O breșă compromite atât sistemele, cât și încrederea care, privind retrospectiv, era o vulnerabilitate majoră.

Există un tipar în istoria eșecurilor organizaționale care se repetă mult prea des pentru a fi o coincidență: un sistem funcționează fără probleme pentru o lungă perioadă, făcându-i pe toți să capete încredere în el. Aproape invariabil, astfel se erodează pe neobservate vigilența care a menținut sistemul funcțional în primă instanță. Iar apoi, sistemul cedează – exact în momentul în care toți cei implicați ar fi spus că este în formă excelentă.

Oricât de contraintuitiv ar părea, stabilitatea însăși poate deveni destabilizatoare. Ea favorizează pasivitatea, care apoi reduce investițiile în pregătire și adâncește prăpastia dintre riscul real și cel perceput. Autorul Morgan Housel a rezumat acest tipar în patru cuvinte: „liniștea plantează semințele haosului”. Fenomenul se manifestă vizibil și cu regularitate pe piețele financiare, iar, fiind adânc înrădăcinat în însăși psihologia umană, securitatea cibernetică nu este nici pe departe scutită de el.

Așa se face că o companie care nu a suferit o breșă de securitate tinde să-și considere postura de securitate drept adecvată. Liniștea pare o dovadă că pericolul a trecut, iar acest sentiment schimbă comportamentele în moduri care reintroduc riscul. Presupunerea se consolidează tacit: dacă nimic nu a mers prost, înseamnă că sistemele noastre de control sunt excelente.

Privind dintr-o altă perspectivă, absența unui incident vizibil este doar tăcere, iar tăcerea poate însemna mai multe lucruri. O companie cu un istoric impecabil poate avea, într-adevăr, sisteme de apărare excelente. Dar este la fel de posibil să nu fi atras încă atenția cuiva suficient de periculos și perseverent – la urma urmei, sunt mulți pești în mare.

Ceea ce ridică cel puțin două întrebări care merită puse: Știți cu certitudine că mediul dvs. este cât se poate de sigur împotriva amenințărilor care circulă acum? Sau știți doar că măsurile dvs. de control (de bază) sunt implementate? Multe organizații răspund la a doua întrebare crezând că, de fapt, au răspuns la prima. Companiile pot recurge la cadre de conformitate, deși acestea nu verifică neapărat dacă măsurile sunt adecvate împotriva amenințărilor care circulă în acest moment. Astfel, ar putea fi conforme și expuse în același timp. 

Și mai multe capcane

Starea securității unei organizații este ușor de stabilit și – presupunând că totul pare în regulă – la fel de ușor de perceput ca fiind „bună”. Însă, dacă datele de autentificare ale unui angajat sunt vândute pe marketplace-uri din dark web sau dacă soluția EDR (Endpoint Detection and Response) a organizației poate fi, în anumite circumstanțe, neutralizată de un instrument de contraatac ușor de obținut – aceste aspecte sunt mult mai greu de evaluat fără a căuta în zone la care multe organizații nici măcar nu se gândesc.

Într-adevăr, tendința umană, în absența unei corecții, este de a se baza pe informațiile ușor de obținut pentru a construi ceea ce pare a fi o poveste coerentă. Asta se întâmplă în detrimentul informațiilor greu de procurat și cu o ignorare senină a întrebării: care dintre cele două ne ajută mai mult? Mintea nu semnalează ceea ce lipsește – imaginea pare completă, iar încrederea pare pe deplin justificată, indiferent de realitate. Psihologul Daniel Kahneman a numit acest obicei prin acronimul WYSIATI („What You See Is All There Is” – „Ceea ce vezi este tot ce există”).

Problema se poate agrava și mai mult dacă ne gândim la modul în care mulți factori de decizie privesc riscul: dacă ceva nu poate fi măsurat, atunci nu contează. În practică, contrariul este mai corect; încât a fost chiar încadrat drept eroare de gândire. Fără a insista mai mult aici, este suficient de spus că, odată ce identificați măcar unele dintre capcane, nu le mai puteți ignora.

În Raportul privind investigațiile asupra breșelor de date din 2025, Verizon a cuantificat cât de mare poate deveni diferența dintre securitatea percepută și expunerea reală: a constatat că 54% dintre victimele ransomware aveau domeniile listate în cel puțin un log de infostealer sau într-o postare de pe o piață ilicită înainte de atac. Datele de acces circulau deja – iar în unele cazuri, breșa se produsese deja – chiar și atunci când totul părea în regulă.

Acest tip de unghi mort lovește cel mai puternic companiile a căror infrastructură de securitate nu reușește să identifice amprentele comportamentale ale atacatorilor, cum ar fi tentativele de a dezactiva procesele de securitate. Remedierea acestei situații necesită schimbarea a ceea ce este vizibil și utilizarea instrumentelor potrivite – acelea care depășesc simpla confirmare că măsurile de control sunt implementate și semnalează când ceva din mediu se comportă suspect.

Când încrederea se năruie

Toate acestea contează și pentru că o intruziune de tip ransomware este un eveniment ce afectează continuitatea afacerii, ale cărui efecte se propagă pe scară largă. Când Change Healthcare a căzut victimă ransomware-ului în 2024, impactul în aval asupra spitalelor și farmaciilor a durat luni de zile, fără a mai menționa că incidentul a afectat aproape întreaga populație a SUA. Costul total a fost estimat la 3 miliarde de dolari. Un atac ransomware asupra Jaguar Land Rover, în 2025, a provocat daune financiare similare.

În același timp, IBM estimează costul mediu al unei breșe de date la aproximativ 5 milioane $, sumă ce include perioadele de inactivitate, recuperarea și daunele colaterale. Pentru companiile din domeniul sănătății, media este de aproape 10 milioane $. Iar aceste cifre nu surprind efectele pe termen lung, cum ar fi contractele cu clienții care nu mai sunt reînnoite sau primele de asigurare care cresc brusc.

Daunele se acumulează pe parcursul lunilor și anilor, în special atunci când datele furate ajung pe un site dedicat scurgerilor de informații (DLS), așa cum se întâmplă atât de des în prezent. Expunerea publică a datelor de companie declanșează o criză în sine, deoarece contractele, emailurile și datele personale scurse devin „combustibil” pentru atacuri ulterioare, cum ar fi phishing-ul și compromiterea emailurilor de afaceri (BEC).

Obligațiile de reglementare intră și ele în vigoare destul de rapid. În același timp, clienții și partenerii încep să pună întrebări la care compania, deseori, nici măcar nu are cum să răspundă. Și mai există un avertisment pe care echipele de apărare ar trebui să îl rețină: datele reflectă doar ceea ce infractorii aleg să „promoveze” – se estimează că doar unei mici părți dintre victimele ransomware li se publică datele pe aceste site-uri.

Disciplina este vitală

Pe lângă instrumentele și oamenii potriviți, o securitate care rezistă în timp se bazează pe obiceiul de a monitoriza constant și de a se adapta. Totul pornește de la conștientizarea a ceea ce se întâmplă atât în mediul de amenințări, cât și în propriul mediu IT. Ce-i drept, menținerea unei vigilențe constante, în absența unei amenințări vizibile și acute, este obositoare. Oamenii sunt slab adaptați pentru a rămâne în alertă față de evenimente care nu par iminente, iar alunecarea spre pasivitate trece neobservată.

Dar, întrucât partea de „amenințări” a ecuației nu este statică, nici partea de apărare nu poate rămâne pe loc. Informațiile despre amenințări (threat intelligence), în special cele care oferă un volum bogat de semnale despre campanii active, reprezintă fundamentul acestei conștientizări. Sunt ceea ce instrumentele de securitate pot „transforma” în detecții și alerte care permit echipelor de securitate să acționeze la timp. Fără threat intell, decalajul dintre ceea ce o organizație crede despre securitatea sa și în ce stare este de fapt se poate mări în continuare – până când este rezolvat, destul de costisitor, de către infractorii cibernetici.