„Въпреки шоковата промяна в начина на работа през пролетта на 2020 година, повечето организации у нас, в повечето сфери, се справиха блестящо с предизвикателството. Дори в публичния сектор, където дистанционната работа беше абсолютно непозната, имаше много успешни реализации на метода на работа от вкъщи”, казва Надежда Еремиева, докато се усмихва загадъчно. Щастлива е, че току-що е посрещнала няколко десетки гости. Тя е една от емблематичните дами в българския ИТ бизнес, управител на дистрибуторската компания Инфодизайн България, специализирана в решенията за информационна сигурност. Срещаме я по време на семинар, организиран от фирмата в столичния хотел Best Western Premier до летището. Форумът е едно от първите мероприятия на живо след 2,5 години работа предимно виртуално. Точно затова Еремиева е толкова щастлива. Първите гости са се регистрирали повече от половин час преди откриването. В началния час залата е вече пълна. Представят се решения на две големи марки, Nakivo и WithSecure. Видимо, има глад – както за общуване на живо, така и за нова информация.
В публичния сектор всеки, който се занимава с информационна сигурност, се старае да въведе възможно най-много добри практики, пояснява Еремиева. „Това, което липсва там, всъщност е унификация. Всяко ведомство трябва да сглоби своя „асортимент” от продукти и своя система за защита. Но стремежът да се следват добрите практики е факт. Специалистите там полагат постоянни усилия за поддържане на изрядната дигитална хигиена в процеса на работа. Същите добри практики са приложими и в частния сектор, независимо от мащаба на компанията, от вертикалния сектор, в която тя действа”.
Безспорно в днешно време добри практики са, например, редовните смени на паролите на служителите, двуфакторната и многофакторната автентикация за достъп до ресурсите, управлението на личните ресурси.
Разбира се, въпреки наличието на множество похвати и технологични решения за защита, нито една организация не е 100% непробиваема. Специалистите са единодушни: най-слабото звено в крайна сметка си остава „човешкият фактор” – служителят, който може волно или неволно да позволи на атаката да засегне организацията.
По този въпрос експертите постоянно повтарят: обучението е най-доброто средство аз повишаване на защитните сили на „човешкия фактор”. Хората от всички нива и всички отдели трябва постоянно да бъдат подготвяни как да разпознават атаките. Най-добрата защита са добре осведомените, бдителни служители.
Но мениджърите по информационна сигурност трябва да са наясно с друго: дори обученият, трениран, бдителен
човек може да стане жертва, когато е под стрес.
„Социалният инженеринг съществува, винаги е съществувал – и работи. Той няма да изчезне. За да се предпази, човек трябва да вниква в детайлите”, казва Еремиева. Това означава да забележи, например, правописните грешки в електронното писмо, да обърне внимание на странния имейл на подателя, да се впечатли от необичайното разположение на логото.
„Но дори да е много обучаван и бдителен, когато е под напрежение, човек е склонен да сгреши. А за съжаление последните години ни носят много стрес и напрежение. Това оказва най-голямо влияние върху хората. Достатъчен е един клик – ако човек бърза, трябва да свърши важна работа, гони срокове, той може да не обмисли, да не забележи признаците на нещо съмнително”, споделя Еремиева.
Това, което ще последва, може да е опустошителна атака или пък тихо, стелт присъствие на хакера в мрежата на организацията. „На този етап вече е нужно реагиране на инцидента – въпросът е как ще отговорим на ситуацията. Затова вече има нов сегмент в киберзащитата, наречен „endpoint detection and response”. Това значи, че ние разчитаме на сензори, които да правят корелация между събитията. Те са в състояние да отсеят опитите за истинска атака и да подадат сигнал към хората, които могат да поемат грижата, да проследят какво се случва и да реагират”, коментира управителката на Инфодизайн.
В семинарната зала представителите на Nakivo демонстрират бекъп и възстановяване на данни в облака, а сетне дефилират решенията за сигурност на WithSecure – добре позната от години като F-Secure. Nakivo обаче е по-ново име на българския пазар. Тя бе включена в портфолиото на Инфодизайн през 2018 г., малко преди пандемията да ни „затвори” по домовете. Затова любопитството е голямо. Някои от зрителите си водят записки. Гъвкавите бизнес-модели на приложение са практични, но фокусът на вниманието е върху успешното възстановяване на данни от бекъпа като част от преодоляването на инцидент с кибер-защитата.
Еремиева казва, че по отношение на засичането на инциденти у нас, методите не са унаследени. „Ние трябва да можем да отсеем това, което наистина работи – знанието. Пазарът е наситен с продукти и решения от всякакъв тип. Вече има и окрупняване на пазара. Различни вендори се сливат в едно. Нужно е да отсеем не кои продукти са добри, а кои са добрите практики – и да ги прилагаме успешно”, обясни тя. Ръководената от нея фирма е фокусирана върху решенията за киберсигурност вече близо 20 години.
Съществена част от добрите практики са практическите експерименти. Най-често това означава проиграване на различни реалистични ситуации. Така се дава възможност за безопасен „тест” на защитата и изпитване на готовността за реагиране от гледна точка на спецификата на конкретната организация, обхвата на атаката, потенциалните вреди.
Оценка на потенциалните вреди
Анализирането на възможните щети е сред най-ценните добри практики. То дава възможност за оценяване на мащабите на вредата за организацията. А щетите могат да имат множество нива. Финансовите загуби са само най-прякото, най-видимото от тях.
Отвъд финансите, атаките, свързани с изтичане на лични данни, засягат реалния живот на хората – кредити, дом, семейство, деца… Не на последно място за организацията стои и репутационният риск. Течът на данни и разголването на личния живот на хиляди хора може да отблъсне клиентите завинаги и да доведе до унищожаване на организацията.
„Забелязвам, че специалистите, които идват на тренинги и обучения, го правят, защото действително имат желание да видят „как го правят другите”. Искат да почерпят опит, да се научат – да са сигурни, че поемат по правилния път и предприемат правилните действия”, казва Надежда Еремиева. „Но има още нещо. Хората, които искат да се учат, са част от мениджърските екипи – но те не са хората, които вземат финансови решения”.
Кибер-рискът е абстрактен
Виртуалните заплахи са трудни за оценяване и това е едно от вечните предизвикателства за мениджърите по информационна сигурност. Ако няма пробив, ако година след година бизнесът работи спокойно и необезпокоявано, служителите и топ-мениджърите всъщност не виждат ефекта от инвестицията в киберзащита. „Тогава бизнес-лидерите са склонни да подценяват, да съкращават вложенията. Те си казват, „о, ние можем да живеем и без това” – а за главния мениджър по информационна сигурност е трудно да остойности ефекта от вложеното в киберзащита”, казва Еремиева.
Именно тук помагат проиграванията на потенциалните кибер-пробиви и оценките на потенциалните щети. Те дават възможност на експертите по виртуална защита да обосноват необходимостта от дадено решение, да посочат как то би могло да помогне на бизнеса и каква е стойността на положителния ефект от него. „Проиграването и опознаването на щетите се предлага и като услуга. Управителите се събират, проследяват, анализират и разбират как биха се развили нещата при потенциален пробив и какво би им коствал той”, категорична е Еремиева.
За да се стигне дотам, самият мениджър по информационна защита трябва да „тежи на мястото си”. Но и тук България опира до глобалния проблем с дефицита на кадри. Надежда Еремиева вижда причината по-детайлно:
„бъркаме специалиста по инфосигурност със системния администратор”.
Тези две роли у нас често се изпълняват от един човек. В корпоративния сектор може и да има ясно разпределение на ролите, но малките и средните фирми са преобладаващи у нас и при тях един и същи човек отговаря за почти всички технологични проблеми.
„Човекът, който трябва да следи новите решения, да формулира политики и да оценява рисковете, на практика се занимава с конфигуриране на VPN, търсене на загубени имейли, смяна на строшени мишки или изгорели захранвания – той е човек за всичко. Зает е със злободневие, докато трябва да се занимава с работа, която е сложна, отговорна и изисква концентрация. Това води до прегаряне”, казва управителката на Инфодизайн България. Усмивката е слязла от лицето ѝ. Вместо това в очите ѝ се вижда тревожност. Казва, че описаната картина не звучи привлекателно за младите таланти, които бизнесът твърди, че иска да привлече. Младите хора искат да се учат и развиват. Претоварването им отнема тази възможност и ги отблъсква.
Човек би си помислил, че има решение на проблема. Редица фирми вече предлагат „сигурност като услуга”. Пак не е толкова лесно. „Въпреки всичко, в съзнанието на човека, който работи и прави всичко в малката фирма,
сигурността като услуга изглежда като заплаха –
тя поставя въпроса дали компанията-специалист, която влиза отвън, няма да ме измести”, казва Еремиева. Дали заради агресивния маркетинг, дали заради облика на „супер-експертиза”, доставчиците на управляеми услуги по киберсигурност могат да бъдат възприемани като фактор, който заплашва да направи ненужен вътрешния специалист по виртуалната безопасност. Оттам идва и скептицизмът към „сигурност като услуга”.
Промяната на тази нагласа ще се случи, но ще отнеме време. В динамичния, постоянно променящ се свят на виртуалната действителност аутсорсингът на рутинните процеси и задачи е ключово решение, което може да даде на мениджърите именно онази възможност за съсредоточаване, която им липсва.