Nu puteți ști ce se întâmplă cu adevărat în mediul IT dacă nu îl analizați din interior – iar atacatorii mizează pe asta. Am avut recent ceea ce credeam că este o revelație. (Alertă spoiler: nu a fost, dar vă invit să citiți în continuare.)

Ca lider de marketing la ESET UK, o parte esențială a rolului meu este să comunic modul în care soluțiile noastre avansate și complete pot fi implementate pentru a proteja organizațiile – în așa fel încât să devină clare motivele pentru care e necesară trecerea la niveluri superioare de securitate cibernetică. Iar această nevoie de limpezime este astăzi mai urgentă ca oricând.

Liderii și agențiile de securitate cibernetică, inclusiv Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie, sunt adesea citați afirmând că atacurile cibernetice nu sunt o chestiune de „dacă”, ci de „când”. Prin urmare, poate că nu exagerăm când spunem că fiecare organizație se află într-o „stare de pre-breșă” – amenințările pot fi deja prezente, dar rămân nedetectate.

Ceea ce ne trimite cu gândul la pisica lui Schrödinger, celebrul experiment mental în care o pisică aflată într-o cutie sigilată este simultan vie și moartă – până când privim înăuntru. Chiar dacă forțăm puțin analogia, în termeni de securitate cibernetică, organizația dvs. este într-o situație similară: în același timp compromisă și necompromisă, până când verificați. Fără vizibilitate, pur și simplu nu aveți de unde ști. Iar până în momentul în care veți afla, s-ar putea ca răul să fie deja făcut.

Acceptarea acestei realități impune o schimbare de mentalitate și de strategie. Într-adevăr, pentru organizațiile care nu dispun de instrumentele necesare de „threat hunting” intern și monitorizarea comportamentului malițios, s-ar putea argumenta că o asemenea situație reprezintă dualitatea de stare întâlnită în teoria cuantică; prin urmare, astfel de organizații se află într-un soi de „stare de breșă cuantică”.

Nu a fost o surpriză să descopăr că „revelația” a fost împărtășită și de alți câțiva, care au folosit aceeași analogie pentru a explica noua realitate și pentru a încuraja organizațiile să-și revizuiască strategiile de securitate cibernetică în consecință. Sentimentul de ego ușor lezat a fost atenuat de entuziasmul că suntem mai mulți care gândim la fel. Totuși, am de gând să caut acum micile slăbiciuni ale acestei analogii, tocmai pentru a sublinia mai bine mesajul central.

Aleatoriu și nu prea

Experimentul mental original – descris pentru prima dată de fizicianul austriac Erwin Schrödinger acum 90 de ani – se baza pe hazardul dezintegrării radioactive a unui element care emitea o particulă; aceasta lovea un detector care declanșa eliberarea otravei în cutie, curmând astfel viața pisicii. Este o probabilitate aleatorie, determinată de dezintegrarea cuantică, în timp ce momentul „detonării” unui malware de către infractorii cibernetici în interiorul unei organizații este, de cele mai multe ori, planificat.

Gruparea de infractori vorbitori de engleză, cunoscută sub numele de Scattered Spider, care se afla în spatele breșei de securitate de la Marks and Spencer (M&S) din Marea Britanie, se crede că a operat în sistemele companiei nedetectată timp de săptămâni. Același grup este considerat responsabil și pentru breșa de securitate la Jaguar Land Rover (JLR), adesea menționată, care a costat, estimativ, economia britanică peste 2 miliarde de lire sterline și este oficial cea mai costisitoare breșă din istoria Regatului Unit.

Este rezonabil să presupunem că au fost folosite tactici similare, deși rămâne neclar cât timp au avut acces atacatorii în sistemele JLR. În cazul M&S, autorii au petrecut o perioadă lungă de timp „trăind din resursele interne” ale companiei, declanșând haosul chiar la începutul weekend-ului de Paște. Atacul asupra JLR, în schimb, a fost lansat pe 31 august 2025, cu o zi înainte de echivalentul britanic pentru Crăciun și Ziua Recunoștinței în industria auto: ziua înregistrării noilor mașini („new plate day”) pe 1 septembrie. Aleatoriu? Nu cred.

Prin urmare, analogia breșei cuantice nu se susține în totalitate. Dacă ar fi să risc o presupunere, data a fost planificată cu atenție pentru a cauza perturbări maxime – iar acest lucru a funcționat spectaculos de bine pentru atacatori (și spectaculos de prost pentru JLR, desigur).

În acest punct, merită să ne reamintim câteva statistici. Conform raportului IBM Cost of a Data Breach 2025, timpul mediu global pentru identificarea și izolarea unei breșe (adică întregul ciclu de viață al incidentului) este de 241 de zile, în timp ce timpul mediu doar pentru identificare este de 181 de zile – vorbim, în ambele cazuri, despre cifre însemnate. Realitatea inconfortabilă este că multe organizații sunt compromise cu mult timp înainte de a realiza acest lucru. Și cu cât „dwell time-ul” (timpul de staționare) este mai mare, cu atât „detonarea” finală a atacului riscă să fie mai distructivă.

Soluții: Lock-ere și/ sau SOC-uri

Dacă, până acum, ați acceptat „teoria” mea conform căreia organizația dvs. se află într-o stare de pre-breșă, probabil vă gândiți deja la soluții. O astfel de soluție este, de obicei, achiziționarea sau actualizarea sistemelor de securitate (adică instalarea de „lock-ere mai mari”) sau, mergând până la capăt, trecerea la instrumente de tip EDR sau XDR pentru a demara activități de threat-hunting. Această din urmă variantă ar echivala, desigur, cu „deschiderea cutiei” și observarea conținutului.

Alegerea primei opțiuni (lock-ere mai mari) nu ajută neapărat atunci când luați în calcul amenințarea internă, ingineria socială și alte strategii de atac folosite de grupări de criminalitate cibernetică precum Scattered Spider, responsabile de breșele de securitate de la JLR și Marks & Spencer. Indiferent cât de mari sunt lock-erele, dacă cineva fură cheile – sau le primește practic „pe tavă” printr-un link malițios sau fiind păcălit să ofere sau să reseteze o parolă – devin inutile. Deci, ce rol joacă SOC-urile în acest context?

Pentru a funcționa, desigur, mai întâi este necesar să creați un SOC și apoi să îl dotați cu analiști de securitate. Un demers foarte costisitor și consumator de timp – poate dura luni de zile până la implementare și poate presupune cheltuieli de sute de mii de lire/ dolari/ euro. Și asta în condițiile în care reușiți să recrutați suficienți specialiști, în contextul deficitului de competențe în securitate cibernetică, intens mediatizat. Așa că, să „mergem pe cont propriu”; adică să facem totul singuri.

Opțiunea trebuie analizată cu prudență; nivelul de competență necesar pentru operarea acestor instrumente performante nu trebuie subestimat, iar odată activate, multe (dacă nu chiar toate) organizațiile se confruntă cu un volum copleșitor de telemetrie, alerte și semnale, atât de mare încât ajung să dezactiveze o parte dintre ele doar pentru a reduce „zgomotul”. Astfel, deși „starea cuantică” a breșei este, teoretic, rezolvată – în sensul că sistemele sunt acum observate – situația se poate agrava și poate genera un fals sentiment de siguranță. Aveți impresia că totul este în regulă, când, în realitate, s-ar putea să nu fie, tocmai pentru că lipsesc competențele necesare pentru a analiza corect ceea ce este observat.

Pe deasupra, aici la ESET am observat un număr tot mai mare de polițe de asigurare cibernetică, transmise de clienți, care cer ca soluțiile EDR să fie implementate pentru ca acoperirea să fie valabilă. Ceea ce poate pune profesioniștii în securitate într-o dilemă reală: sunt forțați să folosească instrumente care necesită operatori foarte specializați, fără să aibă competențele necesare pentru a le folosi corect, astfel încât polița să rămână valabilă în cazul unei breșe (inevitabile). „Stres” este probabil unul dintre cele mai folosite cuvinte în echipele de securitate cibernetică din întreaga lume pentru a-și descrie activitatea zilnică – și nu e deloc surprinzător.

Dar există o a treia cale. Apelarea la furnizorii care creează asemenea instrumente și oferă servicii pentru detecția, monitorizarea și remedierea amenințărilor devine tot mai mult direcția aleasă de organizații de toate dimensiunile. Serviciile de Managed Detection and Response (MDR) rezolvă această dilemă: experți care gestionează instrumentele, monitorizare 24/7, căutare proactivă a amenințărilor, detecție rapidă și remediere – toate acestea reduc stresul, rezolvă „starea cuantică” a breșei și dezamorsează bomba cibernetică. În plus, contribuie semnificativ la respectarea cerințelor de asigurare și conformitate și, cel mai important, atenuează daunele cauzate de grupurile APT și de infractorii cibernetici care rămân mult timp în sistem.

Când realitatea bate planurile

– Nu știți cu adevărat că ați fost compromis până nu observați realitatea din sistemele dvs. Sunteți sigur că n-ați fost?
– Dacă nu dețineți competențele necesare pentru căutarea și remedierea amenințărilor, instrumentele pe care încercați să le folosiți singur pot fi contraproductive și pot genera zgomot suplimentar, în spatele căruia atacatorii se pot ascunde. Aveți aceste abilități?
– Chiar dacă aveți expertiza internă pentru a implementa soluții EDR/XDR, timpul mediu de detecție și răspuns (MTTD & MTTR) va fi de sute de ori mai lung decât ceea ce poate realiza un furnizor terț – de exemplu, la ESET: MTTD < 1 minut, MTTR < 6 minute. Știți care sunt timpii dvs. MTTD și MTTR?
– Construirea unui SOC necesar și asigurarea monitorizării 24/7/365 este extrem de costisitoare, pentru majoritatea companiilor, prohibitivă. Aveți timpul (și bugetul) pentru a crea și a dota un SOC?
– Serviciile MDR, furnizate prin MSP și MSSP, pot fi activate pentru organizații de orice dimensiune – chiar și pentru un singur angajat.

Referințe:

„Schrödinger’s Cat in Cybersecurity: The Paradox of Uncertainty” – compară vulnerabilitățile cu soarta pisicii, subliniind importanța monitorizării proactive. [linkedin.com]
„Schrödinger’s Breach” – evidențiază timpul de persistență în sistem și iluzia securității până la proba contrară. [advantage.nz]
Cyber Strategy Institute – folosește analogia pentru a explica încrederea și riscul ca stări duale, asemănătoare conceptelor cuantice. [cyberstrat…titute.com]