La trei zile după ce a fost numit la conducerea grupului american de software SolarWinds, Sudhakar Ramakrishna a primit un telefon de care orice director general s-ar teme.
Consilierul general al companiei a sunat pentru a-l avertiza că a fost detectat un malware în actualizările trimise la mii de clienți din sectorul public și privat.
„Prima mea reacție a fost într-adevăr una de curiozitate”, își amintește veteranul executiv în domeniul tehnologiei. „Am început să vizualizez ce s-ar fi putut întâmpla”.
Ramakrishna nu trebuia să preia conducerea până luna următoare, dar, având în vedere gravitatea atacului, parte a unei campanii de spionaj cibernetic pe care guvernul SUA a atribuit-o ulterior Rusiei, a fost numit rapid în consiliul de administrație al SolarWinds pentru a putea primi actualizări zilnice. În câteva zile, și-a revizuit primele 10 priorități pentru noul său loc de muncă pentru a ține cont de circumstanțele radical schimbate.
Puțini directori executivi experimentează un astfel de botez de foc cibernetic, ceea ce a determinat SUA să înființeze un grup operativ la nivel înalt pentru a-și coordona răspunsul. Chiar și mai puțini ar răspunde cu atâta răceală. Pentru lideri, atacurile cibernetice „par a fi mult mai personale (și) emoționale” decât alte crize, potrivit lui Michael Smets, profesor de management la Saïd Business School din Oxford.
Chiar și un atac simulat poate împinge directorii la limită. Casa de Securitate Cibernetică din Luxemburg organizează un exercițiu intens de o oră pentru liderii de afaceri, numit Room#42, pentru a promova rezistența la amenințările cibernetice. De două ori, directorii executivi „și-au pierdut controlul”, chiar țipând la colegi, spune Pascal Steichen, care conduce unitatea de reziliență cibernetică.
Astfel de reacții pot reflecta o prăpastie expusă într-un raport recent pe care Smets și alții l-au pregătit pentru Istari, compania de gestionare a riscurilor cibernetice deținută de Temasek din Singapore. Toți cei 37 de directori executivi intervievați pentru acest studiu au declarat că responsabilitatea pentru securitatea cibernetică le revine lor, dar aproape trei sferturi dintre ei nu se simt confortabil să ia decizii în acest sens.
Ceea ce este evident este că amenințarea este în creștere. De la hackerul SolarWinds din 2020 – supranumit Sunburst – hackerii au reușit să scoată din funcțiune rețeaua Colonial Pipeline cu o cerere de răscumpărare, provocând penurii de benzină în unele părți ale SUA, au pătruns în sistemele interne ale ziarului The Guardian și au forțat Royal Mail din Marea Britanie să își suspende temporar serviciile poștale internaționale. În această lună, USS – cel mai mare plan de pensii din sectorul privat din Marea Britanie – a avertizat că datele personale a aproximativ 470.000 de membri ar fi putut fi expuse în urma unui atac cibernetic asupra grupului de externalizare Capita.
Te îmbunătățești continuu, dar nu ești niciodată pe deplin sigur. Nu lucrezi dintr-o poziție de teamă, ci de învățare constantă și de îmbunătățire constantă
După cum subliniază experții, hacking-ul este o amenințare asimetrică. „Atacatorii trebuie să reușească doar o singură dată”, spune Kelly Richdale, director de consiliu și consilier în domeniul securității cibernetice. Steichen spune că simulatorul luxemburghez – care va căuta defectele din sistemele unei întreprinderi – este inspirat din popularele camere de evadare, cu excepția faptului că „nu poți scăpa, poți doar eșua”.
Liderii de rang înalt își dau seama din ce în ce mai mult că, dacă niciun sistem nu este protejat în întregime împotriva tentativelor de încălcare, atunci nu este suficient să ne concentrăm doar pe răspunsuri tehnologice. Experții spun că directorii executivi nu ar trebui să transfere responsabilitatea pe seama directorului general pentru securitatea informațiilor sau chiar pe seama comitetului de audit. În schimb, aceștia ar trebui să trateze atacurile cibernetice ca pe o problemă strategică, care trebuie tratată la cel mai înalt nivel. Abordată în mod corespunzător ca o problemă de gestionare a riscurilor, amenințarea poate fi, de asemenea, o oportunitate de a identifica operațiunile importante din punct de vedere strategic și chiar de a îmbunătăți afacerea în ansamblu.
„Te îmbunătățești continuu, dar nu ești niciodată complet sigur”, spune Ramakrishna de la SolarWinds. „Nu lucrezi dintr-o poziție de teamă, ci de învățare constantă și de îmbunătățire constantă.”
Autoritățile de reglementare au contribuit la introducerea fermă a securității cibernetice pe agenda consiliilor de administrație. Comisia pentru valori mobiliare și burse din SUA, Banca Angliei și Banca Centrală Europeană se numără printre autoritățile de reglementare care și-au sporit atenția asupra rezilienței cibernetice în ultimul an. De exemplu, o propunere a SEC ar urma să impună companiilor publice să facă publică expertiza în domeniul securității cibernetice a directorilor „dacă există”. „Nu fiecare membru (al consiliului de administrație) trebuie să fie un expert în riscuri financiare, dar trebuie să fie capabil să citească o foaie de calcul sau un P&L (contul de profit și pierdere)”, subliniază Richdale. În mod similar, „consiliul de administrație trebuie să cunoască elementele de bază ale atacurilor cibernetice și ale conceptelor digitale” – un nivel de cunoștințe care, în opinia ei, lipsește la multe companii.
Atingerea, sau angajarea acestui nivel de expertiză este mai ușoară pentru companiile mari, adaugă Mitchell Scherr de la compania de securitate cibernetică Assured Cyber Protection: „În întreprinderile de dimensiuni medii, consiliul de administrație nu știe ce întrebări să pună, iar cei din domeniul tehnic nu știu ce să ofere consiliului”.
Acest decalaj este deosebit de periculos, deoarece deseori companiile mici și mijlocii sunt cele care deschid, fără să vrea, ușa din spate a unor ținte mai mari pentru hackeri, prin așa-numitele „atacuri în lanțul de aprovizionare”. Sunburst a fost un exemplu clasic, chiar dacă unul deosebit de sofisticat, deoarece software-ul SolarWinds fusese instalat de mulți clienți (deși compania estimează că au fost vizate mai puțin de 100 de companii private și nouă agenții federale). Un alt atac a fost cel de anul trecut asupra asiguratorului de sănătate australian Medibank. Acolo, hackerii au obținut acces la datele clienților cu ajutorul unui nume de utilizator și al unei parole furate, folosite de un furnizor extern de servicii de tehnologie a informației. Richdale a declarat: „Perimetrul (securității) cibernetice s-a extins”.
Sudhakar Ramakrishna, care și-a început mandatul de director executiv al SolarWinds în mijlocul unui atac cibernetic, spune că a învățat că „nu poți rezolva singur toate problemele” © Demetrius Freeman-Pool/Getty Images
Acest lucru plasează problema direct pe biroul directorilor executivi, al căror rol este de a menține o viziune strategică asupra riscurilor și oportunităților care acoperă întreaga rețea de aprovizionare. Directorii executivi și consiliile de administrație sunt, de asemenea, cei mai bine plasați pentru a evalua riscul reputațional. Experții sfătuiesc că liderii sunt într-o poziție mai bună decât CISO-urile pentru a identifica „bijuteriile coroanei” – active sau operațiuni importante din punct de vedere strategic care necesită cel mai înalt nivel de protecție. Pentru un hotel, ar putea fi vorba de detaliile pașaportului oaspeților; pentru un centru spa, ar putea fi datele de sănătate ale clienților; pentru un producător, ar putea fi vorba de proprietatea intelectuală. Scherr își amintește de o companie chineză care a spart sistemul unui start-up sub pretextul că îi comanda produsele. Atacatorul a copiat tehnica inovatoare a companiei țintă și a început să producă și să vândă aceleași articole la un sfert din preț. Odată ce companiile au abordat principalele riscuri, ele pot trece la acoperirea oricărui risc rezidual cu o asigurare cibernetică.
Manuel Hepfer, de la Istari, spune că impulsionarea către o mai mare reziliență cibernetică poate oferi, de asemenea, oportunități de eficientizare a proceselor. „CIO a venit să prezinte la o ședință executivă și ne-a întrebat câte servere credeam că are compania”, a declarat un director executiv pentru Istari. „Cea mai mică estimare din sală a fost de patru, iar cea mai mare de 250 de servere. Realitatea a fost de peste 4.000. Acesta a fost un stimulent pentru noi toți să înțelegem mai mult. Ne-am dat seama că cheltuim milioane în fiecare an pe acest tip de tehnologie, dar nu o înțelegem cu adevărat”.
Istari a identificat un „paradox al pregătirii”. Companiile care au declarat că sunt cel mai bine plasate pentru a rezista unui atac cibernetic au fost mai puțin probabil să fie pregătite. Liderii ale căror companii au fost deja piratate au spus că au fost capabili să reconstruiască mai bine, ceea ce Smets de la Oxford compară cu arta japoneză a kintsugi, reparând ceramica spartă cu aur.
Ramakrishna spune că a reconstruit cultura SolarWinds pe baza transparenței, a colaborării și a umilinței. „Nu vei putea rezolva singur toate problemele. S-ar putea să aveți nevoie de ajutorul comunității”, spune el. Când i se cere să sfătuiască alte consilii de administrație, el le îndeamnă să adopte aceeași „tendință de transparență” pe care o folosește SolarWinds și să împărtășească cunoștințele despre un atac cibernetic cu rețeaua lor mai largă.
În ce măsură să colaborezi cu rivalii într-o criză este o decizie pe care doar directorul general și consiliul de administrație sunt probabil în măsură să o ia. Cei mai mulți greșesc de partea secretului. Luxemburghezul Steichen spune că 70 la sută dintre companiile care au efectuat o simulare Room#42 nu caută asistență externă pentru a gestiona o criză cibernetică. „Motto-ul nostru general este: ‘Nu suferiți în tăcere'”, spune el.
Propria mantră a SolarWinds este „secure by design”. Ramakrishna descrie acest lucru ca fiind un „proiect pentru totdeauna”. S-ar putea întâmpla din nou un atac de tip Sunburst? Ramakrishna atrage atenția asupra recentelor încălcări ale securității unor companii „cu un grad ridicat de securitate”, cum ar fi Microsoft, al cărui program de e-mail Exchange a fost atacat de presupuși hackeri chinezi în 2021: „S-ar putea întâmpla și SolarWinds, oricărei alte companii, indiferent de mărimea, amploarea, activele sale”, spune Ramakrishna. „Ceea ce putem face este să lucrăm împreună pentru a reduce probabilitatea”.
Sursa – www.ft.com