През последната година имаше атаки срещу публични и частни институции в България. Повечето от тях са DDoS атаки (отказ от услуга). Виждате ли промяна във вида на атаките?
– По отношение на киберсигурността можем да разделим последната година на две – до започването на военните действия в Украйна и след това. Преди войната наблюдавахме период, известен като post covid, когато бизнесът започна да се връща към нормалното. Тогава организациите бяха атакувани основно с т.нар. ransomware атаки, при които се криптират файлове и за получаването на разкриптиращия ключ бива поискван откуп, и BEC – business e-mail compromise атаки, при които бива компрометирана e-mail кореспонденция между две компании и при изпратена фактура хакер подменя IBAN сметката със своя.
Със започването на военните действия видяхме как агресията на физическия фронт много бързо се пренесе и във виртуалния. Наблюдавахме обединения на хакерите по света под крилото на международната хактивистка организация Anonymous. В началото на войната част от кибератаките, насочени към руски сайтове и системи на публични институции, бяха от типа DDoS (Distributed Denial of Service) – отказ от услуга. В този период няколко пъти бяха недостъпни или със сменено съдържание и уеб сайтове на български телевизии и онлайн медийни издания, а от Министерството на електронното управление направиха изявление, че само за няколко дни са блокирани хиляди уникални IP адреса, основно руски, които са сканирали и търсели уязвимости в българските мрежи и критична инфраструктура.
Как компаниите могат да се предпазят от киберзаплахи, какви са задължителните стъпки, които трябва да предприемат?
– В сферата винаги казваме, че състояние като 100% киберустойчивост няма. Можем обаче да сведем този риск до приемливи стойности, като следваме добрите практики – да имаме мониториране на нашата инфраструктура, мрежови устройства и крайни станции; да ъпдейтваме постоянно софтуерните продукти, с които работим; да извършваме регулярни тестове и симулации за проникване (penetration testing), да не забравяме, че колкото и добре да сме защитили системите си, е изключително важно да сме одитирали и нивото на киберсигурност на доставчиците, с които работим. Всички тези препоръки са описани подробно в редица стандарти, един от които е ISO27001 за управление на информационната сигурност.
Какви решения за киберсигурност/какви киберуслуги предлагате? Какви са техните предимства?
– През последните години изградихме екип от 40+ сертифицирани професионалисти, които предоставят цялостен поглед върху киберсигурността, работейки с водещи продукти за киберзащита, като решенията на IBM – SIEM (Qradar), SOAR (Resilient), EDR (ReaQta). Нашите услуги по информационна сигурност са разделени в три категории:
- Security Operations, където предоставяме изцяло управляеми от нас услуги, следвайки модела на MSSP (Managed Security Service Provider), като 24/7 работещ SOC (Security Operation Centre) с нивo 1, 2 и 3 анализатори, които извършват наблюдение, засичане, преустановяване и разследване на инциденти с информационната сигурност на компаниите, които обслужваме. SOC центърът ни е изграден изцяло в облачна инфраструктура и е оборудван с водещите решения за киберсигурност на IBM – Qradar и Resilient.
- Security Assessments – предлагаме също така и услуги по т.нар. Penetration testing, като за разлика от други компании изграждаме риск профил на системите и компонентите. Следвайки международни стандарти като MITTRE, OWASP и NIST, извършваме симулации, така че да можем да пресъздадем най-близко до реалната среда опити на хакери да компрометират информационни активи.
- Information Security Governance са онази категория услуги от нашето портфолио, които са насочени към предоставянето на чисто консултантски услуги по повишаване нивото на киберсигурност в организациите, извършването на различни одити както вътрешно за компаниите, така и за техните доставчици на услуги, както и услуги за повишаване нивото на осведоменост за кибератаки и симулации за тяхното разпознаване. Не на последно място, предоставяме CISO (Chief Information Security Officer) като услуга, тъй като намирането на сертифициран и опитен специалист е изключително трудно, изисква време и финансова инвестиция.
Също така част от DIGITALL е и германската компанията GBS, развиваща собствени продукти за защита на е-мейл, Microsoft Teams и Sharepoint и други канали на комуникация.
Индустрията за киберсигурност се разраства. Какви са перспективите пред нея, очаква ли се консолидация?
– Както хакерите и атаките по света се развиват, така и киберсигурността се развива. Това, което се случва като тренд през последното десетилетие, е, че компаниите, произвеждащи продукти за киберсигурност, постоянно променят решенията си, като ги консолидират. Така например до неотдавна имахме отделно SIM (Security Information Management) от SEM (Security Event Management), а вече двата компонента са консолидирани в категорията SIEM. От няколко години насам все повече производители на продукти за киберзащита дори обединяват SIEM, SOAR и Threat Intelligence, за да създадат нова категория продукти – XDR (Extended Detection and Response). Същата трансформация видяхме и при производителите на защитни стени (Firewalls), чиито продукти през последните години бяха надградени до NGFW (Next generation firewall). Ето защо смятам, че индустрията за киберсигурност ще се разраства и през следващите години. – коментира Любомир Тулев, който е Director Managed Security Services в DIGITALL и член на УС на Българска асоциация по киберсигурност пред Капитал.