Когато се взема решение за избор на технология за киберзащита, не трябва да се разчита само на търговски и маркетингови презентации, а да се тестват продуктите в реална среда, казва Анелия Костадинова, генерален мениджър на дистрибутора COMPUTER 2000 България. Ако се установи, че едно ново, иновативно решение, дори да е от по-малко популярен доставчик, работи добре, ИТ директорът следва да застане с името си, с авторитета си зад него. Той трябва да има тази власт: да бъде човекът, който взема решение, допълни Анелия в интервю по време на двудневната конференция InfoSec SEE 2024.
Г-жо Костадинова, организирате InfoSEC SEE за 16-ти път, как се разви форумът за тези 16 години?
Стартирахме преди 16 години с целодневна конференция, но само с един вендор. Тогава това беше McAfee. Просто така сме започнали своя бизнес навремето. Днес в портфолиото ни има над 20 вендора, като преките участници в конференцията са около 12.
Колко хора са преминали през InfoSEC SEE за 16 години – като зрители?
Общо взето всяка година имаме около 200-250 гости на място и около 300-400 зрители онлайн. Много беше трудно по време на пандемията. Все пак и тогава успяхме да организираме конференция на живо, включително сме водили лаборатория, която да тества хората с бързи антигенни тестове на място.
Вендорите, които представлявате, са големи компании, а България е малък пазар. Как изглежда страната ни на „картата на света” за тях?
България може да е малка като територия, но по принцип цяла Източна Европа е много обещаващ пазар за киберсигурност – повече, отколкото западноевропейските страни, където компаниите от различни бизнеси си знаят, че трябва да имат решения за киберсигурност – къде по-малки, къде по-големи; къде по-разработени, къде на повече нива или на по-малко.
А тук, в България, сме доста изостанали. Може да си мислим, че сме добре защитени, че държавните организации имат много решения, но, според мен, едва от няколко години се работи в тази посока – да се правят повече слоеве, да се създават цялостни концепции за киберсигурност за съответната организация. За съжаление в повечето случаи поводът е някакъв драстичен инцидент. Когато се случи такъв, тогава нещата се стягат. И с банковия сектор е същото. Всички си мислят, че са добре защитени, защото са купили много технологии. Докато не стане инцидент…
Изворът на проблема е, че няма концепция. Купува се „на парче”. В един период беше на мода DLP – всички купуваха DLP. Преди това беше на мода SIEM – всички купуваха SIEM. Просто излиза една нова технология, която е наистина добра и решава проблеми, но тя не е цялостно решение – има различни нива, слоеве на сигурност.
Нещо, което ние препоръчваме, е: когато се взема решение за избор на технология за киберзащита, да не се разчита само на търговски и маркетингови презентации, а да се тестват продуктите реално. Демонстрациите не вършат тази работа. При демонстрация вендорът показва решението в своята си собствена среда, настроено и работещо. Но всички големи производители предлагат така наречения „proof-of-concept” или „proof-of-value”: в реалната инфраструктура на потребителската организация се заделя една част, даденото решение се инсталира там и се тества в реални условия. И ние препоръчваме точно по този начин да се тестват една, две, три системи.
Но след това трябва да се проведе търг и той трябва да дава равни условия за участие. Много често има оплаквания, че даден търг е „писан за” даден доставчик. Но големите, сложни системи за киберзащита няма как да се дефинират с общовалидно описание. Съществуват някои технологии, които могат да се дефинират с генерично описание, с обща спецификация – например, защитни стени, EDR. Но за по-цялостните, по-сложни решения това не е приложимо.
Въпросните тестове в реална потребителска среда би трябвало да се правят така, както се прави в частна компания.
А не се ли прави точно така?
Някъде – да, другаде – не. Или просто се решава, че дадено решение е най-доброто и всички купуват него.
Голямата част от поръчките идват от големи организации с големи бюджети. Какво правят по-малките предприятия?
Навсякъде по-света най-големите проекти в сферата на киберсигурността са държавни проекти. Така е по обясними причини. И бюджетът има значение, и обемът и чувствителността на данните, и интересът на хакерските атаки. Нещо повече, днес сме свидетели на таргетирани атаки към държавни органи, зад които стоят чужди правителства. Редно е държавата да отговори адекватно.
Що се касае до малките организации, те нямат такива големи бюджети. Но аз мисля, че бъдещето за тях е в управляваните услуги. Доставчиците могат да са по-малки компании в България, които до вчера са продавали решения за киберзащита, но сега е време да се насочат към това да предоставят услуга. Съответно малките фирми, които нямат капацитета да си назначат собствен ИТ отдел, камо ли пък собствен отдел по киберсигурност, следва да изнесат тази грижа към външен доставчик.
Ние самите в COMPUTER 2000 България ползваме сигурност като услуга. Това е подобно на фирмения абонамент за телефони. Особено за малките компании, които не са от ИТ сферата, това е най-разумното решение.
Настоящият месец април е време на голяма активност на тема киберсигурност. Но при толкова много лекции от толкова емблематични специалисти в сферата какво не ни достига, за да имаме добро разбиране за киберзащитата?
Първо е нужно добро законодателство. В това отношение у нас сега ще се преработва законът за киберсигурността, за да бъде транспонирана директивата NIS-2.
Второ, когато се прави бюджетиране за дадена организация, трябва да се заделят средства специално за киберсигурност. Светът се променя, дигитализира се – и трябва да има яснота, че след като дадена организация има дигитални услуги, това носи ползи, но и рискове. Правителството работи усилено да дигитализира всички регистри, в тези портали влиза всеки човек и бизнес – непростимо е да не се мисли за защита от DDoS, защита на приложенията.
Разбира се, че винаги бюджетите са ограничени. Но не е нужно финансирането да е колосално. Има и по-бюджетни решения – иновативни нови разработки, които са на много високо ниво. И точно затова решенията трябва да се тестват в реална собствена среда. Когато се установи, че едно ново, иновативно решение, дори да е от по-малко популярен доставчик, работи добре, ИТ директорът следва да застане с името си, с авторитета си зад него. Той трябва да има тази власт: да бъде човекът, който взема решение.
Трето, трябва да се преодолее страхът от облака. Вече 90% от решенията за сигурност на крайната точка (endpoint security) по света са облачни. Но в държавата се изисква да не са „в облака”, да са инсталационни, вътрешни. Затова някои доставчици умишлено поддържат и вариант „on premise”.
Тази година на InfoSEC SEE почти не стана дума за проблема с кадрите. Решен ли е този въпрос?
Вярно е, че AI навлиза в нашата сфера, но той само помага, а решенията идват от нас, хората. И затова трябва да имаме кадрови капацитет. В България има недостиг на такива специалисти. В разговорите ми с организации от различни сфери усещам, че има такъв недостиг.
Редица университети вече въведоха програми за обучение по киберсигурност. Но има нещо, което забелязвам и което ми споделят колеги – децата в тези програми учат предимно теория. Те не се учат на реалните проблеми от практиката.
Друг подценен аспект е интеграцията. Когато една фирма вземе на работа млад човек, завършил подобна университетска специалност, той трябва да има знания и в света на киберзащитата, и общ поглед за интеграцията. Защото технологията трябва да се внедри така, че в организацията да заработи безпроблемно, гладко. Докато не заработи гладко, не бива да се пуска в действие.
А на практика се оказва така, че след въвеждането на дадено решение изникват множество проблеми – 100 неща, които не работят. Нужно е холистично мислене.