ИТ, безопасност, хакери – „ах, този досаден шум”

Панелистите на InfoSec признаха, че обученията по киберзащита често се приемат като досада
(снимка: InfoSec SEE 2020 / Zoom)

Да образоват служителите на организацията що е ИТ сигурност и какви са нейните правила – това се оказва една от най-трудните задачи за експертите по ИТ сигурност днес. Защото повечето хора нямат необходимата ИТ култура и трябва да бъдат обучавани за работа в новите условия.

А обученията по темата често пъти се възприемат като досада, като „страничен шум”, признаха панелистите в дискусията „Предифиниране на рисковете и бъдещето на киберсигурността в ерата след Covid-19 – най-ефективни технологии за киберсигурност” по време на форума InfoSec SEE 2020, организиран от КОМПЮТЪР 2000 в Правец.

Много от мениджърите по ИТ безопасност всъщност не знаят как да „преведат” принципите на отговорното онлайн поведение на езика на служителите, които са на работа с цел да правят нещо съвсем различно от ИТ защита и съответно темата е далеч назад в списъка им с приоритети.

Младите хора днес са твърде открити и не се боят от разкриването на информация, коментира Михаил Павлов, Micro Focus
(снимка: InfoSec SEE 2020)

Много е трудно да се говори на служителите за ИТ безопасност, те го възприемат като страничен шум, като досада, споделиха неколцина от участниците във форума.

В същото време младите хора днес са твърде открити и не се боят от разкриването на информация, коментира Михаил Павлов, търговски директор за SEE региона в Micro Focus. Те публикуват в социалните медии свои снимки, статуси за състоянието си, данни за местоположението си. Не се боят от споделянето: смятат, че няма какво лошо да се случи. „Това прави много трудна задачата на отдела по ИТ сигурност”, каза Павлов.

Според колегата му Майк Харт, вицепрезидент на FireEye, това е особено важно сега, в „ерата” след Covid-19, когато много от хората работят от дома, тъй като в техните възприятия се размива границата между лично и служебно. Те смесват личните и служебните устройства, а хакерите са наясно с това и се възползват от възможностите за атаки, обясни Харт.

„Когато сте в офиса, знаете, че организацията носи отговорност за безопасността. Но когато работите от дома си, е друго. Обикновено не очаквате домашният ви компютър да бъде атакуван и това е проблемът. Хората трябва да се научат сами да се пазят, защото ако знаят какво ги заплашва, те ще вземат мерки”, допълни Харт.

ИТ сигурността трябва да се преподава от най-ранна детска възраст, смята Миколай Пайгон, Forcepoint
(снимка: InfoSec SEE 2020)

По същество няма голяма разлика между това да забравиш папка важни фирмени документи на масата в кафенето или един важен PDF отворен на служебния си компютър, когато излизаш от стаята, смята Димитър Кушвалиев, търговски директор на Squalio България.

Според Миколай Пайгон, мениджър за вътрешните канали във Forcepoint, отговорното поведение към ценната фирмена информация е въпрос на възпитание. „ИТ безопасността трябва да се преподава от най-ранна детска възраст – така, както учим децата, че не бива да разговарят с непознати на улицата, така трябва да ги учим и на ИТ защита”, коментира той.

От друга страна, обаче, трябва да стане и пределно ясно, че всеки служител във фирмата носи отговорност и това обхваща дигиталната инфраструктура на организацията, подчерта Mаурицио Талиорети, регионален мениджър в Netwrix. Ако един служител увреди фирменото имущество, той ще трябва да бъде санкциониран за това; по аналогичен начин трябва да има санкции за причиняване на вреди в дигиталните системи на организацията, смята той.

Така както хората носят отговорност, ако катастрофират с личния си автомобил, такава трябва да са отговорни при работа от личния лаптоп, каза още Талиорети. Самите служители трябва да бъдат научени какво не трябва да правят, а ИТ специалистите трябва да покажат, че контролират процеса, допълни той.

Въпрос на лична дисциплина е да се спазват някои основни правила, казва Александър Цонев, Булпрос
(снимка: InfoSec SEE 2020)

Според Александър Цонев, главен технически експерт в Булпрос, основната задача пред сигурността в настоящата ситуация е защитата на критичните данни и многобройните канали за комуникация.

„Но това няма да стане само с инструкции, изпратени от ръководството по имейла до служителите, които да обърнат внимание на проблема. ИТ специалистите трябва да имат водеща роля както в актуализацията на системите, така и в обучението на служителите. Въпрос на лична дисциплина е да се спазват някои основни правила – например, да не се влиза в определени сайтове”, обясни той.

Паралелно с това образованието в сферата на ИТ сигурността трябва да бъде изнесено в светлината на прожекторите и това може да стане с обособяването на университетски специалности, фокусирани върху технологичната безопасност, коментира Зденек Цупак, CEO на Hillstone Networks Европа. През последните две години някои университети създават нови специалности с цел подготовка на специалисти в сферата на киберсигурността, допълни Цупак.

По темата работиха Мария Малцева и Рада Станева

Коментар