Нововъзникващите технологии – бизнес помощници или скрита заплаха за сигурността?

cyber-security

Автор: Антон Пулийски*

Информационната сигурност винаги е била интересна тема за корпорациите, доколкото информацията е един от най-ценните ресурси. Независимо от формата, под която бива съхранявана, нейното опазване е приоритетно с оглед осъществяването на нормалната бизнес дейност.

Във връзка с нарастващия брой на кибератаките, в последната година сме свидетели на сбъдването на много от мрачните прогнози. Публично достояние стана информацията за пробиви, водещи до кражбата на лични данни на стотици милиони клиенти на огромни структури. Бяха разкрити многобройни нови начини за злоупотреба при установяването на уязвимости в информационните инфраструктури.

Специалистите сочат като един от основните виновници за кибератаките неправилната или недобре планирана интеграция в бизнес процесите на нововъзникващите технологии като интернет на нещата (IoT), изкуствения интелект, cloud-базираните услуги и т.н.

Нови предизвикателства пред киберсигурността се появиха с напредъка в областта на изкуствения интелект

и непрекъснато разкриващите се нови сфери с възможната му приложимост. Използването му за автоматизиране в различни сфери - например в здравеопазването - все още предизвиква разпалени дискусии и противоречиво обществено мнение, въпреки обещаващите резултати от проучванията. Още по-интензивни и крайни са твърденията за опасността, криеща се зад увеличаващата се функционалност на роботите съчетана със слабите стандарти за сигурност, както и нарастващата употреба на интернет на нещата. Преди да бъдат заклеймени нововъзникващите технологии като заплаха за информационната сигурност обаче, трябва да се разгледат различните аспекти на въпроса.

Най-голяма полза от развитието на тези технологии се проявяват в употребата им от бизнеса, който се стреми към модернизация и конкурентоспособност, както и към по-скоростни комуникационни канали. Един от начините да се постигне това е чрез почти непрекъснатата интеграция на нови решения, например платформи за размяна на информация и бързи съобщения, или пък услуги за отдалечено съхранение на файлове, с цел по-бързо вътрешно организационно достъпване на ресурсите и пр. Тази постоянна актуализация на процеси и внедряване на нови решения води до слабости в сигурността, което дава своето отражение върху организациите. При това каскадно технологично наслагване става въпрос за разлика между стандарти от различни поколения, както и за коренно различни протоколи (системи от правила за комуникация) и структури за пренос на информация.
Добрата новина е, че дилемата, при която от едната страна е стремежът на бизнеса за модернизация, а от другата – технологичните предизвикателства към опазването на сигурността на информационния обмен, има доста ефективно решение, свързано с човешкия фактор. Той играе значима роля в процеса по

обезпечаване на информационната сигурност.

Тук не става въпрос за намаляване на небрежността или противодействие на техниките за социален инженеринг, а за информираност, съчетана с адаптивността на хората към новите възможности.
В доста организации информационната сигурност бива приемана като дейност, която се развива само в един специализиран отдел и няма общо с останалите служители. Това е нагласа, която е остаряла и трябва да бъде осъвременена. Информационната сигурност от организационна гледна точка трябва да се разглежда не като отделен процес, поставен наравно с останалите в хода на развиване на дейността, а като аспект, който се наслагва спрямо всички други. В светлината на техническото изпълнение пък не би следвало да се разчита на един единствен защитен механизъм, а за добре планирана сегментирана система, съставена от защитни линии, които в своята цялост се грижат за информационната сигурност в рамките на всеки процес, съобразно неговите специфики.

От особена важност е хората, ангажирани с информационната сигурност да са актуално информирани и да имат стремеж към непрекъснато придобиване на нови знания и умения по повод на комплексно използваните продукти от организацията.

Много често се задава въпрос дали имам списък от услуги или приложения, които са препоръчителни за употреба поради тяхната надеждност. Отговорът е отрицателен, тъй като това питане е формулирано в неправилна посока. Въпросът би следвало да бъде: “Какво трябва да знаем при употребата на приложенията и услугите, с които работим за да постигнем възможно най-висока защитеност в процеса на работа?“. Самото използване на повече от един продукт при осъществяване на дейността на компанията поражда необходимостта от съобразяване на много аспекти. Когато става въпрос за добавянето на нови и не напълно тествани решения процесът се усложнява още повече.

Предотвратяването на заплахи за сигурността, породени от използването само на конкретен продукт, се разрешава предимно от самите производители или предлагащи услугата в рамките на поддръжката на продукта. Единственото необходимо действие от страна на бизнес потребителя е да закупи продукта и да го актуализира редовно.

Различно е положението, когато става въпрос за комплексна употреба на множество приложения или услуги с цел разширяване на обхвата на функционалността. Тогава вероятността за компрометиране на сигурността се покачва експоненциално, като човешкия фактор играе много значима роля.

Информационната сигурност е област, в която се учи непрекъснато. Познанията и опитът на специалистите диктуват изграждането на цялостната политика по сигурността. Необходимо е да се обърне внимание и на грижата за добра и адекватна информираност на останалата част от персонала. Само когато познанията са споделени по подходящия начин те могат да бъдат полезни за компанията.

Голяма част от провежданите вътрешно организационни обучения са бланкетни. След тях не се предприемат действия за проследяването на ефективността и ефикасността им. Това води и до липсата на представа у самите служители за важността от спазването на установените правила. При спазването на базовата киберхигиена (процедурите и стъпките, които се предприемат от потребителите на компютри и други устройства, за да поддържа и подобрява сигурността на системата) успешността на кибератаките може да се намали два пъти.

Сред често срещаните грешки

са многократно използване на еднакви пароли, споделянето им, дори и вътре в организацията, достъпът на корпоративни ресурси през незащитени безжични мрежи с цел по-голямо удобство и не надлежно водене на дневник на инциденти. Все по-често срещана е и употребата на личните умни устройства във вътрешните корпоративни мрежи. Голямата достъпност на тези устройства доведе до тяхната масовост и превръщането им в неразделен аксесоар и “уплътнител” на свободно време, което от своя страна открива все по-голяма пролука във фирмената сигурност.

За да не се допускат подобни грешки, е необходимо да се изградят основни понятия за информационна сигурност и киберхигиена, които да бъдат осъзнати от служителите през призмата на общата стратегия на организацията. Сигурността не е запазена територия само за назначените специалисти в областта, тя е отговорност на всички участници в бизнес процеса и това трябва да бъде разбрано най-напред от ръководството.

Добра практика

е да се провеждат вътрешни обучения на планирани интервали от време или извънредни (инцидентни) при необходимост. Те трябва да обхващат теми, които да целят повишаване на информираността, изграждането на основни навици, които всеки трябва да спазва, както в рамките на организацията, така и извън нея.

В рамките на обучението трябва да се включи дефинирането на основни понятия като информационна сигурност, сигурност на приложенията, мрежова и комуникационна сигурност. Представянето им на достъпен език е от ключово значение за разбирането от широкия кръг обучаващи се. Това най-лесно се постига чрез даването на практични примери, пряко обвързани с живота или дейността на компанията. Това обучение не трябва да се приема като специализирано и теоретично, пропито със суха техническа теория, а като инициатива за повишаване на дигиталната култура на участниците в бизнес процеса.

Различни са възможностите за изграждане и поддържане на стратегия за информационна сигурност, която да е устойчива на динамично променящата се бизнес среда. Не трябва да забравяме, че това не е еднократно действие, а е процес на непрекъснато адаптиране и синхронизиране между интересите на компанията, предизвикателствата на външната среда и нововъзникващите технологии. За да породи пък желания ефект, то тази стратегия трябва при всяка своя актуализация да бъде довеждана до знанието на всички участници в процеса, съобразно техните функции и правомощия.

Антон Пулийски е юрист с над десет годишен опит в сферата на сигурността, информационните и нововъзникващи технологии. Независим консултант по информационна сигурност, системи за управление на сигурността на информацията (ISO/IEC 27001:2013), управление на риска(ISO31000:2018).

Споделете:

Присъединете се
към 12 257 читатели

ENTERPRISE е прецизно таргетирано B2B печатно издание за практически бизнес и интелигентно управление.