will you take it?

Experienced Lawyer with Reff & Associates Real...

Cumpanasu si Dejescu recruteaza avocati

CUMPANASU si DEJESCU recruteaza avocati pentru niv...

Premium Brands

Mihai Marcu, Presedinte: “MedLife acopera toate zonele de activitate medicala”

Dle Presedinte Mihail Marcu, cum se prezinta in 2012 business-ul MedLife? La ce nivel s-a ajuns din punct de vedere financiar, tehnic, logistic, uman? In prezent, MedLife isi desfasoara activitatea...

Michael Schmidt, Presedinte Automobile Bavaria Group: "Nu vrem sa ne cumparam cota de piata, ci punem pret pe relatia cu clientul"

Interviu cu Michael Schmidt, Presedinte Automobile Bavaria Group Dle Presedinte Michael Schmidt, cine isi cumpara BMW in Romania? Un mic "portret robot" al celor care prefera aceasta marca.Conducat...

Radisson Blu – definitia luxului

Simtind pulsul capitalei, in inima orasului, Radisson Blu Hotel din Bucuresti este locul la care, tot mai des in ultima vreme cand se vrea a se organiza o intalnire de afaceri, un pranz, o cina sau ...

Bento Box - Un pranz rapid si complet, servit intr-un mod specific japonez

Restaurantul Benihana din incinta hotelului Howard Johnson are placerea sa prezinte cel mai nou concept al sau - Bento Box. Acesta vine in intampinarea persoanelor foarte ocupate, care nu au timp sa...

Noul Porsche Boxster vine in Romania din luna aprilie

Programat sa isi faca aparitia in martie pe podiumul elvetian al Salonului Auto de la Geneva, noua generatie Boxster este prezentata deja intr-un comunicat oficial. Porsche a prezentat a t...

Testimoniale

"In ceea ce priveste catalogul si portalul anuaruldeconsultanta.ro, apreciez in mod deosebit aparitia acestor produse media targetate care ne lipseau si care reusesc o monitorizare eficace si obiectiva a societatilor de profil din tara."
Avocat Ovidiu Pop, Partener Badita & Pop

"Nu putem decat sa ne bucuram sincer de succesul repurtat de publicatia si site-ul pe care cu atata minunata competenta le conduceti. Suntem onorati sa ne numaram printre colaboratorii dvs si va dorim sa cresteti constant pe aceasta piata atat de competitiva."
Raluca PUTUREANU, Marketing Specialist ROMINVENT S.A.

Avem 296 vizitatori și nici un membru online

Pericolul din spatele zidurilor de aparare, cand amenintarea vine din interior

Amenintarea cu un atac informatic nu ii mai surprinde demult pe cei care au in mana destinele unei companii, motiv pentru care, incurajati si de legislatia in vigoare referitoare la GDPR, incep sa ia cat mai multe masuri pentru a stopa o eventuala exfiltrare de date sau alterare a acestora. Toate acestea sunt insa in van daca sursa atacului vine din interior, iar consecintele pot fi infinit mai mari decat in cazul unui atac informatic efectuat de un hacker.

Conform unui raport furnizat de Proofpoint, lider in domeniul protectiei impotriva atacurilor de tip phishing, in 2020, 60% dintre companiile analizate au avut cel putin 30 de incidente legate de o amenintare din interior si, in cele mai multe cazuri, timpul de identificare a acestora a fost mai mare de 30 de zile, cauzand in final pierderi in medie de 11 milioane dolari/companie, in crestere fata de valoarea din 2018, de 8.76 milioane dolari/companie. De asemenea, in acelasi interval de timp si numarul de atacuri informatice generate de persoane din interiorul companiei a crescut cu 47%.

Daca in majoritatea cazurilor vorbim de actuali angajati care se preteaza la un moment dat la astfel de actiuni, nu trebuie neglijati nici partenerii sau colaboratorii care sunt in stransa legatura cu o companie ori fosti angajati care cunosc arhitectura interioara si automat si punctele slabe. Atacurile din interior sunt printre cele mai greu de depistat intrucat persoanele enumerate mai sus au de cele mai multe ori acces extins in cadrul sistemelor de lucru, cunosc in multe cazuri si metodele de depistare si cum sa le evite. Mai grav este atunci cand, prin natura rolului indeplinit, persoana are acces la informatii sensibile, cum ar fi date financiare sau clienti si informatii confidentiale legate de acestia.

„Ce-i mana in lupta?”
Cauzele care duc la aceste incidente pot fi diverse si majoritatea au o stransa legatura cu motivatia pe care fiecare atacator o are pentru a-si duce la bun sfarsit planul. Pentru a intelege factorii declansatori ai unui astfel de incident trebuie intelese diferentele intre tipurile de persoane care recurg la acest tip de activitati:

- Angajatul neglijent: in majoritatea companiilor, angajatii parcurg cursuri despre modalitatea in care trebuie prelucrate si transmise datele, amenintarile la care sa fie atenti si procedurile de urmat atunci cand constata o activitate suspecta in mediul online. Nu de putine ori se intampla sa existe persoane care, fie din nestiinta, superficialitate ori din dorinta de a trece peste anumite reguli pentru a rezolva mai repede o sarcina de serviciu, expun datele informatice ale angajatorului la un risc sporit de a fi transferate neautorizat in mediul extern ori sa le afecteze iremediabil (vezi situatia unui atac de tip ransomware, cand date ale companiei sunt criptate si chiar o eventuala restaurare poate sa nu duca la o recuperare completa a acestora).

- Angajatul rau-intentionat: o marire de salariu care nu a fost pe masura asteptarilor, o avansare care nu a venit la timpul dorit ori incetarea unilaterala din partea angajatorului a contractului de munca sunt situatii in care anumite persoane isi pierd simtul ratiunii si recurg la acte de razbunare. Nu putine au fost cazurile cand astfel de atacatori au sters bazele de date ale companiei sau le-au transferat pe un mediu de stocare personal, santajand ulterior compania cu publicarea acestora in mediul public.

- Angajatul „infractor in timpul liber”: aici se are in vedere cea mai grava forma a acestui tip de atac, in care persoane care au primit acces in mediul informatic al unei companii se folosesc de drepturile pe care le au pentru a copia sistematic informatii confidentiale pe care ulterior sa le vanda pe Darkweb si sa obtina astfel avantaje materiale. De asemenea, au mai fost intalnite deseori situatii in care persoane care supravegheau active financiare ale companiei, beneficiind de increderea care li se acorda combinata cu anumite lipsuri in supravegherea activitatii acestora, au extras, prin diferite artificii in sistemul informatic al companiei, sume de bani pe care le-au folosit ulterior in interes personal.

Cum protejam datele companiei respectand dreptul angajatului la viata privata?
Din ce in ce mai multe companii au adoptat o cultura organizationala sanatoasa care pune in centrul ei angajatul si fidelizarea acestuia. Din acest motiv, implementarea unor masuri care sa previna situatiile in care unul dintre acestia s-ar putea intoarce impotriva angajatorului trebuie luate cu mare atentie pentru a nu afecta libertatea si drepturile majoritatii. Aceasta abordare face insa ca un astfel de atac sa fie si mai greu de identificat.

Practica a aratat ca mecanismele care trebuie adoptate trebuie sa aiba in vedere atat nevoia de a proteja datele companiei, cat si dreptul angajatului la viata privata. Este prevazut fara echivoc atat de catre legislatia muncii, cat si de cea privind protectia datelor cu caracter personal faptul ca angajatul beneficiaza de dreptul la viata privata chiar si atunci cand opereaza de pe dispozitive aflate in administrarea companiei la care lucreaza. Astfel, raspunsul la aceasta problema nu este unul singur, ci mai degraba reprezinta un mixt intre diferitele controale care pot fi puse la un loc pentru a preveni sau identifica la timp acest tip de activitati.

1) Controale tehnice: implementarea de solutii de prevenire si stopare a exfiltrarii de date informatice, asa numitele Data Loss Prevention, care pot fi configurate pe nevoia fiecarei companii in parte, astfel incat sa alerteze si/sau stopeze in momentul cand anumite date sunt scoase in afara companiei. De asemenea, aceasta masura este bine sa fie completata si prin configurarea unor mecanisme prin care datele stocate sau in tranzit sunt criptate, astfel orice interceptare a acestora, fie ea si accidentala, sa nu supuna compania la un risc.

2) Masuri administrative – Desi nu intotdeauna posibil, in functie de natura rolului, sarcinile de serviciu pot fi indeplinite prin rotatie de mai multe persoane, astfel incat eventuale abateri de la procedura normala sa poata fi semnalate. In plus, principiul separatiei sarcinilor trebuie sa fie o regula astfel incat o actiune sa nu poata fi dusa la bun sfarsit decat prin colaborarea a doua sau mai multe persoane, fiecare cu diferite atributii. Un exemplu clasic ar fi  situatia in care cineva identifica actiunea care trebuie intreprinsa si demareaza procedurile, o alta persoana aproba si o a treia executa plata.  

In completarea acestor masuri ar trebui sa fie mentionate si anumite proceduri clare prin care datele companiei pot fi totusi scoase din companie. Desi acest lucru nu este posibil pentru departamentele a caror activitate zilnica implica schimbul de date constant cu entitati din afara companiei, cu siguranta exista numeroase alte compartimente care lucreaza cu date sensibile si care nu ar implica transferul de date spre exterior.

Nu in ultimul rand, nu trebuie uitata existenta unei proceduri de lucru de raspuns la acest tip de evenimente constand intr-un plan de raspuns la incidente informatice si diferite fluxuri de activitati in functie de specificul fiecarui atac suferit.

3) Coordonare intre departamentul de HR si IT: Poate cea mai delicata componenta din lista recomandarilor intrucat nevoia unei astfel de colaborari are loc in momentul in care sunt suspiciuni clare cu privire la existenta unui atacator din interior. Astfel, departamentele de HR pot sa anunte echipa de monitorizare a incidentelor in momentul in care sunt indicii ca o persoana a manifestat intentii vadite cu privire la o astfel de activitate. Aceasta masura trebuie cuprinsa expres in cadrul unei proceduri, cu indicarea clara a situatiei in care activitatea profesionala este monitorizata, pentru a nu lasa loc abuzurilor din partea angajatorilor, care in ideea protejarii retelei exercita un control ce poate fi intimidant si chiar ilegal pentru persoanele de buna credinta, care, din fericire, reprezinta majoritatea covarsitoare.

Echilibru in adoptarea masurilor
Realitatea a dovedit ca astfel de activitati de rea-credinta indreptate impotriva datelor informatice ale companiei (in unele cazuri chiar impotriva propriilor colegi) sunt o realitate de care fiecare decident trebuie sa tina cont. Insa, cel mai important este gasirea unui echilibru intre crearea unei culturi organizationale axate pe incredere si profesionalism si dezvoltarea unor mecanisme obiective de monitorizare, identificare si raspuns eficient in cazul in care sunt indicii ale unui atac informatic din interior. Oricare miscare spre una dintre cele doua extreme poate cauza fie un mediu impropriu de lucru pentru cea mai importanta resursa, oamenii, fie un risc iminent de compromitere a datelor informatice, aceasta situatie din urma venind la pachet si cu alte inconveniente atat de natura contraventionala, cat si penala in anumite cazuri.

Autor: Cristian Zaharia (foto), Manager, Forensic Technnologies and Discovery Services, EY Romania

Catalog

AFCAR 2021 coperta1

Abonare la newsletter

* indicates required

Agenda obligatiilor fiscale 2019

EY agenda fiscala 2019 coperta

 

 

 


 

 

 

Fairvalue logo bun 2020

 

 

Horvath logo 2021

 

 

PKF Finconta logo 21

 

 

 

TUV logo 20

 

 

 

 

EY logo 2020 portal

 

 

andra musatescu sigla noua

 

 

Valoria logo2 

 

 

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Kreston logo 2018

 

 

 

works logo

 

 

 

 

 

 

 

 

 

 

 

 

 

 

  

prospect logo

 

 

 

 

 

 

 

 

 

 

 

 

expert control logo

 

 

 

evident info logo 

 

 

 

 

nefertiti logo

 

 

 

Copyright © 2021 KLAUS MEDIA PRESS
Toate drepturile rezervate.