Анелия Костадинова: Индустрията на киберсигурността остава стабилна

“Организациите трябва да приемат киберсигурността като бизнес въпрос, а не само като проблем на ИТ инфраструктурата си. Киберсигурността утре няма да зависи от това какъв софтуер използваме, а от това как мислим като организация”, казва Анелия Костадинова, генерален мениджър на КОМПЮТЪР 2000 България (снимка: личен архив)

Независимо от колебанията в глобалната икономика, които наблюдаваме в последните години, индустрията на киберсигурността остава стабилна. Няма сривове в пазарната стойност на американските производители на решения за киберсигурност, които са водещи в индустрията, съответно няма спад в търсенето и търговските операции, сподели в интервю Анелия Костадинова, генерален мениджър на КОМПЮТЪР 2000 България. Разговаряме с нея за тенденциите в киберсигурността в навечерието на конференцията InfoSec SEE 2025, която дистрибуторът организира тази седмица в Hyatt Regency Pravets Resort, Правец, съвместно с Търговското представителство на Американското посолство в София, както и за типично “женските” умения като емоционална интелигентност и емпатия, които ѝ помагат да бъде успешен предприемач и мениджър в един бизнес, традиционно доминиран от мъжете.

Дама в света на киберсигурността – това е голяма рядкост. Помага ли да си жена, когато ръководиш бизнес в този толкова мъжки сектор – инфосигурността?

Този въпрос ми го задават много често. Явно е рядко явление жена да стои начело на компания в индустрия, в която 2/3  от работещите са мъже, а мениджърските позиции преобладаващо са заети от мъже. България в момента е на първо място в ЕС по дял на жените, работещи в сферата на информационните технологии – с цели 29,1% от заетите в ИТ сектора и аз съм част от тази статистика.

До идеята да развиваме дистрибуция на решения за киберсигурност в КОМПЮТЪР 2000 ме доведе моето нестихващо любопитство и желание да уча нови неща. Когато се запознах с портфолиото на първия производител на такива решения в нашето портфолио – McAfee (по това време те бяха най-голямата и успешна компания за решения за информационна сигурност), пред мен се разкри една нова, непозната, високотехнологична вселена от знания, много различна от бизнеса с хардуерни продукти. Това естествено доведе по-късно до промяна на нашия бизнес модел – от all-in-one дистрибутор до компания с фокус киберсигурност. Така стартирахме в тази индустрия, където се състезаваме с най-добрите в момента.

Смятам, че личностните и професионалните качества са водещи, когато човек е предприемач и мениджър. За успешното управление се изисква визия и цел, трябва да знаеш къде искаш да стигнеш. Умение е да накараш хората в компанията да ти вярват и да те следват. Предприемачеството е изкуство, а не наука, макар в учебниците да пише друго. Изискват се знания, но и умения, които може би са типично „женски”, като емоционална интелигентност и емпатия, „мека сила”, финес, съпричастност и грижа към съдбите на всеки един човек от екипа.

“Предприемачеството е изкуство, а не наука, макар в учебниците да пише друго”, сподели Анелия Костадинова (снимка: личен архив)

Тази година конференцията InfoSec SEE, която КОМПЮТЪР 2000 България организира и превърна в най-голямото регионално събитие в сферата на киберсигурността, ще се проведе в турбулентни условия за световната икономика – с геополитическо напрежение, търговски войни, нестабилност като цяло. Как рефлектира всичко това върху сектора, какви са настроенията сред вашите партньори и клиенти в навечерието на конференцията? 

Тази година имаме честта конференцията да се организира съвместно с Търговското представителство на Американското посолство в София. U.S. Commercial Service на Американското посолство не просто откриват конференцията, а и са съорганизатор заедно с нас. За нас като дистрибутор и представител на редица водещи американски производители на решения за киберсигурност това е голямо признание и подкрепа.

Независимо от глобалната нестабилност, аз смятам, че индустрията на решения за киберсигурност остава стабилна. Няма промяна и сривове на пазарната стойност на нито една американска компания производител на решения за киберсигурност. Не е тайна, че водещите производители в тази индустрия са американски и частично израелски компании. Техните технологии си остават лидери със значителен пазарен дял, както глобално, така и у нас. Съответно в търсенето и търговските операции няма спад. Мога да кажа, че търговските войни засега остават встрани от нашия бизнес.

Освен това някаква съществена промяна сред основните държави, които традиционно спонсорират хакерски атаки, няма. Преди дни излезе докладът на Google Cloud Security „M-Trends 2025”, който анализира заплахите, тенденциите и инцидентите в киберсигурността от 2024 г. Анализаторите от Mandiant констатират нарастване на таргетираните атаки от руски и китайски  хакери с цел кибершпионаж. Т.е. някакво разместване, някаква сензация относно ролите и кой срещу кого е в цялата геополитическа картина относно киберсигурността няма.

Всички и навсякъде говорят за изкуствения интелект. В сферата на дигиталната сигурност също – за това как киберпрестъпниците използват AI и за това как екипите и технологиите за защита също използват AI. Коя/каква е истинската стойност на AI в киберсигурността? И кое е „много шум за нищо”?

Изкуственият интелект се използва в индустрията за киберсигурност от много години, много преди да се заговори масово за него. Поради огромния скок в дигитализацията през последните години, най-вече поради въвеждането на мултиоблачни и хибридни среди за работа в организациите, AI  се превърна в неизменна част от бизнес процесите. Чувайки термина AI, повечето хора си представят начина на работа на отворените модели, където изкуственият интелект се обучава от хиляди източници, често в конфликт едни с други.

Изкуственият интелект, използван от киберпрестъпниците, се използва за откриване на уязвимости или заимстване на скриптове, с цел пробив в дадена система. В киберсигурността се използват високоспециализирани форми на изкуствен интелект. Това е естествената еволюция на алгоритмите за машинно самообучение, захранвани само с релевантни данни за метода на работа на заплахите и начините за справяне с тях, дори те да не са срещани досега по света. Повечето водещи производители на решения за киберсигурност си създават свой собствен алгоритъм, пригоден за работа специално с техните решения, често обвързан с публични рамки за киберсигурност като например тестовете MiTRE, така че да се постигне голяма успеваемост, с минимално или никакво количество грешни показания.

В индустрията за киберсигурност изкуственият интелект се използва за откриване на заплахи в реално време, тъй като може да анализира огромни обеми от логове и мрежов трафик за секунди. Машинното обучение помага за разпознаване на аномалии, които биха убегнали на класическите правила; за разпознаване на непознати (zero-day) атаки – вместо да разчита на сигнатури, AI може да забележи странно поведение (напр. lateral movement) и да сигнализира дори без предварително знание за заплахата. AI  се използва за автоматизирана реакция при инциденти (SOAR), като може да помогне за автоматичното блокиране на IP адреси, изолиране на устройства и стартиране на playbooks без човешка намеса. AI се използва за събиране и класифициране на информация от даркнет, форуми и други източници с цел прогнозиране на потенциални атаки, т.нар. Threat Intelligence платформи. С помощта на NLP (обработка на естествен език) AI може да анализира текстове от имейли и чатове и да засича фишинг с висока точност.  Изкуственият интелект помага да се обобщи огромен обем информация за секунди и може да препоръча на специалистите по киберсигурност правилните ответни мерки срещу възникнали атаки.

“Бизнесите, които третират киберриска като част от корпоративната си стратегия, ще оцелеят и ще просперират”, казва Анелия Костадинова (снимка: личен архив)

Определено не е „много шум за нищо”, решенията наистина работят. Но идеята, че AI може да замени напълно човешките анализатори, е преувеличена. Без човешка преценка има висок риск от фалшиви аларми или пропуски. Няма AI, който „познава всичко и спира всичко”. Нужно е обучение на модела, добро качество на данните и интеграция с цялостната стратегия за сигурност. Истинската стойност на AI е в подпомагане, ускоряване и усилване на киберзащитата — но не и в пълната ѝ автоматизация. Подходът „човек + AI” е най-ефективен. 

По време на предстоящата конференция InfoSec SEE 2025 в програмата на 14 май сме включили жива дискусия по темата за изкуствения интелект и киберсигурността, в която ще участват  водещи световни експерти като Майк Харт, ръководител на Google Cloud Security; Джонатан Фишбейн, CISO на Check Point Software Technologies и член на Forbes Technology Council; Дирк Шрадер, вицепрезидент “Изследвания на сигурността” в Netwrix; Мо Кашман, старши директор за регион EMEA в Trellix и други. Бих искала да поканя всички желаещи да заповядат на място или да се включат онлайн, на живо ще има излъчване, като онлайн участието в конференцията е безплатно, изисква се само регистрация!

Немалко от големите софтуерни фирми започнаха да съкращават програмисти, защото се оказа, че им е по-евтино да използват генеративни AI за производство на програмен код. Има ли опасност и в света на киберсигурността да стане така – специалистите да „изгорят” заради това, че ентусиазирано въвеждат AI?

Не, няма такава перспектива. В сферата на киберсигурността се изисква много аналитичност, съобразяване, а изкуственият интелект не може да замени човешката експертиза и интуиция, тъй като не разбира контекста като човек. Киберсигурността изисква адаптивност и креативност. Реакцията при инциденти изисква човешка преценка. При атака трябва бързо да се вземат решения с правни, етични и технически последици.

AI може да автоматизира някои процеси като лог анализ,  филтриране на фалшиви тревоги, събиране на индикатори (IoCs), генериране на първоначални анализи, но не може да ръководи разследване. AI няма да замени анализаторите, но ще замени специалистите, които отказват да работят с AI. Тези, които го приемат като партньор и се учат да го управляват, ще бъдат най-ценните експерти в киберотбраната на бъдещето. Ще се търсят хора, които умеят да разбират AI моделите, да ги настройват и интерпретират,  да комбинират аналитично мислене с техническа експертиза.

В последните няколко години на различни конференции за киберсигурност у нас лекторите се затрудняват да ни отговорят на един въпрос: след като човекът е най-слабото „звено” в киберзащитата и трябва да обучаваме служителите как да бъдат „първа линия” на кибер-отбраната, защо обучението на персонала винаги остава встрани от вниманието на лидерите по ИТ сигурността? Какво е Вашето обяснение по този проблем? И как може да се промени?

Киберзащитата традиционно се управлява от хора с технически профил – те мислят в решения като firewalls, SIEM, EDR и др. Фокусът е  върху технологиите, не върху поведението. „Обучението” се възприема като мека мярка, трудно е да го измериш, да го автоматизираш, да го направиш „яко”. Когато обучението не се случи, няма директен срив, но когато firewall-ът не сработи, има. Това води до приоритизиране на “твърдите” мерки пред “меките” превантивни инициативи. Освен това в повечето случаи се организират скучни и неефективни обучения. Хората не се променят с PowerPoint презентации. Те се променят чрез кратки микрообучения, геймификация, фишинг симулации с обратна връзка, персонализирано съдържание.

За да има промяна, обучението трябва да стане част от киберстратегията на една организация, а не страничен проект. То трябва да се разглежда като необходим контрол, като нещо задължително,  както антивируса или VPN-а например, защото технологиите защитават системите, но хората защитават самата организация. Тук ние като доставчици на решения за киберсигурност също можем да помогнем, защото има вече готови такива платформи за обучения. Нашият принос би могъл да бъде, да ги преведем на български и да ги адаптираме за българските потребители, защото световните решения никога не са на български език. В нашето портфолио имаме такова решение от световен клас, Fortra Teranova Security Awareness Training Solution.

Кои са най-актуалните киберзаплахи в момента и каква е прогнозата Ви за близките 5 години? Не, тук не търсим пророчества и оракулства, но Ви каним да очертаете какво трябва да стори бизнесът сега, за да е подготвен и да е в безопасност в дългосрочен план.

Свидетели сме на изключително динамична еволюция на киберзаплахите, като атаките стават все по-умни, по-целенасочени, по-автоматизирани и фокусирани върху човешкия фактор. В момента повечето анализатори определят като Топ 5 най-актуални киберзаплахи:

  1. Наличието на AI подсилени атаки, имаме „AI срещу AI” битка между отбранителен и атакуващ AI;
  2. Рансъмуер с двойно и тройно изнудване, като се атакува не само системата, но и се крадат данни, които после се използват за изнудване или продаване, напр. LockBit, BlackCat, Royal.
  3. Cloud и SaaS уязвимости, тъй като все повече данни се местят в облака, но лошите конфигурации, липсата на Zero Trust политики и слабата автентикация са често срещани.
  4. Supply Chain атаки, като злонамерените кодове се инжектират през трети страни (доставчици, софтуер, партньори).
  5. Атаки срещу OT/критични инфраструктури като производство, енергетика, транспорт стават основна цел на APT групите, спонсорирани от държави, обикновено това са Китай, Русия, Северна Корея, Иран.

Като водещ доклад по темата с геополитическите заплахи и прогнози мога да посоча доклада на Google Cloud Security “Cybersecurity Forecast 2025”, който посочва три важни извода:

  • Изкуственият интелект ще играе важна роля, както в стратегиите за защита, така и в стратегиите за атака;
  • Непрекъснатото наблюдение и разузнаването за заплахите ще бъдат от решаващо значение за организациите;
  • Спазването на разпоредбите и регулациите и подготовката за постквантова криптография ще играят водеща роля.

Това, което трябва да направи бизнесът сега, е да приеме киберсигурността като бизнес въпрос, не само като проблем на ИТ инфраструктурата си. Киберсигурността утре няма да зависи от това какъв софтуер използваме, а от това как мислим като организация. Това означава:

  • Да се изгради култура на сигурността чрез постоянно обучение на персонала, фишинг симулации, вътрешна комуникация;
  • Да се инвестира в Zero Trust архитектура чрез засилване контрола на достъп; да се актуализират плановете за бизнес непрекъсваемост и възстановяване;
  • Да се оценяват и наблюдават третите страни – доставчици, партньори.

Бизнесите, които третират киберриска като част от корпоративната си стратегия, ще оцелеят и ще просперират.