Întîmplarea cu ransomware-ul de la furnizorul de aplicație pentru o parte din spitalele din România este un ”exemplu-școală” în orice curs de management al securității informațiilor: responsabilitatea comună, furnizor-client!

Cu riscul de a fi etichetat drept cinic: dacă după această întîmplare se învață și altceva decît ”contracte de externalizare/consultanță” atunci este foarte bine că s-a întîmplat. (Științific i se mai spune ”protection motivation theory” noi spunem că ”frica păzește bostănăria”)

Poate se va întîmpla și în alte domenii cu ”infrastructuri critice” pentru că, în multe cazuri, se ”face securitate pe hîrtie” pentru că ”așa zice legea” sau auditorul (dacă zice…) nu pentru că ”structura de guvernare” chiar își dorește ca ceea ce s-a scris pe hîrtie să poată fi aplicat în cazul unui ”dezastru” cu impact asupra activităților organizației.

”Stegulețe roșii” în audit:

1. Lipsa unui buget….- arată cît de importantă este de fapt securitatea IT pentru ”structura de guvernare” (care este uneori o primărie, un CJ sau un minister….)

2. Nici un angajat dedicat securității IT. Idem ca la 1+dacă totuși există, nu are buget…nici măcar să participe la cursuri.

3. Lipsa politicilor de securitate sau existența unora ”învechite” sau ”la bucată” – o dovadă că pe management îl interesează forma și nu fondul (neasumarea responsabilității). Dacă ”politicile” există doar pentru a bifa o cerință, mai bine nu se mai pierde timpul…și hîrtia.

4. Nici un pent test, nici măcar o scanare de vulnerabilități ”din An în Paște”.

5. Fără MFA pentru accesul de la distanță. Suport tehnic prin RDP-uri și alte ”Any”-uri….

6. IT-DR nu a fost testat niciodată; BCP-ul este o poveste frumoasă (BIA, RPO, RTO, MTDT?); nu s-a făcut niciodată măcar o restaurare aleatoare (”regula 3-2-1” la backup….nu sînt bani)

7. Nici o soluție de log-management (SIEM), dar în caz de atac se doresc probe și ”forensic”…

8. Nici o soluție cu IPS/IDS, XDR/MDR cu UEBA….ieftin să fie.

9. Prelucrare de cantități mari de date personale dar nici un DLP sau DB Protection.

10. Fără ”patching”, fără SoD, fără ”cel mai mic privilegiu”.

Declarațiile publice spun că cele mai multe spitale au copii de siguranță realizate cu 2-3 zile înainte de atac.

Cu toate acestea, după 24 de ore de la incident, nu au venit vești oficiale despre restaurarea sistemelor……Sigur însă există ”proceduri”….și multă ipocrizie…..