1. Puțină istorie

Chiar dacă acum 15 ani Internetul și rețelele sociale nu erau atît de vizibile pe ”scenă”, existau o mulțime de alte surse (cum ar fi ziare și baze de date disponibile public) care conțineau informații interesante și uneori utile, mai ales dacă cineva știa cum să conecteze între ele ”punctele”.

Așa a fost inventat inițial termenul OSINT (Open-Source Intelligence) – pentru a se referi la acest tip de spionaj. Pentru că prima dată în domeniul spionajului a fost folosit. Tehnologia a evoluat și acum aceste tehnici pot fi aplicate securității cibernetice:

• Multe organizații au infrastructuri vaste, destinate publicului, care acoperă multe rețele, tehnologii, servicii de găzduire, spații de nume etc.
• Informațiile pot fi stocate pe desktop-urile angajaților, pe servere locale, pe dispozitive BYOD deținute de angajați, în cloud, încorporate în dispozitive precum camerele web sau chiar ascunse în codul sursă al aplicațiilor și programelor.

De fapt, personalul IT al companiilor mari (de multe ori subdimensionat!) nu știe aproape niciodată (cu mici excepții) despre fiecare activ IT din organizația lor, public sau nu. Soluțiile de tip IT asset management/discovery/inventory sînt rar folosite. Astăzi multe organizații dețin sau controlează indirect și conturi pe rețele sociale, existînd potențial o mulțime de informații care par ”inocente” cînd sînt divulgate.

Prin 2013 (nu mai verific acum) a fost organizată o licitație prin care au fost achiziționate SIEM-uri pentru entitățile ICIN (Infrastructuri critice de interes național). Ce m-a frapat a fost faptul că, în numele transparenței achizițiilor publice, au fost publicate pentru fiecare ICIN tipul (server, switch, router…) și numărul echipamentelor din care SIEM-ul trebuia să recepționeze și să prelucreze loguri. Mă întrebam atunci dacă s-a gîndit cineva că de fapt ”transparența” contribuie la identificarea suprafeței de atac fără a recurge la hacking/pen test….

2. Compania Națională Aeroporturi București

Organizația de mai sus dorește să achiziționeze ”audit de securitate cibernetică” pentru două puncte de lucru AIHCB respectiv AIBB AV. Despre modul în care este scris caietul de sarcini se pot zice multe lucruri 🙂 ….. Nu voi cîrcoti despre cerințele pentru ”echipa de experți” ci voi da ca exemplu solicitarea expresă ca aceștia (auditori) să respecte Anexa 13 din Ordinul 559, anexă care se referă la Codul Etic al auditorului. Cod Etic pe care orice auditor s-a angajat în fața DNSC, prin semnătură, că îl va respecta. Sau că unul din experți ar trebui să aibă o potențială certificare ISO27005 🙂

Am aflat însă lucruri mult mai importante despre care (eu și mulți alții….) nu știam că există în acea infrastructură: 1 AD, 1 ERP, 3 file servere, 10 servere Windows și Linux, 2 sisteme infrastructură și servere virtuale….