"PwC България": Как компаниите да се чувстват по-сигурни онлайн
Илиян Великов - мениджър "Киберсигурност", и Петко Петков - ръководител "Дигитална идентичност" за Югоизточна Европа, "PwC България", за дигиталната идентичност и ролята на киберсигурността
Съдържание от PwC България
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
Защо твърдите, че дигитална идентичност не е бъдещето, а настоящето, а в някои случаи - дори миналото?
Илиян Великов - Това е така поради нарастващите нужди на бизнеса да увеличава продуктивността, за да бъде конкурентоспособен на различните пазари и да остане печеливш. Всяка компания по света (включително и в България) изпреварва с изискванията си възможностите на IT средите. Примерите са основно свързани със софтуерни иновации за увеличаване на продуктивността, възможност за работа от всяка точка и по всяко време, възможност за директна и бърза обмяна на информация с клиенти, бизнес партньори и други. Много от изискванията идват от самия бизнес, част от тях са приети вече и като стандарт за работа в определени сфери и служителите (участниците) в бизнеса го изискват, за да могат да постигнат зададените цели и резултати. От друга страна, самите клиенти изискват определено ниво на услуга, което много трудно би било постигнато без помощта на автоматизацията и дигитализацията на процесите.
Петко Петков - Тези фактори са налице от дълго време. Добавяйки влиянието на COVID-19, което определено ускори процеса в сфери, за които това не е било от първостепенно значение досега, се оказва, че компаниите не могат вече да разчитат на вътрешните си IT функции да предоставят желаното ниво на растеж за бизнеса при зададените темпове. В резултат на това все повече фирми поглеждат към бързи и лесни решения на този проблем - решения, които съществуват не като част от тяхната вътрешна IT инфраструктура, а извън нея, най-често в публичното облачно пространство или в нечие частно облачно пространство. Тук говорим за услуги от типа SaaS, IaaS, PaaS и т.н., които дават възможност на компаниите да използват ефективно компютърните ресурси, за да решават бизнес проблеми, да отнемат от тежестта на вътрешните IT функции и да се опитват да наваксват с изискванията на бизнеса. Фирмите, предлагащи такива решения, са строго фокусирани върху тяхната основна цел и поддържат продуктите и техните функционалности, улеснявайки бизнес процесите. Това дава огромен потенциал за развитие, но тези възможности идват и със съответната цена, т.е. със стратегия за дигитална идентичност. Без яснота в тази насока възможностите за ефективно използване на новите технологии са много ограничени и в много случаи дори опасни за бизнеса. Дигиталната идентичност е в основата на т.нар. свързани облачни услуги и без ясна концепция използването на тези услуги е неефективно и дори невъзможно.
Ежедневно всички използваме голям брой приложения. Каква е разликата при употребата им за лични нужди и за професионални цели?
Илиян Великов - При компании, които са инвестирали в дигиталната идентичност, най-честата разлика е, че при използването на IT услуги за лични цели ние имаме различна дигитална идентичност за всяка услуга. Това се променя с бързи темпове и вече можем да използваме нашите идентичности в Google или Facebook, за да достъпваме информация и услуги, предоставени от други компании. Използването на различни идентичности не е оптимално от гледна точка на продуктивност, а също така не и много сигурно, тъй като съществува риск при боравенето/запомнянето на различни идентификационни фактори, най-често пароли. Решението на този проблем се крие в използването на подхода на уникалната дигитална идентичност в конкретния бизнес контекст или домейн. Това позволява бърз и лесен достъп на крайния потребител до информация и увеличава сигурността и контрола върху самите процес. Разбира се, този тип решения крият определен риск.
Какви са възможните рискове?
Петко Петков - Рисковете в тези сценарии от гледна точка на информационна и кибер сигурност се увеличават драстично, защото така ценната ни информация не живее само на нашите вътрешни информационни системи, заключени в сървърни помещения, обградени със защитни стени и различни нива на достъп. В този случай информацията пътува дълъг път - понякога със самолет, влак или кораб в джоба на служителите или през интернет пространството към някоя от облачните услуги. Тези фактори изцяло променят подхода на днешните системи и рамки за информационна сигурност. Той се променя от мрежово централизиране, където фокусът е върху подсигуряването на сигурността на информацията в границите на локалната мрежа, към така наречения Identity Centric, при който сигурността на информацията се осигурява навсякъде и във всякакви състояния като се контролира по правилен начин достъпа до нея.
Как се случва това?
Илиян Великов - Чрез дигиталната идентичност на хора, устройства, координати, комбинацията от тези фактори и много други предоставя възможност за даване или отнемане на достъп до информация. Тази промяна в развитието на използването на информационните системи и услуги доведе и до промяна в подхода на производителите и доставчиците на услуги, свързани с киберсигурността, които предприемат същия подход - Identity Centric. Основна функция при вземането на решения в областта на киберсигурността е дигиталната идентичност. Тя стои в основата на т. нар. "триаж", поради което се въвежда и нов термин в киберпространството - "Identity is The New Perimeter". Това е пътят за развитие на модерните услуги за информационна сигурност, който много естествено следва пътя на развитието на бизнеса.
Как се промени ролята на киберсигурността през последната година?
Илиян Великов - През 2020 наблюдавахме още по-големи промени спрямо предишните години, дължащи се главно на изменението в работната среда. Много организации продължават да окуражават дистанционната работа и някои вече официално заявиха, че ще позволят на всеки да избира дали да работи от офис или дистанционно. Тази промяна подтикна организациите да се опитат да ограничат рисковете за служителите, които работят дистанционно. За да останем защитени на достатъчно добро ниво, организациите и отделните личности трябва постоянно да подобряват контролите за сигурност. Наблюдава се тенденция компаниите все повече да осъзнават важността на киберсигурността. Ако доскоро основната функция беше да се разследват инциденти, които вече са се случили, днес вече говорим за технологии, фокусирани върху предотвратяването на атаките, преди да са се случили. Навлизането на изкуствен интелект при анализа на поведението на потребителите дава възможност да се открият несъответствия в модела и да се предприемат мерки за предпазване от атака, компрометиране на идентичност, пароли и защитена информация. Това е естествено развитие на киберсигурността, продиктувано от огромното количество информация, която в онлайн пространството се увеличава ежеминутно. Вече става въпрос не само за пасивна защита, а за анализ на навици, идентифициране на несвойствено поведение и предприемане на превантивни мерки.
Петко Петков - Друга важна крачка в развитието на киберсигурността през последната година е, че тя придоби по-човешки облик. Ако допреди няколко години, когато разглеждахме киберсигурността, всички мислеха за сървъри, firewalls, ниво след ниво технологии, в последната година при засилената тенденция за работа дистанционно човешкият фактор става все по-важен при управление на тези рискове. Много компании инвестираха в обучение на своите служители, за да могат да "контролират" човешкия фактор, особено при дистанционна работа. Все повече хора осъзнаха колко важно е поведението в пространството (интернет, облак, вкъщи, когато децата учат, а родителите работят). Дори най-добрата технология не би била ефективна, ако служителите оставят "отворени врати".
Забелязва се засилен интерес към системите за управление на идентичността особено от банки, телекомуникационни компании, както и центрове за споделени услуги (Shared Service Centers). Тази тенденция ще се запази и през следващите години. Друг много важен аспект е управлението на административният достъп (privilieged access management). Това е може би най-важната част за всеки по-голям бизнес. Рисковете от компрометиране на административния достъп са огромни от това недоволен служител да "изнесе" поверителна корпоративна информация до това да бъде "хакнат" профилът на администратора. Много от тези потенциални проблеми станаха приоритетни за компаниите, които започнаха или планират проекти в тази насока. Колкото и добре да сме защитени, инциденти все пак се случват. Важно е колко добре сме подготвени за тях. Управлението на кибер инцидентите също попада в радара на топ мениджмънта. Някои компании изграждат собствени Security Operating Centers (SOC), а други залагат на managed services, свързани с подобни услуги. Наистина инвестицията в собствена инфраструктура и екип за разследване на инцидентите може да е прекалено голяма, затова в този случай изнасянето (outsourcing) на подобен тип услуги е по-удачно.
По-сигурни ли сме в дигиталния свят?
Илиян Великов - Последните две години показаха, че сигурността в дигиталния свят е трудно постижима. В международните медии бяха публикувани множеството публикации за пробиви в сигурността в различни места по света. В момента съществуват много продукти и услуги, които организациите и хората могат да използват, за да се защитят в дигиталния свят. Важно е обаче тези защити да се прилагат проактивно, преди да е имало пробив.
В киберсигурността отделът, отговорен за отбраната (наричан Blue Team), използва продукти и услуги, за да успее да залови и предотврати атаки колкото се може по-рано преди защитата на организацията да е компрометирана и да е изтекла важна информация. За да получат обективна оценка за ефективността на приложените контроли, организациите използват услугите на отделен специализиран екип наричан Red Team. Още един пример за проактивна оценка на сигурността е TIBER, инициативата на Европейската централна банка. Тя изисква Red Team тестовете да се извършват от независими организации. Това е задължително за организациите, които искат да получат TIBER сертификат. Главната цел на TIBER е да помогне на организациите да получат непредубедена оценка колко са ефективни техните контроли в залавянето, предотвратяването и реакцията на симулирани реалистични атаки. Информацията от Red Team теста се предоставя на Blue Team, за да може отделът за отбрана да подобри контролите и наблюдението, което оказва. Организации, които инвестират проактивно в киберсигурността, надграждат доверието, на техните партньори и заемат по-стабилна позиция на пазара.
Петко Петков - Решенията за киберсигурността са пряко обвързани с бизнес решенията, които лидерите взимат. Дигитализацията изисква определено ниво на "зрялост" на бизнеса и организация на вътрешните процеси. Не трябва да се забравя, че когато инвестираме в дигитализация, трябва да имаме и бюджет за киберсигурност, който може да е дори по-голям от този за дигитализиране на процесите. Има няколко основни фактора, които биха ни помогнали да се чувстваме по-сигурни онлайн: инвестирайте в технология, инвестирайте в хора (обучение, екипи от експерти), инвестирайте в създаване на контролна среда, прилагайте добрите практики.
Киберсигурността е начин на мислене, който трябва да бъде и начин на поведение. Преди да дигитализирате процесите, направете оценка на риска, включете отдел "Информационна сигурност", създайте контроли и ги разпределете на служители, които да отговарят за тях, управлявайте промените през призмата на киберсигурността. Облакът представлява едно по-различно предизвикателство, което става по-сигурно през последните години. Това може да е решение за голяма част от компаниите, предвид това, че техническата сигурност е отговорност на трета страна. Отново обаче процесът по преминаване към облачни услуги е специфичен за всяка компания. Важно е да се направи анализ на доставчика, за да може да компанията да има едно допълнително ниво на сигурност, че избира надежден партньор.
