0
25 април, 2024

Базата данни е “крепост” и трябва да се брани всевъзможно

17 юли, 2020
|
Няма коментари
|
Водещи новини, Новини

Божидар Божанов е посланик на дигиталната трансформация. За него тя е естественият път, по който трябва да се движи както обществото, така и държавата. Като компютърен специалист, той е работил като съветник към Министерския съвет по въпросите на електронното правителство, а освен това, е основател и ръководител на компанията LogSentinel, която се занимава с информационна сигурност. Прочетете какво ни споделя той за опазването на лични данни, повишаването на сигурността и други въпроси, засягащи нашето “privacy”.

Вие сте основател и CEO на LogSentinel, чието основно занимание е в областта на информационната сигурност. Можете ли да разкажете какви продукти разработвате и как се използват те?

Занимаваме се със защита на данните – защита от манипулация и защита от изтичане. Продуктите ни пренасят научни разработки в сферата на криптографията в реалния живот и защитават данните не просто чрез организационни мерки, а технически.

Какви са лошите сценарии за една компания, работеща с много клиенти, но същевременно съхраняваща данните им не достатъчно добре?

Лоши сценарии има много. Единият е стандартното изтичане на данни, при което злонамерено лице получава достъп до данните и ги извлича. Резултатът е, че репутацията на компанията е силно застрашена. Различни статистики твърдят, че голям процент от компаниите, които са жертва на сериозно изтичане, фалират много бързо. Една голяма компания е по-малко вероятно да фалира само заради изтичане на данни, но средносрочните ефекти върху доверието на клиентите ѝ са значителни.
Друг лош сценарий е манипулация на данни, която остава незабелязана. Манипулиране на финансови данни, на одитни доклади, на отчети или на клиентски данни могат да доведат до вземане на грешни решения и дори до директни загуби.

Както знаем, изтичане на данни не е задължително да идва след атака – възможно е дадена компания просто да е подхождала немарливо към тях и да не ги е защитила. Значи ли това, че при продукт за информационна сигурност като или подобен на разработваните от LogSentinel, въпросната компания решава всичките си проблеми и рискове?

На всеки основател на компания му се ще да каже, че неговите продукти са магическата пръчка, с която се решават всички проблеми. В реалния свят няма нищо 100% сигурно, но тъй като ние решаваме проблемите в ядрото им – при самите данни – то вероятността от немарливост също намалява значително.

С какви предизвикателства се сблъсквате при разработването на тези продукти и каква е ежедневната поддръжка, която те изискват?

Предизвикателствата са свързани основно с интеграцията. Никое решение не работи във вакуум и колкото и да е добро, то трябва да се „закачи“ за съществуващи системи и бази данни. За щастие, ежедневна поддръжка не се изисква, след като веднъж всичко е настроено. Допълнителни конфигурации и настройки се налагат сравнително рядко, най-вече при въвеждане на нова система в експлоатация от страна на клиента.

Когато говорим за опасности относно user data, винаги се сещаме за големи корпорации като Facebook и Google, но не се замисляме някак, че чувствителна наша информация се съдържа и в данъчни декларации, в пенсионни фондове, в НЗОК, МВР. Но Facebook и Google биват санкционирани и някак да глобиш мултимилиардна компания с няколко милиона, изглежда малко или много окей. В случаи обаче, в които проблемът идва от държавата, не е ли логично също да има някакви санкции, глоби, административна или политическа отговорност?

Дори държавата да глоби себе си, парите отиват от единия в другия джоб. Да, може би малко по-голям бюджет за КЗЛД, спрямо този на НАП, но дисциплиниращият ефект не може да дойде от финансовата санкция. Отговорността може да е само политическа, защото информационната сигурност дълги години е пренебрегвана, като изключим няколко важни нормативни стъпки, в които и аз съм участвал.

Като специалист в областта, можете ли да опишете какви видове “пробойни” съществуват и са опасни, както при компаниите, така и в държавни администрации и агенции? Какви са пътищата до базите данни? Както видяхме миналата година със ситуацията “НАП” – случва се…

Пробойните са много и разнообразни. Verizon има дълъг доклад с различни начини на изтичане на данни. SQL инжекции, изтекли пароли, malware, злонамерен вътрешен човек. Именно затова трябва да обявим базата данни за „крепост“ и да пазим нея с всички възможности, включително криптирайки данните и ограничавайки достъпа до ключовете за тях.

Има ли необходимост държавата от по-големи мерки за сигурност и по-здрави системи, така че да предотврати подобни сценарии?

Необходимост за това има винаги. А ние сме много далеч от онази точка на „достатъчно добро ниво на сигурност“, отвъд което усилията си струват все по-малко. Само че, мерките не могат да са на парче, а трябва една цялостна политика за информационна сигурност, която да се прилага и контролира ефективно в различните администрации.

Би ли означавало по-съвременното хардуерно и софтуерно оборудване в държавата невъзможност за използване на електронни административни услуги от хора, с по-остарели персонални компютри и системи? Въобще, възможно ли е това да е вид причина от държавна страна за липсата на осъвременяване?

Не, това няма как да е причина за липса на осъвременяване. Обикновено е обратното – бизнесът държи стари компютри, за да използва някои услуги, които не работят на по-нови. Предвид, че всички услуги се ползват през браузър, двете неща, които имат значение са версията на протокола TLS и Java аплетите за подписване. Второто е отдавна забранено и използването му трябва да спре от страна на държавата. При първото рядко има проблеми и те са основно със стари версии на Internet explorer.

Вие сте бил Съветник по електронното управление. Какъв е напредъкът в страната за последните години?

Напредък има, но той трудно се забелязва, най-вече защото се изразява в наваксване на изоставането, което сме натрупали. Например преди 2 години беше въведен задължителния обмен на документи по електронен път между администрациите, който бяхме заложили в наредба, приета 2016 г. Това е много важна стъпка, но тя остава скрита от външния наблюдател. Има напредък и по междурегистровия обмен – данни, които администрациите са извлекли автоматично от първичните регистри без да карат гражданите да носят удостоверения. Там, където напредък на практика няма, е електронната идентификация. Като изключим появяването на частни облачни услуги за електронно подписване и идентификация, държавата е „забила“ с проекта за електронна идентификация и вместо той да стартира през 2017 г., както беше планирано, все още не е. А електронната идентификация е отключваща за цялото електронно управление.

Вие сте и, ако мога така да се изразя, посланик на дигитализирането в различните му аспекти, а това несъмнено означава повече данни. Какво според Вас е бъдещето на опазването на личните данни и какви мерки трябва да се предприемат още от сега? Като не става въпрос само на държавно ниво, но и на чисто потребителско – използваме все повече технологии, свързани помежду си, прехвърлящи нон-стоп информация и т.н. Забелязваме и, че вече почти всеки ден из медиите има информация за “data breach” от някоя компания…

Ефективната дигитализация, особено в публичния сектор, може да значи и по-малко, а не повече данни. В случая на НАП, част от изтеклите данни не бяха техни, а на други институции, но поради липса на интеграция, при тях явно е имало копие. При добре работещо електронно управление данните ще бъдат съхранявани само при първичния им администратор и той ще може да ги пази много по-ефективно.
Разбира се, в по-общ план, повече електронизация значи повече данни, затова трябва при създаването на системи и при приемането на нормативна уредба (закони и наредби), да бъдат заложени принципите на защита на данните по подразбиране (privacy by design). Трябва да не се изискват излишни данни, да не се съхраняват повече, отколкото е необходимо, и т.н. Но без повишаване на информационната сигурност няма да минем, а тя пък минава през повече подготвени хора, които да работят в тази сфера.

За финал – съвет от човек, който се занимава с информационна сигурност. Какви са най-добрите начини да запазим своето “privacy”? Какво се изисква от нас и къде бъркаме? Съответно от гледна точка на обикновен потребител, но и от гледна точка на компания, обработваща хиляди данни.

Най-важното е познаваме реалностите. Да сме наясно, че когато запишем данни някъде, те могат да изтекат. Много компании решават, че просто ще вкарат данните на потребителите в една база данни, ще ѝ сложат една малко по-силна парола и „готово“. Това никога не е било достатъчно и става все по-недостатъчно.
От гледна точка на потребителите – трябва да знаем, че нашите данни се използват постоянно, без ние изрично да разрешаваме това. GDPR освети отчасти тези практики, но Facebook, Google и множество приложения просто си „вземат“ каквито данни им дадем и правят с тях каквото сметнат за полезно. Затова трябва да сме скептични при всяко едно даване на право за четене, при всяко едно „съгласен съм“. Не можем да ограничим всичко, но първата стъпка е да знаем какво се случва с данните ни – данни за локация, данни за поведение онлайн, данни за навици.

Тагове: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Author

img alt

img alt

img alt

img alt

img alt
img alt
img alt
img alt
img alt

Вижте количката Към поръчката Назад