В САЩ получаваш награда, ако откриеш пукнатина в компютърна система, у нас - затвор
Спас Иванов, управляващ директор в Baseline Cyber Security, "Бизнес старт", 09.04.2021
Обновен: 12:17 | 9 април 2021
Киберсигурността на държавния сектор не е уредена добре. Основните спънки са заложени в норматвината уредба. Това стана ясно от участието на експерта по киберсигурност Спас Иванов, директор на Baseline Cyber Security, в предаването „Бизнес старт“ с водещ „Христо Николов“. Той даде пример с новия портал на НАП.
"Порталът изглежда добре, използвани са модерни платформи, написан е на модерен език, но това не е гаранция за нивото на защита, предупреди експертът. Той допълни, че не може да коментира сигурността на страницата на НАП, защото не я е тествал.
"Ако тръгнем да тестваме защитата й, много вероятно е да свършим в ареста. Въпреки че бихме могли да намерим евентуални пропуски и да ги докладваме по надлежния ред и това да доприненсе за подобраваето на сигурността на НАП. В САЩ има подобна практика, нар. bug bounty – при която ако се открие и докладва проблем, се получава заплащане."
Ограниченията по думите му идват от законовата рамка у нас.
"Наредбата за минималните изисквания за информационна сигурност за държавния сектор от 2019 г. е добро начало, но прилагането й по места започна да се изражда в политикономическа ситуация, в която се намеси държавният оператор “Информационно обслужване“, който е на входа и изхода на всяка мярка. Дадоха се абсурдно кратки срокове на общини, болници и др. организации, които преди имаха много слаба подготовка, да наваксат всичко за 4 месеца. Това нормално се случва за 3-4 или 5 години."
Според Иванов фокус на наредбата трябва да е публично-частното партьорство. И компаниите, които имат опит и ноу-хау да съветват държавните институции. А не всяка организация да се спасява, както може.
Той коментира още, че киберпрестъпността и киберпространството имат сходни характеристики с пандемията от Covid-19 и трябва да бъдат непрекъснато тествани и наблюдавани.
"Иначе бизнесът няма да оцелее в тази враждебна среда. За да стане това, компаниите трябва да са под постоянен мониторинг на сигурността, т.е. периодично тази сигурност да се проверява. Сигурността не на хартия. Тя не е политики и процедури. Те помагат безспорно, за да знаят хората какво да направят, да имат план и разпределени отговорности, но като цяло – това е само началото. От там започва изграждането на пирамидата на сигурността, а нейният връх е постоянният контрол и реакцията в реално време".
Иванов допълни, че услугата "мониторинг на сигурността" е слабо популярна в България, макар че в Западна Европа – е нещо като санитарен минимум, за бизнеси като фитех застрахователи, електронни търговци. Той поясни, че в основата на всяка добра киберзащита днес са системи с изкуствен интелект и машинно обучение. И колкото повече споделено познание има в даден сектор, което е специфично за държавата, сектора или региона и неговите заплахи, толкова по-ефективни са мерките.
„Когато частният бизнес стигне до извода, че няма възможности да поддържа собствени екипи по киберсигурност и да се бори с нарастващите заплахи, аутсорсва тази дейност към други страни, които имат много клиенти и могат да реагират превантивно“, обясни експертът. По думите му подобно споделеното познание е много важно.
Целия разговор гледайте във видеото.
Всички гости на предаването "Бизнес старт" гледайте тук.