![[Подкаст] AI в програмирането - революция или еволюция?](https://digitalk.bg/shimg/zx320_4491024.jpg)
![[Подкаст] Стартъп адвокат: GDPR не е само за големите](https://digitalk.bg/shimg/zx320_4488151.jpg)
Бюлетин "Digitalk Security"
Информационната сигурност става все по-важна с увеличаването обхвата на технологиите в ежедневието. Двуседмичният специализиран бюлетин "Digitalk Security" предоставя на читателите най-важното от сферата в удобен вид на тяхната електронна поща.
Днес компаниите и организации от всички сектори планират или вече са стартирали проекти за дигитална трансформация на своя бизнес. Увеличаването на цифровите активи, използването на дигитални услуги от разнообразни доставчици са свързани и с увеличаване на рисковете. Затова една от най-важните теми в тези проекти е осигуряването на адекватна киберзащита. На практика дигитализацията на предприятията е комплексна област, която обхваща множество обекти, организационни процеси, различни типове системи, потребители и данни. Това показват и данните от кандидатстващите повече от 40 проекта в конкурса Digitalk&A1 Awards 2023. Как в днешната "икономика на знанието" сигурността прониква във всички аспекти, коментираха по време на уебинара, организиран от Digitalk.bg, Димитър Павлов, мениджър "Киберсигурност" в дирекция "Мрежови решения и архитектура" на А1 България, Веселин Троянов, мениджър за България на доставчика на решения за сигурност Check Point Software Technologies, и Антон Пулийски, основател на КиберКлуб.
"Екипът ни се занимава както с услуги за активна защита като тестове за откриване на уязвимости (penetration testing) и анализ на зловредни кодове, така и с проучване на ситуацията при настъпил инцидент", обясни Павлов. Според Антон Пулийски, целта на създадения КиберКлуб е да се създаде среда, в която различните технологични домейни да си говорят. "Всъщност стремежът ни е да намерим правилния диалог между представители на технологии като изкуствен интелект, дронове, виртуална реалност и интернет на нещата със специалисти в областта на киберсигурността, за да открием новите заплахи, пред които сме изправени при тази технологична трансформация", заяви Пулийски. Веселин Троянов, който ръководи офиса на Check Point за България, обясни, че през последните 30 години компанията активно защитава огромно количество клиенти от всички сектори.
Как изглеждат днес киберзаплахите?
Според данните от последния доклад на Check Point, през последните 6 месеца една организация в България е атакувана средно 977 пъти на седмица, а водещият зловреден код у нас е Formbook. Това е вид криптовирус, който се стреми и да открадне информация от атакуваните системи, и да криптира важна информация, така че организацията да е принудена да плати откуп. Това е отражение на тенденцията топ атаките да използват комбинация от методи. FormBook краде информация, атакувайки системи под Windows, и е посочен като зловреден код като услуга (Malware-as-a-Service), достъпна в хакерските форуми. Освен че може да криптира важни данни, той изпраща на нападателите и чувствителна информация като екранни снимки, клавишни комбинации за логване, включително на профили на потребители с по-големи права.
Най-честата уязвимост, използвана от нападателите, е Remote Code Execution, която е засегнала 74% от атакуваните организации в България. Чрез този код злонамерените лица се опитват да получат отдалечен достъп до системите и информацията на организацията, обяснява Троянов.
Threat Intelligence Summary
| Cryptominer | Ransomware | Mobile | InfoStealer | Banking | Botnet | |
| Bulgaria Avg. | 6.5% | 1.6% | 0.2% | 3.6% | 2.7% | 3.9% |
| Global Avg. | 4.2% | 2.0% | 1.4% | 4.6% | 2.2% | 4.1% |
В доклада се посочва още, че атаките в България са намалели през последните 6 месеца спрямо тези в глобален мащаб. Същевременно в света най-голямо въздействие имат кибернападенията върху сектори като образованието и научните организации, правителствата и военните, здравеопазването, комуникациите, интернет доставчиците, следвани от компаниите за комунални услуги, финансовите организации, търговските вериги, застрахователния сектор и други.
"Целта на тези изследвания не е да плашим хората, а те да знаят, че тези видове атаки съществуват и никой не е застрахован от нападение", допълва Троянов.
Има ли по-застрашени сектори
Секторите, които биват атакувани най-често, са онези, при които нападателите смятат, че ще причинят най-голяма щета, заяви Димитър Павлов. Сред тях са организации, свързани със здравеопазването, държавните институции също са честа мишена. Най-разпространеният зловреден код е криптовирусът (ransomware), но все по-често виждаме комбинирана атака, която освен ransomware включва още rootkit, троянски кон и редица други зловредни функционалности.
Криптовирусът обаче криптира данните на организацията и спира веднага нейния бизнес. Затова се предпочита от онези, които търсят бързо финансова изгода. "Когато този вирус е оказал сериозно въздействие, т.е. е успял да криптира голямо количество критични за компанията данни, шансът тя да плати за отключващ код нараства", обясни Павлов. Подобни "ценни" мишени са и всички критични инфраструктури, например химически производства, електроцентрали и други.
Банковият сектор също е сред силно атакуваните, защото там има привлекателни активи. "Но все още сред много фирми съществува заблудата, че те не разполагат с данни, които си заслужава да бъдат откраднати и затова не представляват мишена. Но в DarkNet и другите места, от които недоброжелателните специалисти събират информация, се намират изключително лесно достъпни инструменти. Те не са за директна атака срещу конкретна цел, а са за масирано нападение срещу огромен брой системи и потребители", допълни Антон Пулийски.
Същевременно частните предприятия по-лесно биха намерили пари за откуп от държавните дружества, при които всяко плащане е свързано с много разрешения. Атаката срещу "Български пощи" през миналата година на практика спря изцяло нейната работа и много хора разбраха, че киберсигурността ги засяга пряко. "Важно е да се каже, че няма застраховани срещу атаки организации и няма панацея за защитата им, всичко е индивидуално", добави Павлов. Автоматизираните системи за атака става все по-достъпни, което поставя под риск всяка организация.
"Държаните институции може би нямат възможността да си купят веднага най-скъпия защитен софтуер и/или хардуер, тъй като минават през по-дълги процедури за обществени поръчки, смята Пулийски. Но през това време те трябва да предприемат спешни мерки за информиране на служителите. Информираността на хората, т.е. слоят за сигурност, свързан с хората (Human Layer Security), e най-евтиното и бързо решение за всяка компания, независимо в кой сектор работи. Хората трябва да знаят, че всяка атака се случва с наличието на човешка грешка, често чрез натрупването на няколко погрешни действия. Ако на тази база разгърнем допълнително технологичната инфраструктура, защитата е по-лесна, отколкото да реагираме след осъществена атака и натрупан лош опит", добави Пулийски.
Веселин Троянов е съгласен, че всяка атака е насочена преди всичко към хората. Целта е поне един от служителите да кликне върху файл от пощата или интернет линк, които му изглеждат легитимни, за да започнат проблемите за една организация или за конкретно физическо лице. Все повече хора получават е-писма, свързани с фишинг, а фалшивите поводи за реакция на потребителя са най-разнообразни - от корекция на банкови данни до неплатени глоби или фактури.
"Реално основната идея на нападателите е те да получат финансова изгода. А атаките се случват все по-лесно. Хакерите си купуват база данни с два, пет или десет милиона e-mail адреса. След това създават скрипт, който през различни пощенски кутии "ботове" изпраща подобни измамни съобщения. Само половин или дори 0.1 процента от всички милиони получатели да се "закачи" към измамния линк и хакерите могат да реализират финансовия си интерес", обясни Троянов.
Целенасочени атаки
Дали все пак по-привлекателни мишена не са служители на ръководни позиции или боравещи с финансова информация като счетоводителите?
Според Троянов, това също е чест прийом. Мишена стават точно такива служители, които боравят с финансови данни, при тях натоварване е по-голямо, имат по 200-300 е-писма на ден. "Колкото и добре да са образовани, в такъв период по-лесно могат да кликнат по погрешка на измамен файл. И тук идва мястото на решения за защита и превенция, които всяка организация трябва да има. Това е програма минимум, независимо дали тези решения са на Check Point или на друг доставчик. Но компаниите трябва да изберат доставчик, на когото да имат доверие и да минимизират риска от пробив в сигурността. Технологиите не са панацея, те няма да предпазят на 100% една организация, но вероятността нещо лошо да се случи се намалява в пъти", обясни Троянов.
Разбира се, за нападателите е по-изгодно да нападат в компаниите потребители като собственик, управител, счетоводител, тъй като акаунтите на тези хора имат много повече права. Собственик на фирма често може да вижда и да записва информация навсякъде, включването в споделени с малко хора папки с ценна финансова, продуктова или маркетингова информация. "Шансът през подобни акаунти да достигнеш до важни данни или да компрометираш дадена организация, е много голям. Ако бъде нападнат служител в HR отдела, той няма да има администраторски права, но може да бъде открадната информация като биографии на кандидати за работа, бонуси и други. Но ако компрометираш акаунта на изпълнителния директор, щетите ще са по-директни и по-големи", обясни Димитър Павлов от А1.
Застрашени са и критични инфраструктури
Все повече производствени предприятия се насочват към решения тип "Индустрия 4.0", а това изисква защита не само на ИТ системите, а и на производствените мощности, IoT датчиците, както и на веригата за доставки, които все по-често са обект на нападения през изминалата година. При атаките срещу критични обекти в енергетика или здравеопазване могат да пострадат и хора, т.е. вече се застрашават директно човешки животи. "Преди няколко години кибератака срещу болница отне човешки живот", напомни Пулийски. Пациент в тежко състояние, пътуващ към болница, е пренасочен към друго лечебно заведение, защото в този момент болницата е атакувана с криптовирус. Пътят на линейката обаче се е удължил с 40 минути и лекарите не успяват да спасят пациента.
Доскоро киберсигурността се свързваше само с личните данни на хората, но безспорен факт е, че тя вече наистина застрашава човешки животи, допълни Пулийски. Кибератаки могат да спрат електрозахранването на големи обекти, в които има животоподдържащи системи, или да попречат на хората да комуникират, например при бедствия, блокиране на публичния транспорт също носи рискове. "Затова стъпките за технологичната трансформация трябва да бъдат обвързани и да вървят ръка за ръка с начина на мислене по отношение на киберсигурността", твърди той.
Управлявайте риска
Киберсигурността може най-добре да се обясни като управление на риска. "Всяка организация или институция може да прецени какви ще са щетите, ако дадена система или услуга спре - дали това ще е критично важно за работата на организацията или компанията може да се справи и без нея за час, за ден, седмица, месец. По този начин по-правилно могат да бъдат разпределени ресурсите за киберсигурност", смята Веселин Троянов.
Скорошно проучване предупреждава, че част от бюджетите, планирани от предприятията за дигитализация и за оптимизиране на процесите им, са пренасочени към средства за киберсигурност. "Колкото повече се дигитализират организациите, толкова повече вектори на атака се отварят", смята Димитър Павлов. Колкото повече услуги и различни софтуер използва дадена компания, толкова повече методи има тя да бъдат компрометирана.
"От гледна точка на услугите, които A1 предлага, ние внедряваме решения за дигитална трансформация, като нашите специалисти проверяват щателно тяхното ниво на сигурност. Но съветваме всички клиенти да правят регулярно penetration тестове, поне на 6 месеца. Такъв тест показва какво лошо би могло да се случи. Винаги е по-добре такъв тест да открие "пропуски", отколкото това да направи реален злонамерен хакер", добави Павлов.
Услугите за проверка на уязвимост винаги завършват с доклад, описващ подробно как е осъществен пробивът (ако е постигнат такъв), как и каква информация е взета, както и какво би било въздействието върху бизнеса на компанията.
"Това не е панацея, но рискът се минимизира, ако, разбира се, компанията изпълни препоръчаните мерки, посочени в доклада", обясни Димитър Павлов. При някои тестове се проверява и подготвеността на дадени служители да се справят с различни атаки, например с фишинг писма. Това показва, дали компанията трябва да организира обучение на хората или не. "Но в една компания е достатъчно да се компрометира един потребител на висока позиция, за да бъдат нанесени сериозни щети", допълни специалистът.
Всички служители да спазват киберхигиена
Уязвимостите в българските организации са на различни нива, на технологично, на човешко или организационно. "В действителност повечето хора смятат, че ИТ отделите са тези, които трябва да "пазят" компанията. Но те защитават десетки хиляди точки, през които може да бъде осъществен пробив. Няма панацея, една и съща стратегия за киберсигурност да бъде приложена в две различни компании, дори да са в един сектор и със сходен брой служители, коментира Антон Пулийски. Дори да се намират в две различни места в България, те са изложени на различни рискове", добави той.
Ако дадена компания е интегрирала решение, което работи добре за нея, друга може да използва добрата практика, но са нужни специалисти, които да дадат съвети като това решение ще се съчетае с конкретните системи и процеси. "Всеки фактор може да обърне до неузнаваемост оценката на риска за съответната фирма и организация", заяви Пулийски.
Киберсигурността и киберхигиената не е свързана само с изпълняване на определени стъпки, а е начин на мислене, при това не само на ИТ директор (CIO) или директор по киберсигурност (CSO), а на всички работещи в компанията. В същото време, ако нивата на възнаграждение и мотивация не са на добро ниво, компанията се сблъсква с проблема "вътрешен враг". "Дори да не кликне умишлено върху зловреден линк, той може да потърси "оферта" от външен злонамерен хакер", обясни Пулийски.
Кой да поддържа киберзащитата
Много компании не разполагат с добре подготвени кадри. Това важи особено за малките фирми. "Кадрите и бюджетите имат голямо значение. Но досега киберсигурността се разгледаше като един "пасивен" разход, от който организацията не виждаше пряка полза, обясни Веселин Троянов. Това започва да се променя, но мащабът на организациите влияе върху подхода. Големите предприятия могат да си позволят да наемат експерти на различни нива, които да управляват различни системи. По този начин рискът може да бъде разпределен в различни възможни вектори на атака."
Според него в малко предприятие по-добрият подход е да се наеме външна фирма, която да започне с тази оценка на риска. Впоследствие може да се избере и компания, която да се грижи за киберазащитата и да провежда регулярно тестове за откриване на уязвимости.
Целият разговор по темата може да видите в записа на уебинара в YouTube канала на Digitalk.bg
Днес компаниите и организации от всички сектори планират или вече са стартирали проекти за дигитална трансформация на своя бизнес. Увеличаването на цифровите активи, използването на дигитални услуги от разнообразни доставчици са свързани и с увеличаване на рисковете. Затова една от най-важните теми в тези проекти е осигуряването на адекватна киберзащита. На практика дигитализацията на предприятията е комплексна област, която обхваща множество обекти, организационни процеси, различни типове системи, потребители и данни. Това показват и данните от кандидатстващите повече от 40 проекта в конкурса Digitalk&A1 Awards 2023. Как в днешната "икономика на знанието" сигурността прониква във всички аспекти, коментираха по време на уебинара, организиран от Digitalk.bg, Димитър Павлов, мениджър "Киберсигурност" в дирекция "Мрежови решения и архитектура" на А1 България, Веселин Троянов, мениджър за България на доставчика на решения за сигурност Check Point Software Technologies, и Антон Пулийски, основател на КиберКлуб.
"Екипът ни се занимава както с услуги за активна защита като тестове за откриване на уязвимости (penetration testing) и анализ на зловредни кодове, така и с проучване на ситуацията при настъпил инцидент", обясни Павлов. Според Антон Пулийски, целта на създадения КиберКлуб е да се създаде среда, в която различните технологични домейни да си говорят. "Всъщност стремежът ни е да намерим правилния диалог между представители на технологии като изкуствен интелект, дронове, виртуална реалност и интернет на нещата със специалисти в областта на киберсигурността, за да открием новите заплахи, пред които сме изправени при тази технологична трансформация", заяви Пулийски. Веселин Троянов, който ръководи офиса на Check Point за България, обясни, че през последните 30 години компанията активно защитава огромно количество клиенти от всички сектори.
