Modelul de business cu servicii partajate sau cu operațiuni localizate extern ridică noi riscuri pentru securitatea IT
Războiul în Europa, un memento pentru a reexamina postura de securitate IT a centrelor de servicii partajate și a birourilor de operațiuni, de tip back office, localizate extern infrastructurii business principale.
Liderii de business din mediul de afaceri european, în special cei responsabili cu securitatea IT, precum CISO (Chief Information Security Officer), CTO (Chief Technology Officer) și CDO (Chief Data Officer), trebuie să se adapteze la faptul că războiul din Ucraina este un conflict ce are loc în Europa dar care manifestă implicații globale. Sancțiunile, ajutoarele militare și valul de refugiați sunt toate semnale că operatorii centrelor de servicii digitale intens partajate (SSC) și schemele de business bazate pe o infrastructură de tip off-/near-shoring ar trebui să-și revizuiască planurile de management al riscului și postura de securitate IT.
Deși acest sfat este unul pe care îl putem formula mereu, fie în vreme de pace fie în vreme de război, conflictul susținut la granițele UE ar trebui să sporească hotărârea de a supune unui audit solid strategia de securitate IT a afacerilor complexe. Pentru companiile și instituțiile care operează în Europa Centrală și de Est (CEE), necesitatea de a reevalua procedurile de securitate vine ca o reamintire a faptului că centrele de servicii și modelele bazate pe sedii externalizate, localizate în alte regiuni, din rațiuni de optimizare de costuri, pot prezenta riscuri dincolo de expunerea ridicată la amenințările cibernetice, unele care includ și amenințări geopolitice.
Cu siguranță, regiunea europeană CEE nu este singura zonă implicată. În ceea ce privește găzduirea SSC-urilor (shared services center) și a operațiunilor de suport, America Latină (Argentina, Brazilia, Mexic, Panama etc.) și regiunea Asia Pacific (India, Filipine, Thailanda etc.) găzduiesc, de asemenea, un număr mare din aceste operațiuni de sprijin ale unor mari infrastructuri business, care își asumă aceleași riscuri care decurg din dependența lor intensă și/sau sprijinul pentru procesele digitale/IT.
Cu toate acestea, cu toți ochii ațintiți momentan asupra războiului în Europa, în special în perimetrul CEE, vom folosi această regiune ca punct de focus pentru discuție.
Locație, locație, locație
Multe țări din CEE, inclusiv Slovacia, Polonia și Cehia, găzduiesc centre de lucru pentru modelul de afaceri SSC (shared services center) de mai bine de 20 de ani, Ucraina a adus ulterior și ea un aport la nivelul necesar de forță de muncă calificată. În prezent, modelul acesta de plasare a unor componente și procese business, în localități și țări care asigură cea mai bună combinație de cost/eficiență (SSC-shared services center) oferă joburi pentru cel puțin 900.000 de oameni din regiunea Europei Centrale și de Est. Astfel, Kiev, Bratislava, Praga, Varșovia, Cluj și multe alte locații similare, susțin departamente globale de telecomunicații, software, finanțe, resurse umane, automatizare dar și alte procese de afaceri, fiind locații unde s-au depus eforturi considerabile pentru a le transforma în hub-uri IT rezistente.
Atributele geografice, combinate cu resursele umane și instrumentele pe care le folosesc, fac ca operațiunile centrelor de servicii partajate (SSC) să fie ținte cibernetice de mare interes. Acum, indiferent de efortul necesar pentru a construi și a cultiva aceste active business centrate pe productivitate în cei peste 20 de ani de calm care au făcut Europa Centrală și de Est atât de atractivă pentru operațiuni de tip SSC, războiul și aspectele sale centrate pe cibernetică reprezintă o nouă provocare – livrarea de securitate și încredere.
În ceea ce privește securitatea, trebuie doar să consultăm Raportul DBIR realizat de Verizon pentru a vedea care industrii se confruntă cu cele mai mari rate de atacuri persistente și direcționate. La capitolul încredere, securitatea IT pentru offshoring-ul orientat spre servicii și operațiunile SSC, indiferent dacă este operată de HQ sau ca parte a unui lanț de aprovizionare de servicii, oferă o cale de combatere a actorilor rău intenționați. La urma urmei, multe industrii detaliate în raport, precum și partenerii lor din lanțul de aprovizionare, valorifică sprijinul și oportunitățile specifice SSC – inclusiv în regiunea CEE. Ca atare, operatorii ar trebui să reevalueze riscurile IT și să întărească practicile de securitate digitală în general.
Mulți CIO, CISO și personalul lor au început să se uite din ce în ce mai atent la modelul de securitate Zero trust, un model de securitate IT care este conceput pentru a limita expunerea la risc prin eliminarea accesului și privilegiilor inutile în sistemele IT critice. Elementele de esență în ceea ce privește strategia “zero trust” constau în prioritizarea restricției serviciilor disponibile la nivelul utilizatorilor din rețea, în fața unei strategii tardive, de blocare retroactivă a accesului. Asta înseamnă că niciun acces nu este acordat fără o autorizare specifică și proactivă. În vreme ce această abordare este una singulară prin natura ei, și este agresivă, are un scor mare pentru proactivitate, anulând considerabil o serie extinsă de riscuri de securitate IT.
COVID-19, războiul și schimbarea de comportament
Dacă putem extrage o concluzie din datele colectate până acum despre amenințările cibernetice din timpul pandemiei COVID-19 (vârful amenințărilor legate de COVID-19 fiind în 2020) și peisajul mai larg al amenințărilor informatice identificat în 2020, 2021 și prima jumătate a anului 2022, atunci datele IT și fluxurile de lucru intensive utilizate de centrele de suport și SSC-uri dictează o nevoie sporită de prudență în ceea ce privește securitatea.
Prin proiectare, SSC-urile se concentrează pe sarcini specifice sau subsarcini care pot crește viteza și/sau eficiența livrării la un cost avantajos pentru management. În acest context, „partajat” înseamnă colaborare; cu toate acestea, colaborarea oferă, de asemenea, un domeniu bogat ce poate fi expoatat de vectorii de amenințare. În timp ce vom analiza mai jos în detaliu, putem spune cu încredere că modelul zero trust oferă o mulțime de beneficii pentru operațiunile de business partajate în sistem SSC.
În timp ce SSC-urile din CEE și alte locații demonstrează beneficiile pe care modelele centrate pe colaborare și productivitate le aduc afacerilor, ele produc o intensificare proporțională a riscurilor. Chiar înainte de război, unele dintre aceste riscuri erau deja prezente; în 2021, îmbunătățirea și adoptarea în continuare a platformelor de colaborare a devenit un factor cheie al revoluției muncii de la domiciliu, declanșată inițial de pandemie. Dintre numeroasele platforme, Microsoft Exchange Server a experimentat un impact sever la nivelul provocărilor de securitate atunci când o serie de vulnerabilități au fost exploatate de cel puțin 10 actori APT (Advanced persistent threat) ca parte a unui lanț de atacuri. Vulnerabilitățile au permis atacatorilor să preia orice server Exchange accesibil, chiar și fără a cunoaște acreditările de cont valide.
În decurs de o săptămână de la declararea vulnerabilităților, ESET a detectat atacuri webshell la peste 5.000 de servere de e-mail. Cum MS Exchange este printre cele mai populare platforme de colaborare, daunele s-au răspândit rapid. În zilele și săptămânile care au urmat, tentativele de atac bazate pe exploatarea acestei vulnerabilități au venit în mai multe valuri. Campaniile de ransomware ale unora dintre cele mai prolifice grupuri APT și grupări criminale au fost cele mai remarcabile și mai de temut atacuri derulate cu acest prilej.
Figura 1. Detectările ESET ale încercărilor de atac asupra serverelor de tip Microsoft Exchange.
Colaborarea poate însemna o mulțime de lucruri: e-mailuri, documente partajate, MS Teams, apeluri video, Microsoft 365 și probabil utilizarea mai multor platforme cloud. Din nou, amploarea utilizării instrumentelor, atât în cadrul unei organizații, cât și de-a lungul lanțului de aprovizionare (inclusiv de către organizațiile partenere), extinde exponențial suprafață de atac expusă de o organizație față de infractorii cibernetici. Toate instrumentele/platformele digitale menționate aici sunt pietrele de temelie ale operațiunilor multor companii care colaborează prin modelul de business de tip SSC (shared services center).
Protejarea și gestionarea întregii infrastructuri IT folosită de platformele și instrumentele menționate necesită o capacitate de acoperire foarte mare – atât de mare încât multe companii și organizații au ales să își externalizeze securitatea către Managed Security and Service Providers (MSSP + MSP), un model de afaceri similar cu cel al SSC-urilor. Din nefericire, legătura digitală care ține împreună aceste afaceri și pe clienții lor a fost, de asemenea, atacată.
Încrederea este un liant digital
Relațiile virtuale, fie ele B2B, B2C sau B2B2C, funcționează datorită relațiilor de încredere care stau la baza dorinței de a descentraliza și/sau externaliza procesele. În ceea ce privește sarcinile și serviciile de administrare a securității IT, au fost și ele afectate la rândul lor.
În iulie 2021, software-ul de management IT al Kaseya, popular printre MSP/MSSP, a suferit un atac de tip supply-chain de o amploare fără precedent. În mod similar, un alt jucător MSP, SolarWinds, a văzut cum platforma sa Orion – care necesită acces privilegiat pentru a gestiona datele clienților – a fost atacată; în mod clar, aceste medii de scară largă au devenit un vector preferat de atac, cu rentabilitate ridicată a investiției depuse de atacatori. În timp ce liderii de piață Kaseya și Solar Winds au suferit ambii consecințe serioase asupra afacerii și reputației, clienții lor au fost, de asemenea, puternic afectați.
Digitalizarea accelerată, oferită de pandemie, a evidențiat , de asemenea, rolul cheie pe care tranziția globală la lucrul de acasă l-a avut asupra securității. Acest lucru este poate cel mai bine exprimat prin numărul masiv de atacuri asupra interfeței foarte populare, dar vulnerabile, folosită adesea de personalul de acasă pentru a se conecta la serverele companiei – Remote Desktop Protocol (RDP). Utilizarea RDP a deschis numeroase „uși din spate” la nivelul infrastructurilor business și a fost ținta unor atacuri constante în ultimii doi ani. În decembrie 2020, ESET a înregistrat în medie 14,3 milioane de atacuri pe zi numai în Germania, Austria și Elveția; adica cam 166 de atacuri pe secundă. Pentru înțelege mai bine contextul, aceste trei țări au operațiuni semnificative de near-shoring și investiții în facilități multiple de producție în Europa Centrală și de Est. În timp ce atacurile RDP au înregistrat în sfârșit scăderi apreciabile în 2022, practicile proaste de securitate administrativă și alți factori vor menține probabil RPD printre riscurile de securitate foarte populare în atacurile cu care se confruntă companiile care utilizează modelul de business de tip SSC (shared services center).
Figura 2. Tendințe ale încercărilor de conectare RDP în T1 2020-T2 2020, media înregistrată din șapte în șapte zile (sursa:ESET Threat Report Q2 2020).
Linii de apărare digitale, mari și mici
Setul de instrumente care menține cel mai bine afacerile în siguranță, inclusiv SSC-urile, începe în mod clar cu practicile mature de management IT. În timp ce multe operațiuni SSC au beneficiat de politici de actualizare software și de gestionare a patch-urilor dezvoltate de sediile lor centrale, precum și de implementarea de produse de detecție la nivel de endpoint, chiar înainte de războiul din Ucraina, acum practicile de securitate mature, livrate și gestionate în mod ideal de un centru de operațiuni de securitate (SOC) bine dotat cu personal, au devenit critice pentru o protecție optimă a sistemelor. Este posibil ca aceste operațiuni comerciale să fi fost mereu în plan secund pentru operațiunile de securitate mai largi, derulate atât la nivelul companiilor enterprise cât și la IMM-uri de dimensiuni mai mari. Însă acum, necesitatea de a analiza mai profund securitatea endpoint-urilor și vizibilitatea în rețele, prin instrumente extinse de detecție și răspuns plus practici de securitate solide, de către administratorii IT, a devenit mai acută.
Preocupările cu privire la atacurile cu țintă precisă, indivizi rău intenționați din interior și relațiile de „încredere” înseamnă că centrele de servicii, în special cele din regiune CEE ar trebui să își evalueze postura de securitate și maturitatea practicilor lor de securitate și să auditeze atât riscurile interne, cât și cele externe.
Derulând audituri la această scară, afacerile mari vor trebui să se implice puternic alături de echipele de servicii ale furnizorilor existenți sau, să migreze rapid către noi furnizori mai siguri. În timp ce procesele de audit necesită resurse semnificative, ele asigură, în mod fundamental, că economiile de cost, eficiența procesului și continuitatea afacerii sunt configurate pe modele care pot merge mai departe.
Pentru operațiunile mai mici, care nu au o echipă SOC sau nu au buget pentru instrumente de detectare și răspuns la nivel de endpoint sau pentru detectarea și răspunsul gestionat, există alte opțiuni semnificative. Soluțiile de securitate în cloud pot ajuta la protejarea instrumentelor vitale de colaborare, inclusiv Microsoft 365, OneDrive și Exchange Online. Aceste soluții de securitate includ funcții puternice, ușor de integrat în cloud, care sunt eficiente împotriva amenințărilor nemaivăzute până acum.
Concluzii
Majoritatea amenințărilor grave la adresa afacerilor, fie ele derulate via RDP, ransomware, prin malware via macro ori prin e-mailuri cu atașamente malițioase, pot face ravagii la scară largă. Pentru tipurile de birouri analizate în acest articol, atât clienții lor business cu care colaborează cât și propriile lor sedii centrale au ales să investească și să construiască un sistem de colaborare și capacități de producție distribuite la nivel global, astfel încât provocările și amenințările care le vizează sunt în mare măsură similare.
Având conflictul actual ca un memento permanent al riscurilor ce se răsfrâng și la nivel de operațiuni IT, protejarea investițiilor și a capacităților îmbunătățite oferite de modelul de business SSC (shared services center) este esențială. De asemenea, această nevoie amintește și de toate demersurile realizate la nivelul UE pentru a susține un mediu de securitate mai autonom în Europa.
Conflictul din Ucraina, ca și pandemia de dinaintea sa, trimite semnale clare cu privire la rolul critic pe care digitalul a ajuns să-l aibă în afacerile globale și în menținerea unui mediu economic stabil și favorabil. La nivelul securității colective, dacă SSC-urile devin o verigă slabă în relațiile de afaceri și prezintă riscuri pentru lanțurile de aprovizionare europene sau globale, atunci afacerile globale vor fi afectate financiar din această cauză.