Orice organizație ajunge să fie auditată. Întrebarea este de către cine. Există o eroare de judecată la care noi, oamenii, suntem predispuși și care se află în centrul unora dintre provocările de zi cu zi ale profesioniștilor din securitate cibernetică. Este cunoscută sub numele de normalcy bias (biasul de normalitate sau falsa senzație de siguranță) – ceea ce dr. Lauren Braithwaite definește ca fiind „tendința noastră de a subestima șansele producerii unui dezastru și de a crede că viața va continua ca de obicei, chiar și în fața unor amenințări sau crize majore”. Este motivul pentru care oamenii ezită un moment după ce pornesc alarmele de incendiu sau amână reacția în alte împrejurări, întrucât totul pare încă sub control. 

Pentru că ne poate face să confundăm familiaritatea cu siguranța și presupunerile cu dovezile, această prejudecată devine un obstacol tot mai mare în gestionarea realității din domeniul securității cibernetice. Îi determină pe oameni să subestimeze probabilitatea ca un atac să aibă loc sau să interpreteze absența unor probleme ca pe o dovadă că amenințările nu îi vizează. În practică, multe organizații tratează lipsa alertelor clare din platformele de protecție pe care le folosesc ca pe o confirmare că totul e în regulă. Altele nu reacționează suficient de rapid la semnalele de avertizare, presupunând că activitatea își va continua pur și simplu cursul normal. 

Între timp, în pofida știrilor tot mai dese despre breșe de securitate care au afectat organizații precum Marks & Spencer, Jaguar Land Rover și Co-op (deși numeroase incidente nici măcar nu ajung în atenția publicului larg), precum și a recomandărilor venite din partea industriei de securitate cibernetică și a instituțiilor guvernamentale privind modul de prevenire a atacurilor, numărul incidentelor de amploare continuă să crească într-un ritm alarmant. 

Raportul anual 2025 al NCSC a consemnat 204 atacuri cibernetice „importante la nivel național (în UK)” în perioada de 12 luni încheiată în august 2025, ceea ce reprezintă o creștere de 130% față de cele 89 de incidente raportate în anul precedent. Dintr-un total de 429 de incidente, 18 au fost clasificate drept „foarte grave”, marcând o creștere de 50% a numărului de incidente cu impact ridicat. Rata breșelor de securitate rămâne în continuare crescută, ceea ce poate reflecta o normalizare treptată a riscului asociat lor și poate fi interpretat ca o manifestare a biasului de normalitate la scară largă: cu cât dezvăluirile privind breșele de securitate devin mai frecvente, cu atât mai puțină urgență pare să transmită fiecare dintre ele. 

Ne-am învățat lecția?

Există o expresie pe care guvernele și companiile o folosesc frecvent după orice catastrofă – inclusiv în urma unei breșe de securitate cibernetică: „Ne-am învățat lecția.”

Așa să fie? Creșterea cu 130% a numărului de incidente cibernetice serioase între 2024 și 2025 pune sub semnul întrebării afirmația de mai sus și sugerează că, la nivel general, lecțiile nu au fost pe deplin învățate. Datele par să indice exact contrariul.

Anul trecut am scris un articol care ar putea explica, cel puțin parțial, starea de spirit a organizațiilor după o breșă de securitate. Am susținut atunci că multe companii sunt, într-un anumit sens, simultan compromise și necompromise, asemănând situația cu celebrul experiment mental al pisicii lui Schrödinger. Până să „deschizi cutia” și să analizezi jurnalele de activitate sau să cauți activ semnele unei compromiteri, ideea că „nu am fost victimele unei breșe” reflectă, adesea, doar faptul că nimeni nu a verificat cu adevărat. Mai mult, reticența de a privi în profunzime poate fi chiar o manifestare subtilă a biasului de normalitate. Atunci când presupunem că totul este în regulă doar pentru că nu vedem probleme evidente, riscăm să confundăm lipsa dovezilor cu dovada absenței unei amenințări.

„Ne-am învățat lecția” este, de fapt, momentul de după deschiderea cutiei, când descoperim că pisica este (din păcate) moartă, iar apoi declarăm: „știm ce s-a întâmplat, avem situația sub control, nu vă faceți griji”. E doar retorică, nu o dovadă a unei schimbări reale de optică. 

În schimb, învățarea reală e un proces proactiv care schimbă modul în care organizațiile trebuie să acționeze. De preferat, să se reflecte în modificări ale bugetelor, politicilor, regulilor, planurilor de recuperare în caz de atac, verificării furnizorilor, jurnalizării datelor (logging), monitorizării, instruirii și nivelului de toleranță față de erori, pentru a enumera doar câteva exemple . Și toate trebuie realizate înainte ca inevitabila breșă să aibă loc. 

Așadar, dacă acceptăm că biasul de normalitate este inevitabil și des întâlnit, putem progresa și depăși pasivitatea de dinaintea unei breșe, minimizând astfel impactul. „A greși este omenește”, dar, din moment ce înțelegem asta, avem obligația de a acționa în consecință.

Ultima repriză: ce se întâmplă dacă nu recunoaștem acest bias?

Actorii malițioși mizează tocmai pe eroarea umană. La urma urmei, este și motivul pentru care phishing-ul rămâne una dintre cele mai răspândite metode prin care se produc breșele de securitate. În securitatea cibernetică, există două variante principale. Fie ne audităm în mod regulat singuri – rulăm teste de penetrare, exerciții de tip red/blue/purple team și alte simulări de atac, reevaluăm constant peisajul de amenințări și investim în capabilitățile de securitate ca parte a strategiei noastre de reziliență cibernetică.

Sau lăsăm infractorii cibernetici să facă „auditul” în locul nostru. Ei se bazează pe un fals sentiment de siguranță (al companiilor), pe care îl exploatează. „Auditul” realizat de atacatori poate fi brutal, costisitor, devastator și, în multe cazuri, fatal pentru organizații. Tocmai de aceea metafora este importantă – infractorii cibernetici descoperă decalajul dintre ceea ce o organizație crede despre propria securitate și realitate.

Pentru a vă face o idee mai clară, procesele de threat intelligence ESET analizează 750.000 de mostre suspecte și 2,5 miliarde de URL-uri, blocând aproximativ 500.000 dintre ele – în fiecare zi. Infractorii sunt neobosiți, iar pe măsură ce atacurile lor devin tot mai sofisticate, trebuie să renunțăm la orice idee că am fi imuni. Este necesar să fim conștienți de capcana biasului de normalitate și să acționăm în consecință.

În contextul mai multor breșe de securitate cu impact major în sectorul de retail din Marea Britanie, ESET a realizat un studiu pe un eșantion de 2.000 de consumatori. Raportul rezultat a arătat, printre altele, că 46% dintre cumpărători ar avea nevoie de peste 5 luni pentru a avea din nou încredere după o breșă de date. Este suficient un calcul simplu pentru a estima impactul financiar direct, în cazul în care este singurul aspect care contează pentru managementul de vârf. Chiar și așa, cifra reprezintă adesea doar vârful unui aisberg mult mai dureros.

Concluzia

Deosebit de interesant în cazul biasului de normalitate este faptul că, în ciuda complexității tot mai mari, a vitezei, volumului și diversității vectorilor de atac pe care le cunoaștem cu toții, abordările noastre privind strategiile de reziliență cibernetică rămân adesea ancorate în trecut – chiar dacă un trecut relativ recent. În securitatea cibernetică însă, timpul trece extrem de repede. În cele 4 – 5 minute în care ați citit acest articol, ESET a procesat peste 2.000 de mostre suspecte, a scanat aproximativ 7 milioane de URL-uri și a blocat în jur de 1.500 dintre ele.

Atunci când ne întrebăm de ce ar trebui să revizuim modul în care sunt furnizate serviciile de securitate cibernetică, luăm în calcul toate variabilele care s-au schimbat – la nivel global și local – în ultimii ani și modul în care acestea pot influența postura actuală de securitate?

La prima vedere, probabil ați putea numi cel puțin câteva dintre aceste schimbări:
– creșterea numărului de fraude și a altor amenințări bazate pe inteligență artificială
– războiul din Ucraina
– activitatea tot mai intensă a grupărilor sponsorizate de state precum Iranul
– creșterea costurilor generate de criminalitatea cibernetică în întreaga lume
– deepfake-urile
– înmulțirea atacurilor de inginerie socială
– menținerea phishing-ului ca principal vector de atac
– complexitatea tot mai mare a soluțiilor și serviciilor de securitate cibernetică
– decalajul de competențe în domeniul cibernetic, care rămâne îngrijorător de crescut

Există, fără îndoială, multe altele. Și nu este o coincidență faptul că nivelul de protecție oferit de furnizori în urmă cu doar câțiva ani este treptat depășit, iar serviciile și soluțiile de tip MDR/XDR/MXDR devin noua normă.

„Auditorii” cu siguranță nu au stat pe loc în tot acest timp. Deși utilizarea unor instrumente noi, precum AI, nu înseamnă neapărat cod mai bun, ea le permite totuși să scaleze atacurile la o amploare masivă – și să scaneze vulnerabilitățile cu o viteză fără precedent.

– Dacă nu investiți în auditare, testare, conștientizare în domeniul securității cibernetice și tehnologii de prevenție, nu economisiți bani; ci pur și simplu transferați responsabilitatea de a asigura securitatea către infractori.
– Nivelul cel mai ridicat de implicare al conducerii executive în securitatea cibernetică apare, de regulă, imediat după o breșă costisitoare; atunci când normalitatea este deja perturbată. Este esențial ca această implicare să fie declanșată mai devreme.
– Infractorii operează 24 de ore din 24, fără întrerupere, sprijiniți de inteligență artificială de tip agent. Sunt soluțiile dvs. suficient de reziliente pentru a ține pasul cu această evoluție?  Este o întrebare esențială.
– Indiferent de dimensiunea organizației, profilul și nivelul de reziliență cibernetică trebuie evaluate constant.
– Nu confundați liniștea operațională (absența incidentelor) cu siguranța reală; investiți în servicii MDR/MXDR disponibile 24/7.
– Acum că înțelegeți capcana biasului de normalitate, este de preferat să o evitați.