mars 24, 2021

Gojek CISO sur la gestion de l’ingénierie sociale et autres conseils de cybersécurité

Par andy1712


Gojek adopte une approche omnicanale de sa gamme de produits et une approche similaire à plusieurs volets pour la sensibilisation à la cybersécurité

Un chauffeur de taxi moto Gojek (Photo BAY ISMOYO / AFP)

L’année écoulée a été marquée par des violations de la cybersécurité et d’autres vulnérabilités en ligne, qui ont rarement été observées à cette échelle. Depuis le début de la pandémie l’année dernière, les mauvais acteurs ont été plus créatifs que jamais, inondant les serveurs locaux et les comptes de messagerie de tentatives de phishing, de logiciels malveillants, de ransomwares et d’une foule de nouvelles zones de menace qui mettent en danger l’entreprise et l’individu.

Puis le L’attaque Solarwinds a été découverte, qui durait apparemment depuis des mois et avait réussi à infecter les systèmes de milliers d’entreprises qui comptaient sur ses services. Et au début de cette année, le Violation de Microsoft Exchange Server semble signaler une autre cyberattaque soutenue par des groupes parrainés par l’État, avec des similitudes avec SolarWinds.

Et le mois dernier, il est apparu que la société internationale de capital-risque Sequoia Capital avait été pénétré par un tiers, après qu’un de ses employés a été victime d’une attaque de phishing réussie. Le VC a levé des milliards pour les startups, y compris celles en Inde et en Asie du Sud-Est, où il soutient certaines des meilleures startups indonésiennes, notamment tour-hélant-devenu-super-application Gojek et Tokopedia, pilier du e-commerce.

Ces deux entreprises sont deux des plus grandes licornes d’Asie du Sud-Est, à tel point qu’elles ont été répétées à plusieurs reprises pour être fusionner en une seule entité géante. Bien que rien n’ait été confirmé, Gojek continue d’élargir sa liste de services, qui, outre les manèges, comprend également une grande variété d’options de livraison du dernier kilomètre en Indonésie, le commerce électronique et les installations de paiement, et cherche à étendre ses services de transport à d’autres. Territoires d’Asie du Sud-Est.

Pour George Do, Chief Information Security Officer de Gojek, il a rejoint Gojek après avoir réalisé la mission de ses dirigeants alignée sur la sienne, qui était d’éliminer les frictions quotidiennes de la vie. Mais en tant que RSSI d’une start-up à croissance rapide répartie dans plusieurs pays et disposant d’un vaste portefeuille de services, George doit travailler activement avec des équipes techniques telles que l’informatique et la science des données, ainsi qu’avec des unités commerciales comme les finances et les affaires d’entreprise, pour garantir que la stratégie de l’entreprise en matière de gouvernance, de risque et de conformité est appliquée à fond par toutes les parties prenantes.

«En tant qu’entreprise, nous avons grandi et mûri énormément depuis notre création. Ce succès signifie que nous disposons d’une infrastructure et d’une base d’utilisateurs vastes et complexes. Le défi consiste à maintenir la cybersécurité au même rythme que le niveau de croissance, tout en permettant à l’entreprise d’évoluer aussi vite que nécessaire », a déclaré Do. Tech Wire Asie.

Dans la base natale de Gojek en Indonésie, l’ingénierie sociale est endémique en tant qu’escroquerie, où une fausse identité virtuelle est créée pour tirer parti d’utilisateurs qui ne sont pas aussi alphabétisés en numérique. George dit que Gojek a fait des progrès significatifs dans la sensibilisation du public aux différents types de fraude en ligne comme l’ingénierie sociale.

«Par exemple, nous envoyons régulièrement des conseils de sécurité via notre application pour éduquer les utilisateurs sur les tactiques courantes de l’ingénierie sociale», a déclaré George. “Nous [also] a mis en œuvre le masquage des numéros, qui dissimule les informations de contact entre nos marchands et les utilisateurs, réduisant ainsi les attaques d’ingénierie sociale sur les numéros de téléphone. Nous appliquons également la reconnaissance faciale à nos chauffeurs-partenaires, ce qui a contribué à se prémunir contre les reprises de compte et à réduire le nombre d’activités frauduleuses contre les chauffeurs. »

Et tout comme Gojek adopte une approche omnicanale pour sa gamme de services, le bigwig a adopté une approche similaire à plusieurs volets pour éduquer l’ensemble de son écosystème sur la sensibilisation à la cybersécurité, y compris les utilisateurs, les chauffeurs et les partenaires marchands.

«En fin de compte, il y a des limites à ce que nous pouvons faire avec la technologie de cybersécurité pour nous défendre contre la fraude et les prises de contrôle de compte», a déclaré le RSSI, qui compte la NASA parmi ses nominations avant Gojek. «Un utilisateur soucieux de la sécurité est la meilleure défense contre la fraude et les mauvais acteurs, et nous continuerons à travailler dur pour éduquer tout le monde dans notre écosystème sur les tactiques que les mauvais acteurs peuvent utiliser pour les cibler.»

À ce titre, des campagnes de sensibilisation à la cyber-protection dans les domaines les moins avancés du numérique sont indispensables. «Les tactiques utilisées par les escrocs et les mauvais acteurs sont généralement cohérentes dans toute la région. Nous nous efforçons de rendre le message aussi simple que possible sans trop compliquer les choses. »

En tant qu’acteur natif du numérique, la société dispose également d’une équipe dédiée à la fraude qui se concentre uniquement sur la réduction des incidents de fraude sur sa plate-forme. Mais ce n’est pas le plus gros problème pour cette entreprise qui doit maintenir la conformité PCI (Payment Card Industry). «Les paiements présentent des défis uniques du point de vue de la sécurité. En effet, chaque fois qu’il y a de l’argent qui transite via une plate-forme, les mauvais acteurs le cibleront à des fins lucratives », a affirmé Do.

«Nous exploitons notre application et notre infrastructure de paiement avec des niveaux de sécurité très élevés, et nous innovons en permanence pour améliorer la sécurité dans l’ensemble de notre écosystème», a-t-il poursuivi. «Cela garantit que nos utilisateurs ont confiance dans l’utilisation de nos applications. En fin de compte, nous sommes les gardiens des informations de nos utilisateurs et nous prenons cette responsabilité très au sérieux. »