Сигурност

Bynet 2017: Изтичането на лични данни ще носи солени глоби на фирмите

Владимир Владков

Владимир Владков

Доскоро загубата или кражбата на данни от корпоративните ИТ системи носеха редица рискове за организацията, особено за реномето на компанията, когато (ако) подобен инцидент, свързан с ИТ сигурността, стане известен публично. През последните 2-3 години сливането на физическия, реалния свят с виртуалната област на компютърната мощ, приложенията и софтуера в една нова, хибридна реалност носи както ползи за бизнеса, така и нови рискове.

„Днес сме свързани през цялото време, всичко е „включено“, от всяко място и устройство мога да изпратя писмо до детето, финансово нареждане до банката, презентация до офиса. А доскоро част от тези дейности ставаха само зад заключената врата на работното помещение. И се налага всеки ден да се питаме дали дейността, която извършваме, е добре защитена, проверките да са автоматизирани и прозрачни, за да не се спъва бизнесът“, заяви Меир Абaрджел, директор отдел „Киберсигурност“в Bynet Израел, по време на конференцията за израелски технологии за киберсигурност. Тя бе организирана от Bynet и Европейски софтуерен институт – Център Източна Европа в Лабораторията по киберсигурност в София Тех Парк.

Bynet e най-големият системен интегратор в Израел с оборот от над $200 млн. Поделението Bynet Security работи с редица партньори, много от които са израелски фирми (общо над 350 днес). „Всеки продукт на пазара е създаден с мисъл за сигурността. Основният фокус на компаниите е и организациите да са сигурни и защитени, и човешките същества“, каза още Абaрджел.

„Когато говорим за сигурност, целият свят се учи от Израел, те имат най богат опит. Това важи и за кибер сигурността. Когато там се прави проект, първо се мисли за защитата на изгражданата система и едва след това започва да се прави“, заяви Марио Радуков, регионален мениджър за България на Bynet.


Bynet 2017: Изтичането на лични данни ще носи солени глоби на фирмите

© Владимир Владков, Computerworld.bg

„През 2017 г. дигиталните плащания в Интернет ще са на стойност $2,7 трилиона, а през 2021 г. техният обем ще се удвои до над 5 трилиона долара. Трябва да бъдат защитени не само тези транзакции, а и структурите, които оперират с тях, приложенията, които ги ползват, фирмите, които извършват такива плащания. В кибер сигурността трябва да печелим битки, но войната с „лошите“ никога не свършва, това е непрестанна борба между по-добрите технологии за защита и по-организираните методи на атака към инфраструктурата, която защитаваме“, допълни той. Партньорите на Bynet като Radware, Skybox, SASA Software, Safend, CyberBIT, CyberReady, Portnox, Promisec и Check Point демонстрираха и на практика своите системи, обяснявайки в детайли техните възможности.

Д-р Георги Шарков, директор на ESI Center Източна Европа и ръководител на Лабораторията по киберсигурност, допълни, че това е първото публично събитие в Лабораторията по киберсигурност. „Клиентът не задава изискванията за сигурност, работа на професионалистите, които създават софтуерните системи, е да ги направят устойчиви на кибер заплахи“, каза той. Подобни завишени изисквания за устойчивост към развитието на системите за е-управление и прилагане на модела „дизайн за сигурност“ при разработката на нови системи вече са включени в Националната стратегия „Киберустойчива България 2020“, приета от Министерския съвет през лятото на 2016 г. „Голяма част от изискванията са заложени „на хартия“, но трябва да се изпълняват“, каза д-р Шарков. Той добави, че новата европейска директива, която влиза в сила през май 2018 г., въвежда много по-строга регулация за защита на личните данни, както и огромни санкции при нарушаването й.


Bynet 2017: Изтичането на лични данни ще носи солени глоби на фирмите

© Владимир Владков, Computerworld.bg

„Документите на ЕС не само отразяват формално тенденциите на цифровото общество, каза д-р Шарков. - В България вече работят над 50 е-услуги, а чрез новата агенция ДАЕУ се надяваме процесът да стане още по-организиран. Освен това 30 услуги към бизнеса са само дигитални, т.е. не съществуват на хартия, а това означава и голяма отговорност за бизнес хората, които всеки месец поддържат „дигитални отношения“ с НАП, Агенция Митници и други. Очевидно сигурността по всички тези канали не означава само защита на информацията или само на каналите за преноса й.“

„От доста време говорим за 14 слоя (не само за стандартния 7-слоен OSI модел), които включват идентичност на хората, машинните езици, операционните системи, организациите, държавата и други. По-важно е, че в тези слоеве са нашите услуги, нашите комуникации, нашата оперативна съвместимост, но там са и заплахите, насочени срещу всички тези слоеве. За да се видят всички тези сценариите в тази лаборатория ще създаваме симулационни постановки, които да показват как действат заплахите на практика и какви решения за противодействие има“, обясни д-р Шарков.

„Според европейската директива при всяко изтичане на лични данни администраторът има само 72 часа, за да докладва проблема на националния регулатор, освен ако може да докаже, че изтеклите данни са криптирани, поясни Бруно Шателие от Safend, компания на SuperCom. - Ако администраторът не изпълни разпоредбите на директивата, глобата е до 10 млн. евро или 2% от оборота, която от двете санкции е по-голяма. При нарушение на разпоредбите на контролния орган имуществената санкция достига до 20 млн. евро или 4% от оборота на групата (ако организацията нарушител е част от по-голяма международна група“, добави Шателие.

Хибридни рискове, хибридна защита

„В миналото беше трудно да се събира информация, а сега това става за секунди. Интернет на нещата прави още по-труден живота на ИТ професионалистите. Зависим от технологиите през цялото време, цялата държава и нейните структури се управляват от ИТ системи. В редица сектори обаче системите са правени преди години и не са „мислени“ за кибер защита, добави Абaрджел. Слабостите в системите могат да се поправят, но хората остават най-слабата брънка във веригата на сигурността, всеки служител представлява потенциален риск, независимо дали действа с умисъл, бива подведен или сгреши случайно. А нападателите отдавна не избират случайни мишени, не следят кой е най-лесно атакуем. Те събират данни, много данни, и могат да чакат с месеци, за да се сдобият с необходимите им „права за достъп“. Не им се налага да влизат физически в центъра за данни, атакуват човек с подходящите привилегии, копират паролата му и са „вътре“, обясни той. ИТ сигурността ще се управлявана от все по-малко хора, с по-автоматизирани средства и оценка на риска от всяка операция. „Трябва да мислим в национален мащаб, да инвестираме пари и усилия в управление на риска“, добави той.

Кибер сигурността е достигнала повратна точка

и като сложност, и като честота на атаките - днес те се по няколко на ден, допълни Еран Данино, старши специалист по киберсигурност в Radware. Хакерската общност знае, че компаниите слагат все по-ценна информация в мрежата (включително в социалните мрежи ) и я използват. Атаките стават все по-зрели и причиняват все по-големи щети. А средствата за атака – по-достъпни. „Можеш да си поръчаш пакет DDOS атака и за $20, или да си купиш пакет за $999, с който да нападнеш избрани мишени със стотици гигабити трафик в продължение на няколко дни“, каза той.

Мотивация номер 1 за атаките е получаването на откуп, като това важи особено за Европа, показва годишният доклад на компанията за тенденциите в ИТ сигурността за 2016 г. „SSL базираните атаки растат с 10%, като само 25% от фирмите са подготвени за тях. Публичните организации и финансовият сектор се сблъскват с най-голям брой атаки. В същото време респондентите споделят, че загубата на данни е по-опасна от нарушената репутация на фирмата, а непрекъсваемостта на бизнеса е с по-висок приоритет за тях от ръста на приходите. Петата отчетлива тенденция е създаването на бот мрежи от IoT устройства, които вече атакуват сървърите с поток от 1 Tbps „напълно легални“ заявки.


Bynet 2017: Изтичането на лични данни ще носи солени глоби на фирмите

© Владимир Владков, Computerworld.bg

Над 98% организации признават, че са били атакувани през 2016 г., като 34% от фирмите са нападнати с DDOS атака. 49% в европейските фирми са атакувани от криптовирус или DDOS, което ги превръща в реална голяма заплаха и за организациите от отбраната, държавните структури, здравните заведения, каза Данино.

Мащабните атаки се откриват лесно и борбата с тях се води на „международно ниво“, по близо до източника. Но 83% от организациите страдат от атаки под 1 Gbps, а при 82% от тях интензитетът е дори под 100 Mpps, но това се отразява негативно на потребителското изживяване. „Корпоративните клиенти купуват нови сървъри, устройства за разпределение на натоварването и друго оборудване, без реално това да води до повече бизнес услуги и приходи“, обясни Данино.

Radware препоръчва да преминете към автоматизация, средства за оперативна автоматизация на процесите. Трябва да се подготвите за IoT “торнадото“, да опознаете врага- каква му е мотивацията, какви техники и инструменти използва, можете дори да наемете хакер. Важно е и да създадете план за реакция при спешни случаи (Emergency Response Plan)“, обясни Еран Данино от Radware.

ЕС регламентът препоръчва криптиране на личните данни

Регламент (ЕС) 2016/679 за личните данни на физическите лица , който заменя Директива 95/46/EО (общ регламент относно защитата на данните), влиза в сила на 25 май 2018 г. „Целта му е да защити фундаменталните права и свободи на хората, да защити техните лични данни, но без да ограничава свободното движение на подобни лични данни в рамките на страните от ЕС", каза Бруно Шателие от Safend.


Bynet 2017: Изтичането на лични данни ще носи солени глоби на фирмите

© Владимир Владков, Computerworld.bg

В същото време понятието „лични данни” е доста широко, тъй като включва всяка информация, свързана с идентифициране на физическо лице - чрез идентификатори като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци. Физическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложения, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например RFID етикети. “По този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информация, получена от сървърите, може да се използват за създаването на профили на физическите лица и за тяхното идентифициране. При регистрацията на една е-поща също се събират множество лични данни“, коментира той. Всеки администратор поддържа регистър на дейностите по обработване на личните данни (има известни изключения за фирми с под 250 служители).

Същевременно администраторите на тези данни трябва да предвидят технически и организационни мерки за сигурността на обработката, включително псевдонимизация и криптиране на личните данни; както и гарантиране на постоянна поверителност, цялостност, наличност и устойчивост на системите и услугите за обработване. „При пробив в сигурността и изтичане на личните данни, администраторът трябва да докладва за проблема на националния регулатор (Надзорен орган според Регламента) в срок до 72 часа. Освен това всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушението, има право да получи обезщетение. „Това означава, че служител, който е загубил на летището USB стик с лични данни за служителите, може да поиска компенсация от компанията. Получава се Параграф 22, каза Шателие. - Ако обаче изтеклите данни са криптирани, администраторът може и да не докладва“, допълни той.

Шателие показа нагледно как би действал новият регламент с няколко измислени примера. „Отдел в Столична община например съхранявани лични данни за гражданите и техните адреси, обяснява той. - Откраднат е лаптоп, който съдържа много детайли за гражданите. Администраторът на общината обаче не докладва на Надзорния орган за проблема, а по-късно лаптопът е намерен от полицията. Според регламента, Надзорният орган глобява Столична община с 5 млн. евро. Ако обаче се ползва решението Encryptor, всички лични данни в твърдия диск са криптирани и не могат да бъдат прочетени. В този случай администраторът не е длъжен да докладва за пробив в сигурността. Ако Надзорният орган поиска от общината доказателство, тя може да покаже лог за криптирането на диска“, допълни Шателие.

При друг симулиран случай щатска банка с клонове в ЕС не докладва за загубен USB стик. „На него примерно се съхраняват IBAN номера на европейски граждани. Администраторът на банката в европейския клон на банката в Ирландия докладва на ирландския надзорен орган, който нарежда на компанията да спре целия си бизнес в ЕС, да плати глоба 30 млн. евро и по 30 хил. евро на всеки засегнат гражданин. Решението е криптиране не само твърдия диск, а на всички външни медии, обясни Шателие.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X