Банкеръ Daily

Инж. Ростислав Петров, председател на Българската асоциация на сертифицираните етични хакери, пред banker.bg

Всяка фирма и държавна структура трябва има подготвени специалисти по киберсигурност

Инж. Ростислав Петров е председател на Българската асоциация на сертифицираните етични хакери. Зад гърба си има редица признания за принос в киберсигурността на държавни и частни предприятия. Той е основател на „Cyber 360 Academy“, уникален проект с израелско ноу-хау.

Г-н Петров, успява ли държавата да си "стъпи на краката" след скандала с теча на лични данни от НАП?

- Дали успява да си стъпи на краката не мога да кажа, но са предприели мерки за действие. Откакто вицепремиерът Мариана Николова оглави Съвета за киберсигурност тя предприе много адекватни действия. Няма как изведнъж да се случат нещата, но важното е, че сме направили първата стъпка. И нещо се случва за разлика от предишни години, когато само се говореше, а нищо не се правеше. Обръща се много по-сериозно внимание на тези неща, откакто се случи течът на данни от НАП.  

Развива ли се публично-частното партньорство в битката срещу измамите в интернет?

- Както премиерът Бойко Борисов каза на един семинар през септември миналата година, държавата не може да отдели такива огромни средства за заплати на експертите по киберсигурност и в случая да привлече такива кадри. Точно поради тази причина започнахме публично-частното партньорство. Външни компании си сътрудничат с държавата от гледна точка на сигурност, защото е добре известно, че в частния сектор заплатите са много по-високи. 

В нашата академия Cyber360 обучаваме такива специалисти. И предлагаме всякакви обучения, които са или в структурите на държавна институция, или в частна фирма. С нашите израелски партньори създадохме една програма по киберсигурност, която няма аналог в целия свят. Първият й модул за повишаване на квалификацията е четиримесечен и е безплатен. Разполагаме с обучения за защита на мрежовата инфраструктура, за всички, които работят в дигитална среда, за служители на кибер отдели, за директори на службите, както и обучения по кибер разследвания, за управление на кризи, за сигурност на софтуера. 

Особено много зачестяват фишинг атаките. Доколко гражданите са образовани в сферата на киберсигурността?

- Това нещо не е от днес. От НАП, от кредитни институции се получават имейли, че дължим пари. Фишинг атаките са засилени от поне три-четири години. Даже и от моя имейл в момента върви фишинг. Получавам много обаждания от хора. Те винаги са с прикачен файл, а текстът е така структуриран, че да бъдеш стреснат, че дължиш пари и да го отвориш. Отваряйки файла, компютърът може да бъде заразен от вирус, да го използват като "ракетна площадка" за DDoS атаки. Възможно е да ти криптират важни файлове и после да ти искат откуп, да те наблюдават през компютъра ти. Вариантите за нападателя са много. 

Въпросът ви ме подсеща за един пример преди няколко години. Една фирма беше инвестирала милиони за защита. Реално беше непробиваема отвън. Един служител обаче получава по пощата ценова листа, отваря я и заразява браузъра си с "троянски кон". Когато служителят влиза в онлайн банкирането си, вирусът пренасочва преводи, тъй като служителят е въвел данните си. "Троянският" кон променя IBAN-a и сумата и отива на друго място. При разследването всъщност от банката казаха, че не виждат измама, тъй като служителят, който нарежда превода е използвал своя компютър, от неговото IP, с неговата парола, с неговия сертификат.

Ако служителят беше образован, щеше да засече тази грешка или поне да гледа по друг начин на нещата. Щеше да е малко по-подозрителен, да провери файла, източника на съобщението. Просто да направи кратко проучване, когато е получил имейл от непознат. 

Затова ми се иска от 1 до 12 клас да се въведат часове по киберсигурност, тъй като децата използват много технологиите и трябва да знаят как да се пазят и да имат елементарна дигитална хигиена. Тези деца някой ден ще работят на нашите позиции - те ще са в компаниите, в държавните структури. 

Успя ли бизнесът да вземе мерки за защитата на личните данни, след като вече действа регламентът GDPR?

- Сам по себе си GDPR също е част от киберсигурността. Той има две направления - едното юридическата част, другото е техническата част. Всъщност според мен GDPR бе използван за изкарване на пари. С риск да засегна юристите, много от тях се помислиха за специалисти по техническата част. Общо взето, нищо не се получи, защото например аз като специалист по техническата част, никога не бих тръгнал да правя обучения по юридическата. Юристите влязоха в една напълно непозната среда за тях. В България се получи една гавра с GDPR.

Новото след GDPR е Законът за киберсигурност. В наредбата към него са заложени политики по сигурност, контрол. Вече има и санкционирани от страна на контролните органи. Част от нашите обучения са и за прилагането на закона и наредбата.

Facebook logo
Бъдете с нас и във