Първата среща от серията CyberSecurity Talks Bulgaria събра над 120

Първата среща от серията CyberSecurity Talks Bulgaria събра над 120 специалисти по осведомителна сигурност.

Етичното хакване е една от най-хубавите ограничения, които отделът за осведомителна сигурност в дадена организация могат да приложат, с цел да поддържат защитните си механизми в изрядно положение. Методите са разнородни, е „ белите “ хакери са задоволително доста, даже у нас, и са общественост, на която може да се има доверие. Проблем за тях обаче си остава невъзможността за отчитане на фишинг акции към експлоатираните организации.

Етичното хакване и виновното докладване на пробиви бе тематиката, която развълнува всички участници в първата по рода си у нас среща на общността на експертите по инфосигурност – CyberSecurity Talks Bulgaria, която се състоя нощес в централата на Acronis България. Над 120 души се включиха в мероприятието. Мнозина разясниха двете презентации на лекторите Симеон Кърцелянски и Миглен Евлогиев и зададоха въпроси, което трансформира срещата в фактически оживена и интензивна полемика.

Проблеми на етичното докладване

Докладването на „ бъгове “ и пробиви е нещо, което мнозина ИТ експерти са склонни да създадат най-добронамерено. Когато преглеждат нечии уебсайт, употребяват осведомителна система на дадена организация или боравят с приложение, техническите специалисти постоянно виждат слабостите, които биха могли да доведат до пробив. Много от тях имат чистосърдечно предпочитание да осведомят съответната компания за „ бъга “, за да бъде поправен. Нужно е обаче да има механизъм, който пази сходни доброжелателни докладчици от вероятно правосъдно гонене поради обстоятелството, че са се „ разровили “ в нечия ИТ система и са я „ хакнали “, акцентира Миглен Евлогиев.

Подобна правна регулация у нас не съществува публично. В момента се работи взаимно с правоохранителните органи по дефинирането на сходни правила. Очаква се принос за одобряването на положителната процедура да има и положителното схващане, което ИТ общността среща в лицето на министъра на електронното ръководство у нас.

Стимулиране на виновното „ хакване “

За организациите, които поддържат и развиват разнородни ИТ системи, привличането на етични хакери е мощен инструмент за инспекция на ИТ сигурността, разкриване на недостатъци и уязвимости и тяхното поправяне. Затова отделите по инфосигурност имат интерес да провеждат процедури по „ отговорно докладване “.

Налице са разнообразни благоприятни условия за сходен жанр инспекция. Един от тях е поддържането на политика на възнаграждаване на всеки външен етичен хакер, който рапортува за сериозен проблем в наличните софтуерни системи. Друг вид е от време на време да се провеждат акции за „ тестване за пробиви “. Двата метода имат разнообразни преимущества. Например, поддържането на непрекъсната политика на възнаграждаване за етично хакване значи, че на процедура тестването на сигурността е непрестанен развой, безграничен във времето – до момента в който акциите обгръщат единствено избрани интервали. От друга страна акциите за „ тестване за пробиви “ са приет способ от процедурите за оценяване и узаконяване на осведомителната сигурност в организациите.

При всички случаи възприемането на етичното хакване като част от арсенала от принадлежности за повишение на сигурността е доста скъпо за огромните организации и държавните администрации. То понижава риска от приключване на данни, което може да има тежки последствия. Редуцира се и потребността от докладване на пробиви – нежелана обстановка за всички типове бизнеси.

За да улесни виновното докладване, организацията може да помогне на етичните хакери. Това може да стане, като вгради на разнообразни места в своите софтуерни платформи „ записка “ – текстов файл, известяващ възможния етичен хакер по какъв начин да се свърже с отдела по осведомителна сигурност и по какъв начин да рапортува за открита неправда.

Етичното докладване като кариерен ход

Освен, че е мощен инструмент за осведомителна сигурност, етичното хакване е и скъп кариерен ход. Това е отлична опция за младите, будни и надарени хора да се показват като експерти по осведомителна сигурност на високо равнище и с огромен капацитет. Съществува даже практиката да се дават „ рефенренции “ за етичните хакери от организациите, на които те са помогнали. Това са са самобитни рекомендации, които засвидетелстват професионалните умения и високите морални качества на надарения експерт. При кандидатстване за работа тези рекомендации следва да се четат като високи оценки за професионализъм и нравственост по едно и също време.

За организациите, които търсят хора за своите отдели по осведомителна сигурност, сходни референции са скъп знак за цената на претендента.

Невъзможност за фишинг докладване

Като проблем за общността на етичните хакери по време на първата среща от линията CyberSecurity Talks Bulgaria се очерта невъзможността за докладване на случаите на фишинг.

Обичайно при фишинга злоумишлен състезател употребява името или марката на известна компания, с цел да подведе необятен кръг онлайн консуматори да дават скъпа информация – банкови или разплащателни данни или пък пароли и кодове. Най-често това става посредством лъжливи електронни писма. Компанията, чието име или марка бива употребявано, може и да не подозира, че хиляди хора получават лъжлив писма от нейно име.

Специалистите по осведомителна сигурност и запалянковците в региона са склонни да рапортуват на засегнатите компании. Това е значимо, с цел да може компанията, с чието име се злоупотребява, да реагира навременно – да оповести казуса, да предизвести клиентите си, да излезе с обществено изказване – и в последна сметка да защищити колкото се може повече хора от риска да бъдат подведени.

В множеството случаи обаче сходно докладване е мъчно или невероятно. Дори когато се получи сполучливо, компаниите не знаят по какъв начин да реагират.

Нужно е да се откри процедура, самобитен „ стандарт “ за уведомяване на фирмите, когато онлайн-измамници употребяват фирмените марки за фишинг, единомислещи бяха гостите на първата среща на CyberSecurity Talks Bulgaria.