Всяка фирма и държавна структура трябва има подготвени специалисти по киберсигурност
Инж. Ростислав Петров е ръководител на Българската асоциация на сертифицираните етични хакери. Зад гърба си има редица самопризнания за принос в киберсигурността на държавни и частни предприятия. Той е създател на „ Cyber 360 Academy “, неповторим план с израелско ноу-хау.
Г-н Петров, съумява ли страната да си "стъпи на краката " след абсурда с теча на персонални данни от Национална агенция за приходите?
- Дали съумява да си стъпи на краката не мога да кажа, само че са подхванали ограничения за деяние. Откакто вицепремиерът Мариана Николова оглави Съвета за киберсигурност тя предприе доста съответни дейности. Няма по какъв начин внезапно да се случат нещата, само че значимото е, че сме създали първата стъпка. И нещо се случва за разлика от предходни години, когато единствено се говореше, а нищо не се правеше. Обръща се доста по-сериозно внимание на тези неща, откогато се случи течът на данни от Национална агенция за приходите.
Развива ли се публично-частното партньорство в борбата против измамите в интернет?
- Както министър председателят Бойко Борисов сподели на един семинар през септември предходната година, страната не може да отдели такива големи средства за заплати на специалистите по киберсигурност и в тази ситуация да притегли такива фрагменти. Точно заради тази причина започнахме публично-частното партньорство. Външни компании си сътрудничат с страната от позиция на сигурност, тъй като е добре известно, че в частния бранш заплатите са доста по-високи.
В нашата академия Cyber360 образоваме такива експерти. И предлагаме всевъзможни образования, които са или в структурите на държавна институция, или в частна компания. С нашите израелски сътрудници създадохме една стратегия по киберсигурност, която няма аналог в целия свят. Първият й модул за повишение на квалификацията е четиримесечен и е безвъзмезден. Разполагаме с образования за отбрана на мрежовата инфраструктура, за всички, които работят в цифрова среда, за чиновници на кибер отдели, за шефове на службите, както и образования по кибер следствия, за ръководство на рецесии, за сигурност на софтуера.
Особено доста зачестяват фишинг офанзивите. Доколко жителите са образовани в областта на киберсигурността?
- Това нещо не е от през днешния ден. От Национална агенция за приходите, от кредитни институции се получават имейли, че изискуем пари. Фишинг офанзивите са засилени от най-малко три-четири години. Даже и от моя имейл сега върви фишинг. Получавам доста позвънявания от хора. Те постоянно са с атачмънт, а текстът е по този начин структуриран, че да бъдеш изплашен, че дължиш пари и да го отвориш. Отваряйки файла, компютърът може да бъде инфектиран от вирус, да го употребяват като "ракетна площадка " за DDoS офанзиви. Възможно е да ти криптират значими файлове и след това да ти желаят откуп, да те следят през компютъра ти. Вариантите за нападателя са доста.
Въпросът ви ме подсеща за един образец преди няколко години. Една компания беше вложила милиони за отбрана. Реално беше непробиваема извън. Един чиновник обаче получава по пощата ценова листа, отваря я и заразява браузъра си с "троянски кон ". Когато служителят влиза в онлайн банкирането си, вирусът пренасочва преводи, защото служителят е въвел данните си. "Троянският " кон трансформира IBAN-a и сумата и отива на друго място. При следствието в действителност от банката споделиха, че не виждат машинация, защото служителят, който подрежда превода е употребявал своя компютър, от неговото IP, с неговата ключова дума, с неговия документ.
Ако служителят беше просветен, щеше да засече тази неточност или най-малко да гледа по различен метод на нещата. Щеше да е малко по-подозрителен, да ревизира файла, източника на известието. Просто да направи малко изследване, когато е получил имейл от чужд.
Затова ми се желае от 1 до 12 клас да се вкарат часове по киберсигурност, защото децата употребяват доста технологиите и би трябвало да знаят по какъв начин да се пазят и да имат обикновена цифрова хигиена. Тези деца някой ден ще работят на нашите позиции - те ще са в фирмите, в държавните структури.
Успя ли бизнесът да вземе ограничения за отбраната на персоналните данни, откакто към този момент работи регламентът GDPR?
- Сам по себе си GDPR също е част от киберсигурността. Той има две посоки - едното юридическата част, другото е техническата част. Всъщност съгласно мен GDPR бе употребен за изкарване на пари. С риск да засегна юристите, доста от тях се помислиха за експерти по техническата част. Общо взето, нищо не се получи, тъй като да вземем за пример аз като експерт по техническата част, в никакъв случай не бих тръгнал да върша образования по юридическата. Юристите влязоха в една изцяло непозната среда за тях. В България се получи една подигравка с GDPR.
Новото след GDPR е Законът за киберсигурност. В наредбата към него са заложени политики по сигурност, надзор. Вече има и глобени от страна на контролните органи. Част от нашите образования са и за използването на закона и наредбата.
Г-н Петров, съумява ли страната да си "стъпи на краката " след абсурда с теча на персонални данни от Национална агенция за приходите?
- Дали съумява да си стъпи на краката не мога да кажа, само че са подхванали ограничения за деяние. Откакто вицепремиерът Мариана Николова оглави Съвета за киберсигурност тя предприе доста съответни дейности. Няма по какъв начин внезапно да се случат нещата, само че значимото е, че сме създали първата стъпка. И нещо се случва за разлика от предходни години, когато единствено се говореше, а нищо не се правеше. Обръща се доста по-сериозно внимание на тези неща, откогато се случи течът на данни от Национална агенция за приходите.
Развива ли се публично-частното партньорство в борбата против измамите в интернет?
- Както министър председателят Бойко Борисов сподели на един семинар през септември предходната година, страната не може да отдели такива големи средства за заплати на специалистите по киберсигурност и в тази ситуация да притегли такива фрагменти. Точно заради тази причина започнахме публично-частното партньорство. Външни компании си сътрудничат с страната от позиция на сигурност, тъй като е добре известно, че в частния бранш заплатите са доста по-високи.
В нашата академия Cyber360 образоваме такива експерти. И предлагаме всевъзможни образования, които са или в структурите на държавна институция, или в частна компания. С нашите израелски сътрудници създадохме една стратегия по киберсигурност, която няма аналог в целия свят. Първият й модул за повишение на квалификацията е четиримесечен и е безвъзмезден. Разполагаме с образования за отбрана на мрежовата инфраструктура, за всички, които работят в цифрова среда, за чиновници на кибер отдели, за шефове на службите, както и образования по кибер следствия, за ръководство на рецесии, за сигурност на софтуера.
Особено доста зачестяват фишинг офанзивите. Доколко жителите са образовани в областта на киберсигурността?
- Това нещо не е от през днешния ден. От Национална агенция за приходите, от кредитни институции се получават имейли, че изискуем пари. Фишинг офанзивите са засилени от най-малко три-четири години. Даже и от моя имейл сега върви фишинг. Получавам доста позвънявания от хора. Те постоянно са с атачмънт, а текстът е по този начин структуриран, че да бъдеш изплашен, че дължиш пари и да го отвориш. Отваряйки файла, компютърът може да бъде инфектиран от вирус, да го употребяват като "ракетна площадка " за DDoS офанзиви. Възможно е да ти криптират значими файлове и след това да ти желаят откуп, да те следят през компютъра ти. Вариантите за нападателя са доста.
Въпросът ви ме подсеща за един образец преди няколко години. Една компания беше вложила милиони за отбрана. Реално беше непробиваема извън. Един чиновник обаче получава по пощата ценова листа, отваря я и заразява браузъра си с "троянски кон ". Когато служителят влиза в онлайн банкирането си, вирусът пренасочва преводи, защото служителят е въвел данните си. "Троянският " кон трансформира IBAN-a и сумата и отива на друго място. При следствието в действителност от банката споделиха, че не виждат машинация, защото служителят, който подрежда превода е употребявал своя компютър, от неговото IP, с неговата ключова дума, с неговия документ.
Ако служителят беше просветен, щеше да засече тази неточност или най-малко да гледа по различен метод на нещата. Щеше да е малко по-подозрителен, да ревизира файла, източника на известието. Просто да направи малко изследване, когато е получил имейл от чужд.
Затова ми се желае от 1 до 12 клас да се вкарат часове по киберсигурност, защото децата употребяват доста технологиите и би трябвало да знаят по какъв начин да се пазят и да имат обикновена цифрова хигиена. Тези деца някой ден ще работят на нашите позиции - те ще са в фирмите, в държавните структури.
Успя ли бизнесът да вземе ограничения за отбраната на персоналните данни, откакто към този момент работи регламентът GDPR?
- Сам по себе си GDPR също е част от киберсигурността. Той има две посоки - едното юридическата част, другото е техническата част. Всъщност съгласно мен GDPR бе употребен за изкарване на пари. С риск да засегна юристите, доста от тях се помислиха за експерти по техническата част. Общо взето, нищо не се получи, тъй като да вземем за пример аз като експерт по техническата част, в никакъв случай не бих тръгнал да върша образования по юридическата. Юристите влязоха в една изцяло непозната среда за тях. В България се получи една подигравка с GDPR.
Новото след GDPR е Законът за киберсигурност. В наредбата към него са заложени политики по сигурност, надзор. Вече има и глобени от страна на контролните органи. Част от нашите образования са и за използването на закона и наредбата.
Източник: banker.bg
КОМЕНТАРИ