Специална защита
Инвестициите в информационни технологии и киберсигурност са важна и неделима част от стратегията и целите на всяка модерна организация, казва доц. д-р Александър Цокев е ръководител на отдел „Център за управление на сигурността“ в Telelink Business Services
- Защо толкова често говорим за дигитална защита?
- Всички виждаме ползите от цифровата среда – и в работата, и в живота си, – но трудно разпознаваме свързаните с тях рискове. И това е съвсем нормално. Рисковете и ефектите от тях са абстрактни. Затова лесно ги подценяваме. В същото време са много и неизвестни, а това затруднява оценката и подготовката ни за тях. Именно неравностойният сблъсък между добрите и лошите намерения (и то без съмнение в полза на последните) в цифрова среда е причината да говорим толкова често за киберсигурност.
- Какво е киберсигурност?
- Като дисциплина тя ни позволява да реагираме своевременно и адекватно, когато сме изправени пред заплаха в цифрова среда – известна или не, – за да я неутрализираме или да ограничим нейното въздействие. А това е възможно с ясни политики, насочващи действията на нас, хората, и системите, с които работим, добри практики, полезни инструменти и способни и мотивирани професионалисти, които да ги управляват.
За разлика от повечето инвестиции, които прави една организация, тези в киберсигурност често изглеждат излишни. И това също е нормално – ако работят, организацията може и да няма сблъсък с осмисляща ги ситуация. А ако са недостатъчни или в неправилна посока, разходите за възстановяване (след шифриране на системи и важни данни и загуба на доверие например) лесно могат да ги надхвърлят.
Това прави киберсигурността толкова трудна тема. Но и важна, защото средата непрекъснато се променя и трябва да се адаптираме към нея. Пример за това е работата от разстояние, която бързо възприехме в началото на пандемията. По данни на IBM (Cost of a Data Breach Report 2021) тя е довела до увеличаване на щетите при пробив в сигурността със средно 1,07 млн. долара. А при една от пет компании именно работата извън сигурната корпоративна среда е станала причина за пробив. За съвсем кратко време организациите трябваше да променят разбирането си за работното място. За съжаление голяма част от мерките, които го защитават, останаха същите. И резултатите са видими.
- Как се променя защитата в онлайн среда?
- С развитието на технологиите неизменно се променят и начините, по които техни слабости могат да бъдат използвани. Съответно е нужна и адаптация в усилията на онези, които искат да предотвратят лошите намерения.
В началото на този век станахме свидетели на първите наистина сложни атаки и израстването на хора и групи, способни да пробиват мерките за защита на организации от всякакъв калибър (на нашия жаргон това са т.нар. advanced persistent threat actors). Тогава основният ни инструмент срещу техните намерения беше превантивната защита – защитни стени, антивирусен софтуер.
Преди около десетина години обаче атаките започнаха да стават бавни и тихи. Благодарение на по-добри инструменти и техники те станаха невидими за традиционните средства за защита. Тогава възприехме нуждата от пълна видимост над средата, за да можем да разкриваме тези действия навреме, без да очакваме, че нещо просто ще ги спре. Представете си как вашият екип за сигурност наблюдава всяка една система във вашата организация и следи за необичайни действия. И когато засече такива, може за минути да събере допълнителна информация, да прецени какъв е характерът на тези действия и да се намеси от разстояние, за да ги ограничи. Отваряте линк в имейл, водещ към важен документ, но трябва да въведете данните си за достъп до Office 365. Въвеждате ги правилно, но виждате съобщение за грешка. И затваряте прозореца – случват се такива неща. А в този момент от далечен град в Азия някой използва споделените от вас потребителско име и парола, за да получи достъп до вашите данни. Екипът за сигурност вижда нещо странно – вие не може да сте на две места едновременно, нали? И благодарение на тази видимост и реакция, която може да се автоматизира, злонамереният опит за достъп е прекъснат, а вие просто трябва да си смените паролата.
Днес нещата стават още по-сложни. Защото доверието постепенно се разпуква. Т.нар. атаки върху веригите на доставки се възползват от слабости в една организация, за да проникнат в десетки или стотици други. Пример за това са компании като SolarWinds и Kaseya и техните софтуерни продукти за управление на различни системи, използвани от стотици и хиляди компании по света. В тази ситуация е още по-важно да имаме пълен поглед над цифровата си среда, но и точни инструменти, които да ни помагат в бързото разкриване на слабости и злонамерени действия, че и дори да ни отменят в реакцията срещу тях.
- Какво е нужно за защитата на една компания днес?
- Отговорът на този въпрос не е лесен, защото киберсигурността на една модерна компания зависи от много фактори – използваните информационни системи и критичност на информацията, нивото на знания и отговорност на работещите в нея хора, направените инвестиции, подкрепата от страна на ръководството и, разбира се, от опита и капацитета на екипа, отговарящ за тази важна функция в компанията.
Важно е да се акцентира върху видимостта, с която се обхваща всичко, случващо се в информационните и комуникационните системи в цифровата среда на компанията. Нужни са модерни инструменти, които да я осигуряват, но в същото време и да позволяват адекватна реакция при заплаха или инцидент. Но те могат да нямат полза без ясно разписани и одобрени политики и процеси, които, от една страна, показват какво е разрешено, а от друга, насочват (и правят ефективни) действията на хората в случай на инцидент. Тук идва и мястото на мотивирания екип от професионалисти в сферата на информационните технологии и киберсигурността, които имат нужните знания и умения да боравят с инструментите, но и опита да разпознават истинските заплахи за една организация. Но колкото и добри да са в работата си, без подкрепата на ръководството почти всеки техен опит за подобряване на защитата е обречен на провал.
Отдавна вече сме извън сигурната корпоративна мрежа, която трябваше да защитаваме от външни заплахи. Много от важните системи и данни са в облака, а не в центъра за данни. Затова и днес не можем просто да приемаме нещо за автентично и разрешено. Трябва да се съмняваме. Това е в основата на т.нар. Zero Trust модел. Той има три основни принципа. Според първия една организация не трябва да „вярва“ по подразбиране, а да се уверява, че всяко действие е правомерно, независимо от кой човек или система е започнато. Според втория принцип правомощията трябва да са съобразени с естеството на работата и функциите на хората или системите в организацията, но не трябва да надхвърлят нужното им най-ниско ниво, за да изпълняват своите задачи. А третият принцип изисква организацията да е с презумпцията, че има пробив в нейната сигурност. Така тя не трябва да подценява значението на всяка една мярка за сигурност като криптиране на информацията, допълнителна автентикация, ограничаване на мрежовия достъп и сегментация и много други.
- Какви са наблюдаваните от вас тенденции и има ли особености, засягащи България и региона?
- Цифровият свят не познава граници. Няма ограничения и пред лошите намерения в него. Притеснителна обаче е скоростта, с която злонамерените лица и организации могат да действат – нужни са им минути, за да открият организации с уязвими системи, които могат да компрометират. В същото време на екипите в тези организации са нужни седмици, за да успеят да приложат софтуерни обновления и така да отстранят слабостите в системите.
Наред с това много от атаките в региона разчитат на актуални именно тук теми. И това е съвсем очаквано – колкото по-лесно ни е да се почувстваме нормално в някаква ситуация, толкова по-малко вероятно е да се усъмним в нея.
Но и през последните две години осъзнахме колко много възможности се крият в информационните технологии и как целенасоченото им приложение в различни аспекти на работата и живота води до резултати, надминаващи и най-смелите и позитивни очаквания. Вярвам, че по същия начин ще започнем да обръщаме внимание и на защитаването на тези информационни системи, защото по подразбиране те са уязвими. И не е важно само да инвестираме повече, но и да приемаме гледната точка на екипите, занимаващи се с информационни технологии и киберсигурност. Защото всички ние сме от една и съща страна.
Ключови думи
|
|
Коментари
Няма въведени кометари.