ИТ безбедностСекоја година носи поголеми предизвици

2018 ја одбележаа скандалите со Facebook и Cambridge Analytica и уште куп други вести со хакирања, крадење и злоупотреба на лични податоци… Што според вас ја одбележа 2018 во полето на онлајн безбедност?

Стефан Петрушевски: Секоја година ја нарекуваме година на големите хакови! Сепак, она што би го издвоил дека ја одбележа минатата година е како никогаш претходно зајакната активност на “state sponsored” сајбер тимовите и “supply chain” нападите. Сега веќе е нормално големи сајбер инциденти да се атрибуираат до веќе познатите тимови спозорирани од и кои оперираат за држави како Кина, Русија, Северна Кореја, Америка, Иран, Саудиска Арабија.

Неколку примери:

По однос на supply chain нападите… напаѓачите сфатија дека директни напади кон нивните мети стана тешки. Бидејќи во природа на сајбер нападите е секогаш да се бара најслабата врска и најевтиниот да се стигне до целта, напаѓачите го префрлија фокусот. Мети станаа компании кои што соработуваат или се бизнис партнери со нивната примарна цел и софтверите или софтверски компоненти од кои нивната примарна мета зависи.

Ѓоко Крстиќ: Оваа година бевме сведоци на голем број безбедносни прекршоци (security breach) што се случија кај големите гиганти, но исто така и кај мрежните уреди кои се наоѓаат во нашето секојдневие и растот на нападите врз индустриските системи. Како споменатиот скандал со Facebook и Cambridge Analytica и обелоденување на повеќе од 1,8 милијарди лични податоци, така и многубројни напади беа успешни врз голем број на “IoT” (Internet of Things) и “IIoT” (Industrial Internet of Things) производи или уреди што имаат огромно влијание врз животот на човекот. Хакирањето на FIFA, Facebook, Uber, T-Mobile, British Airways, се само дел од неколкуте скандали што се случија оваа година. Хакирањето на познатите јавни сервиси и социјални мрежи секако дека оставија впечаток низ годинава, но поради растот на паметните уреди во нашите домови и работни места, се случија и интересни експлоатирања на самите технологии и протоколи во самите уреди и оперативните системи. Повеќе сериозни ранливости беа пронајдени во оперативниот систем на Амазон наречен FreeRTOS кој се наоѓа во милиони различни мрежни уреди во различни индустрии вклучувајќи IoT, воздушна, автомобилска и медицинска индустрија, и имаа директен удар врз паметните домови и критични инфраструктури низ целиот свет. Исто така, неодамнешниот инцидент со Amazon Alexa каде што еден корисник со помош на GDPR регулативата, барајќи си ги своите податоци од Amazon, по грешка добива и уште 1,700 звучни фајлови кои припаѓале на други корисници, снимени во нечии соби, спални и тушеви.

2018 покажа дека злоупотребата на лични податоци е насекаде, и дека е прилично лесно да се дојде до тие податоци со оглед на тоа што секојдневно доброволно ги даваме своите податоци на апликации како Facebook и што уште не… Дали ќе ја сфатиме приватноста посериозно во 2019?

Стефан Петрушевски: Не знам од кој аспект го поставувате прашањето и коментар за приватноста… дали луѓето односно клиенти ќе ја сфатиме приватноста посериозно или всушност компаниите коишто ги користат овие информации, но и во двата случаи сѐ уште сме далеку од добра позиција. :)

Иако ако ги гледаме само бројките од data bridge-oвите не одат во корист на она што ќе го кажам, сепак лично сметам дека во 2018 се направија поголеми исчекори за да ја подобриме ситуацијата. GDPR стапи на сила, добар дел земји го преведоа тоа во локални закони кои што почнаа да се спроведуваат. Иако не видовме значителни случаи против прекршители сметам дека во 2019 ќе се соочиме со реалноста и ќе видиме дали GDPR ќе остане само одлична идеја и иницијатива или всушност ќе допринесе кон напредок. Европската Комисија дополнително усвои нов реформски пакет за справување со сајбер опасности кои што се константно во пораст. Како значајни одлуки вредат да се споменат:

  • Зајакнување на агенцијата за сајбер безбедност ЕУ (ENISA)
  • Воведување на сертификација за сајбер безбедност низ ЕУ

Конкретно втората значи креирање на рамка за сертификација на сите ICT продукти, услуги и процеси. Со ова ЕУ ќе се обиде да востанови минимум ниво на безбедност на било што ИТ со цел целокупно да се подигне нивото на квалитет. Со оглед на погоре кажаното и бидејќи по природа се сметам за оптимистички реалист, би рекол дека гледам подобри денови во 2019, но не очекувам чуда.

Ѓоко Крстиќ: Јас би рекол не, барем од гледна точка на корисникот. Компаниите и организациите веќе одамна почнаа да ја сфаќаат приватноста посериозно уште откако дојде до имплементирање на GDPR (General Data Protection Regulation) регулатива кај припадниците на Европската Унија. Ние поединците, не обрнуваме внимание каде ги приложуваме нашите лични податоци и до кој степен од потребното. Луѓето уште повеќе стануваат зависни од социјалните мрежи и јавните сервиси каде што за да бидеш и ти дел од тоа, треба да приложиш неколку лични податоци како услов, а таа организација да ве извести за безбедноста на нивните сервери и складирањето на тие ваши податоци. Стануваме се повеќе зависни од качување на фотографии и видеа и од желбата да бидеме видени и чуени од целиот свет, без да обрнеме внимание на последиците во случај на хакирање.

Кои сервиси, услуги или компании очекувате да бидат примарен таргет на сајбер напади во 2019?

Стефан Петрушевски: Очекувам дека supply chain нападите ќе продолжат и во 2019. Во првото прашање посочив дека напаѓачите го префрлаат фокусот. За огромните компании првенствено е тешко да се имплементираат сите сајбер контроли за да се справат со директните ризици pa моментално не многу од нив имаат рамка по однос на сајбер безбедност со нивните соработници, партнери, аквизиции или добавувачи. Дополнително, devops филозофијата која што се применува и е тренди во најголем дел од тимови за развој на софтвер отвара врата за software supply chain посебно во делот на софтвер и софтверски компоненти со отворен код. Ова впрочем го видовме во изминатите две години во низа случаи:

Покрај ова, во вториот дел на 2018 можеше да се види и пораст на финансиски мотивираните напади како што ги знаеме од претходно во кои напаѓачи директно таргетираат банкарски сметки, па така не би ме изненадило ова да продолжи и во 2019.

Ѓоко Крстиќ: Иако сајбер нападите се случуваат секојдневно и некогаш неприметно врз различни сервиси и уреди, ‘Cloud’ сервисите и хостинг компаниите, како и банките, ќе бидат во центар на вниманието во 2019. Можам да кажам и дека мобилните уреди и инстант месенџер апликациите како Facebook, WhatsApp, Viber, Wire, Telegram, Signal,  и покрај тоа што сите користат криптографски солуции, се сѐ уште мета на злонамерните актери.

Што би ги советувале читателите на IT.mk за подобро да се заштитат од злоупотреба на податоци и напади во 2019?

Стефан Петрушевски: Бидете свесни и не бидете мрзеливи. Секогаш категоризирајте ги вашите податоци и права на пристап. Согласно на категоризацијата, изолирајте ги услугите, продуктите и уредите, и дополнително изберете соодветни мерки за заштита. Едноставен луд пример, не ги чувајте вашите бизнис договори и документи на истиот Dropbox акаунт на кој целото ваше семејство има пристап и ги чува семејните фотографии. Дефинирајте лична полиса за сајбер хигиена до која ќе се држите слично како и за вашата лична хигиена. Сите имаме рутина да ги измиеме рацете пред јадење, но дали истото важи и за одјавување од сајт откако сме завршите со користење? :P

Не се плашете да ги користите продуктите и сервисите на големите компании. Верувајте далеку полесно е мотивиран напаѓач да хакира локален приватен cloud хостинг провајдер отколку Google или Amazon. Безбедносите тимови во големите компании располагаат со поголеми буџети, ресурси и знаење. На крај, константно едуцирајте и информирајте се за да останете секогаш во близок чекор со напаѓачите.

Ѓоко Крстиќ: Во денешно време, човекот се раѓа и веднаш е зачленет на некоја социјална мрежа. Со ова се поставува прашањето дали ние воопшто имаме некаква контрола врз нашата ценета приватност. Неконтролираното споделување на информации ќе има катастрофални последици во случај на сајбер напад. При секое зачленување, или било каква интеракција со тој сервис, погледнете ги технологиите што тој сервис ги нуди за заштита на вашите податоци. Дали моите податоци се енкриптирани со највисоки стандарди во криптографијата? Поголема внимателност (свест) при комуникација со непознати луѓе и кликање на сомнителни линкови и атачменти. Минимално внесување на вистински податоци кај сервисите што го бараат тоа од вас, зависно од нивната употреба. Искористете ги опциите за сетирање на безбедност што онлајн сервисот ви ги нуди. Ценете си ја вашата приватност.

Среќна Нова Година од тимот на IT.mk и Zero Science Lab ;]


Најчитани написи на IT.mk во 2018 на оваа тема: