Business Hi-Tech

"Preventia, detectia timpurie si raspunsul profesionist fac diferenta dintre o criza majora si un incident controlabil."

Incidentele de securitate cibernetica nu mai pot fi tratate ca exceptii sau situatii-limita, fiind deja parte din normalitatea operationala a organizatiilor, indiferent de industrie sau dimensiune. In Romania, anul 2024 a marcat o intensificare clara a amenintarilor cibernetice, tendinta care s-a consolidat si in 2025. Datele Directoratului National de Securitate Cibernetica arata o explozie a malware-ului (+286,8%) si o crestere a atacurilor ransomware, vizand in principal persoane juridice. In paralel, fraudele informatice, atacurile brute-force si incidentele de tip cont compromis au devenit tot mai frecvente, semnaland automatizarea atacurilor si orientarea acestora catre zonele slab protejate sau insuficient monitorizate.

Safetech Innovations opereaza un centru de monitorizare si raspuns la incidente de securitate cibernetica, avand denumirea STI CERT. Cu o experienta de peste un deceniu in monitorizarea si gestionarea riscurilor cibernetice pentru organizatii din multiple industrii, STI CERT a acumulat o perspectiva practica asupra modului in care incidentele evolueaza si asupra deciziilor care fac diferenta intre un incident controlabil si o criza de business.

"STI CERT contribuie la securizarea a peste 80.000 de angajati si identifica, in medie, aproximativ 180 de incidente lunar. Aceasta expunere ne ofera o perspectiva clara asupra modului in care riscurile cibernetice se transforma, foarte rapid, in probleme de business. Detectia timpurie si interventia rapida sunt esentiale pentru a preveni escaladarea si pentru a limita impactul operational si financiar", afirma Oana Anghel, Security Operations Manager al Safetech Innovations.

Incidente diferite, aceeasi lectie pentru management

Analiza incidentelor investigate de STI CERT arata un tipar constant: majoritatea sunt descoperite tarziu, abia atunci cand afecteaza activitatea curenta. Rareori exista o singura cauza, iar impactul final este rezultatul acumularii mai multor vulnerabilitati.

" Am selectat, pentru acest articol, trei cazuri recente de investigatie avansata a incidentelor, din organizatii care nu aveau servicii de monitorizare cibernetica la momentul compromiterii: doua atacuri ransomware si un caz de exfiltrare de date realizata de un fost angajat. Diferite ca forma, dar similare prin consecinte, atacurile contureaza o imagine clara asupra riscurilor reale cu care se confrunta organizatiile moderne si asupra importantei unui raspuns profesionist, documentat si etic.", ne propune Oana Anghel.

" Primul caz, un atac ransomware a blocat accesul angajatilor la sisteme critice, problema devenind vizibila abia dupa aproape o zi, cand activitatea a fost afectata. Incidentul nu a fost detectat de mecanisme automate, ci prin sesizarile utilizatorilor care nu se mai puteau autentifica. Investigatia a relevat un lant clasic de compromitere: phishing, furt de credentiale si, ulterior, criptarea sistemelor critice.

Al doilea caz: un fost angajat a extras date sensibile, generand riscuri directe de conformitate si expunere juridica, incident depistat la ceva timp dupa plecarea acestuia din companie. Suspiciunea a aparut la nivel de management, nu ca urmare a unei alerte tehnice, iar analiza forensic a confirmat transferuri neautorizate, cu implicatii directe asupra confidentialitatii."

In cel de-al treilea, un atac avansat, un ransomware fileless, cu impact operational major. Au fost afectate statiile de lucru utilizate la casele de marcat si sisteme din departamentele financiar si IT, ducand la blocaje majore si pierderi de productivitate, fiind descoperit la aproape doua zile de la compromitere."

"Analiza incidentelor de securitate in care am lucrat recent ne arata ca multe organizatii descopera problemele de securitate abia atunci cand ele incep sa afecteze direct operatiunile si rezultatele financiare. De cele mai multe ori, incidentele apar la intersectia dintre oameni, procese si tehnologie, iar lipsa unor procese mature de detectie si a monitorizarii continue face diferenta dintre un incident gestionabil si o criza", concluzioneaza Oana Anghel, Safetech Innovations.

Care sunt cele mai relevante amenintari cibernetice?

Statisticile privind incidenta tipurilor de atacuri difera mult de la o regiune la alta. Spre exemplu, printre cele mai frecvente incidente mitigate de companiile din Top 250 MSSP publicat de MSSP Alert , ( https://www.msspalert.com/top-250-2025 ) in care este inclusa si Safetech Innovations, se afla phishing-ul prin e-mail (96%), exploatarea vulnerabilitatilor (94%), ransomware (92%), scurgerile de date si atacuri brute-force, raportate de 85%, respectiv 80% dintre furnizorii de servicii gestionate de securitate.

Riscurile generate de astfel de incidente depasesc zona tehnica. Ele includ pierderi financiare directe (de exemplu, indisponibilizarea caselor de marcat in incidentul 3), afectarea reputatiei, riscuri legale si de conformitate, dar si pierderea increderii clientilor si partenerilor.

Experienta acumulata in gestionarea acestor incidente arata ca securitatea eficienta nu inseamna reactie punctuala, ci un proces continuu de preventie, monitorizare si raspuns. Un centru de monitorizare si raspuns la incidente de securitate cibernetica bine operat nu se limiteaza la interventia in situatii critice, ci identifica tipare, coreleaza semnale slabe si opreste incidentele inainte ca acestea sa afecteze businessul.

Detectie tardiva si cauze recurente

Un element comun tuturor celor trei incidente este modul de descoperire: niciunul nu a fost detectat rapid de un instrument automat. Fie ca a fost vorba de utilizatori care nu se mai puteau conecta, de disfunctionalitati operationale sau de o suspiciune de management, atacatorii au avut timp sa actioneze nestingheriti.

"Timpul este un factor critic in securitate. Cu cat detectezi mai tarziu, cu atat platesti mai mult - financiar, operational si reputational" , subliniaza Managerul STI CERT din cadrul Safetech Innovations.

Analiza unitara a celor trei cazuri indica un set clar de factori favorizanti:

"Niciunul dintre aceste incidente nu a fost cauzat de o singura greseala. Ele au aparut atunci cand s-au aliniat erori umane, lipsa de proceduri si lipsa de tehnologie", explica Oana Anghel.

Rolul unui SOC in detectie si in limitarea impactului

In toate cele trei situatii, interventia STI CERT a urmat o abordare structurata si proportionala cu gravitatea incidentului. Primele masuri au vizat limitarea propagarii si stabilizarea infrastructurii, prin izolarea sistemelor afectate, restrictionarea temporara a accesului de la distan t a sau suspendarea anumitor servicii critice.

Un aspect esential a fost evitarea actiunilor impulsive care ar fi putut distruge probe sau agrava situatia. De exemplu, in cazul insider threat, statia de lucru a fost izolata fara a fi alterata, pentru a permite o analiza forensic valida din punct de vedere juridic. Aceasta etapa de "containment" este adesea subestimata, dar ea face diferenta dintre un incident controlat si unul care escaladeaza rapid.

Investigatiile realizate de echipa SOC au combinat analiza tehnica de detaliu cu respectarea standardelor etice si legale.

Remediere, revenire controlata si recomandari pentru management

In toate cele trei cazuri, remedierea a depasit interventia punctuala, incluzand revenirea controlata a operatiunilor si un set coerent de masuri menite sa reduca riscul de recurenta - de la intarirea controalelor si revizuirea accesului, pana la monitorizare continua si instruirea utilizatorilor - integrate intr-un proces de crestere a maturitatii de securitate. Un principiu constant aplicat de Safetech a fost acela ca revenirea rapida nu trebuie sa compromita securitatea: o reluare graduala si verificata este preferabila unei reporniri in graba, care poate lasa atacatorului usi deschise.

" Privite impreuna, incidentele confirma o realitate esentiala: securitatea cibernetica nu este un produs, ci un proces. Atacurile difera ca forma si complexitate, insa lectiile raman aceleasi - preventia, detectia timpurie si raspunsul profesionist fac diferenta dintre o criza majora si un incident controlabil. Gestionarea eficienta a riscurilor cibernetice necesita implicarea in egala masura a managementului de business si a celui IT. Liderii de business trebuie sa trateze riscurile cibernetice ca riscuri de business, sa inteleaga impactul lor asupra operatiunilor, reputatiei si continuitatii si sa sustina investitiile adecvate in oameni, procese si tehnologii" mai afirma Oana Anghel.

"Responsabilitatea managementului IT este de a asigura controale solide de acces si protectia datelor, procese corecte de onboarding si offboarding si monitorizare continua, iar un centru de monitorizare si preventie a riscurilor cibernetice isi demonstreaza valoarea nu doar prin detectie rapida, ci prin capacitatea de a corela evenimente, de a interveni eficient, de a preveni recurenta incidentelor si de a reduce riscul operational pe termen lung."

"Un centru de monitorizare si raspuns la incidente de securitate cibernetica nu inseamna doar reactie rapida, ci si capacitatea de a recunoaste tipare si tehnici, de a invata din incidente si de a preveni recurenta lor" , concluzioneaza Oana Anghel. "Un astfel de mecanism bine operat, cum este STI CERT, se transforma intr-un instrument de protectie a valorii, care limiteaza pierderile financiare si transforma riscurile cibernetice imprevizibile in costuri controlabile, contribuind direct la stabilitatea si predictibilitatea businessului."

Articolele de publicitate publicate pe ZF.ro sunt marcate cu (P), Advertorial sau Opinia Specialistului.