Сигурност

Дейв О'Рейли: Често не се спазват елементарни мерки за сигурност

Computer World

Дейв О'Рейли е международен експерт по информационна сигурност и противодействие на киберпрестъпленията, който пристигна в България за среща (затворена за журналисти) на тема създаване на Система за ранно реагиране за киберзаплахи. Той е инициатор на създаването на подобна система за ранно реагиране за ирландския банков сектор.

Целта на събитието бе да представи успешни европейски примери за съвместни инициативи на правоохранителните органи и финансовия и банковия сектор. На нея участваха още представители от ГДБОП-МВР и Международната академия за обучение по киберразследвания.

Какви са последните тенденции в двете области – заплахите и защитата от тях?

От гледна точка на обикновения клиент една от най-сериозните заплахи са т.нар. криптовируси (ransomware). Накратко този зловреден софтуер възпрепятства достъпа до документи и други файлове, като ги шифрова. След това престъпниците искат неколкостотин долара, за да ги декриптират.

От техническа гледна точка тези заплахи са особено предизвикателни. Необходими са знания, чрез които да се различи нормалното потребителско поведение от това на криптовируса. Затова най-добрата защита е вниманието – да не се отварят приложени файлове към съмнителни съобщения по е-пощата и да се разполага с обновен антивирусен софтуер.

Налице са и други области, които са предизвикателства по отношение на сигурността - една от тях са облачните системи. Предимствата на публичните облаци са ясни – предлагат спестявания и надеждност. От друга страна обаче, вашата информация вече е някъде в интернет и може да е буквално навсякъде по света.

Налице е ръст при т.нар. насочен фишиг (spear phishing). Традиционните фишинг атаки представляват разпращане на огромен брой съобщения по електронната поща, разчитайки че няколко процента от получателите ще кликнат върху заразената връзка или заразения прикачен файл. При насочения подход на мушка се взима определен човек и се съставя съобщение, което той би сметнал за убедително. Мишени биха могли да бъдат финансови директори, имащи достъп до корпоративни банкови сметки.

Не на последно място, в тази сфера влиза и Интернет на нещата. Ако в бъдеще вашият климатик, лампите, алармената инсталация, компютърът и т.н. са свързани с интернет, то определено ще имаме проблеми по отношение на сигурността на всичко това. Един от сценариите в тази насока - хладилникът ви може да следи какво има в него и да ви напомня, ако ви свършва сиренето. Това означава, че битовата техника трябва да е оборудвана с малки компютри, които боравят с потенциално лична информация.

Що се отнася до втората част на въпроса, необходимо е хората да са по-информирани за това как да се защитават. Трите основни съвета за защита онлайн са: антивирусен софтуер; не кликайте върху прикачени файлове, за които не сте сигурни от кого са, не употребявайте една и съща парола навсякъде. Ако една и съща парола се използва за спортен форум и банкова сметка, то това определено е риск. Какво би станало, ако форумът бъде хакнат? Не че при банковата система това е невъзможно, но очевидно системите за сигурност са различни.

Именно затова когато чуем за хакнати банки, най-често става дума за хакнати потребители, поне в повечето случаи. Обикновено това става чрез заразяване на потребителския компютър със зловреден софтуер или сдобиване с паролата по друг начин. Затова финансовите институции се стараят да предоставят технологии за използване на онлайн комуникационния канал, дори ако не вярват на компютъра, от който потребителят достъпва системата. Мобилните приложения са добро решения в случая, защото средата е по-контролирана. Друго решение е двуфакторната автентикация, при която потребителят освен име и парола въвежда и допълнителен код. Последният може да идва от токън устройство или може да е преписан от 10-ия ред от напечатана таблица със символи.

Насоченият фишинг не означава ли вътрешна атака? Все пак за да таргетираш нещо лично до някого, трябва да го познаваш...

Далеч не е задължително. Много компании публикуват на своите сайтове информация за ръководния екип. Оттам всеки може да види името на финансовия директор. Още един пример – стоковите борси са задължени да публикуват информация, която също може да бъде използвана за фишинг атаки. Често споменаването на имената и компанията в писмото е достатъчно. Като допълнителен контекст може да се използва някоя партньорска фирма, например името на интернет доставчика, което да стане “подател”. Всичко това, опаковано като е-писмо за неплатена сметка за дадена услуга например, изглежда достатъчно убедително.

Т.е. не е трудно да бъде съставено писмо, което да звучи правдоподобно. Защитата отново е в нещата, които вече описах.


А какво могат да направят компаниите, така че да защитават информацията на клиентите си?

Зависи от компанията и информацията, с която тя оперира, но при всички случаи основните правила важат и тук. Всъщност практиката показва, че често именно тези основни неща не се спазват и точно тук е проблемът.

Разбира се, говорейки за цели организации, няма как да синтезираме всичко в няколко правила. Налице са обаче стандарти, насочени именно към тази сфера – например ISO 27001 или ISO 27002. Погледнати отстрани, те изглеждат много сложни, но всъщност организират всички съвети и добри практики. Те включват неща като физическата сигурност – все пак няма значение колко добра е паролата ви, ако някой просто ви открадне компютъра. Много фирми нямат подобни политики.

Опазването на потребителската информация е нещо много важно за компаниите. При плащанията с карти например стандартът се казва PCI DSS (Payment Card Industry Data Security Standard) и регламентира как трябва да бъдат съхранявани подобни данни. Ако дадена фирма не следва тези правила и бъде хакната, са предвидени глоби. Има компании, които са излизали от бизнеса след подобни случаи, тъй като залог е и репутацията на дадената организация.

Какво мислите за планираната Система за ранно предупреждение за кибер заплахи за финансови институции, която е част от проекта за създаване на Български кибер център по компетентност за обучение и изследвания?

Идеята несъмнено е добра. Причината е, че финансовите институции често са обект на атаки. За повечето хора днес връзката с тях е чрез банковите карти и чрез онлайн банкирането. Т.е. става дума за дигитални канали. Същевременно сферата на киберпрестъпленията е много динамична. Затова банките достигат до извода, че ако споделят технически детайли за атаките, които изпитват, то останалите в сектора имат възможността да се подсигуряват предварително. В крайна сметка една подобна стратегия може да доведе до ситуация, в която престъпниците ще гледат на България като на непривлекателно място.

В същото време обаче много компании считат темата за ИТ сигурността за особено деликатна и дори крият информация за успешни атаки, опасявайки се, че това може да повлияе на техния бизнес...

Това е така, но ще дам няколко контра аргумента. Първият е, че според закона всякакви опити за незаконен достъп до данни трябва да се докладват, независимо дали са били успешни.

Налице са обаче случаи, когато няма проблем със защитите, но въпреки това има хакване. В случая с банките, както казах, най-често биват хаквани не самите финансови институции, а техна’е клиенти. Много компании считат, че те не носят отговорност за подобни случки.

В същото време споделянето на информация подобрява сигурността в целия сектор и именно това е целта на въпросната Система за ранно предупреждение за кибер заплахи.

Това не е ли измиване на ръцете? Често потребителите не знаят за рисковете, тъй като например работата им е свързана със съвсем друга сфера.

На първо място трябва да се знае, че нито една защита не е перфектна. Прехвърлянето на вината в случай на проблем не е решение за никого. Ако нечия сметка бъде изпразнена, то както нейният собственик, така и банката са заинтересовани да разберат какво точно се е случило. Мисля, че и тук отново стигаме до идеята, че трябва да работим заедно с цел повишаване на сигурността.

Сигурността в интернет става все по-важна тема, особено имайки предвид безкешовото бъдеще, което ни очаква. Как виждате развитието в тази посока?

Предимства от елиминирането на разплащанията с физически пари са много. На първо място безкешовите операции излизат много по-евтино. Друго предимство е затрудняването на т.нар. сиоа!икономика. Ако хората използват електронни начини за разплащане, то цялата икономика става по-прозрачна.

Един от основните проблеми на безкешовия свят е сигурността. Трябва обаче да се знае, че дори да се случи измама, то тези пари отиват някъдзh– ще бъдат прехвърлени в нечия банкова сметка.

В същото време използването на безконтактни плащания елиминира рисковете от т.нар. скиминг. Проблемът с магнитните ленти на банковите карти е, че тази информация эоде да бъде използвана отново. При безконтактните плащания няма как да бъде прихваната информация, с която да бъде извършена нова транзакция.

Как гледате на сигурността при мобилните устройства?

На мнение съм, че мобилното банкиране предлага много високо ниво на сигурност. Има и рискове, ако например потребителите сами модифицират устройствата си (т.нар. jailbreaking). При всички положения обаче мобилните устройства предлагат контролирана среда, инсталира се софтуер от надеждни източници, обновяванията саҐввтоматични и т.н. Всичко това допринася за сигурността.

SIM картите, които се използват в мобилните комуникации, на практика са като чиповете в банкоглте карти. Това означава, че е възможно да се постигнат идентични нива на сигурност при плащане със смартфона.

Това, че мобилната среда е по-контролирана, не е ли временно явление, все пак сферата е относително млада. Занапред все повече хощ  ще модифицират сами устройствата си, както се случи с компютрите.

Мисля, че сигурността при мобилните телефони „научи“ много от компютрите. Един от тези уроци е внедряването на системи като тази, която доведе до проблеми с iPhone устройства, които се оказаха неизползваеми след подмяна на четеца за пръстови отпечатъци. Мисля, че този казус не бе представен достатъчно добре от медиите. Apple са реализирали система, която възпрепятства подмяната не критични за сигурността компоненти.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X