Парола: Киберсигурност

Компютри, смартфони, дигитални устройства, конгломерат от потребители, глобална мрежа, в която физическата и дигиталната реалност се смесват. Посегателствата и престъпленията се пренесоха и във виртуалната реалност, извършвани от хора с висока технологична култура. По света и у нас зачестяват хакерските атаки срещу потребители, бизнес и институции. Щетите от тези набези придобиват все по-гигантски размери. Има ли надеждна защита?

Sofia Cyber Sec 2019

Дигиталната национална коалиция и Икономическият портал Economic.bg организират еднодневна международна конференция, посветена на киберсигурността. Тя е под патронажа на Европейската комисия и ENISA и ще се проведе на 14 февруари 2019 г. в София Тех Парк.

Сред темите: Как Европейският съюз и как самите ние се справяме с киберсигурността; Какъв е пейзажът в публичния сектор; Какво ще е бъдещето на парите и тяхната сигурност в ерата на финтех; Киберсигурността при настъплението на изкуствения интелект; Защитата на учениците в дигиталната ера и защо киберсигурността трябва да влезе в учебната програма.

Sofia Cyber Sec 2019 е място, където знанието и професионализмът в сферата на киберсигурността ще се срещнат с хората, които имат нужда от тази компетентност. Предизвикателство и за специалиста, и за обикновения потребител ще е да влезе по-надълбоко, за да види нарастващите опасности и да се научи да ги избягва.

Добрата защита

Ако искаш някаква информация да си остане недосегаема, то не бива да има никаква възможност до нея да се стигне през интернет. Но вече почти всичко е свързано с глобалната мрежа. За удобство! Да го изключим ли? Не, просто трябва да се грижим за сигурността. Нека не оставяме дигиталните си устройства в разграден двор и да не си мислим, че кибератаките са нещо, което засяга само другите. На страниците на списание „Икономика” започваме разговора с трима специалисти, ключови за конференцията Sofia Cyber Sec 2019. На нея ще продължи диалогът за опасностите и защитата, ще научите информация, която може да ви спести много ядове, но и много средства. Затова не се колебайте, купете си билети за вълнуващото преживяване Sofia Cyber Sec 2019. Добрата информираност е част от доброто „оръжие”, което може да ви предпази.

Васил Величков, IT специалист и бивш съветник по електронното управление:

Технологиите дават възможност на злонамерените

Понякога се инвестират огромни средства за информационната сигурност, а пробивите стават заради човек, който не е спазил задължителните предпазни мерки

Г-н Величков, какво е добре да извадим пред скоби в разговора за киберсигурността?

Да не си представяме само секретни информационни центрове. Киберсигурността засяга все повече аспекти на нашия живот – от системите, свързани с управлението на града и на държавата до нашия личен компютър и телефон, които често съдържат твърде чувствителна информация.

Киберсигурността опира дори до информацията, която стига до обществото…

Така е. Наскоро германският политически елит беше силно засрамен от публикуваната лична информация от младеж, източил данните през телефоните и компютрите на политици. Чрез хакерски атаки с икономически или политически цели се компрометират мрежи и компютри на интересни субекти и институции, за да се вземат и да се публикуват документи, които биха предизвикали широк обществен отзвук.

Значи всеки, който ползва смартфон и компютър, трябва да знае как да се грижи за своята информационна сигурност. Защо това се пренебрегва?

Задължителната програма за учениците не включва обучение за киберопасностите и как те да опазват личната си информация, свързана с пароли и местоположение. А уж сме нация техническа.

Да оставим ли така широко отворена вратата за онлайн посегателства?

Това е въпрос и на национална политика, но у нас все гасим пожари. Законодателната и изпълнителната власт не разработват и не прилагат ефективни политики в тази област. Случаят с винетките показа, че държавата не може да подкара едни електронни системи да работят, камо ли надеждно да ги защити. Но от липсата на мерки по-опасни може да са разпоредби като GDPR, неадекватни на практическите реалности. GDPR е пример за добри намерения, но и пътят към ада е постлан с добри намерения.

Какво да прави всеки потребител и всеки бизнес в името на своята сигурност?

Всеки трябва да положи усилия да се информира по темата. Има правила, които трябва да следваш, за да си опазиш личните данни. Така намалява вероятността през теб хакер да достъпи до нещо важно. Използвайте сложни пароли и бъдете винаги нащрек. Добре съм обяснил на моите деца, как да се предпазват, но малкият ми син дал на приятел паролата си за една игра. Този приятел играл на място с други момчета. Един от тях видял паролата и после пазарувал за 2 хил. лв., тъй като към акаунта беше закачена и кредитна карта. Има много неща, които човек може да направи, за да намали риска. Перфектна защита няма. И най-добрите специалисти може да бъдат хакнати, но както и при физическата сигурност елементарните мерки вдигат нивото на защита.

Изненади в онлайн пространството дебнат отвсякъде, киберпрестъпниците са изобретателни. Какво да правим?

Въпросът е толкова сложен, както и с телефонните измамници. Те успяват да накарат хора да направят нещо, което противоречи на здравата логика. Хакерите също използват психологически похвати. Пращат имейл, в който уж с цел повишаване на сигурността те канят да си смениш дадена парола. Имейлът наподобява визията на организацията, от чието име е пратен, и така мнозина доброволно предават паролата си на хакерите. Често личното безхаберие отваря вратите на хакерите. Хората трябва да се ограмотят, за да не се доверяват на всеки имейл, който пише, че идва от някоя институция.

Киберсигурността става все по-голям бизнес. Гледали сме филма „Хлапето” на Чарли Чаплин, в който детето чупи прозорците, а после баща му ги поправя…

Нароиха се много фирми, които разработват решения в областта на информационната сигурност, които използват подобна тактика. Те създават проблем, който самите те да решат. Има бизнес модели, построени на база страх. Няма лесно решение и хората добре трябва да мислят от какво и как да се защитят. Не може да инвестираш безогледно. Често обаче се купуват скъпи решения, след което служителите продължават да допускат същите базови грешки. Понякога се инвестират много средства в информационна сигурност, а пробивът става чрез ключов човек в компанията, подлъган да си даде паролата за достъп.

Каква да е ролята на държавата?

Има мерки, които държавата трябва да предприема, за да опазва чувствителната информация на гражданите. Някой измислил, че може да конвертираш хартиената винетка в електронна, като напишеш номера на автомобила. Остави вратата широко отворена по средата на полето и чакай някой да не злоупотреби. Надявам се обаче най-сетне управляващите да задействат създаването на системата за електронна идентификация, която ще позволи на банки и институции да въведат по-сигурен начин за идентификация. Това се забави повече от две години и чакането продължава. Киберсигурността засяга цялото общество, има важни за живота на населението системи, оставени без добра поддръжка на информационната им сигурност.

Появата на изкуствения интелект няма ли да направи битката за сигурността още по-неравна?

Възможностите на изкуствения интелект към момента са силно надценявани. След време може да се изправим пред сценарий като във филма „Терминатор”. Машинното самообучение може да помогне на хакерите. Технологиите дават предимство на злонамерените хора.

С какво Sofia Cyber Sec 2019 ще е полезна?

Да се кажат неща, които може да не звучат добре за ухото на политиците у нас и в ЕС. Нямаме нужда нито от захаросани истории, нито от страхове за адски кризи. Първо обаче задачата по спасяване на давещите се е отговорност на самия давещ се. Също така хората трябва да оказват натиск над правителствата да вземат мерки, адекватни на непрекъснато променящите се технологични реалности.

Иван Дудин, регионален директор на Acronis:

Експертите по кибербезопасност са изобретателни

Има продукти, които позволяват при срив на информационните системи, какъвто беше случаят с Търговския регистър, работният процес да бъде възстановен за минути

Г-н Дудин, кой според вас трябва да се интересува от темата киберсигурност?

Всеки. Всеки, който държи телефон в ръката си, има някакъв допир до компютри или каквото и да е цифрово устройство за комуникация. Защото киберсигурността се отнася до осигуряването на надежно и безопасно предаване на данни и тяхното съхранение. А по принцип тези данни са важни за нас. И като отделни личности, и като бизнес.

Как да оценим риска от кибератаки и пробиви в информационната ни сигурност, от изтичане на данни или блокиране на нашите системи и устройства?

За голямо съжаление, при кибербезопасността не съществува понятие „прекалена защита“ – всичко опира до това какво можем да си позволим, защото ценността на данните за отделния човек, за него лично, са не по-малко важни, отколкото корпоративните бази данни за корпорацията.  

Вашата универсална формула как да си осигурим киберспокойствие – от отделния човек до голямата корпорация?

Като начало, поне трябва да започнем да правим нещо по въпроса. Колкото и много да се говори по темата, изненадващо, но по-голямата част от хората и компаниите не правят нищо с надеждата, че „това не се отнася до мен“. Докато не се случи лошото. А има много прости неща, струващи почти нищо, с които може да си осигурим поне някаква степен на спокойствие.

Всъщност може ли да има понятие като киберспокойствие, при положение че виртуалното „оръжие” започва да има все по-голяма мощ, а киберпрестъпниците стават все по-изобретателни?

Ако използваме военна терминология, цялата история на човечеството е низ от подобна надпревара – измислят се танкове и веднага се измислят и противотанкови снаряди. Мога смело да кажа, че и експертите по кибербезопасност са не малко изобретателни и умни. Въпрос на съотношение е между атакуващите и отбранителните „оръжия“ и до каква степен ние всички отдаваме значение на важността на кибербезопасността и защитата. А не го правим достатъчно – много хора дават немалки суми за застраховка на старите си коли, но за да предпазят ставащите все по ценни свои данни и информация, не правят абсолютно нищо!   

Какво ще кажете на всички големи корпорации, банки, държави, допуснали пробиви в своята информационна сигурност?

Да преразгледат отношението си към киберзащитата, тъй като това не е набор от програмки, а систематичен подход и правилни процеси.

А на онези, които все още не са станали жертва на подобен срив?

Същото. Добре е всички да знаят, че ако не правим нищо, да не очакваме, че сме защитени. 

Затова на 30 януари 2019 г. Acronis България организира Cyber Protection Developer’s Conference. Тази конференция събира на едно място световно признати експерти по сигурност от Google, VMware, Acronis, MariaDB, NGINX, за да направят преглед на киберзаплахите и да представят най-добрите практики за защита на информация, приложения и системи. Това е уникална възможност да обсъдим бъдещето на киберзащитата.

В какво е силата на Acronis, когато става дума за киберсигурност?

Силата е в това как ние се отнасяме към киберзащитата – това е комплексен подход с уникални технологии, приложени с професионализъм, граничещ с перфекционизъм.

Кои са някои от най-големите проблеми, свързани с киберсигурността в последните четири-пет години, на които Acronis отговори със създаването на нови продукти?

Проблемите и съответно продуктите са много, но бих искал да отбележа някои, които придобиват все по-голяма актуалност. Например безопасният достъп до корпоративни ресурси от мобилни устройства. Всеки иска да има достъп до всичко и отвсякъде. Вече никой не чака да отиде до офиса, за да си провери пощата, или да погледне последния отчет, а, от своя страна, това води до нови рискове. Също така надеждното съхраняване на данните и още по-важното – възможността много бързо да бъдат възстановени при катастрофални сривове. Лоши неща се случват, но въпросът е колко бързо можем да възстановим работното състояние. Например това, което стана с Търговския регистър на България. Ако бяха използвани продукти на Acronis, като Acronis Disaster Recovery, щеше да бъде възстановен за минути и най-вероятно никой нямаше и да разбере, че е имало срив.  

Кое е ключовото послание, което за Acronis е важно да прозвучи от трибуната на Sofia Cyber Sec 2019?

Информацията и данните придобиват все по-голяма важност в нашия живот, съответно тяхната безопасност би трябвала да има същия приоритет. Нека се отнасяме сериозно към сериозните неща.

Д-р Светлин Наков, съосновател на СофтУни:

Няма универсално хапче за цялостното дигитално здраве

Киберсигурността е отговорност на всички потребители, фирми, организации и всеки трябва да поеме своя дял

Г-н Наков, все повече се говори за киберсигурност, но даваме ли си сметка какво всъщност стои зад това понятие?

Едва ли всички си дават сметка, макар много да се говори от личната киберсигурност на данните до киберсигурността на държавата и военните. Вероятно един ден войната ще е в това как хакерите на единия да превземат оборудването на другия. Въпрос на баланс е да направиш нещата удобни или сигурни – едното от двете трябва да го пожертваш. Ако искаш да ти е лесно, махаш си паролата. Ако искаш да ти е сигурно, вземаш мерки. Но има технологични пропуски, които позволяват пробиви в компаниите. Проблеми с киберсигурността настъпват и за обикновения потребител, и в малките компании, които нямат ресурс да приложат добрите практики, въведени в големите корпорации, които имат цели отдели по сигурността.

Мнозина смятат, че киберсигурността е нещо, което се отнася най-вече до големите компании и публичните личности…

Ако си най-обикновен човек, ти не си интересен за хакерите. А и щетите от хакерска атака няма да са толкова големи. На прицел обикновено са важните хора с позиция, власт и пари. Те трябва да влагат повече усилия, за да се предпазят. Но обикновено докато не бъдеш засегнат, смяташ, че това се отнася само за другите. Има прости мерки – смяна на паролите, да си заключваш телефона и да не даваш достъп на други до компютъра и дигиталните си устройства. Има средства за криптиране, има и други инструменти, но трябва да решиш, че това е важно за теб и да се поинтересуваш. Повечето хора не са твърде отговорни, тъй като не смятат, че има голям риск за тях. Колкото по-голям е един бизнес, толкова мерките за сигурност трябва да са по-големи.

Едни продават страх, други смятат, че са ваксинирани срещу пробив. Кое е вярното поведение в дигиталната ера, в която киберсигурността е и бизнес?

Може да ни е страх от природни бедствия и от икономически кризи, по същия начин може да ни е страх и от кибератаки. Страхът намалява, когато човек се информира. В една организация техническите лица, които отговарят за киберсигурността, трябва да са най-добре запознати. Тяхна задача е да преценяват рисковете, размера на потенциалното разрушение и да предлагат мерките. При малък риск и вероятни малки щети, хората обикновено приемат този риск. Ако рискът е висок и щетите са колосално големи, трябва съразмерна защита. Това се нарича моделиране на риска. Много фирми се опитват да продадат продукти чрез страх – купете си новата ни антивирусна програма, защото е много страшно без нея. Да, има продукти, които може да помогнат, но най-много може да си помогнем сами. Няма универсално хапче за цялостното дигитално здраве и киберхигиената. Не се ли отнасяш отговорно към данните си и дигиталните си активи, то рискът от проблеми е много голям.

В такъв случай колко полезно може да е участието в конференция като Sofia Cyber Sec 2019?

На такива събития човек си сверява часовника – чува за определен тип заплахи, за пробиви и новости, ще си отвори очите за някои проблеми, на които след това да обърне внимание. Освен това нетуъркингът е особено ценен. Случвало се е да ходя на конференции и да не стигна до залата, ако не съм бил лектор.

Какво ще е вашето ключово послание като лектор на Cyber Sec 2019?

Всеки трябва да си даде сметка, че живеем в дигиталната ера и трябва да положи малки или големи усилия да опазва сигурността на своите данни и дигитални активи. Не е правилно да очакваш единствено банката да се грижи за твоята сигурност. Тя трябва да се грижи за нейната част, а ти са своята. Киберсигурността е отговорност на всички потребители, фирми, организации и всеки трябва да поеме своя дял.

Пред какви предизвикателства е изправен СофтУни като университет, който предлага обучения, свързани с киберсигурността?

Нашата работа е да следим новостите и да реагираме с подходящи обучения. В последните години няма нещо кой знае колко концептуално ново. И преди имаше вируси, и сега има. И преди, и сега най-сигурният начин да проникнеш някъде е през човек. Обученията следват тренда на промените. Не обучаваме политици и топмениджъри, а помагаме на хората да се квалифицират и да започнат работа.

Какъв потенциал виждате в киберсигурността като бизнес, който предлага решения?

Има хляб в тази работа, но не е никак лесно. Обемът от знания, които един секюрити експерт трябва да притежава, надхвърлят нивото, което трябва да има един системен администратор или програмист. Професията експерт по информационна сигурност е трудна и затова има недостиг на такива специалисти. Както във всяка професия, за която се вдига шум, ще се появят тарикати и шарлатани, измислени обучения и сертификати, ще стане надлъгване. Търсенето на кадърни хора ще продължи.

Как да различим добрия специалист?

По същия начин, както различаваме добрия майстор монтьор – въпрос на репутация на човека и на фирмата, референции от клиенти. Киберсигурността е сравнително ново явление, набиращо сила в последно време. Някои чакат проблемът да се случи, други просто приемат риска и живеят с него, но е добре всеки да се самообразова в тази насока. Ролята на конференции като Cyber Sec 2019 е да обърнат внимание на обществото, че има потенциален проблем и всеки може да бъде засегнат.