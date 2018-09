"Дали сме в безопасност? Не, защото когато се движехме с висока скорост, не помислихме за хората, които могат да се възползват от технологията за лоши цели."

© Цветелина Белутова





Един много общ въпрос: в безопасност ли сме в киберпространството?



- Не. Не сме. И причината за това е много проста: интернет всъщност е много млад. Започна през 60-те години в САЩ като академична мрежа, но истинският интернет по домовете се появи през 90-те години. Това беше само преди по-малко от 30 години. Всичко се развива много бързо, особено след като се появиха облачните технологии. Те дадоха възможността да събираме информация от огромни групи хора. На практика интернет едва сега започва. Имаме много интересни технологии, като изкуствен интелект, анализ на данни и роботизация и бързо виждаме струпване на технологии, които променят начина, по който живеем. Но дали сме в безопасност? Не, защото когато се движехме с висока скорост, не помислихме за хората, които могат да се възползват от технологията за лоши цели.



- Правил съм много странни неща в кариерата си. Започнах като бегач и бях част от Олимпийските игри в Русия през 1980 г. Влязох в армията, защото смятах, че там мога да стана по-добър спортист, отколкото в университета. Това е първото от странните решения в кариерата ми. След това имах сравнително праволинейна военна кариера, но през 2006 г. ме попитаха дали искам да работя в иновационния център на НАТО в САЩ и станах отговорен за иновациите в дигиталния свят – как да използваме модерните технологии, как да ги имплементираме във военните части. Когато се върнах, станах главен информационен директор към министерството на отбраната. По-късно се върнах в НАТО, но като цивилен, а не като представител на военните. Преди година реших да остана в киберсектора, но да работя повече с компании и правителства, а не само с военни.



Мислим ли за тях сега?



- Да, разбира се, но вече е малко късно. По-рано днес (по време на дискусията, бел. ред.) дадох примери с ограбването на банки и манипулирането на избори. Всички тези неща се случваха и преди, във физическия свят. В дигиталния свят обаче не е толкова ясно, не всичко се вижда, не знаем всичко. Липсва ни основната архитектура за защита. Това, което трябва да разберем, за да сме повече в безопасност, е, че когато правим нови системи, трябва да ги създадем върху сигурна основа. Трябва да започнем със сигурността от ден първи, а не първо да построим системата и след това да си кажем "о, трябва да добавя и нещо за сигурност". Архитектурата на дигиталния свят е нещо много сложно. Ако можем да я опростим и да се фокусираме върху нея още от начало, тогава ще можем да сме по-добре защитени.



Логичният следващ въпрос е: искаме ли да сме в безопасност. Защото съществува такъв парадокс, че постоянно говорим за събирането на данни от Facebook, Google и други компании, но в същото време поставяме на пиедестал големите масиви данни и как те ще направят живота ни по-добър и технологиите по-умни.



- Смятам, че всички искаме да сме свързани с приятели, да споделяме информация, но начинът, по който тези компании и приложения предлагат решения, не е особено прозрачен. Ако аз реша, че искам да споделя определена информация с Facebook, както и правя, аз знам, че те могат да правят каквото си искат с тази информация. За пример, има група в социалната мрежа, в която споделям само спортни новини с приятели. И не искам тази информация да е публична, искам само приятелите ми да виждат това, което споделям. Facebook ти дава възможност да зададеш такива настройки, но малко или много трябва да си почти професионалист, за да знаеш всички тънкости и как да ги управляваш. Прекалено сложно е. Процесът по запознаване с настройките за споделяне на лични данни трябва да е по-прост, може би чрез кратки видеоклипове. След това е по-лесно да разбереш какво споделяш с тези компании. Смятам обаче, че те нямат интерес от нещо такова, защото харесват големите масиви данни, които след това продават. И може би тук трябва да се намесят правителствата и да бъдат написани някои правила.



Притеснявате ли се, че лидерите по света не разбират напълно тези проблеми? Можем да вземем за пример разпитите в американския Конгрес и Европейския парламент на Марк Зукърбърг, Джак Дорси, Шерил Сандбърг и други. Много хора и медии останаха с впечатлението, че тези, които пишат закони, нямат достатъчно знания, за да се справят с подобни проблеми.



- Аз съм оптимист по природа, но е ясно, че имаме проблем, защото отражението на дигиталния свят върху правителствата и икономиката е толкова голямо, че изпълнителните директори, президенти и министри трябва да разбират по-добре тази сфера. Не малките детайли, единиците и нулите, а как технологията се отразява на бизнеса или правителството. Какви са рисковете, къде трябва да бъдат насочени по-големи усилия, какви мерки могат да бъдат взети. И не става дума само за технологочни мерки, особено при компаниите, които могат да се застраховат срещу кибератаки. Те могат да си кажат – тази част от бизнеса ми не е толкова важна и мога да си позволя да не е толкова защитена, но да я застраховам. Има различни начини за защита и те не са въпрос на технологични знания – това са въпроси за изпълнителни директори и президенти. В повечето случаи действията идват чак когато се случи някакъв голям пробив, след който следва реакцията "трябва да направим нещо". Но рискът е прекалено голям. Кибератаката срещу Украйна миналата година струва на американския и европейския бизнес поне 10 млрд. евро. В моите очи това е недопустимо за едно общество. Компаниите, които бяха ударени, просто не бяха подготвени, защото това не беше конкретна атака срещу тях, а атака срещу Украйна. Загубите бяха съпътстващи щети. Всичко това означава, че не е имало план, не е имало добър анализ на рисковете.



Казвате, че не сме в безопасност и вече е късно за действия, така че какви трябва да са правилните стъпки в бъдеще за правителствата и бизнеса?



- Всичко трябва да бъде обсъдено на най-високите нива в правителствата и компаниите. Трябва да се вземат мерки, да се направи анализ на рисковете, лидерите да разберат какви са дигиталните заплахи за техните организации. Няма значение дали е агенция, министерство или компания. Ако погледнем киберрисковете като въпрос на пари, много хора не виждат директния удар. Когато имаш правилен анализ на рисковете, виждаш как всичко има отражение. И отново, това не са технологични въпроси, това са въпроси на управление. Трябва да започнем от там. Втората стъпка, която бих предложил, е обучение на хора и разбиране на това какво можеш и какво не можеш да свършиш сам. Не просто обучение на технологични специалисти, но и образование за потребителите – какво да правя, когато получа неочаквано, съмнително съобщение например. Често когато се случи нещо такова, хората отговарят или се доверяват и в крайна сметка някой се оказва с достъп до компютъра ти, бизнеса ти. Образованието е важно.



Вече видяхме подобни атаки, като WannaCry през миналата година...



- Да. Но в този случай се забравя нещо много важно – имаше много компании, болници и организации, които бяха ударени. Но имаше и такива, които бяха взели мерки и не бяха ударени. Въпросът отново се свежда до управление на рисковете.



Вие сте били шест години начело на информационния отдел на НАТО. Инвестира ли организацията достатъчно в киберзащита?



- Напълно. Отдавна не работя там, но НАТО си остава един от лидерите по отношение на киберсигурност. За военните, най-общо казано, сигурността е начин на мислене, защото враговете винаги искат да разберат какво правиш, докато ти се опитваш да разбереш какво правят враговете ти. Затова събирането на информация винаги е важно за подобна организация и трябва да си винаги подготвен със силна защита. НАТО е добър пример за взимане на правилни решения в това отношение. Ако искаш солидна система, тя не идва безплатно. Не всеки има нужда от толкова силна защита, но отново трябва да оцениш рисковете.



Интервюто взе Йоан Запрянов

Кун Хайсберс е пенсиониран генерал-майор от холандската армия с 40-годишна военна кариера. Той е бил главен информационен директор към холандското министерство на отбраната от 2009 до 2011 г. Работил е и шест години като генерален мениджър към НАТО в Агенцията по комуникации и информация. В момента той е съветник на правителства и компании по отношение на кибериновации, като изпълнява тази роля и в НАТО, CyNation, CybExer, NCOIC. Хайсберс гостува в София като част от събитието How is Cyberspace affecting peace and security ("Как киберпространството се отразява на мира и сигурността"), част от събитията Hague Talks и организирано в България в партньорство със Sofia Security Forum, Посолството на Холандия и Hague Project Peace and Justice.