Банкеръ Daily

Финансов дневник

За да не вкарваме сами кибер вълка в кошарата

Бизнесът вече разполага с Буквар по киберсигурност

Ева Майдел и Ива Ташева представиха наръчника за киберсигурност.

Българският малък и среден бизнес вече разполага с наръчник за киберсигурност. Документът съдържа практически полезна информация за повишаване на сигурността му, както и мерки за предотвратяване на основните киберрискове. Според проучване на Европейската агенция за киберсигурност около половината от бизнесите в Европа биха фалирали, ако станат жертва на кибератака.

 

Наръчникът е иницииран от българския евродепутат Ева Майдел и е създаден от топ експерти по киберсигурност. Той е свободен за ползване и разпространение и може да бъда изтеглен от интернет страницата на Ева Майдел. Именно тя е  докладчик за Европейската народна партия в Европейския парламент по ревизията на Директивата по киберсигурност (NIS2).  

Документът беше представен онлайн на дискусия с участието на Левон Хампарцумян, председател на Българския форум на бизнес лидерите, Георги Шарков, ръководител на лаборатория по киберсигурност в "София Тех Парк" и директор на Европейския софтуерен институт ЦИЕ, и на автора Ива Ташева. В събитието се включиха представители на основните бизнес асоциации и браншови организации в България.

Констатирано е, че около 85% от представителите на дребния бизнес се страхуват от кибератаки и мислят, че може да имат сериозен проблем, 59% смятат, че при масирано враждебно действие може да фалират. Всеки трети пък е бил атакуван през последните 5 години.

Тази европейска действителност описа при представянето на наръчника Ива Ташева, автор на документа, съосновател и ръководител на киберсигурността в CYEN, семейна микроконсултантска компания. Форумът се проведе на 10 ноември и се предаваше на живо във Фейсбук.

През миналата година загубите заради киберпрестъпността в света надхвърлят 1 трлн. долара, което се равнява на БВП на Турция”, каза Ташева, която е член на Ad-Hoc работната група на ENISA (Европейската агенция по киберсигурност) и член на управителния съвет на DPO Circle (общност от професионалисти в областта на GDPR и сигурността на данните). От друга страна за защита на системите през 2019-а са похарчени 55 млрд. долара, а за тази година за киберсигурност ще се хвърлят още 60 млрд. долара, добави тя.

Ташева изтъкна, че пробивите на хакерите са свързани не толкова с нивото на технологичната защита, колкото с неадекватните действия на хората. Именно в това е ролята на наръчника – да очертае добрите практики, които трябва да се спазват в името на сигурността. „В 90% от случаите кибератаките са резултат на човешка грешка”, каза тя. Затова наръчникът е насочен не към IT отделите и техните експерти, а към мениджърите и редовите служители. Майдел я подкрепи с призив за по-голяма киберхигиена.

Левон Хампарцумян призова да се преборим с нашата кибернаивност, което според него значи – с неопитността и липсата на рефлекс към опасностите и небрежност и прибързаност на реакциите. Той даде за пример община в България, която хакерите завлекли с около 50 хил. лв., което било сериозна част от бюджета й. Това станало с решаващата „помощ” на счетоводителките, на чийто компютри грижливо били написано паролите и ПИН кодовете за влизане в системата. „Това е все едно да си оставиш портфейла на пейка в парка”, пошегува се той.

Георги Шарков призова „да заключим входната врата”, вместо да слагаме допълнителни врати и ключалки, за да не се допускат погрешни човешки действия, които да улесняват киберкрадците. В последно време излезли на мода кражбите чрез вклиняване във веригите на доставки – престъпниците пращали подобия на оригинални фактури за осребряване. 

Участниците в дискусията се обединиха около тезата, че киберсигурността е общо дело и първата стъпка в тази насока е информираността.

Необходимо е създаването на Европейски консултативен орган за МСП, който подобно на националния консултативен орган за публичните и обществени услуги, да подготвя политики и конкретни мерки за подобряване на киберсигурността на МСП. ENISA поема тази роля до голяма степен, но за да бъде в позиция да предлага ефективна и навременна подкрепа за сигурността на МСП, ENISA трябва да развие допълнителни дейности. Тези дейности са основно:


  • Подготвяне на обучения за МСП за разработване на политики за киберсигурност, за управление на риска, за управление на инциденти и кризи, както и технически обучения свързани със специфични мерки за киберсигурността (например, мрежова сигурност, управление на достъпа до информационни активи, защита на лични данни, обучения за персонала).

  • Създаване на Европейски публичен регистър на експертите по киберсигурността. Това се мотивира с нуждите на МСП от консултации с експерти в областта на киберсигурността, правото, управлението на инциденти и кризи, и технически експерти, но идентифицирането на нужните експерти и осъществяване на връзка с тях изисква време и знания. Този регистър може да е единен европейски или да централизира мрежа от национални регистри за киберексперти.

  • Откриване на "гореща линия" за киберсигурността на МСП за случаите, когато МСП имат нужда от съвет за справяне с конкретен проблем или инцидент. ENISA трябва да подпомогне МСП действайки като “бърза помощ“ (при случай на инцидент или криза) или като общопрактикуващ лекар за останалите случаи чрез идентифициране на специалистите, към които МСП трябва да се обърне за помощ и насочване към Европейски публичен регистър предложен по-горе.

  • Насърчаване и предоставяне на необходимите материали за ежегодни кампании за киберсигурност и кибер хигиена в страните членки на ЕС. използвайки своята експертиза и икономии от мащаба, би било най-разумно ENISA да подготвя промоциални материали и кампании, които да бъдат превеждани и разпространявани от националните органи в съответната държава. Това е единственият възможен засега начин, с наличните човешки и финансови ресурси за киберсигурността в Европа, да се осигурят ефективни кампании и материали, за да обхванат всяка част от обществото (от детската градина до пенсия).

  • Насърчаване на създаването на Европейски секторни центрове за обмен и анализ на информация (European Information Sharing and Analysis Centre - ISAC) по примера на тези създадени за сектор енергетика, финанси, жп и морски транспорт. Поради нарастващия дял на инциденти с киберсигурността и/или сравнително ниско ниво на защита, приоритетни сектори трябва да са: здравеопазване, промишленост, облачни услуги, телекомуникации, туризъм.

Важно е по-малките фирми, които не могат да си позволят ресурсите на една голяма корпорация, да имат достъп до добри съвети за защита на техния бизнес, допълни той. Пострадалите вече знаят колко е важна кибесигурността, но другите може би са малко небрежни. Нужно е да се спазват най-елементарните правила, за които не трябва специален софтуер, защото лошите обикновено не са доктори на науките, а обикновени хора, които просто гледат да се възползват от наши грешки, посочи Левон Хампарцумян.

Неслучайно в наръчника е отделено специално място на видовете кибер посегателства и способите за справяне с тях. Посочени са емблематични случаи от действителността като акцентът е върху допуснатите грешки, които просто канят вълка в кошарата.

Facebook logo
Бъдете с нас и във