Изворът на проблемите в киберсигурността е, че няма концепция, купуват

Изворът на проблемите в киберсигурността е, че няма идея, купуват се технологии „ на парче ”, споделя Анелия Костадинова , общоприет управител на COMPUTER 2000 България
(снимка: Мария Малцева / TechNews.bg)

Когато се взема решение за избор на технология за киберзащита, не би трябвало да се разчита единствено на търговски и маркетингови презентации, а да се тестват продуктите в действителна среда, споделя Анелия Костадинова, общоприет управител на дистрибутора COMPUTER 2000 България. Ако се откри, че едно ново, новаторско решение, даже да е от по-малко известен снабдител, работи добре, ИТ шефът следва да застане с името си, с престижа си зад него. Той би трябвало да има тази власт: да бъде индивидът, който взема решение, добави Анелия в изявление по време на двудневната конференция InfoSec SEE 2024.

Г-жо Костадинова, организирате InfoSEC SEE за 16-ти път, по какъв начин се разви форумът за тези 16 години?

Стартирахме преди 16 години с целодневна конференция, само че единствено с един вендор. Тогава това беше McAfee. Просто по този начин сме почнали своя бизнес преди време. Днес в портфолиото ни има над 20 вендора, като директните участници в конференцията са към 12.

Колко хора са минали през InfoSEC SEE за 16 години – като фенове?

Общо взето всяка година имаме към 200-250 посетители на място и към 300-400 фенове онлайн. Много беше мъчно по време на пандемията. Все отново и тогава успяхме да организираме конференция онлайн, в това число сме водили лаборатория, която да тества хората с бързи антигенни проби на място.

Вендорите, които представлявате, са огромни компании, а България е дребен пазар. Как наподобява страната ни на „ картата на света ” за тях?

България може да е дребна като територия, само че по принцип цяла Източна Европа е доста обещаващ пазар за киберсигурност – повече, в сравнение с западноевропейските страни, където фирмите от разнообразни бизнеси си знаят, че би трябвало да имат решения за киберсигурност – къде по-малки, къде по-големи; къде по-разработени, къде на повече равнища или на по-малко.

А тук, в България, сме много изостанали. Може да си мислим, че сме добре предпазени, че държавните организации имат доста решения, само че, съгласно мен, едвам от няколко години се работи в тази посока – да се вършат повече пластове, да се основават цялостни концепции за киберсигурност за съответната организация. За страдание в множеството случаи мотивът е някакъв фрапантен случай. Когато се случи подобен, тогава нещата се стягат. И с банковия бранш е същото. Всички си мислят, че са добре предпазени, тъй като са купили доста технологии. Докато не стане инцидент…

Изворът на казуса е, че няма идея. Купува се „ на парче ”. В един интервал беше на мода DLP – всички купуваха DLP. Преди това беше на мода SIEM – всички купуваха SIEM. Просто излиза една нова технология, която е в действителност добра и взема решение проблеми, само че тя не е изцяло решение – има разнообразни равнища, пластове на сигурност.

Нещо, което ние предлагаме, е: когато се взема решение за избор на технология за киберзащита, да не се разчита единствено на търговски и маркетингови презентации, а да се тестват продуктите действително. Демонстрациите не правят тази работа. При проява вендорът демонстрира решението в своята си лична среда, настроено и работещо. Но всички огромни производители оферират по този начин наречения „ proof-of-concept ” или „ proof-of-value ”: в действителната инфраструктура на потребителската организация се заделя една част, даденото решение се конфигурира там и се тества в действителни условия. И ние предлагаме тъкмо по този метод да се тестват една, две, три системи.

Но по-късно би трябвало да се организира търг и той би трябвало да дава равни условия за присъединяване. Много постоянно има недоволства, че даден търг е „ писан за ” даден снабдител. Но огромните, комплицирани системи за киберзащита няма по какъв начин да се дефинират с общовалидно изложение. Съществуват някои технологии, които могат да се дефинират с генерично изложение, с обща спецификация – да вземем за пример, защитни стени, EDR. Но за по-цялостните, по-сложни решения това не е използвано.

Въпросните проби в действителна потребителска среда би трябвало да се вършат по този начин, както се прави в частна компания.

А не се ли прави тъкмо по този начин?

Някъде – да, другаде – не. Или просто се взема решение, че обещано решение е най-хубавото и всички купуват него.

Голямата част от поръчките идват от огромни организации с огромни бюджети. Какво вършат по-малките предприятия?

Навсякъде по-света най-големите планове в областта на киберсигурността са държавни планове. Така е по обясними аргументи. И бюджетът има значение, и размерът и чувствителността на данните, и ползата на хакерските офанзиви. Нещо повече, през днешния ден сме очевидци на таргетирани офанзиви към държавни органи, зад които стоят непознати държавни управления. Редно е страната да отговори съответно.

Що се касае до дребните организации, те нямат такива огромни бюджети. Но аз мисля, че бъдещето за тях е в ръководените услуги. Доставчиците могат да са по-малки компании в България, които до през вчерашния ден са продавали решения за киберзащита, само че в този момент е време да се насочат към това да дават услуга. Съответно дребните компании, които нямат потенциала да си назначат личен ИТ отдел, камо ли пък личен отдел по киберсигурност, следва да изнесат тази грижа към външен снабдител.

Ние самите в COMPUTER 2000 България употребяваме сигурност като услуга. Това е сходно на фирмения абонамент за телефони. Особено за дребните компании, които не са от ИТ сферата, това е най-разумното решение.

Настоящият месец април е време на огромна интензивност на тематика киберсигурност. Но при толкоз доста лекции от толкоз емблематични експерти в сферата какво не ни доближава, с цел да имаме положително схващане за киберзащитата?

Първо е нужно положително законодателство. В това отношение у нас в този момент ще се преработва законът за киберсигурността, с цел да бъде транспонирана директивата NIS-2.

Второ, когато се прави бюджетиране за дадена организация, би трябвало да се заделят средства особено за киберсигурност. Светът се трансформира, цифровизира се – и би трябвало да има изясненост, че откакто дадена организация има цифрови услуги, това носи изгоди, само че и опасности. Правителството работи интензивно да цифровизира всички регистри, в тези портали влиза всеки човек и бизнес – непростимо е да не се мисли за отбрана от DDoS, отбрана на приложенията.

Разбира се, че постоянно бюджетите са лимитирани. Но не е нужно финансирането да е колосално. Има и по-бюджетни решения – новаторски нови разработки, които са на доста високо равнище. И тъкмо по тази причина решенията би трябвало да се тестват в действителна лична среда. Когато се откри, че едно ново, новаторско решение, даже да е от по-малко известен снабдител, работи добре, ИТ шефът следва да застане с името си, с престижа си зад него. Той би трябвало да има тази власт: да бъде индивидът, който взема решение.

Трето, би трябвало да се преодолее страхът от облака. Вече 90% от решенията за сигурност на крайната точка (endpoint security) по света са облачни. Но в страната се изисква да не са „ в облака ”, да са инсталационни, вътрешни. Затова някои снабдители съзнателно поддържат и вид „ on premise ”.

Тази година на InfoSEC SEE съвсем не стана дума за казуса с фрагментите. Решен ли е този въпрос?

Вярно е, че AI навлиза в нашата сфера, само че той единствено оказва помощ, а решенията идват от нас, хората. И по тази причина би трябвало да имаме кадрови потенциал. В България има дефицит на такива експерти. В диалозите ми с организации от разнообразни сфери чувствам, че има подобен дефицит.

Редица университети към този момент вкараха стратегии за образование по киберсигурност. Но има нещо, което виждам и което ми споделят сътрудници – децата в тези стратегии учат най-вече доктрина. Те не се учат на действителните проблеми от практиката.

Друг недооценен аспект е интеграцията. Когато една компания вземе на работа младеж, приключил сходна университетска компетентност, той би трябвало да има познания и в света на киберзащитата, и общ взор за интеграцията. Защото технологията би трябвало да се внедри по този начин, че в организацията да проработи безпроблемно, безпрепятствено. Докато не проработи безпрепятствено, не трябва да се пуска в деяние.

А на процедура се оказва по този начин, че след въвеждането на обещано решение изникват голям брой проблеми – 100 неща, които не работят. Нужно е холистично мислене.