Александър Цокев: Киберсигурността не е толкова провалена, колкото обречена да се проваля

Ръководителят на центъра за управление на сигурността в Telelink Business Services пред "Капитал"

Telelink Business Services
Telelink Business Services    ©  Telelink Business Services
Telelink Business Services
Telelink Business Services    ©  Telelink Business Services
Доц. д-р Александър Цокев е ръководител отдел "Център за управление на сигурността" в Telelink Business Services. С присъединяването си към екипа на компанията през 2017 г. той участва в дизайна и създаването на Advanced Security Operations Center и поема управлението и развитието му. Неговите близо 20 години опит в сферата на киберсигурността, практиката като сертифициран Cisco преподавател и академичната му кариера в ТУ - София, го отличават като лектор със задълбочени знания за зловредния код. Автор е на "Етично хакерство" - първата българска книга, посветена на темата.

Александър Цокев ще бъде един от лекторите по време на конференцията Cybersecurity and Data Protection Forum, организирана от "Капитал". Тя ще се проведе в хибриден формат на 4 ноември 2021 г. Повече информация за нея можете да откриете тук.

Темата ви на събитието Cybersecurity and Data Protection Forum носи името "Киберсигурността се провали". Това поражда логичния въпрос: защо смятате така?

Сложен въпрос, чийто отговор не е еднозначен. Дали се е провалила, или нашият подход към нея трябва да се промени - според мен вторият аспект е по-важен. Ние не можем да се провалим в нещо, в което не можем да спечелим, не можем да постигнем абсолютна сигурност в нормална среда. Киберсигурността не е нещо ново. Въпросът, който аз си задавам от години, е дали злонамерените лица изпреварват хората, които се занимават с киберсигурност и дали е имало поне един момент във времето, в който ние сме били пред тях. Моето мнение е, че не успяваме да ги изпреварим. Винаги леко изоставаме. Основна причина за това е мотивацията на злонамерените лица и еднаквите технологии, които използваме, както и по-ограниченият ресурс на компаниите от гледна точка на киберсигурност. Наша отговорност е да защитаваме сложни системи, често с ограничени ресурси. В същото време е достатъчно да допуснем една грешка, за да улесним злонамерените лица. От тази гледна точка ние не можем да стигнем до една непостижима цел - абсолютна сигурност. Можем да направим обаче много неща, които да намалят пропастта между текущото ниво на защита и необходимите адекватни мерки.

Киберсигурността не е толкова провалена, колкото обречена да се проваля. Много отдавна, още 70-те и 80-те години на миналия век, когато започват да се използват цифровите технологии, има опити за неоторизиран достъп. Спомням си един от първите компютърни вируси, които бяха голям проблем за нас. Впоследствие се появи масовият интернет и нещата станаха страшни. В последните години е ясно - заключване на компютри, изнудване през криптовалути и т.н. Нещо, което има финансово изражение, е огромен стимул за злонамерената страна.

Тенденцията в цял свят е една, при това още от преди вируса - повече дигитализация. Умно ли е да вървим към повече дигитализация без нужната защита?

- Дигитализацията е нещо необходимо и като всяка форма на напредък тя е свързана с рискове. Да, има злонамерена страна и опасности, но реално погледнато, това е нещо, с което ние трябва да се съобразим. Не можем да не се развиваме само защото има заплаха. Това, което бих дал за пример, е, че всички излизаме от вкъщи и не се притесняваме, че ще ни удари метеорит. Има шанс - да, пренебрежимо малко, но го има. Трябва да вървим към дигитализация, като преценим риска и спрямо него вземем необходимите мерки.

В България кибератаките през последните месеци, конкретно към държавни системи, се превърнаха в често срещано събитие. Различни ли са тези казуси от корпоративните казуси?

- И да, и не. Атаките, които се случват, са нещо, което наблюдаваме ежедневно към наши клиенти или дори към нас самите. Няма нещо неочаквано или нетипично. От друга страна, забелязва се тенденция за гласност на атаките в медийното пространство, което от своя страна води до увеличаване на отговорността и познаването на необходимостта от мерки - не само от засегнатите, но и от всички други организации. Нашите мрежи се сканират ежедневно, търсят се уязвимости. Сканирането е най-често срещаната злонамерена дейност в интернет. Ако по някакъв начин ние не виждаме това, значи или нашите системи не работят, или имаме пробив.

Какво бихте посъветвали потребители, компании, правителства?

- Първият съвет към всички е да бъдем внимателни и да оценяваме риска. Нещо, което всеки един от нас, всяка от тези три групи, би направила по различен начин.

Хората, работейки от вкъщи, трябва да си даваме сметка какъв цифров отпечатък оставяме в интернет. Това, че използваме домашни мрежи и домашни компютри за служебни цели, води до много сериозен риск. През последните две години, от гледна точка на служителите, много ясно пролича, че е нужно обучение. Необходимо е те да бъдат запознати с рисковете на интернет, например че не е препоръчително да работиш от домашен компютър през незащитена безжична мрежа. Моят съвет за всеки един от нас е да внимава, защото последиците могат да бъдат значителни. Едно е да загубиш домашни данни - снимки или видеа. Друго е през домашния компютър да работиш и да загубиш бизнес данни.

По отношение на компаниите - те трябва да вземат необходимите мерки за подсигуряване на своята инфраструктура. Тези мерки не са само технологични. Не само да се купи софтуер за откриване и превенция на атаки, но и компаниите да имат политики за защита и план за реакция при инцидент. Те трябва да мислят за служителите си, защото моделът на работа се променя. Много често говорим за това, откакто започна отдалечената работа - не всяка домашна мрежа е добре защитена, затова трябват обучения на служителите, насоки как да променят принципа си на работа и какви са опасностите, свързани с актуалните комуникационни и информационни технологии.

Правителствата, от трета страна, дават позитивен сигнал, че започна по-добър диалог между държавата и специалистите. Търсенето на опита на тези специалисти, колаборацията с тях, биха дали много допълнителен ресурс.

В коя посока смятате, че трябва да се развива киберсигурността?

- Посоката е една - да скъсяваме дистанцията и да се опитваме да изпреварим злонамерените лица. Въпросът е какви методи и средства да използваме. През последните години системите за защита започнаха да разчитат много на изкуствен интелект. Едната страна са тези нови технологии. Друг фактор, който би помогнал, е споделянето на информация - нещо, което от гледна точка на държавните институции и бизнеса, е много ключово. Когато ние обменяме тази информация, колкото по-бързо тя стигне до колегите по света, толкова по-вероятно е една атака да бъде отблъсната по-рано. Не казвам, че е лесно и че всеки път би работило, но е нещо, което можем да направим.

Представете си, че една държава е атакувана от определени злонамерени групи. Когато има информация за това, другите страни могат да вземат превантивни мерки срещу тези действия, преди те да са се случили. В момента разполагаме с изключителни системи, които ни дават възможност да споделяме тази информация. Правим го все повече, но все още само частично.

Коя е най-важната тенденция, която забелязвате - и при атакуващите, и при защитаващите?

- Ако погледнем от гледна точка на атакуващите, през последните няколко години тенденцията е всичко да се монетизира, да се търси финансова облага. Това личи много от рансъмуеър атаките. В същото време има друга тенденция, която изчезна преди години - хакерите, които търсеха медийно внимание. По мое мнение действията станаха по-скришни, с много повече користни цели. Технологиите дават възможност на младежи да се учат и финансовата облага ги тласка към тази тъмна страна.

От гледна точка на защитаващите ние трябва да интегрираме всякакви нови технологии и да разчитаме на тях. Имаме изключителен набор от инструменти - да, някои изискват огромен ресурс, вкл. финансов. Някои са с отворен код и безплатни. Благодарение на това винаги можем да имаме поне базово ниво на защита. За мен е ключово да не подценяваме човешкия фактор, защото все още голям процент от пробивите се дължи на човешки грешки. И не на последно място - трябва да осигурим необходимия ресурс на екипите, които се занимават с киберсигурност. Тяхната роля е изключително важна и е пряко свързана дори с бизнес процесите на компаниите. Наличието на такъв екип или такива услуги от трета страна са ключови.

На 4 ноември 2021 г. ще се проведе Cybersecurity and Data Protection Forum 2021, организиран от "Капитал". Събитието ще бъде в хибриден формат, а сред основните теми на него са киберсигурността след ковид, цифровите заплахи за веригите за доставки, защита на бизнеса от мутации и варианти на рансъмуер и др. Във форума ще участват лектори и гости от компании за киберсигурност, държавни организации, експерти в областта и др. Билети за Cybersecurity and Data Protection Forum 2021 може да закупите от тук.

Още от Капитал