Крум Гърков, eu-Lisa: Киберсигурността отдавна не е технически проблем

Проблемите сами по себе си не са нови, нищо радикално различно не се е случвало последната година в областта на киберсигурността. Ще дам един пример - като резултат от ковид кризата ние станахме още по-зависими от цифровите технологии, общо взето, животът ни изцяло премина в дигиталния свят. Това, от една страна, не е нещо лошо, но от друга страна, ни направи още по-уязвими на кибератаки и киберпрестъпления и ако погледнем за последната година и половина докладите на Европол и националните агенции, които се занимават с кибервъпросите, ще видим голям ръст на този тип престъпления и атаки. Това идва да покаже нещо много важно, което според мен се забравя, и то е, че киберсигурността отдавна вече не е технически проблем. Тя не се свежда до това да инсталираме едни защитни стени, за да запазим едни мрежи. Киберсигурността вече е социален и икономически проблем, проблем на националната и европейската сигурност. Това е нещо, което трябва да помним, когато разсъждаваме как да се справим с киберзаплахите и предизвикателствата. Ефективният отговор на киберзаплахите днес, а и в бъдеще не е по силите нито на една отделна организация, нито на една отделна държава. Това може да се случи по един ефективен и координиран начин само като колективен отговор на ниво Европейски съюз или ако вземем една отделна държава, на всички национални заинтересовани страни, които имат отношение към киберсигурността.

Между другото киберсигурността вече е много важен елемент от вътрешната сигурност на ЕС. От 2015 насам има редица политически документи, които са свързани с вътрешната сигурност на ЕС и освен всичко друго очертават ролята на технологиите и специално на киберсигурността за общата за сигурност на ЕС, т.е. киберсигурността вече се вижда на политическо ниво, а еманацията на това е европейската стратегия за киберсигурност. Ако погледнем последния най-актуален документ, свързан с вътрешната сигурност на ЕС, Стратегията на ЕС за Съюза на сигурност - там има няколко основни крайъгълни камъка и киберсигурността е посочена като един от тях. Така че това е новото, което се случва в рамките на последните 5-6 години, киберсигурността от технически вече е политически проблем и като такъв не може да се реши само индивидуално, а изисква колективен отговор на заплахите и възможностите, които са пред нас.

А какво промени пандемията? Ускори ли процеса по осъзнаване важността на киберсигурността?

Индиректно да, защото това, което направи пандемията, е буквално в рамките на дни да пренесе нашия нормален живот и всичко, което правим, от физическия свят във виртуалния - от срещите до обмяната на информация. Разбира се, правейки това, ние започнахме да използваме много повече цифрови инструменти, отколкото преди. В резултат на пандемията много бързо се развиха дигиталните платформи за обмен на данни, включително за информация с чувствително съдържание, да не казвам класифицирана, както и за сътрудничество в рамките на големи организации и в рамките на държави. Всичко това индиректно повлия и на киберсигурността, защото тя стана още по-важна. Ако преди тя се свеждаше до това да защити нашите лични данни, сега вече става дума за нашия цифров живот, който по принцип е таргетиран от киберпрестъпниците, недобронамерени организации или цели държави.

В този смисъл как политиките на ЕС трябва да се променят, за да се отговори на новите предизвикателства? Какво липсва в регулациите?

Политики не липсват, има достатъчно. Освен това те не трябва да регулират технологиите. Това е една грешка, която се повтаря в Европейския съюз, че дадена политика, даден правен инструмент се опитва да регулира една технология. Ще дам един съвсем пресен пример, който няма директна връзка с киберсигурността - това е предложението на комисията за регламент, свързан с използването на изкуствения интелект (ИИ). Това е изключително важно, защото ЕС в момента изостава от развитието специално в тази област. Но според мен този регламент до голяма степен се опитва да регулира технологията като такава, а не начина й на използване, което е грешка.

Да се върна към въпроса - технологиите не трябва да се регулират, а тяхното използване трябва да се регулира чрез по-добра координация за това, което се случва на европейско ниво, и това, което се прави на национално ниво. Например сред най-добре известните инструменти от стратегията по киберсигурност - NIS директивата трябва да се транспонира на национално ниво. Ако погледнем всички 26 държави, ще видим, че, общо взето, няма две еднакви транспозиции в националното законодателство. Това е проблем, защото, когато говорим за киберсигурност, ние сме толкова силни, колкото е силен най-слабият от нас. И ако някъде нещата не са организирани, както трябва, това отваря врата за недобронамерени хора и организации да се възползват, съответно повишава риска от киберинциденти.

Мога да дам пример и с работата на моята агенция, която покрива целия Европейски съюз и предоставя критични услуги в областта на вътрешната сигурност и на управлението на границите. Едно е това, което съществува и се управлява на централно европейско ниво, друго е това, което съществува и се управлява на национално ниво, но те са свързани. Аз имам теоретично 26 потенциални слаби звена и колко те са слаби зависи от това как всяка страна членка е направила на национално ниво организацията по отношение на киберсигурността, информационната сигурност, физическата сигурност на центровете за данни, където се събира и управлява чувствителната информация.

Така че това според мен трябва да е основният фокус в момента в ЕС. Не толкова да измислим нови инструменти, защото имаме достатъчно, а да гарантираме, че това, което имаме, работи координирано и по един и същи начин навсякъде.

Един по-централизиран европейски подход дали би оказал положителен ефект, или вие залагате по-скоро на координацията?

Не. Централизираният контрол ни връща към щастливите времена на Варшавския договор и СИВ и, общо взето, знаем как свърши всичко там. Специално Европейският съюз е един много сложен организъм, който трудно може да се централизира дотолкова, че някой в Брюксел да взема решенията и след това всичките да ги изпълняват. А и това противоречи на принципите на ЕС. Затова според мен разковничето е координацията между това, което е изработено като политики на европейско ниво, и начина, по който тези политики се прилагат на европейско и на национално ниво.

Вече 10 години работя - не толкова по отношение на киберсигурността, но по отношение на вътрешна сигурност и управлението на границите и миграцията - и това го виждам. В тези области имат далеч по-голяма координация в момента, отколкото по отношение на киберсигурността. В тези области нещата не са толкова пожелателни, а има разписани регламенти, които всеки трябва да спазва и прилага по един и същ начин. Общо взето, в тази посока и ние трябва да отидем: по-малко инструменти, но унифицирани и задължителни, отколкото централизация или измисляне на нови инструменти.

В тази връзка миналия месец естонският министър на предприемачеството и информационните технологии предложи да се определят правила за разходи за киберсигурност като тези на НАТО (2% от БВП). Какво е вашето мнение по въпроса?

Мисля че това е даже закъсняло, защото още през 2018 имаше аналитичен доклад на Европейската сметна палата по отношение на киберсигурността в ЕС и това беше един от основните изводи. В момента финансирането на киберсигурността като цяло в ЕС на централно и национално ниво е по-скоро хаотично и спорадично, отколкото продукт на някаква стратегия, въпреки че имаме такава. Освен това, както казах в началото на нашия разговор, в момента киберсигурността не е технически проблем, тя е политически, социален и икономически проблем, тя е проблем на вътрешната сигурност на ЕС. Както ЕС инвестира в създаването на европейска служба за охрана на външните граници, по същия начин трябва да инвестира в своята цифрова сигурност. В противен случай няма как да се получат нещата, вече сме много далеч от времето, когато цифровата сигурност се свеждаше до това да се инсталират някакви защитни стени и да се назначи някой с опит в областта на информационните технологии. Светът сега е изключително свързан и зависим от дигиталните технологии. Това трябва да се вземе много насериозно от политическите лидери на национално и европейско ниво, като трябва повече координация, по-структурирано и по-добре фокусирано финансиране.

Когато говорим за киберсигурността като социален и обществен проблем, неминуемо стигаме до въпроса за липсата на кадри, за който се говори от доста време. Какво е решението и наистина ли е толкова сериозен недостигът?

Когато казваме кадри в областта на киберсигурността, винаги те влизат в общата графа на ИТ специалистите. Първо искам да подчертая, че хората, които се занимават професионално с киберсигурност, не са ИТ специалисти в общия смисъл. По тази причина да, има недостиг на кадри. Определено мога да го кажа и от гледна точка на моята агенция, защото ние също изпитваме трудност да привлечем хора с подобни профили. Такива трудности изпитват и колегите в Европол и ENISA, както и всички европейски агенции, които имат някакво отношение към киберсигурността. Определено трябва една част от насоченото финансиране да отиде към университетите, които заедно с националните правителства или като цяло с ЕС целенасочено да развиват подобни способности да запълнят този глад за кадри, защото светът няма да стане по-малко свързано утре, напротив, ще стане още по-свързан и още по-сложен.

Според мен разковничето тук не е само в кадрите. Казахме няколко пъти, че киберсигурността и защитата от киберзаплахи е социален проблем и като такъв, дори и утре някак да успеем да намерим всичките кадри, които ни трябват, това пак няма да ни направи толкова защитени. Останалите, които не сме специалисти по киберсигурност, трябва също да знаем как да се пазим. С други думи, тук има взаимодействие на специализираните институции на национално и европейско ниво с гражданите и бизнеса, за да създадат и развият необходимите умения и знания как да се предпазват те самите от киберзаплахи. Тогава вече киберсигурността става много по-силна, защото е проблем на цялото общество, а не толкова на специализираните организации, които се занимават директно с нея.

В този смисъл Естония е много добър пример, защото тук след фамозния инцидент през 2007 година са взели киберсигурността много насериозно. Държавата и правителството имат своите организации, които се занимават с това, но същевременно концепцията им за национална сигурност и по-специално за цифровата сигурност е базирана на публично-частно партньорство, както и партньорство с обществото като цяло. Те имат киберзвеното Естонска лига на отбраната, което включва представители на гражданското общество, на бизнеса и държавата. Те заедно работят по киберустойчивостта на Естония в обществото, в държавните институции и в бизнеса. Това според мен е моделът, който е работещ и наистина ще доведе до създаването на ефективни предпазители по отношение на киберзаплахите и ефективен отговор на кибератаките от цялото общество, а не само от държавата и специализираните организации.

Споменавате Естония, която можем да определим като лидер в дигитализацията в ЕС. Какво друго можем да вземем като добра практика в сферата на киберсигурността, за да приложим в България?

Въпреки че киберсигурността и електронното управление звучат много общо и създават впечатлението, че ако работи на едно място, ще работи и на друго - това не е така. За съжаление всяка страна си има своя специфика, която трудно може да се повтори някъде другаде. Ако трябва да вземем нещо от естонците - аз лично бих взел едно-единствено нещо и то е много простичък принцип, който те очевидно следват от началото на техните усилия за цифровизация, за повишаване на киберсигурността и защитеността - Keep it simple.

Въпреки че те са може би най дигиталната държава в ЕС - мога да го потвърдя вече почти 10 години живея в Естония и макар да съм чужденец, мога да ползвам абсолютно всички цифрови услуги, които се предоставят и на естонските граждани - те според мен целенасочено са решили да правят нещата просто, ясно и ефективно. Затова ако сравним разходите на Естония досега за цифровизация с резултата, който тези разходи предоставят на обществото, на гражданите и на бизнеса, ефективността е невероятна. Ако направим същото сравнение в България, то е катастрофално. Ако не ме лъже паметта, последните 10-15 години сме изхарчили към 2 млрд. лв за електронно правителство, което се разбира в купуването на компютри и инсталирането на мрежи. Това е важно, но представлява една много малка част. И въпреки че в момента имаме стратегия за управление, нямаме идея, анализ и оценка на въздействието кои са най-важните и критичните услуги, кои са най-тесните места в държавната администрация и управлението, които технологиите могат да разрешат.

Така че България и Естония в момента са на двата противоположни края на скалата по отношение на цифровизацията. Надявам се това се промени в близко бъдеще и този импулс, който получихме от ковид кризата, да бъде използван разумно и рационално, защото пари има. Киберсигурността трябва да спре да се разбира като купуването на техника и инсталирането на сървъри, тя трябва да стане политически приоритет.

Какви тенденции можем да очертаем в сферата на киберсигурността за следващите няколко години?

Няма да има нещо радикално ново, защото целият спектър от заплахи си остава същият. Но според мен цифровата трансформация ще се ускорява, което означава, че киберсигурността ще става все по-важна във всичките й аспекти: защита на информацията, защита на критичната инфраструктура, подобряване на координацията между отделните играчи в сферата. Така че това, което се надявам да видим през следващите години, е не толкова някаква радикална промяна в заплахите, а по-добър и по-координиран отговор на тези заплахи и като цяло по-добра подготовка на обществото (имам предвид Европейски съюз, не само в България) да живее в епохата на виртуалното, отколкото във физическия свят. Тази промяна е неизбежна, тя се случва, не можем да я отхвърлим - трябва да направим така, че да се възползваме максимално от нея и да останем максимално защитени на индивидуално ниво, на ниво организации, на ниво държави и на ниво на ЕС.

В заключение какво бихте посъветвали един средностатистически интернет потребител?

Да се образова и да чете. Както казах, защитата от киберрисковете не е въпрос само на специализираните органи, защото например ГДБОП в България не може да седи до всеки и да го държи за ръката, докато използва интернет. Ние трябва да сме запознати поне с основите на сигурността в интернет и трябва да можем да разпознаваме най-общите заплахи. А това се свежда до индивидуалното образование на всеки един от нас, за да можем да използваме отговорно този ресурс.

Така че това бих посъветвал и бих призовал всеки един средностатистически интернет потребител да се образова и да научи, доколкото може сам как да се предпазва от заплахите в интернет. Разбира се, това не отменя отговорността на държавата или на специализираните органи, но ще им помогне да си свършат работата по-добре. Така че това е споделена отговорност между всички нас, които ползваме интернет, и тези, които трябва да ни защитават.

Какви препоръки бихте дали на един бизнес с дигитално присъствие?

Първо, да го развива, защото традиционните бизнес модели очевидно отиват в историята и ако един бизнес не развива дигиталните канали, каквито и да са те - за контакти, взаимодействие със своите клиенти и партньори - той до голяма степен е обречен да изостане от цялостното развитие на обществото и икономиката. Но това от своя страна означава, че средностатистическият бизнес трябва да проумее също така важността на информационната сигурност и киберсигурността, защото в тази цифрова епоха, в която живеем, информацията е най-ценният актив, който имаме индивидуално като хора, като бизнеси, дори като правителство, и той трябва да бъде защитен. Тук отново стигаме до въпроса за финансирането и мисля, че всеки един бизнес трябват целенасочено да инвестира в информационната сигурност, в киберсигурността и цифровите средства, за да може да бъде не само ефективен, но също така защитен и да действа свободно в рамките на цифровата икономика, която всички градим.