Обучението и подготовката на служителите е най-критичният елемент от съвременната стратегия за ИТ сигурност във всяка организация – бизнес-предприятие, държавен орган или неправителствено сдружение. Това включва не само повишаване на грамотността относно възможните кибератаки, но и на бдителността на служителите, както и създаване на готовност за организационни и процедурни промени. В известен смисъл днес ИТ отделите трябва да „продават” ИТ сигурността на вътрешните служители, тоест да помогнат на работещите хора да оценят високата стойност на добрата защита и сами да пожелаят да я прилагат ежедневно. Около този извод се обединиха световни експерти по ИТ сигурност, които участваха във форума Crayon Cybersecurity Forum III. Събитието се организира за трета поредна година от консултантската компания Crayon, която помага на клиентите по пътя към дигиталната трансформация в облака.
Ако пандемията ускори цифровизацията и даде тласък на киберпрестъпността, то краят ѝ ни най-малко не облекчи проблема с виртуалните заплахи. Напротив – сега кибернападателите са по-агресивни и по-изобретателни. На всичкото отгоре в тяхна помощ работят ново поколение инструменти като генеративните AI програми от типа на ChatGPT. Опазването на виртуалните активи прилича на нажежено бойно поле, където са впрегнати в атака всякакви видове оръжия по всички флангове. Това налага организациите да обучават не само служителите си, но и клиентите и партньорите си, за да не бъдат засегнати и те в случай на кибератаки, посочи Пека Риипинен, директор глобални услуги за киберсигурност в Crayon.
Предизвикателства без край
Предизвикателствата, с които отделите по ИТ сигурност трябва да жонглират, са смущаващо многобройни и разнообразни. Сложността на действащите технологии за киберсигурност е една от най-големите трудности, единодушни бяха експертите.
Средата включва многобройни технологии, в работата с които е лесно да се загуби цялостната видимост над всичко случващо се, заяви Агрис Ивбулис от Crayon Латвия. В много предприятия работят по десет и дори повече различни ИТ системи за киберзащита, подчерта Кандид Вюс, вицепрезидент по изследванията в Acronis, което значително усложнява процесите.
Заедно със сложността съществува и друг проблем – размиването на отговорностите. Недостигът на кадри и липсата на експертиза влошава още повече ситуацията. Този проблем е наличен навсякъде, във всички сектори и всички региони, но най-много измъчва малкия и средния бизнес.
Паула Янушкевич, основател и CEO на CQURE, разкри данни от проучване, които показват, че 50% от атаките през 2022 г. са насочени към малките и средните фирми. Около 32 на сто от засегнатите от атаки компании плащат искания откуп, но получават едва 65% от данните си обратно. А 77 на сто от компаниите нямат план за действие в случай на кибер-атаки. Янушкевич цитира изказване на бившия директор на ФБР Джеймс Коми, според когото „Има два типа големи компании – такива, които са били хакнати, и такива, които не знаят, че са хакнати”.
Наред с външните заплахи вече има и много вътрешни заплахи, отбелязаха експертите по време на форума. Масло в огъня налива и голямата вълна на съкращения в големите технологични компании, на която сме свидетели в последните няколко месеца.
Агрис Ивбулис разделя компаниите на три типа в зависимост от нивото им на зрялост по отношение на киберсигурността:
- първата група не са особено загрижени за сигурността и това се видя особено ясно по време на пандемията; някои компании са убедени, че те не са интересни за атаки и че това тях не ги засяга;
- втората група осъзнават, че имат пропуски в тази сфера и се опитват да работят по отстраняването им;
- на трето място са онези организации, които разбират проблема и знаят какво точно трябва да се направи, те разработват стратегии за изграждане на цялостна политика по ИТ сигурността.
Сливането на ИТ системите и оперативните системи в предприятията (OT) отваря множество нови пробойни. Често ОТ не са така добре защитени, както ИТ, и те се оказват отворена врата за нападателите, посочи Михал Фурманкиевич, програмен мениджър в Microsoft. И сякаш това не стига – предприятията и индивидуалните потребители ускорено се оборудват с IoT и смарт устройства, които би трябвало да облекчават ежедневието, но същевременно отварят много нови пътечки за пробив на кибернападателите. Колкото по-голяма е компанията, толкова повече са проблемите и предизвикателствата пред нея, посочи Фурманкиевич.
В тъмните бизнес-кръгове пък текат паралелни процеси, които правят заплахите много по-ефективни и повсеместни. Вече не е необходимо човек да има технически знания и умения, за да изпълни тежка кибер-атака спрямо който и да е бизнес. В тъмните мрежи могат да се купят изгодно рансъмуер атаки, да се поръча разработването на нов зловреден код, да се купи и DDoS кампания. Всеки добре мотивиран зложелател може да си купи колкото и каквито си пожелае инструменти за атака – за изнудване за пари, съсипване на конкурент, индустриален шпионаж и др.
Колко е важно да имаш правилните данни за инцидент
Сред най-съществените проблеми за екипите по ИТ сигурността днес е липсата на достатъчна и правилна информация за киберинцидентите, които се случват в организацията, посочи Паула Янушкевич. Набезите буквално валят. Събирането на подходящите данни за случващото се могат да се окажат критични за разследването на киберинциденти, но също така и за формирането на адекватни политики и стратегии за превенция, допълни Янушкевич.
В ерата, в която всички се стремим да използваме средства за автоматизация на база изкуствен интелект, отделите за ИТ сигурност не остават по-назад, но за тях е още по-съществено да събират и използват правилните данни, подчерта Кандид Вюс от Acronis. Без правилните данни не могат да се тренират и усъвършенстват системите за сигурност, базирани на машинно самообучение.
Уязвимата комбинация IT+OT+IoT
Особено уязвими са предприятията, които интегрират своите ИТ системи с ОТ системите и интензивно внедряват IoT технологии за автоматизация и облекчаване на ежедневните процеси. Границата между ИТ и ОТ все повече се размива, но ОТ далеч не са толкова добре защитени, колкото ИТ системите в организациите, каза Михал Фурманкиевич.
Често липсват пачове, които отдавна е трябвало да бъдат инсталирани, което отваря множество уязвимости. Зловредният код продължава да процъфтява. Слабостите в т.нар. фърмуер пък са широко отворена врата за всички злонамерени играчи. Резултатът е видим в заглавията на медиите: хакнати биват електроразпределителни фирми и ВиК дружества, смарт-сгради, дори НАСА.
Всичко това показва, че обект на нездравия интерес на хакерите са критични инфраструктури, от които зависят голям брой хора или критични дейности, посочи Фурманкиевич. Статистиката сочи, че атаките върху ИТ инфраструктурата са значително повече в сравнение с тези към останалата инфраструктура. „Критичната инфраструктура се превърна в бойното поле в сферата на киберсигурността днес”, каза Фурманкиевич.
По данни на Microsoft, 75 на сто от компаниите имат уязвимости, а при над 78% от организациите се наблюдава ръст на уязвимостите. Затова е добре на всеки два месеца да се прави анализ на проблемите по киберсигурността и най-вече на тези, които засягат инфраструктурата, препоръча Фурманкиевич.
ChatGPT в ИТ сигурността
Като една от най-тревожните тенденции в сферата на ИТ сигурността експертите очертаха възхода на генеративните AI алгоритми. С инструменти като ChatGPT към нас идва цяло ново поколение кибератаки, посочи Марек Ласковски, ИТ директор на DZP – най-голямата полска правна кантора. Това ще усложни и без друго предизвикателната арена на киберсигурността.
ChatGPT може да се използва поне по три начина за кибератаки: за намиране на уязвимости, за написване на зловреден код и за създаване на убедителни фишинг или BEC писма, коментира Кандид Вюс. Проблемът ни отвежда към въпроса за запознатостта и подготовката на служителите за правилно реагиране в случаи на кибернападения от всякакъв вид.
Вюс цитира данни от проучване на IBM, според които през 2022 г. дефинирането на атаките с помощта на AI е извършено с около 33% по-бързо, което е довело до по-бърз и по-ефективен отговор на заплахите. Въпросът тук е какви проблеми могат да се решават с помощта на изкуствения интелект, защото от основно значение са правилните данни, които трябва да се зададат на входа на AI, обясни Вюс.
Превенцията е по-евтина от възстановяването
При всички положения добрата защита, колкото и инвестиции да изисква, излиза по-евтино за всяка организация от стойността на възстановяването ѝ след успешна кибератака. Пълното възстановяване след такъв случай отнема средно 80 дни, посочи Паула Янушкевич. Общата стойност на щетите от киберинциденти възлиза на над 3 трилиона долага годишно – това са загуби заради непродуктивност, блокирани процеси, забавяне на растежа.
Дисциплина, киберхигиена, основни мерки
Това, което се наблюдава във всички организации, пострадали от кибератаки, е липса на „основните неща”, единодушни бяха лекторите на Crayon Cybersecurity Forum III. „Не са въведени базовите неща”, обобщи Кандид Вюс.
„При всички пробиви се забелязва липсата на елементарна киберхигиена – многофакторна автентикация, не-блокирана наследена автентикация, несериозни политики за защита на електронната поща”, каза Пека Риипинен. „Става дума за дисциплина и базова ИТ хигиена”, допълни той. Пренебрегването на грешките от неправилно конфигуриране на системите може да доведе до големи инциденти, подчерта Риипинен.
Ценни стъпки за по-добра защита
Многофакторната автентикация е първата и най-важна стъпка, за която всички специалисти по ИТ сигурност са единодушни, че е задължително условие за базова ИТ хигиена. Наличието на добра видимост над всичко случващо се е друго задължително условие, посочи Марек Ласковски от DZP.
Подходът на нулево доверие трябва да се прилага безкомпромисно. Той е абсолютно задължителен при въвеждане на IoT системи, подчета Михал Фурманкиевич. За справяне с високите разходи и недостига на хора Агрис Ивбулис препоръчва провеждането на одити и аутсорсинг. Пентестингът пък може да помогне за намиране на всички малки вратички, които висококвалифицираните кибернападатели биха могли да открият в ИТ инфраструктурата на всяка организация, препоръча Янушкевич.
Специалистите са единодушни, че не може да има добра защита, ако липсват осведоменост и бдителност у служителите. Образованието и контролът са сред базовите средства за опазване на всичко в технологичните системи, каза Ивбулис.
Тъй като е налице остър недостиг на квалифицирани ИТ кадри, има две неща, с които отделите по ИТ сигурност могат да си помогнат, посочи Янушкевич. Единият е да „отглеждат” свои собствени експерти, вътре в рамките на организацията, чрез обучение и усъвършенстване. Вторият предполага намиране на ентусиазирани „новаци” в професията – това са хора, най-често млади, които сега навлизат в тематиката, не се боят да си признаят, че не знаят много неща, но пък имат искрено желание да се учат.
Що се касае до обучението на служителите, технологиите не бива да натоварват хората в ежедневната им работа, да забавят или възпрепятстват работата им, смята Марек Ласковски. „Ние следва да „продаваме” ИТ сигурността вътрешно, да помогнем на хората да оценят важността ѝ и сами да я пожелаят”, каза той.
Особено внимание трябва да се отделя на подготовката на хората при нововъведения, защото винаги в едно предприятие ще има служители, които ще приемат новостите с „не!“, подчерта Михал Фурманкиевич. Големите промени не са технологични, те са в промяната на нагласите на служителите. Трябва да подготвяме хората за всяка промяна и да ги накараме да я пожелаят, заключи той. А Паула Янушкевич прогнозира, че настоящата 2023-та ще бъде годината на добре написаните и тествани приложения за киберсигурност.
Пълен запис на конференцията CEE Cybersecurity Forum, организирана от Crayon, е достъпен свободно тук.
Статията подготвиха Мария Малцева и Рада Станева