Нови правила за киберсигурност ще засегнат и по-малките фирми
Накратко – законът усилва секторите, в които би трябвало да съблюдават разпоредбите за киберсигурност, да вземем за пример произвеждане на храни и ръководство на отпадъците, както и цялата верига на доставки за към този момент избраните за значими браншове като енергетиката. Ръководителите на компании и ИТ мениджъри към този момент ще носят персонална отговорност за пропуски в киберсигурността.
Темата ще става настояща освен за огромните, само че и за дребните компании, счита Иван Пепелов, който работи в консултантска компания, профилирана в бранша за ръководство на идентичността във компаниите, представено от БНР.
Директивата смъква прага за компании, в които работят до 50 души и не чак толкоз огромен оборот от 10 милиона. За съпоставяне – в Германия има към 30 000 компании, наранени от тази регулация, показва специалистът.
" В България е четирицифрен броят. Но би трябвало да излезе съответният закон, с цел да може да се реши кои са компаниите. Моята преценка е, че са около 1000-1500 и са в някои от сериозните промишлености. Критичните промишлености са към 30. "
Повечето дребни компании са снабдители на огромни и бидейки снабдители, те също ще бъдат наранени. Доставчик на компания, която не дава отговор на новите критерии, няма да може повече да бъде доставчик, добавя Пепелов.
В огромните компании има текучество на фрагменти. За да се предпазят от приключване на сериозни данни към конкуренцията, би трябвало да вкарат такава система, акцентира той.
" Не единствено това кой до какво има достъп, а всеки да получи верния достъп, единствено този, който му би трябвало и то за времето, за което му би трябвало. "
Хората са най-слабото звено от веригата за киберзащита, твърди и Александър Жеков, шеф на компания, която се занимава с дистрибуция на артикули за IT сигурност.
" Рано или късно ще бъдете пробити. Важно е да имате процеси, с които да реагирате и да възстановите бизнеса и естествените интервенции ", акцентира Жеков.
Компаниите с над 100 чиновници имат огромен проблем с това да ръководят достъпа на чиновниците си до другите системи. А когато и системите са повече на брой, процесът се усложнява, разяснява той.
" Когато нямаш единно решение, което централизирано да ръководи тези процеси, реално нямаш видимост какво се случва вътре в твоята организация. "
По данни на ГДБОП, от началото на годината над 80 български компании са станали жертва на киберпрестъплението " заменен IBAN ", като са изгубили над 12 милиона евро. Данни на " Евростат " демонстрират, че около 50% от българските компании считат тематиката за киберсигурността за нерелевантна за тях. Тези статистики обаче са условни, тъй като и поради терзания за репутацията, фирмите не биха си признали, че имат киберпробиви.
В оценката за въздействието за въвеждането на новите промени поради евродирективата законодателят показва, че новата регулация ще сътвори известна тежест за бизнеса и администрацията, санкциите също. В предложенията за промени в българския закон една от огромните санкции е от 50 000 лв. до 2% от общия международен годишен оборот. Същевременно измененията " ще спомагат за преместване на позитивен резултат в киберпрактиката на национално равнище ".
Повишените условия за киберсигурност ще костват повече на фирмите, най-малко откъм човешки запаси, признават осведомени. Затова компаниите, предлагащи решения за киберзащита, регистрират наклонността техните клиенти да разчитат повече на външни снабдители, с цел да бъдат системите им за отбрана настоящи, отбелязва Иван Пепелов.
Невинаги единствено огромните компании са атакувани, припомня той и поучава компаниите да не чакат проблеми.
" Преди 2 месеца към 12 лечебни заведения в Румъния бяха изцяло блокирани от хакерска офанзива, която при съществуване на identity мениджмънт решение нямаше да стане. В Германия животоспасяващи системи бяха блокирани. Атаки против публични институции там са всекидневие. Ако вземем една дребна община – от 10 000 индивида, тя няма ресурса да се отбрани. "
Не е въпрос дали някой акаунт ще бъде хакнат, въпросът е по кое време, разяснява Пепелов пред БНР.
" Въпросът е този акаунт да има минимум права. Аз имам т.нар. теория за празното мазе: къща с доста неща в нея, някъде откъм гърба има мазе, което е празно. Крадец се пробва 2 часа да влезе в мазето и съумява, само че какво съумява да открадне? Нищо. Мазето е празно. Ако бъде хакнат акаунт, който няма никакви права, няма последици. Акаунт – стръв, това също е тактичност. "
Всеки може да кликне на фишинг линк, въпросът е да са минимални следствията, заключава специалистът.
Темата ще става настояща освен за огромните, само че и за дребните компании, счита Иван Пепелов, който работи в консултантска компания, профилирана в бранша за ръководство на идентичността във компаниите, представено от БНР.
Директивата смъква прага за компании, в които работят до 50 души и не чак толкоз огромен оборот от 10 милиона. За съпоставяне – в Германия има към 30 000 компании, наранени от тази регулация, показва специалистът.
" В България е четирицифрен броят. Но би трябвало да излезе съответният закон, с цел да може да се реши кои са компаниите. Моята преценка е, че са около 1000-1500 и са в някои от сериозните промишлености. Критичните промишлености са към 30. "
Повечето дребни компании са снабдители на огромни и бидейки снабдители, те също ще бъдат наранени. Доставчик на компания, която не дава отговор на новите критерии, няма да може повече да бъде доставчик, добавя Пепелов.
В огромните компании има текучество на фрагменти. За да се предпазят от приключване на сериозни данни към конкуренцията, би трябвало да вкарат такава система, акцентира той.
" Не единствено това кой до какво има достъп, а всеки да получи верния достъп, единствено този, който му би трябвало и то за времето, за което му би трябвало. "
Хората са най-слабото звено от веригата за киберзащита, твърди и Александър Жеков, шеф на компания, която се занимава с дистрибуция на артикули за IT сигурност.
" Рано или късно ще бъдете пробити. Важно е да имате процеси, с които да реагирате и да възстановите бизнеса и естествените интервенции ", акцентира Жеков.
Компаниите с над 100 чиновници имат огромен проблем с това да ръководят достъпа на чиновниците си до другите системи. А когато и системите са повече на брой, процесът се усложнява, разяснява той.
" Когато нямаш единно решение, което централизирано да ръководи тези процеси, реално нямаш видимост какво се случва вътре в твоята организация. "
По данни на ГДБОП, от началото на годината над 80 български компании са станали жертва на киберпрестъплението " заменен IBAN ", като са изгубили над 12 милиона евро. Данни на " Евростат " демонстрират, че около 50% от българските компании считат тематиката за киберсигурността за нерелевантна за тях. Тези статистики обаче са условни, тъй като и поради терзания за репутацията, фирмите не биха си признали, че имат киберпробиви.
В оценката за въздействието за въвеждането на новите промени поради евродирективата законодателят показва, че новата регулация ще сътвори известна тежест за бизнеса и администрацията, санкциите също. В предложенията за промени в българския закон една от огромните санкции е от 50 000 лв. до 2% от общия международен годишен оборот. Същевременно измененията " ще спомагат за преместване на позитивен резултат в киберпрактиката на национално равнище ".
Повишените условия за киберсигурност ще костват повече на фирмите, най-малко откъм човешки запаси, признават осведомени. Затова компаниите, предлагащи решения за киберзащита, регистрират наклонността техните клиенти да разчитат повече на външни снабдители, с цел да бъдат системите им за отбрана настоящи, отбелязва Иван Пепелов.
Невинаги единствено огромните компании са атакувани, припомня той и поучава компаниите да не чакат проблеми.
" Преди 2 месеца към 12 лечебни заведения в Румъния бяха изцяло блокирани от хакерска офанзива, която при съществуване на identity мениджмънт решение нямаше да стане. В Германия животоспасяващи системи бяха блокирани. Атаки против публични институции там са всекидневие. Ако вземем една дребна община – от 10 000 индивида, тя няма ресурса да се отбрани. "
Не е въпрос дали някой акаунт ще бъде хакнат, въпросът е по кое време, разяснява Пепелов пред БНР.
" Въпросът е този акаунт да има минимум права. Аз имам т.нар. теория за празното мазе: къща с доста неща в нея, някъде откъм гърба има мазе, което е празно. Крадец се пробва 2 часа да влезе в мазето и съумява, само че какво съумява да открадне? Нищо. Мазето е празно. Ако бъде хакнат акаунт, който няма никакви права, няма последици. Акаунт – стръв, това също е тактичност. "
Всеки може да кликне на фишинг линк, въпросът е да са минимални следствията, заключава специалистът.
Източник: frognews.bg
КОМЕНТАРИ