В днешно време киберсигурността е ключов аспект за всяка организация, независимо от размера или отрасъла, в която функционира. В света на дигиталните технологии все повече се наблюдават различни видове кибератаки, които имат за цел да навредят на компютърните системи, данните и информацията на фирмите. Затова е изключително важно да се разбере как да се предпазим от тези заплахи и да се гарантира сигурността на компютърните системи. В тази статия ще разгледаме някои от най-важните аспекти на киберсигурността и ще предложим някои съвети за укрепване на сигурността на вашата организация.
Здравейте, г-н Мандаджиев! Можете ли да споделите какви са предизвикателствата пред сектора на cyber security?
Имам относително лесен отговор на този въпрос. Предполагам, че ще ви го дадат повечето хора, които са в този бранш. Най-голямото предизвикателство не е технологията. В момента на пазара има около 5000 различни софтуерни продукта свързани с киберсигурност. Тоест технологиите се развиват и става все по-добра и по-успешна.
Основният проблем е в осъзнаването на важността на киберсигурността в съвременния бизнес. Голяма част от обществото ни няма нужда от киберсигурност. Не го разпознава като критична зона, в която се инвестира време, усилия и финанси. Освен това широката публика не разпознава киберпрестъпността, като нещо сериозно, а просто като умни момчета и момичета, които си играят. За да не звуча прекалено песимистично, всъщност на държавно, европейско и корпоративно ниво мисленето вече се променя доста – създават се регулации, директиви, закони по отношение на киберсигурността. Изгражда се цялостното мислене за киберсигурност по цялата верига на доставки.
Сигурността по веригата на доставки е най-значимото нещо, което се е случило в киберсигурността през последните няколко години. Ако преди киберсигурността се разглеждаше предимно в рамките на конкретната бизнес организация , то сега обхватът е цялата екосистема и верига от доставки. В случай че искате да гарантирате своя продукт или услуга , вие трябва да обхванете цялата верига на доставки, която е ангажирана в този продукт или услуга.
Това за нас в България със сигурност ще промени доста начина на мисленето, към които ние се отнасяме към киберсигурността. Защото без съмнение печелившата индустрия в България е експертно ориентирана.
Най-голямото предизвикателство, пак ще го спомена, е липсата на осъзнатата нужда да бъде фокусирано усилие в тази посока. Виждаме го на най-различни нива. Ако трябва да бъда честен някой държави в Европейския съюз са малко по-напред в сравнение с нас. В България ние не обичаме превантивните мерки. Всичко е въпрос на промяна, узряване на начина на мислене. Така че фокусираното усилие в посока осъзнаване на проблема, е най-голямото предизвикателство.
Как една компания, която е обект на public relationship осъзнава нуждата от киберсигурност?
Ако отидете в един малък град в България и седнете на площада с една табелка „Аз съм експерт по киберсигурност“, колко хора ще ви обърнат внимание? Предполагам много малко. Но нека зададем друг въпрос – „Защо една компания трябва да инвестира в киберсигурност?“. Има няколко отговора. Първият, естествено е, за да гарантира своята сигурност. Един възможен отговор е, защото вие сте част от верига на доставка. Всяка една компания в едно или свое друго качество е част от верига на доставка. Респективно тя става по-конкурентно способна.
Когато една компания инвестира в киберсигурност, тя влага и в своя публичен имидж. Доколко тя, като организация се грижи за своите данни, за данните на своите клиенти, за промяната на своите процеси и т.н. Инвестициите в киберсигурност, са вложение в това как дадена компания се отнася към обществото. Ще дам един много прост пример. Вие няма как да изграждате добър имидж на една компания, ако тя си е неспособна да управлява поверените и от клиенти, служители и доставчици данни. Колкото по-голяма е една фирма, освен самия и бизнес, тя има и влияние върху обществото.
Вие как смятате – важно ли е българските компании да инвестират в киберзастраховки?
Разбира се! Но винаги има едно, но. Това че вие сте застрахован не означава, че когато нещо се случи, застраховката ще ви поеме всички щети. Тук е важно да се отбележи, че не говоря за материалните щети, а затова което споменах преди малко, а именно публичния имидж.
Има обаче един много добър страничен ефект от киберзастраховките, колкото и да звучи странно. Цената на киберзастраховките е в пряка зависимост от вашите вложения в киберсигурност. За нас това е още една добра причина да се погледне сериозно на цялата тематика. Представете си, че в къщи си поставите СОТ. Няма как да избегнете да не си сложите датчици, защото иначе няма да има смисъл. И по този начин вие самите си повишавате нивото на защита.
Има ли начин, по който фишинг атаките могат да бъдат предотвратени?
За съжаление нямам лесен отговор на този въпрос. Но ще се опитам да дам моята гледна точка. От една страна има доста съвременни продукти, който намаляват риска от фишинг. Технологията е изцяло в наша полза, което е чудесно. От друга страна, винаги в киберсигурността най-слабата точка е и ще бъде човека. Без значение колко и какви софтуери ще закупите и инсталирате, той винаги ще има възможността да направи тези софтуери безсилни, поради своето волно или неволно действие.
Едно от нещата, на които нашата компания силно залага, като част от целия ни бизнес модел, е концепцията за изграждане на оперативни процедури и знание за хората и служителите в комбинация с технологичните решения.
Ако погледнем това нещо на микро ниво ще видим, че най-големият проблем в една фирма що се отнася до хората в нея, независимо какви софтуери и защити притежава фирмата, е, че ако служителите нямат усещането, че техните лични данни и данните, които те притежават за компанията са важни, то тогава техническото решение приложено винаги ще бъде уязвимо. В основата на всяка сигурност стои управлението на риска и човешкия фактор без съмнение е ключов в този процес.
В съвременния свят, където фишинг атаките стават все по-интелигентни, най-малкото е необходимо да бъдем нащрек, когато ни се поискат лични данни или пароли. На едно голямо кибер събитие в София, генералния мениджър на една от водещите в бранша компании съобщи пред публиката, че от 10 имейла, той е успял да разпознае само 6 като фишинг. Тук говорим за топ професионализъм, какво остава за нас обикновените хора.
Какви съвети бихте дали на българските компании, за да се осигури тяхната безопасност онлайн?
Ще го кажа така. Важно е за една компания да знае какво може да направи вътрешно и какво не може, за да предпази себе си от потенциални рискове. Да вземем за пример това, че в нашата компания не си чистим офиса сами и не си осигуряваме електричество, защото не сме добри в тези области и има специализирани фирми, които го правят.
Първата стъпка в този процес е осъзнаване на проблема – както вече казах няколкократно. След това е важно да се разбере какво може да се направи вътрешно и какво може да се купи отвън. Третата стъпка е да се развият оптимални решения за размера и бизнес модела на компанията, а четвъртата е да се поддържат тези решения като константен начин на работа. Важно е да се направят фундаментални промени, които да се поддържат завинаги – киберсигурността е процес в постоянно развитие и управление , а не постигната статична цел.
ВИЗИТКА
Пламен Мандаджиев има над 20 годишен опит в ИТ бранша. Работил е в няколко компании – като се започне от такива с капацитет до 10 човека и се стигне до брандове с над 100 хил. служители. Заемал е различни позиции и се е занимавал както със стартъпи, така и с топ световни организации. С годините е имал възможността да натрупа богат и разнообразен опит – както в ролята на консултант или изпълнител, така и като мениджър. Една от предпоследните му позиции е била генерален мениджър на компания с 230 служители.
От 6 месеца заема длъжността „Director Strategy and Research” в компанията „Diamatix“, която се развива в областта на киберсигурността. Позицията му е фокусирана върху това как компанията може да открие за себе си нови продукти, услуги и пазари. Успоредно с това е част от екипа базиран в Ню Йорк финтех стартъп „Affinity Capital Exchange” като ръководител на технологичния екип, отговарящ за дигитална платформа и ИТ операциите.
ПРОЧЕТЕТЕ ОЩЕ... Няма изцяло защитен бизнес, но има по-малко рисков Какви са различните Блокчейн приложения и защо да направите инвестиция в тях? Как да изберем бъдещ работодател в технологичния сектор?