В новия епизод на подкаст ви срещаме с г-н Ясен Танев – експерт по киберсигурност, с когото ще си поговорим за най-често срещаните киберзаплахи в публичния сектор, практически съвети как можем да ги избегнем, докато стоим на работното си място и извън него, каква е разликата между „киберсигурност“ и „киберустойчивост“, както и защо непрекъснатото усвояване на знания по темата е толкова важно.

Специално за Вас подбрахме няколко допълнителни източника по темата, които може да видите:

• Доклад „Предизвикателства пред приложение на новата европейска политика за киберсигурност в българската администрация
• Кампания на ENISA за киберсигурност
• Анимации към е-модул за самообучение на ИПА „Троянски кон и социален инженеринг.
• Уеб сайт на Европейски цифров иновационен хъб „Тракия“

Всички епизоди на подкаст рубриката ни можете да чуете тук.

Може да изпращате въпроси, коментари или предложения за теми и ескперти, които бихте искали да чуете в предаването на digital@ipa.government.bg

Транскрипция на аудио файла:

В новия епизод на подкаст ви срещаме с г-н Ясен Танев – експерт по киберсигурност, с когото ще си поговорим за най-често срещаните киберзаплахи в публичния сектор, практически съвети как можем да ги избегнем, докато стоим на работното си място и извън него, каква е разликата между „киберсигурност“ и „киберустойчивост“, както и защо непрекъснатото усвояване на знания по темата е толкова важно.

Специално за Вас подбрахме няколко допълнителни източника по темата, които може да видите:

• Доклад „Предизвикателства пред приложение на новата европейска политика за киберсигурност в българската администрация
• Кампания на ENISA за киберсигурност
• Анимации към е-модул за самообучение на ИПА „Троянски кон и социален инженеринг.
• Уеб сайт на Европейски цифров иновационен хъб „Тракия“

Всички епизоди на подкаст рубриката ни можете да чуете тук.

Може да изпращате въпроси, коментари или предложения за теми и експерти, които бихте искали да чуете в предаването на digital@ipa.government.bg

Транскрипция на аудио файла:

[Стефка Георгиева, водещ ] (0:07 - 0:49)

Едва ли някой може да си представи днешния свят без неограничения ни достъп до интернет в средата в която работим, сърфираме на воля, пазаруваме и проверяваме, например, прогнозата за времето. Като всяко нещо, разбира се, и интернет пространството крие своите рискове. Или така казано на научен език – киберискове.

Какво представляват те и за какво трябва да бъдем внимателни, най-вече като служители в държавната администрация, в нашия работен процес, в интернет ще ни разкаже господин Ясен Танев - експерт по киберсигурност и лектор на ИПА.

Ясен, здравей! Моля, представи се на нашите слушатели.

[Ясен Танев, гост] (0:49 - 1:27)

Здравей! Ясен Танев казвам. Преподавател съм в ИПА през последните две години.

Експерт съм по киберсигурност и имам интерес към изкуствен интелект. Освен това, в академичната сфера съм преподавател в две магистърски програми по киберсигурност в УНИБИТ и Пловдивския университет. И имам ангажимент към цифров иновационен хъб „Тракия“. Ролята ми е да създавам иновативни екосистеми по киберсигурност. И не на последно място съм и мениджинг (управляващ б.р.)  директор на една швейцарско-италианска компания, която се занимава с фискални системи. Така че богат набор от опит, но фокус е образование, киберсигурност и иновативни технологии.

[Стефка Георгиева, водещ] (1:27 - 1:35)

Доста интересна биография. Добре, сега ни разкажи като първи въпрос. Какво се случва в киберсвета и на какво трябва да обърнем внимание?

[Ясен Танев, гост] (1:35 - 3:38)

В киберсвета, колкото повече се запознавам с киберсвета,  а аз се запознавам последните 20 години с него, и навлизам в дълбочина и дълбочина, толкова повече осъзнавам, че той представлява едно копие на физически линии свят. Но със своите специфики, това е големият въпрос за информационната и за киберсигурността, за общото между тях и това, което е важно да разберем, че в киберсвета няма нищо ново, няма нищо добро, което да го няма в реалния свят и всичкото лошо от реалния свят се е намерило и се е преместило в киберсвета. Голямата разлика, и това прави специфичен живот в киберсвета и киберпространството, и съответно и кибератаките, киберзащитата, е, че в киберсвета всичко се случва стотици, и дори милиони пъти по-бързо, отколкото се случва в физическия свят. И другото нещо, от което изключително много се възползваме, е факта, че за да сме заедно в киберсвета, ние не трябва да сме на едно място.

Още един пак феномен е цифровата ни самоличност, която не е толкова защитена и обезпечена, както е в физическия ни свят, защото във физическия ни свят нашите гени, нашето тяло, са винаги с нас и когато ги загубим, то ние губим физическото си присъствие. В киберсвета не само, че могат да ни копират, но могат и да ни създават фалшиви копия. Така, че представете си основата, в която се пренесе човечеството, да кажем 150 години еволюция, 20 години в киберпространството. Ние трябва да свикнем да живеем по един нов начин и да се пазим от един нови заплахи, но ние нямаме този опит. И заради това ставаме и жертви на киберпрестъпленията толкова лесно. Защото хората сме доверчиви и смятаме, че ако не виждаме или някой не е до нас, не може да ни се случи проблемът. Но от разстояние, от всякъде, от целия свят, онзи, който иска да ни открадне нещо, което е ценно за него или е ценно за нас, може да ни атакува. Така, че това е киберсветът. Киберсветът е едно копие на реалния свят, но много по-рисково. И това, което става в киберсвета, винаги се отразява и във физическия свят.

[Ясен Танев, гост] (3:39 - 4:03)

Това, което спомена, че киберсветът е копие на реалния свят и в тази връзка наскоро излезе докладът „Предизвикателства пред приложение на новата европейска политика за киберсигурност в българската администрация“? Какво би ни разказал повече за него, защото все пак ние ежедневно говорим за киберрисковете пред нас? Но можем ли да кажем, че публичният сектор не е застрахован от тях?

[Ясен Танев] (4:03 - 12:36)

Първото, за което сещам, вчера го обсъждахме в университетска среда, беше, че Законът за киберсигурност излиза в публичната администрация, но наказанията в Наказателния кодекс излизат 7-8 години по-късно. Това означава, че ние наистина сме фрагментирани от гледна точка на намерения, на законова рамка и на административни санкции. Защото във физическия живот, още от малки, знаем, не спазваме правилата - то ние търпим някакви санкции. И преди да сме в киберпространството, сме се научили, че ако не се оглеждаме къде се движим, то може да се ударим лошо. А пък, като станем по-големи, и пресичаме, ако не се огледаме, можем наистина да пострадаме сериозно. Всички тези неща се правят и в киберсвета.

Но защо този доклад, в който вложихме много усилия, групата, които го написахме - това съм аз, плюс колегата ми Мирослав Митев, който е доктор по управление, и колегата ми Николета (Ванева, б.р.) , която е юрист. Това, което започнахме да правим, изгледаше много по-малко в момента, в който решихме да обследваме. Идеята ни беше, ще видим, че има една европейска регулация. Тази европейска регулация след себе си, която е директива, води няколко регламента. Ние ще видим какво изискват от държавната администрация и впоследствие ще можем да дадем препоръки. Но докладът е разпределен в няколко отделни глави, които естествено излязоха при четенето ни на директивите и регулациите. Като първи въпрос беше, и така започва докладът, защо въобще има смисъл да се прави такъв доклад. И ние осъзнахме смисъла му, пишейки го, и пренаписахме и целите, и увода ни. Като условието ни беше такова - регулациите ще се случат, защото директивите ще бъдат транспонирани, а регламентът с директно прилагане. Това означава, че към октомври месец, публичната администрация трябва да започне да спазва директивата „Мрежова и информационна сигурност 2“, а след нея да дойде Актът за киберустойчивост, Актът за данните, Актовете за изкуствен интелект и още 9 акта поне. Като те стават все повече и повече, защото Европа означава, че трябва да бъде сигурна. И вие няма как утре, като излезе законът, веднага да бъдете готови.

Така че целта на създаването на този доклад, беше да кажем на публичната администрация: „Това ще ви се случи след около 6 до 9 месеца, и ако искате да не ви е много напрегнато и много рисково, хубаво е да започнете да видите къде сте сега, и да знаете какво ви предстои, защото само така ще можете да постигнете една устойчива промяна, независимо от това какво се случва на високо политическо ниво“.  Защото е ясно, че държавната администрация работи независимо от политическите промени, нали по-бързо или не. В крайна сметка тя функционира.

След като знаехме какъв е смисълът, и както казах го пренаписахме, след като написахме доклада, беше много интересно да направим анализ на текущото състояние. И тук срещнахме предизвикателство да намерим публични източници, в които да можем да намерим как законите, които идентифицирахме като съществуващи, защото ние имаме Закон за киберсигурност и имаме транспонирана директива за мрежова и информационна сигурност в закона и в Наредбата за минимални изисквания за мрежова и информационна сигурност. И имаме директива за защита на личните данни. Така че тази законова рамка, която е ясна, трябваше да намерим начин, по който да измерим какво е качеството на приложимост в публичната администрация чрез публичните документи, защото ние не сме част от публичната администрация и, съответно, не можем да изискаме, защото няма функция или би отнело много време покрай Закона за достъп до информацията. И затова ние използвахме една техника, която се използва и в киберсигурността и тя се казва OSINT или Open Source Intelligence, което означава събиране на информация на база на отворени и публични източници. Беше тежко, но ние успяхме да съберем. Намерихме едни доклади на Министерски съвет, намерихме доклади на Министерство на електронното управление, намерихме доклади на Европейската комисия, намерихме оценки за състоянието на България в цифровото десетилетие и данните, които се намираха в тях, ни се струваха близки до реалността, защото ние познаваме или имаме усещане за нея. И чрез тези публични данни успяхме да кажем, имаме това като законодателство, имаме това като информация за приложимост и откриваме дефицити. И знаете ли къде открихме дефицити, защото според мен дефицитите са много важни преди да можеш да предложиш как нещата могат да се подобрят. Дефицитите, които открихме, първо се оказаха, че ни липсва първо прилагане на частта, която е проверки и санкции. Защото има рамка как трябва да се прилага мрежовата и информационна сигурност, съгласно закона, в Наредбата за минимални изисквания. Има приложения с добри практики, които много приличат на добрите практики от ISO 27001 Стандартът за информационна сигурност, който такъв даже е цитиран. А е споменато, че има одити и тези одити се извършват, но по-надолу в текста пишат, че те са с пожелателен характер, в зависимост от преценката. И, може би, когато администрацията е претоварена, на нея не ѝ остава време да извършва тези одити. И това, което на нас ни липсва е, че резултатите от тези одити е хубаво да бъдат публикувани на повече места. Защото ние ги намерихме наистина в един единствен документ на Министерски съвет. Но нас не беше достатъчно, за да сравним данните от цифрова Европа, и от цифрово десетилетие, и това, което беше написано в Министерски съвет.

Така че, имахме дефицит по правоприлагането, по контрола. Частта с образованието е генерален проблем. И то масовото образование на тема киберсигурност. Защото в контекст на цифровото десетилетие ние сме доста назад. И ИПА работи по темата, и в последната година има много обучение. Но ние, ако не се образоваме, тогава няма да разбираме рисковете. Като не знаем рисковете, няма да можем да взимаме мерки. Това, което е интересно да се обобщи и да се приложи към последната част от доклада, която са препоръките, тя е свързана с това, че не че нямаме рамката, или не че нямаме експертизата, или нямаме добрите препоръки, в които да бъдем киберсигурна публична администрация. А по-скоро трябва да се фокусираме върху няколко неща.

Едното е обучението. И то да преминаваме от общо и стандартно обучение за всичко, към подход за микрообучения и индивидуални пътеки, така че ако някой не може да се качи на следващата ниво в играта, да го върнем отново и да изиграе пак нивото, докато не придобие опит. Така че посланието е - обучение с индивидуални микропътеки, които да следват личното израстване, свързани към европейската рамка за грамотност, която е DigiComp. Образование съгласно цифровата рамка DigiComp и съответно водене на обучение от сертифицирани преподаватели, които са също квалифицирани по DigiComp, защото ако вие искате да постигнете компетенции, то трябва и преподавателите да са компетентни. Изпити и оценка на знанията - и то отново по стандарт. Европейската комисия има такъв безплатен продукт за оценка на знания. Мисля, че е интересно с ИПА да прехвърлим тези препоръки и да може да правим тест в българска среда. Видяхме един много интересен текст, който е предложен от Министерски съвет, който някак си е изчезнал и сме го извадили в доклада, което е оценка на знанията при мобилност и назначаване на държавни служители в две различни категории, но няма дигитални умения и Министерски съвет предлага въвеждане на дигитални умения, така че ние сме написали, щом са го предложили от Министерски съвет, може би е хубаво да се помисли за това. Така че обучението е важно и обучението е с изкуствен интелект, плюс тренировки, защото животът е различен, динамичен, две обучения не трябва да са еднакви. Това е едната линия.

Другата линия е преминаване от оценка на състоянието към оценка на цифровата зрялост по киберсигурност. И тук слушателите ви е важно да ме чуят и да усетят това, за което им говоря. Когато някой ви каже, ако аз идвам да те проверя, и ти ако не отговаряш на състоянието, което аз очаквам от теб, това означава да отговаряш на изискванията или не. Ако не отговаряш - аз ще те глобя. Ако отговаряш - браво, но само това. Тук рискът и конотацията, и стресът върху негативния аспект е много голям. И заради това усилията от това да постигате устойчивост, се прехвърлят върху усилия да можете да не бъдете наказани. И тук се губи фокусът върху смислената киберсигурност. Оценката за цифрова зрялост, това са обичайни стъпки, които се планират 3 до 5 години. Като още на първия блок от цифровата зрялост, вие сте готови да бъдете съответстващи на изискванията по ISO 27001. Така че, тръгнете по една дълга пътека, вземете си храна за из път, още в края на първия блок, което означава в края на първата година, примерно, вие отговаряте на всички изисквания, но мислете дългосрочно, защото оттам нататък вие ще израстете с киберсигурността си.

И когато след 3 години се появи нова рамка, тя ще ви е вдигнала нивото и ако вие не ползвате концепцията за цифрова зрялост, то отново ще трябва да тичате в спринтово и да сте стресирани. Заради това е по-добре да добавим концепции за цифрова зрялост, предложили сме модел и да го комбинираме с оценка на състоянието. Това е начинът, по който смятаме, че българската публична администрация умно може да излезе от състоянието, което е в момента.

[Стефка Георгиева, водещ] (12:37 - 13:01)

Във връзка с това, което ти каза точно преди малко, можеш ли да дадеш пример за киберискове, които се крият пред публичната администрация, различни от тези в частния сектор? Ето, ти направи едно общение, обърна се към нашите слушатели, но все пак да затвърдим и това, което ти каза, че реално няма недосегаеми за кибератаките, за разбиването на достъп до дадени информации и така нататък.

[Ясен Танев, гост] (13:01 - 16:05)

В частния сектор се крадат най-много пари. И след това се крадат данни, като най-страшното за частния сектор е да спре да оперира бизнеса. Така че когато трябва да ги подредя, най-страшно е да спреш да оперираш. След това откраднати пари, след това откраднати данни и след това е репутация. Като в частния сектор, това, което също много се използва, е подмяна на IBAN или компрометиране на бизнес кореспонденция. Ние с вас си плащаме дълго време по едни сметки, някой се намества по средата на комуникацията и на фактурата просто подменя банковата сметка и му ги превеждате 3 пъти по 10 милиона, с което губите 30 милиона евро. Може и на по-малки суми да губите примерно на 150-200 хиляди евро. Държавната администрация има добър защитен механизъм, в който пари не могат да бъдат преведени по такъв прост начин, защото има специализирана система за разплащания и съответно бизнес компрометираният имейл, който е номер 1 заплаха за бизнеса, не е въобще заплаха за публичната администрация или е някакъв много частен малък случай. Това, което за публичната администрация е най-тежко, е загуба на данни на населението, отказ от обслужване и съответно - репутация. Като зависимост от типа на публичната администрация, то те могат да бъдат и обърнати рисковете, но представете си и си представете колко много шум, и то негативен, може да бъде получен при загуба на репутация, когато примерно сайт на някаква публична институция спре, защото хакерска група е извършила дистрибутиран отказ от обслужване, това се казва DDOS aтака, която не е ужасно скъпа, така че вие може да бутнете един сайт на публична администрация (за сумата) от порядъка на 2-3 хиляди евро. И тук е голям проблем, за съжаление за България, че се нагледахме при последните атаки, които бяха много големи, срещу публична администрация, че 60% от трафика, който е свързан с тези атаки, не е от чужбина. Това означава, че дори България да се изолира, да се изключи цяло от интернет в една такава атака, тя ще има много атакуващи компютри отвътре. Тези атаки не се случват, защото имаме скрити, спящи партизански киберклетки, които атакуват българска държава, а защото, за съжаление, имаме много незащитени компютри на населението, на бизнеса и на публичната администрация, които са били хакнати и побити и са част от бот мрежи. Някои са много добре. Имаме пълния спектър от институции, които са много добре защитавани, от собствени екипи или от организации, които се грижат за сигурността им. И наистина имат много добри екипи, защото ние се познаваме колегите и мога да кажа, че промяната е осезаема за част от организациите. И те са на ниво до онова, към което всички трябва да се стремим, до организации, в които все още има Windows XP и Windows 7 компютри, които са включени директно в интернет и това означава, че са отворени за плячкосване от киберпрестъпниците. Интернет сайтове, които са незащитени и необновени, бази данни на публичната администрация, които се виждат свободно в интернет и стари версии. Така, че ние за това трябва да вдигнем много ниското ниво и освен това трябва всички да се променим, защото когато имаме население, чиито компютри са заразени, то ние имаме армия от зомбита, която може да бъде активирана винаги, когато зловредният агент поиска.

[Стефка Георгиева, водещ] (16:06 - 16:30)

Добре, тук по тази тема може ли да ти задам още един въпрос? Разбира се, зависи много от спецификата на работа на колегите в държавната администрация, но дали съществува онова чувство на мнителност към големите масиви от информации на дигитален носител, на което периодично може да бъде подобрена защитата посредством антивирусен софтуер, спрямо информацията, съхранявана на хартия?

[Ясен Танев, гост] (16:31 - 19:24)

Говорим за информационна и за киберсигурност, защото киберсигурността е част информационна сигурност в киберпространството. Но като говорим за информационна сигурност, която е извън киберсигурността, говорим за онези големи хранилища за хартиени документи. Ние имаме закони, които казват, че тези документи трябва да се пазят. Но отново да се обърнем към слушателите ви. Кога за последен път бяхте в архива си, който се намира в музей, най-вероятно тръбата, която отвежда в дъждовната вода, минавайки през него през него, тече? Поглежда ли сте хартиени документи, които са на 50 години? Знаете ли как ги пази, проверява ли сте достъпа? Сигурността е, че шкафчета са заключени. Това е информационна сигурност, която не трябва да бъде забравена. Там има повече традиции, но и там има пропуски, най-вече в това, че информацията се губи. В киберсигурността и в киберрисковете е много лесно и съжаление, много често се още хората кликат върху фишинги. Едни от големите заплахи, освен DDoS атаките, които не може да се спрете, са фишинг атаките. Изпращат ви мейл, изглежда истински, създават ви стрес. В краят на работния ден, най-добре в петък следобед, и понеже искате да свършите работа и да си ходите и не искате да се разправяте с началството, кликате, заразявате се, не гасите компютъра, защото през отдалечен достъп може да ви се наложи от достъпите в съботен ден, защото не знаете дали ви ще обадят. Нарушавате всички правила, които са ви писани в политиките и в понеделник. Публичната ви администрация е криптирана. А сега както идва Великден и да не притесняваме IT-то защото е в отпуск, чак във вторник, като дойдем, ще видим, че са криптирани. Това е реален казус за една публична институция, която на Великден, бе криптирана и то бе криптирана дълбоко.

За съжаление, има и много други такива случаи, в които разбираме за това, че организацията е била криптирана, защото не се е реагирало на време, не са се вдигнали и сървърите, които архивират данните и не само, че са архивирали криптираните данни, ами сега това са били криптирани и те. И нали отговора:

- Криптираха ни!

- Имахте ли архив?

- Да!

- Това е добра новина!

Само, че „Архивът ни е криптиран“ вече е много лошо. И тук говорим за управление на риск, защото ако използваме услугите на ДХЧО (държавен хибриден частен облак, б.р.), архивите, които продава ДХЧО, ако си преместим мейла в ДХЧО, уебсайта, файлове, сървъри, рискът за организацията спада. Още един риск искам да ви споделя, това е личните флашки, които се носят и се мушкат по компютрите и част от тези флашки са подарени от неизвестни доброжелатели. Това е техника за хакване стара колкото света.

В един телефонен кабел, който си включват и си зареждате компютъра или една флашка, която е много лъскава и си ви подарили на мисия в чужбина, и за вас има сантиментална стойност. Да, тя може да се държи като флашка, но в момента, в който не използвате компютъра си известно време, то тя се превръща в клавиатура и ако компютърът ви не е заключен, тя може да си инсталира софтуера, който иска, да си дръпне още неща от интернет, ако компютърът ви не е защитен, така че флашката да се окаже задна врата, с която да инфектира компютър на човек от повечето администрации. Така че бъдете параноични и най-добре спазвайте политиките по наредбите за минимални изисквания в мрежа и информационна сигурност.

[Стефка Георгиева, водещ] (19:25 - 19:52)

Миналата година с теб и колегите от ИПА разработихме електронния модул за самообучение „Троянски кон и социален инженеринг“, който признавам предизвика огромен интерес сред служителите в публичната администрация и в тази връзка бих искала да те попитам -  можеш ли да споделиш цялостния си опит като лектор в Института за различните видове киберзаплахи, говорим не само като лектор в електронни модули, ами за присъствени обучения.

[Ясен Танев, гост] (19:53 - 23:14)

Различно е да преподаваш онлайн и различно да преподаваш на място. В онлайн курсовете трябва да си интересен през цялото време и да се събереш в много малък пакет от минути, защото начинът по който осъзнах, че разбирам преподаването е на микрокурсове. Така че в онлайн обучението се фокусираме върху една тема, разработваме, поставяме теми за размисъл и посяваме зърното на съмнението, за да може да израсне в душата на човека и той да се занимава повече. Така че тези курсове бяха много интересни и аз смятам, че е хубаво да бъдат гледани. Защото след това е много лесно, като започнем да преподаваме на живо, да стъпим върху темите, които сме дискутирали. При обученията на живо имаме възможност да покажем, че смесените екипи от хора работят много добре заедно и в обученията на живо успяваме да покажем, че всеки един от служителите на държавната администрация има своето място в областта на киберсигурността.

От една страна, че той е част от човешкия Firewall (човешката защитна стена) и трябва да комуникира с тях, а от друга страна, личната му експертиза дава възможност да идентифицира заплахи в контекста на киберсигурността, които са в неговия отрасъл. Юристите разбират много добре правната рамка. Човешките ресурси разбират много добре поведението на хората и разбират кой трябва да бъде назначаван, как да бъде профилиран, избиран и как след това да бъде надграждан. Колегите, които се занимават, това може да е интересна тема, от РЗИ и вирусолозите, защото с тях разговорите за разпространението на вирусите и поведението на вирусите в киберсреда е много лесна, защото те намират прилики с тези в биологична среда.

С колегите, които се занимават с физическа сигурност намерихме също и много интересни връзки. В реалния живот имате прозорец, този прозорец на него има инсталирани сензори. Когато някой се опита да влезе през прозореца, се активира сензор и той изпраща сигнал в СОТ. Когато говорим за киберпространството, имате Windows, а в Windows операционни системи имате сензор, който се нарича агент. Когато някой се опита да влезе незаконно в Windows-а ви, се активира сензор и изпращане не на СОТ, а на SoK. Така че имаме СОТ-аджии в реалния свят и SoK-аджии в киберсреда. Заплахите, които имаме са червеи, програми, които след като стигнат при вас, започват да обикалят. По мрежите продължаваме да имаме фишинг във всичките различни форми и те не спират. Атаките отказ от достъп от обслужване, с което искат да ви спрат, да предоставят услугите и да ви компрометират. Подслушване на мрежи, троянски коне, извличане на информация, криптиране, изнудване, изнудване със страх. Имаме още атака на крайни устройства, което казвам много често за това - когато избирате служебното си мобилно устройство или таблет - внимавайте да не е от компрометиран доставчик. Има списък със доставчиците, които не се препоръчват и направо са забранени.

Така, че ниският профил, когато сте на работа или всичко, от което не се нуждаете, го махнете, за да не ви пречи в киберпространството, е много добър подход. Особено, ако сте в публична администрация, защото в контекста на геополитика, публичната администрация е много интересна. Освен това, публичните администрации работят и с хора. Истината е, че дори да сте застраховани, пак може да ви се случи. Разликата е, че като сте застраховани, има кой да стои заедно с вас и да поеме част от дискомфорта ви. Така, че тук репликата за това, че никой не е застрахован и няма да им се случи, не е валидна. По-скоро и дори и на незастраховани да им се случи, но не са сами. И тук има една реплика от колегите, които занимават се с киберзастраховане, тя е интересна: „При киберинцидент, щетата винаги е тотална“.

[Стефка Георгиева, водещ] (23:15 - 23:22)

Добре, говорейки за тези, които са киберзастраховани, какво е нивото на дигитална зрелост на един държавен служител?

[Ясен Танев, гост] (23:23 - 24:32)

Ами, рамката казва какво е минималното ниво. От тук нататък е въпросът: „Дали искаме да спрем, или искаме да се подготвим за утре?“. Цифровата зрялост е мотивацията в хората и в организациите да се подобряват и да се развиват. Киберсветът се движи много бързо и не е спрял. Преди две години никой не знаеше за генеративен изкуствен интелект. Всички говореха за блокчейн. В момента, генеративен изкуствен интелект го използваме, за да проверяваме концепции, но той вече започна да говори по-добър български, а преди шест месеца имаше огромен проблем с езика. Но не се използва само от добрите, но и лошите започват да пишат фишинг писма. Не е нужно вече да си програмист, за да можеш да напишеш код, затова отново хората с негативна мотивация решават да използват изкуствен интелект. Ставаме все по-свързани. Съвсем скоро покрай плана за възстановяване ще имаме 5G навсякъде и ако бабите на село имаха бавен интернет, затова бавно им източваха Фейсбук профилите. Сега през 5G-то ще имаме една огромна кампания за това да пазим хората, които сега бяха на бавен или без интернет. Всичко това се върти покрай идеята, че киберсвета не може да бъде статичен.

[Стефка Георгиева, водещ] (24:33 - 24:43)

В тази връзка можеш ли да ни дадеш определение за това какво е да бъдеш киберсигурен и какво е да бъдеш киберустойчив, защото според мен това би било интересно на нашите слушатели?

[Ясен Танев, гост] (24:43 - 26:48)

Ако имаш съответствие, спрямо рамката, като се върнем по-назад, това означава, че ти в момента, в който някой е минал и те е чекнал, че си окей и спрямо рамката, ти в този момент си бил в добро състояние. Дори ние като хора правим редовни профилактични прегледи и като видим, че имаме някакви показатели, които трябва да променим, имаме човешка зрялост и започваме да се подобряваме в тази посока. Същото е и с киберсигурността и киберустойчивостта. За да си киберсигурен, това означава, че ти си приложил рамка, която е свързана с това, че си проучил какви си заплахите срещу теб, наясно си в момента, в който ти се случи нещастие, това означава, че е инцидент или проблем, как да реагираш и как да идентифицираш каква е атаката. Но от тук идва следващият въпрос, как ще се възстановиш, защото е много трудно да разбереш как могат да те хакнат и как да се подготвя за хакването. Трябва да идентифицираш хакването, следващият въпрос е как ще се възстановиш.

Киберустойчивостта е точно това умение, с което сега като преминаваш през инцидент или преживееш атака, то ти да си готов да се изправиш, а за да можеш да се изправиш, то това означава, че трябва да си готов да поемеш удара и да си еластичен, и трябва да използваш ресурсите си, че след това да имаш сили,  че ще се върнеш обратно. И се сещам когато говорим за киберустойчивост, английска дума е “resilience”. И сетете се за някои масивни дървета, като минава ураган през тях, независимо колко са силни, защото са монолитни, те се счпуват.  Да, имат дълбоки корени, но се възстановяват бавно. Та, след 150 години отново може би ще има същите дървета. Но пък когато има една поляна, и над нея мине ураган, след два дни тя ще се е възстановила отново. И тук отново трябва да видим природата. Какво правим, къде са малките компоненти, които могат да бъдат еластични, какво са съседните. Така че киберустойчивостта е онова свойство, за което трябва да мислим, да се възстановим, защото никой не е защитен 100% от киберриск и съответно не трябва да мислим с мисълта, че и без това, ще ни удари за това по-добре да не правим нищо, а по-скоро да мислим, да сме киберсигурни, за да можем да бъдем и киберустойчиви.

[Стефка Георгиева, водещ] (26:48 - 26:57)

Извън всичко това, за което си говорим до момента, можеш ли да извлечеш още 5 реални заплахи за държавните служители на работните им места?

[Ясен Танев, водещ] (26:57 - 27:08)

Не записвайте паролите си на листове и не ги лепете по мониторите или под клавиатурите, защото това е практика. Също не ги записвайте в тефтери, които държите на бюрото. Има техники, по които трябва да променяте паролите, да ги помните.

[Стефка Георгиева, водещ] (27:09 - 27:16)

Добре, ти ни съветваш да не записваме на лист паролите си. А в този случай, каква е ролята на дигиталните бисквитки?

[Ясен Танев, гост] (27:16 - 29:37)

Вие сами сте се съгласили. Никой не ви е накарал насила. Това е личен избор. Това е цифрова хигиена. Отново намаляване на зоната ви на изложеност. Защото ако вие не посещавате сайтове, в които не е нужно да се съгласявате да приемате бисквитки, тогава излагането ви на рискове от бисквитки е по-малко.

Същият въпрос е: „Защо ядем толкова много захар?“ Еми, защото сами сме избрали. Ние сами имаме избора дали да консумираме бисквитки или не. От това да си залепите паролата на екрана или под клавиатурата, или да си запишете в тефтер и да не я сменяте една година, защото нямате политика. Един избор, който нарушава всякакви правила с киберреалността. Така че първото нещо – внимавайте с паролите, сменяйте ги редовно и не ги слагайте на видни места. Следва да кажем нещо простичко също. Когато си тръгвате от работа, си гасете компютрите. Защото когато ви няма, вие не знаете компютрите ви какво правят и не знаете кой прави нещо с компютрите ви. Така че тръгвайки си от работа, първо, че ще спестите електроенергия, второ, че ще намалите риска от хакерски атаки.

Съветът ми, ако излизате в отпуска е дори да изключите компютъра от контакта. Просто за още една степен на спокойствие. Друго, което е важно, да не оставят компютъра си работещ, когато не са на работното си място. Защото могат да ви извикат, да отидете за пет минути, но се окаже, че ви няма по един час или повече, защото работата в него изисква координация. Това е голям риск. Така че винаги заключвайте компютъра си, когато тръгвате от него.

Продължавайки в тази линия, не давайте и не споделяйте пароли и електронни подписи между колегите ви. Защото споделяйки тези неща, вие излагате на риск и себе си, и организацията.

Още теми, надграждайки, какво трябва да правим и какво трябва да не правим - не използвайте служебни си компютри, за да посещавате сайтове, които са свързани с личния ви живот по време на работното ви място, защото по този начин създавате риск. И ако имате мобилен компютър и се приберете вкъщи с него, не давайте ни членовете на семейството ви да работят с него, защото те могат да се доберат до компютъра ви оттам да ви изложат на кибератака. Това са неща, които трябва да правят обикновените хора.

IT колегите би трябвало да се грижим за това да създадем рамка, така че да затворим до максимум свободата на ненужен риск на потребителите.

А ръководителите на публичната администрация би трябвало да разбират рисковете и при възможност да обезпечават финансово ресурси и време не само като техника, но и като обучение, като хора. IT отделите с информационна сигурност, защото това е много важно нещо.

[Стефка Георгиева, водещ ] (29:38 - 29:59)

Чисто практически искам да те попитам още един въпрос. Да кажем, че се намирам извън офиса си, не нося със себе си служебния си компютър, но ми се налага да проверя пощата си през личния си смартфон, и то през Wi-Fi източник и съответно аз започвам да търся свободна мрежа, към която да се вържа. В този случай, има ли риск за мен?

[Ясен Танев, гост] (30:00 - 32:08)

Да, това е един много хубав пример как можете да изпаднете в риск, защото, първо, е нормално, като имате служебна работа, ако данните са конфиденциални или специфични, или уеб достъп до електронната си поща, то да използвате служебно устройство, което да бъде разпознаваемо от организацията ви, и ако го загубите – да можете да го изтриете. Така че, това е първото ниво на риск. Второ, ако се закачите към безжична мрежа и тя не е защитена с парола, това означава, че информацията, която вие обменяте, най-вероятно ще е криптирана, но въпреки всичко – тя ще бъде наблюдавана – най-вече от другите участници.

Ако решим да задълбаем повече по темата, защото знаем, че напр. държавните служители в един определен регион се хранят в едно определено заведение, то тогава може да се направи атака, която подменя DMS сървърите, които разпознават имената. И вместо да ви прати в gov.bg, да ви прати в g0v.bg, с което да имитира изгледа на вашия сайт и понеже са малки буквичките на телефона, и понеже там нямате записани потребителското име и парола, през мениджъра за управление на пароли, то вие можете да вкарате user name (потребителско име) и парола и да бъдете компрометирани.

Така че, правилният вариант е, когато ви се налага да извършвате отдалечена работа със системи, които са административни,  те да бъдат достъпни само през вътрешните мрежи. Което означава, да имате защитена мрежа за достъп, позната като VPN.

Ако пък искате да използвате мобилни услуги на определени устройства, тези устройства трябва да бъдат включени в система за управление на мобилните устройства и да могат да бъдат контролирани от администрацията. И да, ако нямате рискови данни, които да достъпите, ако не може през тези системи да изтече критична информация, то тогава може да използвате и вероятно персонално устройство, но рискът от това трябва да бъде оценен.

Ако сте важен държавен служител и отидете в неприятелска държава, и оставите за малко компютъра си без надзор, има шанс да не е същият, в момента, в които ср върнете да си го вземете. Ясен е примерът, в който завод-производител произвежда компютри, и докато стигнат до получателят им в Съединените щати, незнайно как по пътя, върху един от компютрите му се е появил мрежов чип, който извлича и предава данни. Така че компютрите се променят, ако останат във вражески ръце.

[Стефка Георгиева, водещ ] (32:10 – 32:29)

Аз самата, като водещ на подкаста, въпреки че имах някакви познания по темата преди това, но сега вече наистина доста изчерпателно се обогатих с всичко изложено от теб до момента. Все пак, последното ми питане към теб е: има ли още нещо, което не успя да кажеш на нашите слушатели в разговора ни досега?

[Ясен Танев, гост] (32:30 - 34:22 )

Искам да кажа за това, че трябва да бъдем заедно и първото нещо, е че трябва да има повече инициативи и хъбове на държавната администрация по интереси, в които да се обменя много бързо информация. ИПА отново е иноватор в тази сфера и направи хъб на IT специалистите в държавната администрация. Ние сме много, заедно всички, на които преподаваме, на които сме преподавали, и тези, от които можем да черпим знания. Така че трябва да си говорим повече. Знам, че има група на HR-ите. Някои от HR-ите са свързани с информационни технологии. Има и една малка група на AI ентусиастите, посланието ми е да си говорим повече, защото иначе няма как да си помогнем. Другото нещо, което много ми се иска да кажа, е свързано с работата ми, която поех покрай цифров иновационен хъб „Тракия“, и тя, е че предоставяме безвъзмездно услуги, свързани с обучения, извън онова, което се преподава в ИПА. То е специализирана програма, плюс тест за слабости и пробиви и оценка на риск в публична администрация, безвъзмездно. Така че, ако някой няма пари, няма бюджет, разходите откъм нас са 0. Само имам едно, единствено условие: трябва да сте много мотивирани, че искате да го направите.

И да – говори ми се много за изкуствен интелект, предизвикателствата с изкуствен интелект. Говори ми се много за данни. Много ми се иска да имаме още срещи и разговори и, последно, 5-те правила на цифровата хигиена, които са валидни за всички:

1. Мийте си ръцете;
2. В дигиталното пространство почиствайте устройствата;
3. Оглеждайте се, когато пресичате, което означава „Не кликайте по линкове, които не знаете къде ще ви отведат. Пътят натам е през опасни пътища“;
4. Не разговаряйте с непознати, защото това, че някой се представя за някого, не означава, че е той. Любопитството зарази котката, а в някои моменти може да изтрие и крайното устройство;
5. „Къща от захар не гарантира винаги добро преживяване“, което означава, че, ако нещо изглежда идеално, най-вероятно не е истина. Пазете се!

[Стефка Георгиева, водещ ] (34:24 – 34:24)

Тоест, току-така не се печели нов смартфон.

[Ясен Танев, гост] (34:25 – 34:45)

Или пък да можете да спечелите от инвестиция, или лекар от Афганистан е изпаднал в проблем: не може да бъде спасен от вас, колкото и да изглежда романтично и емоционално. Няма все още идеални неща. Има само идеални намерения. Сещайте се и за пътя към ада, който е покрит с такива, така че бъдете хора и реалисти.