Бизнес старт

Всеки делник от 7:30 часа
Водещи: Роселина Петкова и Христо Николов

В САЩ получаваш награда, ако откриеш пукнатина в компютърна система, у нас - затвор

Спас Иванов, управляващ директор в Baseline Cyber Security, "Бизнес старт", 09.04.2021

11:57 | 9 април 2021
Обновен: 12:17 | 9 април 2021
Автор: Виргиния Стаматова

Киберсигурността на държавния сектор не е уредена добре. Основните спънки са заложени в норматвината уредба. Това стана ясно от участието на експерта по киберсигурност Спас Иванов, директор на Baseline Cyber Security, в предаването „Бизнес старт“ с водещ „Христо Николов“. Той даде пример с новия портал на НАП.

"Порталът изглежда добре, използвани са модерни платформи, написан е на модерен език, но това не е гаранция за нивото на защита, предупреди експертът. Той допълни, че не може да коментира сигурността на страницата на НАП, защото не я е тествал.

"Ако тръгнем да тестваме защитата й, много вероятно е да свършим в ареста. Въпреки че бихме могли да намерим евентуални пропуски и да ги докладваме по надлежния ред и това да доприненсе за подобраваето на сигурността на НАП. В САЩ има подобна практика, нар. bug bounty – при която ако се открие и докладва проблем, се получава заплащане."

Ограниченията по думите му идват от законовата рамка у нас.

"Наредбата за минималните изисквания за информационна сигурност за държавния сектор от 2019 г. е добро начало, но прилагането й по места започна да се изражда в политикономическа ситуация, в която се намеси държавният оператор “Информационно обслужване“, който е на входа и изхода на всяка мярка. Дадоха се абсурдно кратки срокове на общини, болници и др. организации, които преди имаха много слаба подготовка, да наваксат всичко за 4 месеца. Това нормално се случва за 3-4 или 5 години."

Според Иванов фокус на наредбата трябва да е публично-частното партьорство. И компаниите, които имат опит и ноу-хау да съветват държавните институции. А не всяка организация да се спасява, както може.

Той коментира още, че киберпрестъпността и киберпространството имат сходни характеристики с пандемията от Covid-19 и трябва да бъдат непрекъснато тествани и наблюдавани.

"Иначе бизнесът няма да оцелее в тази враждебна среда. За да стане това, компаниите трябва да са под постоянен мониторинг на сигурността, т.е. периодично тази сигурност да се проверява. Сигурността не на хартия. Тя не е политики и процедури. Те помагат безспорно, за да знаят хората какво да направят, да имат план и разпределени отговорности, но като цяло – това е само началото. От там започва изграждането на пирамидата на сигурността, а нейният връх е постоянният контрол и реакцията в реално време".

Иванов допълни, че услугата "мониторинг на сигурността" е слабо популярна в България, макар че в Западна Европа – е нещо като санитарен минимум, за бизнеси като фитех застрахователи, електронни търговци. Той поясни, че в основата на всяка добра киберзащита днес са системи с изкуствен интелект и машинно обучение. И колкото повече споделено познание има в даден сектор, което е специфично за държавата, сектора или региона и неговите заплахи, толкова по-ефективни са мерките.

„Когато частният бизнес стигне до извода, че няма възможности да поддържа собствени екипи по киберсигурност и да се бори с нарастващите заплахи, аутсорсва тази дейност към други страни, които имат много клиенти и могат да реагират превантивно“, обясни експертът. По думите му подобно споделеното познание е много важно.

Целия разговор гледайте във видеото.

Всички гости на предаването "Бизнес старт" гледайте тук