криптография – DevStyleR https://devstyler.bg Новини за разработчици от технологии до лайфстайл Wed, 04 Feb 2026 10:59:10 +0000 bg-BG hourly 1 https://wordpress.org/?v=6.8.5 Квантовите компютри – следващата голяма глобална заплаха за киберсигурността? https://devstyler.bg/blog/2026/02/04/kvantovite-kompyutri-sledvashtata-golyama-globalna-zaplaha-za-kibersigurnostta/ Wed, 04 Feb 2026 08:53:59 +0000 https://devstyler.bg/?p=316967 ...]]> Федерални експерти по киберсигурност предупреждават, че бързото развитие на квантовите компютри може в близко бъдеще да изпревари съществуващите защитни механизми и да изложи на риск ключови държавни системи и критична инфраструктура. Това се посочва в нов анализ на U.S. Government Accountability Office (GAO).

За разлика от класическите компютри, квантовите машини използват принципите на квантовата физика, за да обработват информация по фундаментално различен начин. Според експертни оценки, в рамките на следващите 10 до 20 години достатъчно мощни квантови компютри могат да бъдат способни да разбиват широко използвани криптографски защити — свеждайки процеси, които днес биха отнели милиарди години, до часове или дни.

Криптографията под риск

Криптографията, която използва публични ключове  — гръбнакът на защитената електронна поща, онлайн банкирането и федералните информационни системи — е сред най-уязвимите области. Бъдещ квантов компютър би могъл да разруши математическите основи на тези защити, позволявайки неоторизиран достъп до чувствителни данни и критични услуги.

Още по-притеснително е, че някои “противници” може вече да събират криптирани данни с цел да ги дешифрират по-късно, когато квантовите възможности станат реалност — стратегия, известна като „harvest now, decrypt later“ („събирай сега, декриптирай по-късно“).

Липса на цялостна национална стратегия

Въпреки нарастващата спешност, оценката на GAO показва, че САЩ все още не разполагат с напълно разработена национална стратегия за справяне с тази бъдеща заплаха. Федералните агенции са изготвили отделни насоки и добри практики за преминаване към квантово-устойчиви системи, но тези усилия са фрагментирани и без ясно дефинирани етапи — особено по отношение на критичната инфраструктура извън директния държавен контрол.

Пропуски в лидерството и стратегическото управление

GAO отбелязва, че в момента няма централен федерален орган, който да отговаря за цялостна стратегия за квантова киберсигурност. За да се запълни този вакуум, докладът препоръчва Office of the National Cyber Director да поеме водеща роля в координирането на усилията между различните агенции и да гарантира ясно разпределение на отговорностите при подготовката за пост-квантова ера.

В същото време, докато експертите разработват и стандартизират постквантова криптография — алгоритми, устойчиви на квантови атаки — както публичният, така и частният сектор са призовани да ускорят планирането и внедряването на защитни мерки, преди квантовите заплахи да станат реалност.

Изображение: Freepik

]]>
Alchemy Пусна Публична Версия на Платформата си за Starknet https://devstyler.bg/blog/2023/05/08/alchemy-pusna-publichna-versiya-na-platformata-si-za-starknet/ Mon, 08 May 2023 06:46:24 +0000 https://devstyler.bg/?p=134514 ...]]> Компанията Alchemy, която предоставя на разработчиците на софтуер инструменти за създаване на приложения за блокчейн, пусна публична версия на платформата си за Starknet, съобщава Markets Insider. Starknet е проект, който е важен, заради комбинацията от две технологии – криптография с нулево познание и абстракция на сметки.

Starknet е ZK rollup, който мащабира основния блокчейн, като обединява трансакциите и ги обработва по-бързо и по-евтино в отделен блокчейн. ZK ролкъпите използват някои криптографски методи, известни като “zero-knowledge proofs”, за да гарантират, че дадена трансакция е валидна, като показват само малко количество информация за нея, преди да я публикуват обратно в основната блокчейн верига.

Повече подробности около новината можете да прочетете на международното издание DevStyleR.IOAlchemy Releases Public Version of its Starknet Platform

]]>
InfoSec Global се присъединява към Асоциацията за Интелигентна сигурност на Microsoft https://devstyler.bg/blog/2021/11/16/infosec-global-se-prisaedinyava-kam-asotsiatsiyata-za-inteligentna-sigurnost-na-microsoft/ Tue, 16 Nov 2021 15:18:43 +0000 https://devstyler.bg/?p=52889 ...]]> InfoSec Global е лидер в управлението на криптографската гъвкавост и адаптивност, който току-що обяви, че се присъединява към Асоциацията за интелигентна сигурност на Microsoft (MISA)– коалиция от независими доставчици на софтуер и доставчици на управлявани услуги за сигурност. Компанията е успяла да интегрира своите решения с продуктите за сигурност на Microsoft, за да помогне на съвместните клиенти по-добре да защитават себе си от кибер заплахи.

InfoSec Global обяви също, че тяхното решение за откриване на криптография, AgileSec™ Analytics, вече е интегрирано в Microsoft Sentinel. То е готово е за съвместна продажба на Microsoft и е достъпно чрез Microsoft Azure Marketplace. За да бъдат приети да членуват в MISA, организациите трябва да бъдат номинирани от Microsoft и да демонстрират интеграции, които поддържат целта за подобряване на сигурността на предприятието.

След одобрението на AgileSec Analytics в Azure Marketplace, клиентите ще могат да използват продукти от цялата екосистема за сигурност на Microsoft, като Microsoft Sentinel, Azure, Azure Active Directory, Microsoft Compliance Manager, Microsoft Defender за идентичност, Microsoft Defender за крайна точка, Microsoft Defender за Microsoft 365, Microsoft Defender за IoT или Microsoft Defender за Cloud. Тези продукти могат допълнително да подобрят своята позиция на сигурност чрез допълнителни възможности за откриване, идентификация, анализ и защита. Джон Харис, главен директор по приходите и EVP, Операции, InfoSec Global, коментира:

„Радваме се да се присъединим към асоциация от световна класа като MISA. Днес InfoSec Global споделя много високопоставени корпоративни клиенти с Microsoft. Очакваме с нетърпение да представим нашето водещо в индустрията решение за откриване и анализ на криптография на по-широк кръг клиенти в Microsoft екосистема за сигурност. Този продукт ще помогне на клиентите ни да защитят своите данни и цифрови системи като намалят риска и подобрят съответствието. Нашата тясна и интелигентна интеграция с Microsoft Sentinel прави приемането на клиентите лесно и с висока стойност.”

AgileSec Analytics е облачно базирано решение от корпоративен клас, което открива и анализира цифрови сертификати, ключове, криптиране и други криптографски активи, скрити в сложна цифрова инфраструктура, която може да застраши цифровата безопасност. Решението дава на потребителите пълен контрол върху тяхната повърхност за криптографска атака чрез свързване към критични източници на данни в корпоративните инфраструктури, консолидиране и централизиране на всички криптографски данни и автоматизиране на процеса на криптографско откриване и анализ.

Криптографията се разглежда от много експерти по сигурността като критична инфраструктура и самият гръбнак на цифровото доверие. Значителното нарастване на нарушенията на сигурността на данните, ransomware атаките и другите уязвимости, свързани с остарялата или лошо внедрената криптография, доведоха до оперативни прекъсвания и несъответствие. Тези неща превръщат криптографското откриване във все по-голям приоритет за специалистите по сигурността.

С AgileSec Analytics потребителите вече могат изчерпателно да откриват и анализират пълния инвентар на своите криптографски активи и да дават приоритет на действията за отстраняване въз основа на текущите нива на оценка на заплахите.

]]>
Acronis се присъединява към MPC Alliance https://devstyler.bg/blog/2020/11/13/acronis-se-prisaedinyava-kam-mpc-alliance/ Fri, 13 Nov 2020 12:23:41 +0000 https://devstyler.bg/?p=36529 ...]]> Acronis обяви присъединяването си към MPC Alliance – глобална асоциация на отговорните организации с мисия за подобряване сигурността и поверителността на данните чрез внедряването на защитената криптографска технология на многостранно изчисление (MPC).

MPC е математически подход към цифровата сигурност. Той е подразделение на криптографията, което позволява на множество страни да изчисляват резултата, използвайки своите лични данни, без да ги разкриват на трети страни. Acronis възприе MPC технологията, тъй като разработва иновативни решения за киберзащита, които се отнасят до днешните предизвикателства за безопасност, достъпност, поверителност, автентичност и сигурност на данните (известни като Петте вектора на киберзащитата). На продуктите и услугите на Acronis се доверяват повече от 5,5 милиона индивидуални потребители, компании и организации по цял свят.

Примерите за MPC, които се използват днес, включват използването му за защита на лични ключове за софтуер или за защита на данни в облака. Той също така се използва за генериране на цифрови подписи за оторизиране на транзакции, удостоверяване на код, проверка на самоличността, и др.

Сред редица изследователски инициативи на MPC, Acronis работи със сингапурския технологичен университет Nanyang (NTU), за да създаде иновативно криптиране и защитени технологии за управление на данни, за да бъде създадена сигурна MPC платформа за сделки между бизнес и правителствени организации, гарантирайки, че криптираните Данни могат да се споделят между множество ненадеждни страни, като същевременно остават защитени.

Президентът по технологиите и съосновател на Acronis Stanislav Protassov каза: „MPC е от голям интерес за Acronis, в която сме заделили значителни изследователски ресурси. Клиентите на Acronis могат да изготвят бизнес рипорти беда да разкриват каквито и да било данни с чувствителен характер.

Сред членовете на съюза са: Acronis, Alibaba Group, AMIS, ARPA, Atomrigs Labs, Big Horn Web3 Solutions, Bolt Labs, Cosmian, Cryptoworth, Curv, Cybavo, Cybernetica, Digital Garage, Fragmentix, I4P, IJS Technologies, Inpher, ITRI, Juzix, MYKEY, Nth Party, NTT, Partisia, Penta Security, PlatON, PRIVEcomms, QEDIT, Qredo, Salesforce, Sepior, Spherity, Thresh0ld, TruthShare, TsingJiao Information Science, Unbound Tech, Xkey, Xtendr, и ZenGo. MPC Alliance е иницииран от Sepior, Unbound и ZenGo. Членовете на съюза споделят убеждението, че много настоящи и нововъзникващи онлайн пазари ще се възползват от MPC и съвместната работа като съюз ще помогне за повишаването на осведомеността, смекчаването на бариерите и ще насърчи приемането на онлайн услуги с по-високо ниво на поверителност и сигурност. Фирмите, които разработват или прилагат MPC за решаване на реални проблеми, са поканени да се присъединят,

да допринесат и да участват в ускоряването на пазарната осведоменост и приемането на MPC. За повече информация, посетете www.mpcAlliance.org.

]]>
Привилегировани ли са разработчиците, когато говорим за GDPR и технологии? https://devstyler.bg/blog/2020/07/27/privilegirovani-li-sa-razrabotchitsite-kogato-govorim-za-gdpr-i-tehnologii/ Mon, 27 Jul 2020 14:34:11 +0000 https://devstyler.bg/?p=33192 ...]]> Програмистите имат известно предимство и им е по-наясно, когато даден сайт или приложение не отговарят на условията, които предлагат и имат по-висок достъп до нашите данни. Това твърдят гостите на онлайн дискусията на DevStyleR “Privacy Matters – Поверителност, лични данни и методи на защита по време на пандемия”.

[Програмистите] имат известно предимство и това е нормално. Когато човек разбира как работи самата система, как събира и какво събира като лични данни, съвсем нормално е един разработчик да знае как да ограничи това нещо или да го спре. Но нека пак подчертая, че самото законодателство за защита на личните данни има за цел, така да бъде изградено, че дори хората да имат представа от това как функционира една система, да могат администраторите да са задължени да представят информация за личните данни – как ги обработват и за какви цели. Това значи, че законодателството е в посока към всички, но повече към тези, които не знаят как да упражнят правата си“, коментира управляващият партньор на адвокатско дружество “Стойчев и Стойчева” Явор Станчев.

Стефан Генчев, който е ентуасиаст по темата за киберсигурност и криптография, допълни, че когато разбираш как работи самата система, имаш много добър поглед върху това, как може тя да бъде използвана срещу теб.

Бих добавил и сайтове, услуги и приложения, които са от правилната страна на закона, но не използват добри практики. Например, когато говорим за сайтове, използващи cookie банери. Виждаме много лоши примери, в които доставчиците на електронни услуги се опитват по някакъв начин да измамят потребителя да се съгласи с обработката на неговите данни“, коментира студентът по информационна сигурност.

На въпроса по какъв начин личното ни пространство може да бъде нарушено от използване на различни платформи, сайтове, социални мрежи, медии и други, адвокат Стойчев отговори по следния начин:

Можем да сгрешим като даваме съгласието си да бъдат обработвани нашите лични данни, без това да има каквато и да е полза за нас. Можем да разгледаме един стандартен пример, който е свързан с маркетинг цели. На всеки му се е случвало да посети търговски обект, да си закупи стока и да му бъде предложено неговите контакти да бъдат използвани при бъдещи предложения. Много от нас не се замислят и даваме съгласие нашите лични данни да се обработват в тази връзка. Дори забравяме, че сме дали това съгласие. А е важно да знаем, че конкретният администратор има право да обработва нашите данни, докато не оттеглим съгласието си“, обясни Стойчев.

В моите очи това представлява грешка – да даваме съгласие, просто защото можем. Винаги апелираме за по-високо ниво на дисциплина тогава, когато разкриваме нашите лични данни и когато даваме съгласие да се обработват. В последните месеци започна да се развива една практика – срочност на съгласието. Това значи, че в зависимост от това, дали ние искаме, администраторът може да поднови нашето съгласие в срок от 6 месеца или година. Но зависи от това дали ние искаме“, продължи експертът по GDPR.

]]>
Използвайки интернет, винаги трябва да сме песимисти https://devstyler.bg/blog/2020/06/25/izpolzvajki-internet-vinagi-tryabva-da-sme-pesimisti/ Thu, 25 Jun 2020 09:17:52 +0000 https://devstyler.bg/?p=32036 ...]]> Стефан Генчев е на 21 години и учи в Техническия университет в Мюнхен, а освен това работи в сферата на информационната сигурност. Той ясно отчита, че точно тази ниша създава все по-екзистенциални въпроси в ежедневието ни, обвързано с купища данни, които масово неглижираме – къде ги предоставяме, кой ги обработва и как могат в даден момент да се върнат срещу нас. Но ако нещо би могло да намали риска, то това е именно песимистичният подход.

Разбрах за теб като проучвах млади хора, иноватори, занимаващи се с “privacy” темата и така попаднах на твоя проект My ePass. Можеш ли да разкажеш малко повече за него?

My ePass е от 2016 г. и представлява проект за дигитална самоличност, която да може да се използва из целия свят с различни партньори от различни държави, като основната цел тогава бе да се създаде инфраструктура, която е сигурна и започва с “privacy by design” – функционалността да не трябва да бъде ограничавана от сигурността. Това означава добър баланс между privacy, usability и security. Взех награда за този проект на национално ниво в Германия, като в момента продължавам да го разработвам.
My ePass се състои от редица документи за информационна сигурност. Целта ми е да мога да формализирам най-добрите практики и те да се превърнат в минимален стандарт. Така всеки който участва в мрежата на тази дигитална самоличност спазва минимални нива на информационна сигурност и privacy.

Казваш, че продължаваш да го разработваш. Имаш ли срокове и какви са крайните ти цели? За последните четири години малко по малко си работил върху този софтуер, предполагам…

За съжаление, работя по-малко отколкото ми се иска. Някак бе трудно да съчетая проекта с другите ангажименти като училище, матури, университет и работа. Въпреки това, давам всичко от себе си да продължа – ако не конкретно по този проект, то поне в тази посока – механизми, които да помогнат на проекта. В момента идеята ми няма как да се реализира, защото липсват определени стандарти за сигурност, върху които се опитвам да работя. Липсват и определени технологии. В началото на проекта аз направих минимална документация за даден механизъм за сигурност, но ако само аз го използвам или ако само дадена мрежа го използва, то би било безсмислено да говорим за международно развитие на проекта. Изисква се идеите да се превърнат в нещо повече, а на първа степен те трябва да се формализират в документ, така че да има обсъждане. В момента основно се занимавам с дейности по осъществяването на такива документи, които след това да се превърнат в стандарти или в по-песимистичен случай – в доброволен framework.

Спомена, че съчетаваш киберсигурност и privacy. Можеш ли да разкажеш малко повече на нашата аудитория за този процес? Как се получава и какви са пресечните точки между двете – privacy и киберсигурност?

Изключително важно е информационна сигурност и privacy да работят заедно. За да осигурим privacy на потребителите, трябва да предприемем както организационни, така и технически мерки, така че да се предотврати неоторизиран достъп до данни. Едновременно имаме технически аспекти – криптографски, мрежови и т.н., така че да предотвратим различни атаки. Но също така и организационни – с много ясно дефиниране на това кой има достъп и до какви данни. Трябва да се минимизират хората, които имат достъп до потребителски данни, така че те да са на разположение на тези, които наистина работят с тях. В една организация трябва да се дефинират именно тези процеси – какви данни се събират, кой работи с тях, кой се нуждае от тях.

Какви са рисковете за потребителските данни и кои са лошите сценарии? Хвърлят се много усилия в тази насока и това е един сериозен казус.

Аз основно защитавам тезата, че когато използваме интернет винаги трябва да сме песимисти. Когато въведем данни в даден уебсайт или приложение, трябва да сме готови, че тези данни ще бъдат публикувани и ще станат обществено достояние. Виждаме как всеки ден огромни бази данни на големи компании биват компрометирани. Преди месец един от най-големите доставчици на услуги в Тайланд бе ударен от подобна атака, защото се оказа, че базата данни е била оставена отворена в интернет, без необходими мерки за сигурност. Именно с този песимизъм е най-добре да преценим, дали всъщност трябва да въвеждаме дадени данни. Наистина ли този сайт има нужда от моя адрес, телефон и т.н. Ние не знаем какви са информационните мерки за сигурност. Може да се случи, че този даден сайт също е оставил базата отворена и чака някой да я открие. Смятам, че това е правилния подход от страна на потребителите – да не споделят ненужна информация, да се замислят два пъти, особено когато става въпрос за по-чувствителни данни и да подхождат с известно съмнение. Да кажем, че снимка от плажа няма да има голяма стойност, но можем да се сетим за много други случаи, в които би било критично данни да достигнат обществено достояние.
В най-добрия случай някой етичен хакер ще ги намери и ще информира организацията да затвори дупката в сигурността си, но има и най-лошият случай, в който данните биват публикувани. Това е от страна на потребителя, но съществува и друга страна – тази на доставчиците на интернет услуги. Те трябва да си казват “нужни ли са ни всички тези данни, за да предоставим услугата”. Колкото по-малко събират, толкова по-малък риск поемат при евентуален случай на теч. Другото е, че дори когато събираме данни трябва да сме готови, че между редовете също може да изтекат чувствителни данни. Ако дадено приложение изисква качване на снимка. Дали в тази снимка не са останали данни от локацията, на която е направена? Дори приложението да не изисква локация на снимката, не можем да сме сигурни дали самата снимка не качва със себе си такива. Тук можем да вземем например журналисти, които по този начин могат да разкрият свои източници. В крайна сметка има мета данни, които са опасни.
Друг въпрос, който трябва да си зададем е – ако сме потребители в дадени платформи и сайтове, но не ги използваме от две години – трябва ли тези наши профили да съществуват? Можем просто да ги изтрием ако няма да ги използваме.

А можем ли да кажем, че хората са небрежни при съхраняването на данните си? Не ползваме дадена банка от 5 години, но не закриваме сметката си, например. Достатъчно ли сме информирани относно това, което се случва с информацията за нас?

За да са небрежни хората, те трябва да знаят риска и да го игнорират. Докато аз смятам, че по-скоро в голяма част, хората наистина не са достатъчно информирани, че данните им могат да бъдат компрометирани във всеки един момент. Наясно сме, че оставяйки данните си в големи компании като Facebook и Google, би трябвало да са сигурни, защото при тях защитата е голяма. И все пак виждаме случаи, като миналогодишния бъг в Gmail. Това означава, че дори и при най-големите играчи не можем да бъдем сигурни, че данните ще останат недокоснати. Имам впечатлението, че насам-натам се дават всякакви данни и единствено мога да си го обясня с липсата на представа до какво може да доведе това. Донякъде съществува идеята в медийното пространство в западните държави, че човек, който не е извършил престъпление, няма какво да крие. Това за мен е фундаментално грешно, защото всички имат право на лично пространство, което да бъде гарантирано. Може да няма какво да криеш, но след време да съжалиш, че си дал някаква информация. Трябва да има мисъл за бъдещето, защото ако кача нещо с принципа на песимизма, който споменах, то трябва да приема, че тази информация никога няма да напусне интернет. Все някой уебсайт или архивна услуга, или back up на фирма ще са направили копие някъде. Актът на изтриване на снимка от дадена услуга не е толкова проста. Поради тази причина трябва да има по-добри информационни кампании. Нищо не е толкова сигурно, колкото си мислим.

При закупуване на криптовалута от сайтове и платформи, се изисква снимка на лична карта, в която има доста информация. Необходимо ли е и няма ли как да е по-просто?

Това строго зависи от законите и регулациите на съответната страна в която оперира този сайт за криптовалути. Ако са длъжни по закон, тъй като предлагат банкови услуги, то те не могат да се откажат да изискват снимка. Ако го правят на доброволни начала обаче, е изключително грешна и лоша практика. Но в доста услуги се изисква човек да удостовери самоличността си. В Германия има услуга, която ти издава ваучер с код. След това отиваш с този код до най-близката пощенска станция и удостоверяваш пред немските пощи самоличността си. Това значи, че личната карта не достига до крайния доставчик на услугите. Просто немските пощи потвърждават самоличността и казват “да” на услугата.
Това е добър механизъм за предотвратяване на теч на данни. Защото е много по-добре да се инвестира в информационна сигурност в една организация, отколкото в много фирми, които нямат бюджет или желание да се занимават с това.

Казусът със съхранението на user data е повече технологичен или повече законов според теб? В крайна сметка има регулации, норми, закони, но ежедневно изтича много информация – доколко тези закони въобще успяват да свършат работа?

Смятам, че всяка организация трябва да се подготви, че все някога ще има теч на данни от нея. Поне практиката показва, че това би бил легитимен принцип на действие. Не дали ще ни хакнат, а кога? В информационната сигурност, не е само да предотвратим това да се случи, но също и какво да направим ако се случи. Ако един сървър е компрометиран, не би трябвало атаката толкова лесно да се разпространи в цялата мрежа на организацията. Поне когато съществуват регулации и закони, най-доброто, което фирмите могат да направят е, да се замислят как съхраняват данните, къде се намират физически и какво става ако точно този сървър бъде атакуван. Точно този процес на организация на информацията в една фирма е доста по-важен, отколкото тя единствено да каже, че спазва закона.
В момента всички използваме умни часовници, таблети, телефони, компютри, IoT устройствата все повече навлизат.

Все по-трудно става да сме необезпокоявани в дигиталното пространство. В тази насока, какви са предизвикателствата пред киберсигурността за опазване на личните данни? Информацията става все повече…

Действително. Дори все повече типове данни започват да се събират. Баналният пример за лични данни е име, фамилия и дата на раждане, но те дори са сравнително публични. Но например данни за локацията ни – в 18 часа сме на едно място, в 21 на друго. Пример със снимките – много е удобно всяка снимка да пази данни за локацията, на която е направена. Но напълно необходимо ли е да правим всяка снимка с тази настройка? Дори когато сме събрали тези данни се изисква особено внимание. Трябва да внимаваме тези снимки да не напускат устройството, но и това не може да стане, тъй като всички искаме ако си загубим телефона, да можем с back-up да възстановим информацията. Ако ги качваме в облак, трябва да сме напълно убедени, че организацията е взела необходимите мерки.
По-добре да не събираме чувствителни данни, защото шансът да успеем на 100% да ги опазим, клони към нула. Винаги има нещо, което да се пропусне. Може да са много прости грешки, които да имат огромни последици. Да не забравяме и zero-day атаки, в които не можем да направим абсолютно нищо.

Каква е изгодата на тези големи организации, които събират милиони бази данни? Търгуват ли с тях? Или да го поставим така – ако ми откраднат банковите данни би било гадно. Но данни като локация – кому е нужно да знае къде съм бил? Освен ако не са хакнали наистина важна информация за мен, защо е нужно да се търгува с имейла ми, с адреса ми и т.н.?

Понякога трябва да се замисляме, че безплатен обяд няма. Услуги, които се предлагат безплатно, костват пари. Сървърите изискват грижа – цялата инфраструктура, за да бъде поддържана изисква много средства. Когато за крайния потребител услугата е безплатна или има малко реклами, или няма реклами, то тогава трябва да се замислим как тази компания получава парите, които получава? Така че не само да покрива разходите си, но и да е на плюс. Често пъти това се случва с данните на потребители. Най-лошото което може да се случи е препродаване и размяна на данни. Но ако данните отидат от по-сигурен играч в по-несигурен? Ако бъдат продадени на организация, която иска да ги използва за статистически цели, няма лоши намерения, но не взима съответните мерки за сигурност? Тогава може да стигне до кражба на самоличност с цел извършване на измами и престъпления. Колкото повече данни се събират за един потребител, толкова по-лесно става за измамниците да се представят за нас. Ако имат повече имейли, те могат да видят как се обръщаме към хората, какъв е стилът ни на писане, така че да е трудно друг човек да направи разликата. Друг лош случай е тренирането при machine learning с цел расово профилиране или лицево разпознаване. При теч на данни, в които се събират много снимки и особено когато те са в хронологичен ред – потребител е използвал услугата пет години, то тогава това са перфектни данни да се проследи как лицето ни се променя с годините. Следователно софтуерът за лицево разпознаване може да бъде използван с недобри цели – да кажем Китай.

Смяташ ли за потенциално опасно това, че социалните мрежи използват данните на своите потребители за обучение на системи за изкуствен интелект и машинно обучение, расово и психологическо профилиране? Колко е опасно това?

Изключително опасно е, особено когато говорим за deep fake клипове. Появява се даден човек и прави изявления, които никога не би направил. Това се дължи на факта, че този клип е изкуствено създаден. Това е голяма опасност за демокрацията – появяването на deep fake видеа. Разбира се, те трябва да бъдат тренирани с достатъчно данни. Но като цяло събирането на информация в такива мащаби е изключително нездравословно и не смятам, че фирмите, които ги събират, наистина се нуждаят от тях. Дори трябва да кажем, че най-безопасният начин за използването на нашите данни е да ни таргетират за реклами. Това се случва в много сайтове, които използват даден скрипт на Adwords, например. Те записват какви са ни интересите, кои сайтове посещаваме и т.н. Честно казано почти скрито от обществото се събират много данни и може би в даден ден ще се появи по-голяма заплаха, която в момента не можем да си представим, но която именно се базира на големи количества данни.

Като говорим за deep fake, видяхме наскоро клипа, който излезе с Илон Мъск и съветската музикална група. Изглеждаше доста успешно, а можем да си представим колко още ще се избистря качеството. В даден момент може би въобще няма да има разлика.

Абсолютно. Но това дори е безобидно използване на deep fake. В ерата на алтернативни факти, които биват представяни от определени държавни глави, какво се случва, когато deep fake се използва за политически цели? Когато се използва с цел президентът на нацията да направи абсурдно обръщение, което обаче да афектира хората. Това потенциално може да се развие в нещо много опасно и трябва да внимаваме. Дори не знам накъде отиваме. Но няма как да го предотвратим – не можем да спрем развитието и да премахнем разработчиците, които работят по тези технологии. Дори и регулации не винаги помагат.

Те дори много често се заобикалят, така или иначе…

Бих искал да добавя нещо тук. За обществото в Германия, тъй като имам досег. Поради исторически причини, германците държат много на личното си пространство. Не дават доброволно данни, много малко хора имат социални медии, винаги слагат под лупа всички услуги, които изискват лични данни от тях. Като цяло има много добра представа кое е здравословно предоставяне на данни и кое не. Точно това се надявам да бъде постигнато и в други държави.

В България май не е така?

В Германия имат насоки по тази тема още от училище. Активно се правят дискусии за лично пространство, за лични данни и т.н. В други страни не ми е правило впечатление да се коментира толкова. Логиката е, че не трябва да съм автоинженер, за да мога да използвам сигурно автомобил. По същата логика потребителите не трябва да са експерти по информационна сигурност или privacy, за да могат сигурно да използват дадени услуги. Те просто трябва да знаят какви са рисковете.

Бих казал, че в България не се учат такива неща и не се говори. Може би в някои гимназии, занимаващи се с ИТ, но в масов план – не. Дори самите учители не са навлезли в новия век, камо ли да знаят какви са рисковете, така че да ги обяснят на децата. А както знаем, децата бленуват за телефони и умни устройства и още от ден първи изтеглят всевъзможни игри, приложения, платформи и т.н. Следователно, на всичко кликват “agree”. Поради това, много е хубаво, че в Германия се занимават и информират децата още от малки. Дори не само за личните им данни, а и за безопасността им, защото се появяват доста игри, завършващи със смърт. Дигиталното образование и това, че не трябва да се съгласяваш с всичко е важно да навлезе и в България.

Със сигурност. Не винаги учителите по информатика или информационни технологии трябва да изпълняват тази роля, защото популярните приложения сред младите се менят на всеки няколко години и е прекалено трудно винаги човек да е в крак с времето. В крайна сметка те си имат определена образователна програма. Тук (в Германия) имаше много хубава инициатива, в която ученици образоват други ученици за рисковете от гледна точка на privacy и информационна сигурност. Смятам, че подобни инициативи биха допринесли много относно това, този казус да бъде чут. Дори е добре да се обсъждат основни неща, от рода как да си заключваме профила в Instagram. Такива инициативи ще доведат до ефект и по-информираните деца дори ще помогнат и на родителите си.

В България все още са актуални телефонните измами насочени към пенсионери.

Това също е важно от гледна точка на теч на данни. Дори да не са критични, то със сигурност биха били достатъчни, така че да бъде измамен по-стар човек. Точно тук се намесва кражбата на самоличност, която се целим да предотвратим. Телефонните измамници много често се преструват за шефове на полицейски управления, лекари в болници… Ако изтекат под някаква форма лични данни на граждани, заемащи такива позиции, можем да си представим много лоши сценарии.

Като млад човек, как си представяш бъдещето на опазването на данни?

Това, което виждам със сигурност е, не всеки месец да имаме голям теч на данни, а всеки ден. Притеснително е, но не трябва да ни отказва от използване на интернет, нито да ни обезкуражи. Дори да предположим, че ще се случат инциденти от по-тежък характер, то това не трябва да ни възпира от развитие в сферата на технологиите. Просто трябва да продължим да мислим за механизми за privacy и технологии, които да осигурят сигурност. Оптимист съм, че колкото повече се увеличават данните, толкова повече се развиват и технологиите за информационна сигурност. Да, ще се събират повече данни, но се надявам, че ще стигнем до състояние, в което с достатъчно добри инструменти и квалифицирани хора, ще можем да въведем ред в този хаос, който в момента цари.

Всъщност – нов пробив води до нова защита и нова защита води до нов пробив. Има ли край този сюжет или е постоянна игра на котка и мишка?

Интересно е, когато виждаме, че не можем да предпазим софтуер и отново и отново се появяват дупки в сигурността. Тук трябва да разгледаме и хардуерни механизми за сигурност. Когато говорим за електронен подпис, например. Там се съдържа чувствителна информация, с която могат да бъдат подписани документи с правна стойност. Ако тази информация се подсигурява и от хардуера, не само софтуера, то тогава се повишава сигурността. Хардуерната защита е силно оръжие и преспокойно може да се включи на помощ. Прави ми впечатление, че има развитие в тази насока. Все повече framework-ове започват да се пренасят към memory safe езици, все повече добиваме представа за това какви проблеми имаме. Ако досега сме били във фаза на събиране на опит и разбиране какво може да се обърка, то се надявам в даден момент да минем във фаза, в която да погледнем назад и да видим кои са проблемите.

Хората постоянно говорят и се чувстват несигурни от това, че държавата знае всичко за теб – кой си, къде си бил, какво правиш. От тази гледна точка, има ли опасности и от държавно ниво, а не само от корпоративно?

Само мога да кажа Национална агенция по приходите. Въпросът е, че държавата е специален случай, в който ние сме длъжни да дадем лични данни, така че тя да си върши работата. Разбира се, колкото повече данни се събират, независимо от бизнес или от държавата, трябва да се вземат строги мерки тези данни да останат сигурни. Тук имаме много проблеми с legacy системи. Да кажем, че цялата система е толкова сигурна, колкото е сигурен най-слабият елемент от нея. Трябват организационни мерки, но и технически. До някаква степен не можем да предотвратим събирането на данните, но трябва да се подсигурят държавните агенции. Те трябва да имат Chief Security Officer. В Германия от гледна точка на информационната сигурност има определен стандарт за институциите с конкретни правила – какво да се прави и какво не, кои технологии трябва да се използват. Това се прилага за данни, които са необходими на държавата. Всичко повече от това можем да класифицираме като данни, които са ненужни. Тук се намесва и информираното общество, което трябва да каже, че не е съгласно тези данни да се обработват от държавата. В един оптимален вариант, в който преследваме идеалистични цели, хората казват “ако не промените тази политика, на следващите избори няма да гласуваме за вас”.
Но в случая на данъчни декларации, които носят доста чувствителна информация, може би държавата трябва да се научи от бизнеса – как да съхранява и как да обработва. Може би приемат за даденост като събират всичко в един сървър.

Със сигурност има нужда от подобрения в държавните системи, които се използват. В крайна сметка какво да очакваме от държавата, която трябва да ни защити, когато ни откраднат данните или изтекат, при положение, че самата държава не може да защити една от основните си агенции.

Има един интересен проблем тук. Когато данните на гражданите се пренасят от техните компютри до съответната агенция или министерство. Тук министерството, например, трябва да каже, че разрешава за използване само най-сигурните алгоритми. Но какво правим с всички граждани, които имат по-стари компютри, които не могат да се справят с натоварването на тези много по-тежки криптографски алгоритми. Това значи, че за да осигури достъп до услугата, държавата трябва да понижи стандарта на сигурност. И направили го, то стандартът ще важи за всички. Това е една тема, която за момента няма решение. От друга страна, когато говорим генерално за информационна сигурност за която и да е държавна администрация по света, винаги има потенциал да се развива и никога не може да бъде достигнат максимум на информационна сигурност и всяко усилие в тази насока би трябвало да допринесе за една по-сигурна среда.

]]>
Apple и Google обявиха обща система за проследяване срещу COVID-19 https://devstyler.bg/blog/2020/05/21/apple-i-google-obyaviha-obshta-sistema-za-prosledyavane-sreshtu-covid-19/ Thu, 21 May 2020 13:19:17 +0000 https://devstyler.bg/?p=30816 ...]]> Apple и Google влизат в пространството за проследяване на цифрови контакти, съвместно обявиха от компаниите. Заедно внедриха система за уведомяване за експозиция COVID-19, по същество унифициран програмен интерфейс, който ще позволи на отделите за обществено здраве да създават свои собствени приложения за проследяване на контакти.

Apple и Google не изграждат приложения за проследяване на контакти. Те обявяват съвместни усилия, за да позволят използването на Bluetooth технологията, за да помогне на правителствата и здравните агенции да намалят разпространението на вируса, като поверителността и сигурността на потребителите са централни за дизайна.

Като част от това партньорство Google и Apple издават проектодокументация за система за излагане на експозиция в услуга за проследяване на контактите, запазващи поверителност:

  • спецификация на Bluetooth
  • спецификация за криптография
  • рамков API
  • често задавани въпроси
]]>