“Prevenţia, detecţia timpurie şi răspunsul profesionist fac diferenţa dintre o criză majoră şi un incident controlabil.”
Incidentele de securitate cibernetică nu mai pot fi tratate ca excepţii sau situaţii-limită, fiind deja parte din normalitatea operaţională a organizaţiilor, indiferent de industrie sau dimensiune. În România, anul 2024 a marcat o intensificare clară a ameninţărilor cibernetice, tendinţă care s-a consolidat şi în 2025. Datele Directoratului Naţional de Securitate Cibernetică arată o explozie a malware-ului (+286,8%) şi o creştere a atacurilor ransomware, vizând în principal persoane juridice. În paralel, fraudele informatice, atacurile brute-force şi incidentele de tip cont compromis au devenit tot mai frecvente, semnalând automatizarea atacurilor şi orientarea acestora către zonele slab protejate sau insuficient monitorizate.
Safetech Innovations operează un centru de monitorizare şi răspuns la incidente de securitate cibernetică, având denumirea STI CERT®. Cu o experienţă de peste un deceniu în monitorizarea şi gestionarea riscurilor cibernetice pentru organizaţii din multiple industrii, STI CERT a acumulat o perspectivă practică asupra modului în care incidentele evoluează şi asupra deciziilor care fac diferenţa între un incident controlabil şi o criză de business.
„STI CERT contribuie la securizarea a peste 80.000 de angajaţi şi identifică, în medie, aproximativ 180 de incidente lunar. Această expunere ne oferă o perspectivă clară asupra modului în care riscurile cibernetice se transformă, foarte rapid, în probleme de business. Detecţia timpurie şi intervenţia rapidă sunt esenţiale pentru a preveni escaladarea şi pentru a limita impactul operaţional şi financiar”, afirmă Oana Anghel, Security Operations Manager al Safetech Innovations.
Incidente diferite, aceeaşi lecţie pentru management
Analiza incidentelor investigate de STI CERT arată un tipar constant: majoritatea sunt descoperite târziu, abia atunci când afectează activitatea curentă. Rareori există o singură cauză, iar impactul final este rezultatul acumulării mai multor vulnerabilităţi.
„Am selectat, pentru acest articol, trei cazuri recente de investigaţie avansată a incidentelor, din organizaţii care nu aveau servicii de monitorizare cibernetică la momentul compromiterii: două atacuri ransomware şi un caz de exfiltrare de date realizată de un fost angajat. Diferite ca formă, dar similare prin consecinţe, atacurile conturează o imagine clară asupra riscurilor reale cu care se confruntă organizaţiile moderne şi asupra importanţei unui răspuns profesionist, documentat şi etic.”, ne propune Oana Anghel.
“Primul caz, un atac ransomware a blocat accesul angajaţilor la sisteme critice, problema devenind vizibilă abia după aproape o zi, când activitatea a fost afectată. Incidentul nu a fost detectat de mecanisme automate, ci prin sesizările utilizatorilor care nu se mai puteau autentifica. Investigaţia a relevat un lanţ clasic de compromitere: phishing, furt de credenţiale şi, ulterior, criptarea sistemelor critice.
Al doilea caz: un fost angajat a extras date sensibile, generând riscuri directe de conformitate şi expunere juridică, incident depistat la ceva timp după plecarea acestuia din companie. Suspiciunea a apărut la nivel de management, nu ca urmare a unei alerte tehnice, iar analiza forensic a confirmat transferuri neautorizate, cu implicaţii directe asupra confidenţialităţii.”
În cel de-al treilea, un atac avansat, un ransomware fileless, cu impact operaţional major. Au fost afectate staţiile de lucru utilizate la casele de marcat şi sisteme din departamentele financiar şi IT, ducând la blocaje majore şi pierderi de productivitate, fiind descoperit la aproape două zile de la compromitere.”
„Analiza incidentelor de securitate în care am lucrat recent ne arată că multe organizaţii descoperă problemele de securitate abia atunci când ele încep să afecteze direct operaţiunile şi rezultatele financiare. De cele mai multe ori, incidentele apar la intersecţia dintre oameni, procese şi tehnologie, iar lipsa unor procese mature de detecţie şi a monitorizării continue face diferenţa dintre un incident gestionabil şi o criză”, concluzionează Oana Anghel, Safetech Innovations.
Care sunt cele mai relevante ameninţări cibernetice?
Statisticile privind incidenţa tipurilor de atacuri diferă mult de la o regiune la alta. Spre exemplu, printre cele mai frecvente incidente mitigate de companiile din Top 250 MSSP publicat de MSSP Alert, (https://www.msspalert.com/top-250-2025) în care este inclusă şi Safetech Innovations, se află phishing-ul prin e-mail (96%), exploatarea vulnerabilităţilor (94%), ransomware (92%), scurgerile de date şi atacuri brute-force, raportate de 85%, respectiv 80% dintre furnizorii de servicii gestionate de securitate.
Riscurile generate de astfel de incidente depăşesc zona tehnică. Ele includ pierderi financiare directe (de exemplu, indisponibilizarea caselor de marcat în incidentul 3), afectarea reputaţiei, riscuri legale şi de conformitate, dar şi pierderea încrederii clienţilor şi partenerilor.
Experienţa acumulată în gestionarea acestor incidente arată că securitatea eficientă nu înseamnă reacţie punctuală, ci un proces continuu de prevenţie, monitorizare şi răspuns. Un centru de monitorizare şi răspuns la incidente de securitate cibernetică bine operat nu se limitează la intervenţia în situaţii critice, ci identifică tipare, corelează semnale slabe şi opreşte incidentele înainte ca acestea să afecteze businessul.
Detecţie tardivă şi cauze recurente
Un element comun tuturor celor trei incidente este modul de descoperire: niciunul nu a fost detectat rapid de un instrument automat. Fie că a fost vorba de utilizatori care nu se mai puteau conecta, de disfuncţionalităţi operaţionale sau de o suspiciune de management, atacatorii au avut timp să acţioneze nestingheriţi.
„Timpul este un factor critic în securitate. Cu cât detectezi mai târziu, cu atât plăteşti mai mult – financiar, operaţional şi reputaţional”, subliniază Managerul STI CERT din cadrul Safetech Innovations.
Analiza unitară a celor trei cazuri indică un set clar de factori favorizanţi:
- factorul uman, de la phishing la offboarding incomplet;
- controale de securitate insuficient mature, precum lipsa DLP, patch management incomplet sau monitorizare limitată a accesului remote;
- încrederea excesivă în infrastructura existentă, fără reevaluări periodice;
- insuficienţa mijloacelor de detecţie automată, rapidă, a incidentelor de securitate;
- atacuri care exploatează legitimitatea, greu de diferenţiat de activitatea normală.
„Niciunul dintre aceste incidente nu a fost cauzat de o singură greşeală. Ele au apărut atunci când s-au aliniat erori umane, lipsă de proceduri şi lipsă de tehnologie”, explică Oana Anghel.
Rolul unui SOC în detecţie şi în limitarea impactului
În toate cele trei situaţii, intervenţia STI CERT a urmat o abordare structurată şi proporţională cu gravitatea incidentului. Primele măsuri au vizat limitarea propagării şi stabilizarea infrastructurii, prin izolarea sistemelor afectate, restricţionarea temporară a accesului de la distanţă sau suspendarea anumitor servicii critice.
Un aspect esenţial a fost evitarea acţiunilor impulsive care ar fi putut distruge probe sau agrava situaţia. De exemplu, în cazul insider threat, staţia de lucru a fost izolată fără a fi alterată, pentru a permite o analiză forensic validă din punct de vedere juridic. Această etapă de „containment” este adesea subestimată, dar ea face diferenţa dintre un incident controlat şi unul care escaladează rapid.
Investigaţiile realizate de echipa SOC au combinat analiza tehnică de detaliu cu respectarea standardelor etice şi legale.
Remediere, revenire controlată şi recomandări pentru management
În toate cele trei cazuri, remedierea a depăşit intervenţia punctuală, incluzând revenirea controlată a operaţiunilor şi un set coerent de măsuri menite să reducă riscul de recurenţă – de la întărirea controalelor şi revizuirea accesului, până la monitorizare continuă şi instruirea utilizatorilor – integrate într-un proces de creştere a maturităţii de securitate. Un principiu constant aplicat de Safetech a fost acela că revenirea rapidă nu trebuie să compromită securitatea: o reluare graduală şi verificată este preferabilă unei reporniri în grabă, care poate lăsa atacatorului uşi deschise.
„Privite împreună, incidentele confirmă o realitate esenţială: securitatea cibernetică nu este un produs, ci un proces. Atacurile diferă ca formă şi complexitate, însă lecţiile rămân aceleaşi – prevenţia, detecţia timpurie şi răspunsul profesionist fac diferenţa dintre o criză majoră şi un incident controlabil. Gestionarea eficientă a riscurilor cibernetice necesită implicarea în egală măsură a managementului de business şi a celui IT. Liderii de business trebuie să trateze riscurile cibernetice ca riscuri de business, să înţeleagă impactul lor asupra operaţiunilor, reputaţiei şi continuităţii şi să susţină investiţiile adecvate în oameni, procese şi tehnologii” mai afirmă Oana Anghel.
„Responsabilitatea managementului IT este de a asigura controale solide de acces şi protecţia datelor, procese corecte de onboarding şi offboarding şi monitorizare continuă, iar un centru de monitorizare şi prevenţie a riscurilor cibernetice îşi demonstrează valoarea nu doar prin detecţie rapidă, ci prin capacitatea de a corela evenimente, de a interveni eficient, de a preveni recurenţa incidentelor şi de a reduce riscul operaţional pe termen lung.”
„Un centru de monitorizare şi răspuns la incidente de securitate cibernetică nu înseamnă doar reacţie rapidă, ci şi capacitatea de a recunoaşte tipare şi tehnici, de a învăţa din incidente şi de a preveni recurenţa lor”, concluzionează Oana Anghel. „Un astfel de mecanism bine operat, cum este STI CERT, se transformă într-un instrument de protecţie a valorii, care limitează pierderile financiare şi transformă riscurile cibernetice imprevizibile în costuri controlabile, contribuind direct la stabilitatea şi predictibilitatea businessului.”
Articolele de publicitate publicate pe ZF.ro sunt marcate cu (P), Advertorial sau Opinia Specialistului.
