Томас Снор, A1 Digital: Да привличаме отрано младите хора към "светлата страна" на киберсигурността

#Фалшивите новини

Какъв опит имате в областта на киберсигурността?

Томас Снор: Над 20 години. Започнах в края на 90-те години с фокус върху мрежите, по това време мрежата и защитните стени бяха доста свързани като области. Когато стартирах, трябваше да конфигурирам първите си 5 защитни стени за добре позната авиокомпания в Австрия. Това беше първото ми докосване до киберсигурността.

От гледна точка на този опит кои са основните предизвикателства пред сигурността днес, особено по отношение на операторите?

Томас Снор: Основното предизвикателство е, че клиентите все още нямат правилното разбиране за въздействието, което ще окаже една успешна кибератака. Това наистина е голям проблем и го виждаме при всички атаки с криптовируси (ransomware), които са насочени към данните на много клиенти и те често ги губят. Преди 2 седмици имаше сериозен инцидент със сигурността в Австрия, част от провинция Каринтия беше засегната от атака с криптовирус и публичните организации трябваше да се справят с нея. Възстановяването на системите и пускането в действие на онлайн услугите след атаката отнема време и публичните институции и потребителите на техните услуги трябва да са наясно, че рисковете от подобни атаки в пълна сила важат и за тях. Разбрах, че преди няколко седмици в България е имало сериозна кибератака срещу "Български пощи".

Всички знаят, че киберсигурността е голямо предизвикателство, но много от компаниите не са наистина подготвени за ситуацията, пред която сме изправени в момента. И това важи и за крайните потребители като вас и мен. Обикновено се опитвам да говоря за киберсигурността и с приятели, да давам съвети. Едно от най-простите неща, чрез които можете да се предпазите, е да използвате сигурна парола. Добре е да имате различна и силна парола за всеки акаунт, за всяка онлайн услуга, която използвате. По този начин, ако един от вашите акаунти е засегнат от пробив, това няма да повлияе върху останалите ви акаунти. Това трябва да се превърне в мисия не само в организациите, а да се разпространи и върху личните услуги. Така че, моля, поддържайте сигурността на своите пароли. Това не означава да помните десетки пароли, можете да разчитате на биометрично удостоверяване, с което да влезете по защитен начин. Използвайте лицева идентификация или пръстовия си отпечатък. Това е по-лесно, отколкото да въвеждате обичайните си пароли.

Отражение на войната в Украйна

Криптовирусите, които споменахте, са една от големите заплахи днес. Мислите ли, че ситуацията с тези атаки се влоши след започване на войната в Украйна? Засича ли се по-голяма активност на хакерски групи?

Томас Снор: Това са два различни въпроса. Нападенията с криптовируси са много популярни в момента, но повечето такива атаки са автоматизирани. Има и други по-опасни, "невидими" атаки. Ако хакерска група ви атакува целенасочено от години, но не се проявяват, вие и вашият ИТ отдел не знаете за това. Докато при нападение с криптовируси веднага става явно, защото хакерите искат откуп. Те го правят, за да печелят пари. В другия случай вие не знаете, че нападателят вече е във вашата мрежа, той е там от седмици или месеци и "подслушва", за да идентифицира къде са вашите активи и как най-лесно да се сдобие с тях. В този случай вече не знаете дали можете да се доверите на своите данни или не.

Нападателят например може да се е сдобил със "златен пропуск" за вашата мрежа и с него да изпраща мейли дори от името на главния изпълнителен или на главния финансов директор и да заблуди много хора. Тогава вече не знаете на кого можете да се доверите изобщо. От гледна точка на управлението на кризи такава кибератака е най-лошият сценарий. Не можете вече да се доверите на никакви комуникации, на никакви данни, трябва да отделите всички приложения и да започнете от "нулата".

Що се отнася до войната в Украйна, това е вторият аспект на въпроса. Подготвяйки се за интервюто, говорих с приятел, работещ за австрийското правителство. Дали има промяна? Какво се забелязва? И дали се отразява на потребителите в Австрия? Той сподели, че количеството атаки е намаляло, защото руските представители на злонамерени кибернападатели използват силите си да атакуват Украйна и нейните организации и сайтове. Така че от бизнес гледна точка виждаме по-малко атаки, поне в Австрия. Нямам информация дали ситуацията е такава и тук, в България.

Мисля, че в Украйна са изградили много стабилна инфраструктура, като са получили добро обучение от международни специалисти. Така са постигнали висока степен на киберустойчивост през последните години, тъй като явно са предвиждали, че има потенциална опасност. Смятам, че фактът, че инфраструктурата в Украйна продължава да работи доста стабилно, е бил изненада за Русия. .

Същевременно в световен мащаб се случват и други промени. Много хора се опитват да подкрепят украинците и да нападат, или поне да се опитват да блокират инфраструктурата на Русия. По този начин те се стремят да не позволят на Русия да изпраща още хора в армията, а по-скоро те да са ангажирани да се справят с кибернападенията.

Фалшивите новини

Но нещата са много сериозни за всички нас, за гражданите в останалата част от света и Западна Европа, които виждат все повече лъжливи новини, и то от типа deep fake. И това е голям проблем, защото, когато потребител види видеото и чуе говора в него, той го счита за достоверно. И въпросът е в начина, по който хората стигат до информацията. Това все по-често не са добре известни и реномирани издания, а информация от социалните мрежи. Например, ако получите видео, на което се вижда например президентът на дадена държава, който казва "Ние поддържаме Путин", или друго невярно твърдение. Дори да не го очаквате, започвате да вярвате, защото сте го видели, а всъщност това съдържание е генерирано със софтуер.

Темата не е свързана директно с киберсигурността, но в крайна сметка това е манипулация на данните. И качеството на тези Deep Fake "новини" става все по-добро. А инструментите са толкова мощни, че 16-годишният ми син може да се справи дори по-добре. Така че смятам, че това е реална голяма опасност.

Дали информационната сигурност е засегната от това и какво можете да направите вие и вашият екип по киберсигурност или колегите в другите компании, за да се борите с това? Предполагам, че дискутирате тази тема.

Томас Снор: Това е много добър въпрос. Ако знаех отговора, щях да основа собствена компания. Смятам обаче, че битката е по-скоро в ресора на правителството. Също така медиите, вестниците, телевизиите започнаха кампании, опитвайки се да показват реалните факти на хората. Не вярвайте веднага на всичко, което видите, а го проверявайте. Доколкото знам, в Австрия са започнали такива кампании, чрез които се полагат все повече усилия за борба с фалшивите новини.

Това, което можем да направим ние като оператор, е да сме сигурни, че защитаваме нашата инфраструктура и тази на нашите потребители. По този начин те ще знаят, че данните, които имат, са с правилната степен на интегритет. Но какво се случва в YouTube или други социални медии? Там не можем да направим нищо, нямаме влияние върху тази област.

Въпросът е по-скоро дали телекомите не са в най-добрата позиция да "отсеят" зловредния трафик и да спрат атаките на по-ранен етап? Телекомите притежават и инфраструктурата, включително облачната, чрез която предоставят услуги, съхраняват данни и поддържат приложенията, използвани от бизнеса. Така че те се явяват първият контакт към интернет.

Томас Снор: Това е добър пример. Но когато мислите за телекомите, става дума за метрики за огромни обеми данни, за атаки със стотици гигабайти, чиято цел е да "се свали" мрежата. Но реалността е, че ако има насочена атака, тя не е само волуметрична, тя е съчетание от масирана атака с голям трафик и нападение, което да наруши наличността на даден изчислителен ресурс. Киберпрестъпниците се опитват да блокират рутерите, но същевременно нападат и на ниво приложения.

Така че нападателите се опитват да използват всички възможни връзки или поне да ги държат отворени, за да не може друг да ги използва. Това силно ограничава наличния пропускателен капацитет, но много потребители не са наясно с тези подробности, макар че такъв тип атаки съществуват от години. В медиите обаче говорим най-често за детайлите и това са атаки с големи количества трафик. В новините звучи по-атрактивно "Нападението е с 600 Gigabit или 1 терабит в секунда". Но трябва да посоча нещо по-важно. Зад такава мащабна атака все по-често се крие друг, по-усъвършенстван метод за кражба на данни или имена и пароли. Ако ИТ отделът се е фокусирал върху ръста на трафика в центъра за данни, има голяма опасност в този момент нападателите да използват това "прикритие" и да атакуват компанията по друг канал.

Дигиталната самоличност

Наскоро на конференцията Digitalk 2022 се коментираше, че е нужен нов модел на дигиталната самоличност, при която потребителят е в центъра. Каква би била ролята на телекомите в този модел, след като SIM картата вече идентифицира точно потребителя?

Томас Снор: Вече има налични решения. Но да предлагаме автентифициращи услуги като доставчик, базиран на SIM картата или на друг тип идентификация, е по-различен въпрос. Ситуацията сега е, че имаме клиент и услуга, между които има свързаност. Нужно е удостоверяване на клиента към услугата, а ние като телеком предлагаме удостоверяването. Но Microsoft, Google, Facebook също мислят за това удостоверяване и за списъка с пароли.

Ако видим по-голямата част от хората, които консумират онлайн услуги, ще открием голяма разлика по отношение на дела им в приходите. Младите никога не са първи. Често си мислим, че младежите са напълно дигитални, те са "родени" за това пространство и би трябвало да са напълно наясно какво се случва. Но това не е напълно вярно. На сина ми мога да кажа, че безопасността е паспорт. Киберсигурността е нещо хубаво и всъщност той използва една от "прекрасните" си пароли да "пътешества" спокойно в интернет морето. Но моите родители нямат абсолютно никаква представа какво се случва там. Така че мисля, че ще отнеме известно време, докато стигнем до ситуацията, при която всички използват онлайн услуги без парола. И това ме връща към началото на разговора. Мисля, че използването на сигурна парола е най-доброто средство, с което потребителят разполага в момента.

Що се отнася до компаниите, всяка организация, която не е внедрила двуфакторна автентификация, поема сериозен риск. При фишинг атаките към крайните клиенти е много лесно да се вземат техните пароли. И когато не се използва втори идентифициращ фактор за услугите, които са достъпни през интернет, това увеличава риска. Пандемията значително промени нещата, защото много хора работеха от дома си, използваха своя компютър за осъществяване на бизнес транзакции, за изпращане на писма или други задачи. Същевременно децата също използваха тези машини, за да посещават виртуалните си класни стаи.

Разбира се, пандемията беше голям катализатор на дигитализацията, но много медийни публикации акцентираха върху факта, че фишинг атаките са нараснали стремглаво. Това беше така, защото служителите трябваше да работят от дома си, но компаниите не бяха подготвени за това. Хората използваха своя личен лаптоп, но как да се свържат с частната мрежа на компанията? Някои организации облекчиха процедурите си за сигурност, за да осигурят достъп на служителите да работят. Това доведе до претоварване на VPN шлюзове, защото тези устройства са инсталирани да поемат свързването на определен брой служители, не са предвидени да обслужват целия персонал.

Как да решим този проблем? Нека се насочим към облака. Обикновено, ако добавяте облачно решение към своята инфраструктура, трябва да има въведени правила за сигурност - какво е позволено да се прави и какво е забранено. Но конкретно в периода на COVID-19 времето притисна организациите и на много места нямаше разписани точни правила. И от една страна, служителите, работещи от дома си, използваха облачни услуги, за които не са обучени. Техните лични машини не бяха защитени от компанията, а често не разполагаха и с инсталирано решение за сигурност (endpoint security) и така се превърнаха в лесна мишена за нападателите. И това става най-лесно чрез фишинг атаки, защото лесно можете да се заблудите, че съобщението идва от облачен портал. В него потребителят попълва име и парола, често мислейки, че това просто е нова облачна услуга, избрана от ИТ отдела на компанията. И ако не е въведена двуфакторна идентификация, с която да се отсеят тези измами, служителите стават лесна жертва за киберпрестъпниците, а оттам и цялата организация.

Бъдещето на сигурността в облака

А забелязахте ли засилен интерес от компаниите към вашите услуги за сигурност по време и след пандемията?

Томас Снор: Накратко казано, да. Защото, от една страна, така се повишава нивото на защита, а от друга, все повече фирми започнаха да ни търсят за консултации. Организациите питат "Можете ли да направите проверка на състоянието на нашата сигурност? Бихте ли проверили и нашите процеси? Да преразгледате архитектурата ни? Какви препоръки бихте дали, за да отстраним пропуските?"

Същевременно наши специалисти проверяват и какви контроли за сигурност са въведени, използвайки Penetration тестове. Всъщност компаниите знаят какви контроли са създали, но не и дали те са ефективни или не. Това, което предлагаме, е цялостен подход към сигурността. Създали сме цялостна управлявана услуга по модела с многомодулен подход, така че клиентът да избира услугата, от която се нуждае, и може да реши дали тя трябва да се управлява от външен екип, или би искал да я управлява със собствен ресурс от специалисти.

Това е наистина важно, защото през последните години настъпиха много промени в сферата на сигурността, появиха се редица стартиращи фирми, като всеки доставчик на сигурност има решение за конкретен проблем. Същото е положението и при клиентите - много различни решения, много вендори в тяхната инфраструктура. Как да обучат хората си за 6 различни "езика"? Този подход не работи. На пазара така или иначе се води битка за таланти, изключително трудно е да привлечете правилните хора с умения в областта на сигурността. Предизвикателно е дори за нас като голяма технологична компания да намерим правилните хора. Трябва да си в общност, в която си разпознаваем и потенциалните кандидати те възприемат като компания, в която могат да получат допълнителни знания.

В бъдеще нашата сигурност трябва да се разглежда като облачна услуга. Преди години, преди появата на частните и публичните облаци, ИТ отделите на компаниите избираха подхода. Всъщност избираха не на база услуга, а на ниво доставчик - на сървър, рутер или система за съхранение.

А сега тенденцията е да се насочваме към облака. Никой вече не се интересува точно какъв хардуер стои зад него. Всъщност потребяваме ресурс - изчислителна мощност, капацитет за съхранение и това е. Никой не пита кой е доставчик на конкретния хардуер. Подобна тенденция се забелязва и при сигурността, макар че все още много от компаниите се опитват да изберат правилния вендор. Чие решение ще отговори на нужди, които са дефинирани преди години, но трябва да защитават потребителя днес? Затова все повече компании искат да използват услуга за киберсигурност. И именно върху това работим в момента. В А1 не предлагаме решение за киберсигурност, базирано само на определен вендор. Променяме подхода си така, че да предлагаме услуга за киберзащита, базирана на изискванията на всеки конкретен клиент.

Големите вендори на решения за сигурност обясняват, че имат глобални центрове, които следят състоянието на сигурността по целия свят и изпращат предупреждения при нова заплаха, но само на своите клиенти. Това означава, че те могат да открият само част от заплахите. Вие като доставчик на услуга обучавате ли екипа си да гледа по-цялостно върху пейзажа на сигурността?

Томас Снор: Това е правилният подход, в това е и предимството на компания като A1. Предлагаме именно услуга, тъй като можем да използваме различни източници за събиране и разследване на източници на заплахи, за идентифициране на нов зловреден код. Това е "мисия невъзможна" за отделна компания. Освен това можем да споделяме информация за заплахите във всички страни, в които оперираме. Ние като компания също сме атакувани всеки ден от киберпрестъпници. Ако разпознаем компрометирана ИТ система, можем да споделим тази информация с нашите клиенти.

Напоследък се забелязва увеличение на измамите със SMS, както и с обаждания, уж идващи от номера на главния изпълнителен директор, при което от технологична гледна точка вече е възможно дори да се манипулира гласа на човека. Най-лесният начин за борба с такива телефонни измами е да върнете обаждането. Но това зависи и от мениджърския стил на директора. Ако сте мениджър на високо ниво, моля, използвайте цифров подпис за вашите писма. Мисля, че все още е сложно да се криптират е-писма от и до външни получатели. Не знам защо технологичната индустрия не е реализирала това вече 40 години, но поне вътрешно, на ниво компания, можете да шифровате писмата си, можете да поставите своя подпис и при кореспонденция към външни лица.

А какви са взаимоотношенията ви с правителствените агенции, тъй като телекомите са силно регулиран сектор? Партнирате ли си с тях за борба с големи атаки?

Томас Снор: Сътрудничеството е важно. Поддържаме добри взаимоотношения и с правителствата, и с вендорите. За Австрия мога да кажа, че обменът на информация между правителство, университети, телекоми и отдели по сигурността на други компании за това какво се случва на пазара, е много важно. Защото "врагът" е киберпрестъпността, а киберсигурността е критично важна. Затова не бива да разчитаме само на информация, с която ние разполагаме, а да да споделяме и с екосистемата какво се случва. Ние споделяме информация с правителствените агенции и с вендорите, както и те с нас, въпреки че работим в силно конкурентна среда. Но ако не работим заедно, проблемите пред киберсигурността ще се задълбочат, включително да намерим правилните хора за киберзащита.

Смятам, че трябва много по-рано да се идентифицира потенциалът за подобни специалисти, а не когато вече са влезли в университета. Когато вече са студенти, те могат да провеждат обучения. В Австрия се опитваме да ги открием, докато са още ученици и са се заинтересували от киберсигурността. Това е моментът, в който да ги привлечем на "светлата страна", защото, честно казано, могат да започнат да печелят пари, ако работят за "тъмната страна" на киберсигурността. Телекомите също се опитваме да комуникираме с такива деца, защото те са нашата бъдеща киберсила.