Според проучването 65% процента от респондентите споделят, че количеството кибер атаки се е увеличило след инвазията на Русия в Украйна. Също така се наблюдават и нови тенденции за нарастващи дийпфейк атаки върху API и прицелване в самите специалисти по киберзащита от страна на хакерите.

За да заобиколят защитните бариери на организациите, днес киберпрестъпниците залагат на дийпфейк, твърди Рик МакЕлрой, главен стратег по киберсигурност във VMware. Двама от трима анкетирани отбелязват използването на зловреден дийпфейк при кибер атака, а 13% виждат ръст спрямо миналата година с имейл като основен канал за доставката им. Дезинформация и прекъсване на бизнеса вече не са приоритетни за злоумишленици, новата им цел е компрометиране и достъп до инфраструктура на организациите, допълва той.

Специалистите по киберсигурност имат нужда от добра видимост на натоварвания, устройства, потребители и мрежата, за да откриват, предотвратяват и реагират на заплахи, коментира Венцислав Почекански, вицепрезидент по научно-развойната дейност за киберсигурност на VMware. Решенията, базирани върху непълна и неточна информация, възпрепятстват прилагането на адекватна защитна стратегия. Също така техните усилия да спрат разпространението на атаките са затруднени поради ограничената видимост на дигиталната инфраструктура, споделя още той.

Въпреки висока турбуленция в киберпространство, 87% от специалистите споделят, че успяват да ги предотвратят понякога (50%) и много често (37%). Освен това, в извънредни случаи, 75% прилагат нови подходи като виртуални пачове. Видимостта върху дигиталната инфраструктура продължава да бъде ключова за своевременна реакция на екипите.

Глобалното проучване разкрива тенденции валидни и у нас. В България всеки активен киберспециалист е обект на постоянни атаки. Това води до физическа и психическа умора, както и за чувството, че си постоянно под обсада, споделя Вихрен Славчев, изпълнителен директор на Мнемоника. Изграждането на ясна стратегия за защита изисква организациите да предприемат цялостен подход, подкрепен от страна на мениджмънта, така че те да имат пълна видимост върху процесите, потребителите и устройствата. Играчите от тъмната страна доказано вече са изградили стройна организация и нашите правила и процеси имат нужда от повече гъвкавост за бързо вземане на решения, допълва още той.

VMware е доставчик на мулти-облачни услуги и решения, които предоставят на организациите необходимата им гъвкавост при управление на техните бизнес процеси и иновации.

Онлайн проучването е проведено през юни 2022 сред 125 специалисти по киберсигурност по цял свят. Повече информация относно доклада може да откриете на официалния сайт на VMware.

За пета поредна година VMware публикува своя Modern Bank Heist Report, който измерва пулса сред директорите по киберсигурност (CISO) във водещите финансови институции. Анкетираните оценяват променящото се поведение на киберпрестъпниците и мерките за защитата във финансовия сектор. Проучването сочи увеличение в количеството атаки, както и платени откупи в сравнение с предходни години. В допълнение към това и естеството на атаките еволюира – от познатите измами с банкови преводи към целенасочено таргетиране на определени пазари, пробив в акаунти на инвестиционни посредници и проникване в банкови системи през по-малки и уязвими цели (island hopping).

63% от финансовите институции, участващи в Modern Bank Heist Report, потвърждават ръст в атаки с изтриване на данни. Едновременно с това киберпрестъпниците използват този метод като средство за заличаване на следите си и доказателства като част от реакцията при противодействие на инциденти. Освен това, 74% от респондентите са изпитали поне една рансъмуер атака в рамките на изминалата година, а 63% са заплатили поискания откуп. На въпрос откъде произлизат заплахите мнозинството отговарят, че Русия създава най-голямо безпокойство в киберпространство като последица от геополитическото напрежение.

Александър Класанов, началник отдел “Сигурност” в “Райфазенбанк България”

Преди две години и особено днес, в контекста на актуалното геополитическо положение, виждаме ръст в опитите за фишинг, DDoS, рансъмуеър атаки и изтриване на данни. Киберпрестъпниците целят всичко, което може да бъде използвано за изнудване, кражба, продажба или при невъзможност за получаване на откуп – заличаване на информация. Киберпрестъпниците вече не са аматьори, това са добре организирани групи, действащи като всяка друга компания със своите бизнес цели, планиране и финансиране. Банките могат да се отбраняват самостоятелно, но като част от цяла екосистема за обмен на информация този подход вече не е достатъчно ефективен. Както финансовите институции, така и клиентите трябва да се грижат за защитата и повишаване на култура на кибербезопасност – това е важно за всеки потребител на съвременни услуги. От друга страна, за да сме ефикасно защитени, трябва да имаме координация не само с държавни институции като CERT, но и с мобилни оператори, дейта центрове и други оператори на данни. Бъдещето на защитени общности и организации зависи от успешното интегриране и координиране на действията за постигане на кумулативен ефект на защитата, заяви Александър Класанов, началник отдел “Сигурност” в “Райфазенбанк България”.

Интересно заключение в доклада е фактът, че с пробив на системите на финансови институции вече не се целят банкови преводи и присвояването на капитал, както е било преди. Организираните групи за киберпрестъпления днес търсят достъп до непублична пазарна информация, като финансови отчети, публични предлагания и значими сделки. Две от три компании или 66% отбелязват атаки, които целят да достъпят информация за техни пазарни стратегии. Подобни съвременни манипулации приличат на икономически шпионаж и могат да се използва за дигитализиране на търговията с вътрешна информация.

Венцислав Почекански, вицепрезидент научно-развойна дейност във VMware

Днес, в ситуация на високо геополитическо напрежение, сигурността е сред топ приоритетите на бизнес лидерите. Виждаме, че киберпрестъпниците все повече използват инструменти за заличаване на данни, отдалечен достъп (RATs) и злоупотребяват с уязвимости на системите (Zero Day exploit). От проучването виждаме промяна в мотивите от обир към търсене на откуп, от блокиране към изтриване на информация. Така те нанасят следи върху един много чувствителен сектор на икономиката. Взаимодействието между общности по киберсигурност, държавни институции и финансовия сектор е ключово в борбата срещу тези нарастващи заплахи, заяви Венцислав Почекански вицепрезидент научно-развойна дейност във VMware.

Ето още няколко наблюдения от проучването Modern Bank Heist Report 2022:

60% от финансовите институции са изпитали island hopping атаки, което е 58% ръст спрямо миналата година. Този ръст говори за нова ера на киберсигурност, в която по-малко защитените партньори на финансови институции се превръщат в основна цел. С това атакуващите търсят начин да пробият информационните системи на финансовите институции, които преминаха през дигитална трансформация последните години.

67% от респондентите са забелязали манипулации на времевите характеристики (time stamp). Този тип атаки са кръстени Chronos (на бог Кронос от древногръцката митология) и 44% от тях са таргетирали пазарни позиции.

83% са обезпокоени доколко гарантирана е сигурността на крипто борсите.  При успех подобна атака дава предимство от моментална монетизация в криптовалута.

Повечето финансови институции планират да увеличат бюджетите си за киберсигурност с 20-30% тази година. Най-големите инвестиции ще са в XDR (комбинация от инструменти и данни за разширен мониторинг, анализ и реакция при атака – бел. ред.), сигурността при натоварвания и сигурността на мобилни устройства.

Проучването е проведено от VMware посредством онлайн анкета относно еволюцията на киберзаплахите през февруари 2022 година. В него са взели участие 130 директори по киберсигурност на финансови институции по цял свят. 41% от респондентите са от Северна Америка, 29% от Европа, 16% са от региона на Азия и Тихия Океан, 12% са от Централна и Южна Америка и 2% – от Африка.

Венцислав Почекански е новият вицепрезидент научно-развойна дейност във VMware. Това е второто назначение на вицепрезидент от българския офис, което е огромно признание за лидерския екип на местната инженерна организация. През 2019 година Диана Стефанова зае поста вицепрезидент Регионални стратегии за развитие.

В новата си роля Венцислав ще ръководи софтуерните екипите на VMware Carbon Black от 320 специалисти в България, Индия и Израел. Заедно с талантите в САЩ, те разработват продуктите за киберсигурност на компанията. Бизнес звено по киберсигурност във VMware България беше основано от Венцислав през 2020 и вече наброява 100 човека.

“Имаме визия за свят, защитен от кибератаки, а мисията ни е да трансформираме сигурността чрез BigData и анализи в облака. Киберсигурността е много динамична област, в която постоянно се появяват нови предизвикателства и се отваря ново поле за иновации. Екипът ни се разраства глобално и тази година само в България целим да привлечем над 50 талантливи софтуерни инженери от всяка точка на страната”, заяви Венцислав Почекански.

Новият вицепрезидент научно-развойна дейност във VMware е с над 20 години опит в софтуерната индустрия. Той се е занимавал със създаването на мултимедийни системи, компютърни игри, продукти за телеметрия, виртуализация, управление и автоматизация в компаниите Sciant, Docker и VMware. Венцислав притежава магистърска степен по “Информатика“ със специализация „Компютърна графика“ от Софийски университет “Св. Климент Охридски”. В свободно време свири на барабани и кара мотор.

Проучването, озаглавено „Преодоляване на разделението между програмистът и сигурността”, проведено от Forrester Consulting, анкетира 1475 лидери в областта на информационните технологии и сигурността. Установява се, че само един на всеки пет софтуерни разработчици (22%) е напълно съгласен, че разбира кои политики за сигурност се очаква да спазва. Тревожната статистика сочи, че повече от една четвърт от анкетираните (27%) изобщо не участват при взимането на решения относно политиките за сигурност, въпреки че те оказват силно влияние върху работата им. Организациите, в които екипите за сигурност и разработчиците имат продуктивни взаимоотношения, могат да ускорят жизнения цикъл на създаването на софтуер с пет работни дни спрямо останалите, където такива взаимоотношения липсват. Това ускорява допълнително излизането на продукта на пазара и им дава конкурентното предимство.

Данните отразяват, че приоритетите на служителите не винаги са съобразени с клиентите им, като IT специалистите и екипите за сигурност оценяват като приоритет номер едно оперативната ефективност (52%) спрямо разработчиците, чиито приоритет е подобряването на потребителското преживяване (50%). Междувременно подобряването на потребителското изживяване е на четвърто място за IT специалистите (43%) и екипите по сигурност (40%). Повече от половината от екипите по сигурност (51%) посочват като втори приоритет предотвратяването на пробиви в сигурността. Екипите, които имат трудности в комуникацията се оказват с увеличени силози и намалено сътрудничество помежду им (60%), повишен риск от пробиви в сигурността (57%) и по-бавна реализация на нови приложения (40%). Рик Макелрой, главен стратег по киберсигурност във VMware, коментира:

„Нашето проучване показва, че има необходимост да променим начина, по който се възприема сигурността. Вместо да се разглежда като екип, който се намесва само при отстраняване на пробиви в сигурността, изтичане на данни или екип, който „възпрепятства“ иновациите, сигурността трябва да бъде вградена в хората, процесите и технологиите. Сигурността трябва да бъде колективен спорт, който въвлича в процеса заедно ИТ специалистите и софтуерните разработчици, за да осигури защита в облака, приложенията и цялата дигитална инфраструктура. Трябва да развием култура, в която всички екипи споделят общи цели или интереси, докато си общуват на един език. Има огромна стойност за бизнеса, когато ИТ и екипите по сигурност, както и програмистите са част от вземането на решения, проектирането и изпълнението.”

Добрата новина е, че има разбиране за това, че споделените екипни приоритети и ангажираността са пътят напред. Повече от половината от анкетираните (53%) очакват екипите по сигурност и софтуерна разработка да се слеят в един отдел след две-три години. 42% от респондентите очакват в следващите 2-3 години сигурността да бъде по-вградена в процеса на софтуерна разработка. 71% от анкетираните разбират, че обединяването на екипите дава възможност на бизнеса да намали силозите сред служителите, както и да създава по-сигурни приложения (70%), увеличавайки гъвкавостта за приемане на нови работни процеси и технологии (66%). Венцислав Почекански, старши директор научно-развойна дейност и ръководител на инженерния екип на бизнес отдела по сигурността във VMware България, споделя:

„Системите за сигурност трябва да работят в синхрон и да подпомагат  останалата част от системите на бизнеса. При съвременните дистрибутирани организации сигурността трябва да бъде „навсякъде“ – не само вградена, но и изградена по различен начин. Тя трябва да е съобразена с нуждата от бърза дигитална трансформация на бизнесите вследствие на пандемията от Covid-19, която в същото време отваря и нови възможности за кибер заплахи.“

Диана Стефанова, Vice President Global Sites Strategy във VMware сподели, че в проучването са се включили 14 държави от различни точки на света, което го прави изключително всеобхватно. Сами те резултати пък, могат да се определят като много интересни.

“Благодарение на COVID се наложи да преминем към ускорена дигитална трансформация. Това наложи нови предизвикателства пред екипите, които отговарят за сигурността. 80% от анкетираните смятат, че са станали обект на кибер атаки заради повечето служители, работещи от вкъщи,” коментира Стефанова.

71% от анкетираните са претърпели пробив в последните 12 месеца, като 4 от 5 атаки се считат за съществени. 69% от анкетираните пък са с между 251 и 500 служители. Отчитат нарастване на атаките с около 60%-70%. Колкото до компании с над 5000 служители, то при тях атаките са нараснали с цели 95%. Това е значително и силно показателно.

Диана Стефанова даде за пример и случилото се с Colonial Pipeline, които бяха принудени да платят откуп на хакерите, за да могат да възстановят своята работа. Също така и T-Mobile, в който случай хакерите успяват да влязат в системите, да разменят номера и сим карти на потребители и т.н. Според нея, в такива случаи компаниите трябва да реагират реактивно. При станалото с T-Mobile, знаем какви неприятности могат да бъдат достигнати от объркани номера, например. С СМС-и верифицираме множество услуги и това потенциално може да доведе до изтичане на огромен обем потребителски и банкови данни, както и др. Реално, в телефона се крие значителна част от живота ни. Момента, в който хакерите имат достъп до нашите номера и симулират, че сме ние, то това е сериозен проблем.

79% от анкетираните, спрямо репорта, споделят, че атаките са станали по-предизвикателни и справянето с тях става по-трудно.

Сред водещите причини, проучването определя с 14% остарели процеси и технологии в организациите.

“Налага се тотално преосмисляне на подхода за сигурност,” казва Стефанова. “Дизайн на системите с фокус върху облачни среди и в тази връзка 43% планират да вградят повече сигурност в своята инфраструктура, както и да намалят технологичните решения, които използват за крайните устройства на служителите. Това е изключително важно”.

Вътрешните политики за сигурност са основно нещо, върху което компаниите трябва да наблегнат, смятат 41% от анкетираните. Има нужда и от обновяване на технологиите пък казват 42%.

98% от специалистите вече планират да използват осигуряване на защита в облака. “Има много security решения, но са много комплицирани и трябва партньор, който да изгради цялостно решение и цялостен подход. С cloud технологиите се намалява рискът към компаниите”.

Диана Стефанова даде думата и на Венцислав Почекански, който е лидер на екипа Carbon Black към VMware, изцяло фокусиран към сигурността. Това е нов екип за България, изграден в последната година и е основно звено към VMware.

“Все повече от служителите са мобилни и работят от най-различни точки. Това е проблем. Използват се множество крайни устройства за достъп до данните. Организациите поддържат традиционните си приложения, но разработват и нови. Налични са както нови data центрове, така и нови облачни технологии, а също е от значение и употребата на изключително сложни мрежи, които да осигурят връзка между клиенти, ползватели и т.н.,” споделя Почекански.

“Изправени сме пред прекалено много точки за защита – приложения, крайни устройства, мрежи, потребителите, данните им, облачните ресурси и прочие. В киберсигурността са включени много екипи, които са фокусирани изцяло във нея. ИТ екипи, мрежови екипи и други. Те използват най-различни инструменти, а данните които се събират, се корелират много трудно. Ние се грижим за най-различни инструменти”.

Според него, има липса на контекст в оперирането на тези системи за защита. Целта е не да се защитят индивидуални компоненти, а цялостната система. Почекански каза още, че системите трябва да виждат всички компоненти на защитата и да разбират взаимовръзките върху тях.

За анализ на една сложна кибер атака, са необходими няколко стотин дни.

“Нашата визия във VMware, е за система за защита, която е вградена в инфраструктурата, вместо множество инструменти за които трябва да се грижим, обновяване, поддържаме и т.н.,” сподели той.

Модератор на срещата бе Бойчо Попов, главен редактор на Investor.bg, както и водещ в Bloomberg TV, който предостави възможността за изказване на Юрий Генов, изпълнителен директор и ръководител направление “ИТ и операции” към Банка ДСК.

“Работата на глобални компании и публикуването на такива изследвания дават добър поглед за това как се развива пазарът. Бяхме много внимателни по време на пандемията и се фокусирахме върху тези аспекти от работата на служителите. Винаги е добре някой с авторитет да потвърди това, което се вижда на нашия пазар,” сподели Генов.

Вихрен Славчев, изпълнителен директор на Mnemonica пък, коментира от своя страна, че въпреки резултата от проучването, че 4 от 5 атаки са съществени, то за пострадалия не стоят така нещата.

“За пострадалия, всяка една атака е съществена. Дори в момента да не забележим какво се случва, то последствията идват по-късно,” коментира Славчев.

На дискусията присъства и Георги Шарков, който ръководи Европейския софтуерен институт – Център Източна Европа и Лабораторията по киберсигурност в София Тех Парк.

“И фишинг и рансъмуер атаките се увеличават заради пандемията, но и заради виртуализацията на образование, покупки, комуникация и на живота ни, въобще. Промени се инфраструктурата и средата, в която се комуникира. Появиха се нови сигнали за атаки и уязвимости и по канали, по които никой не си е представял, че ще се случат в България,” сподели той.

На въпрос от модератора дали има разлики между България и света, то Шарков допълни, че за 2020 г. спрямо 2019 г. Се забелязва 20% увеличение на атаките.

“За 2019 г. има под 1000 получени сигнали. За 2021 г. са 3000. Опасността от тези сигнали се удвоява на всяка година и минават в категория “Висок приоритет”.

Шарков отбеляза също, че 10% от фишинг атаките са успешни. Това демонстрира ниското ниво на кибер култура на гражданите. Фишингът се случва основно към таргетирани фирми.

“Хубаво е банките да съдействат за такъв тип измами с прихващане на кореспонденция, фалшиви фактури и т.н. Забелязали сме, че измамите идват повече от северноафрикански държави, но и от други традиционни. Щетите обикновено са от 50 000 евро до един милион. Тенденцията расте. Има и скрити заплахи по веригите за доставки и third-party доставчици на софтуер. Минаването към облак е полезно, но и може да крие много опасности”.

Бойчо Попов зададе въпроса как повлия remote режима към директорите по информационна сигурност. Тук с отговор се включи Юрий Генов, който сподели, че в този период на пандемия, работата се е променила, но нашето общество се е научило на много нови неща относно това, как да се спазва дисциплина и всички са въвели по-добри мерки за сигурност.

“Както нарастват заплахите, така нараства и културата на поведение на гражданите на България. Работейки в тази среда, хората се научиха и да се пазят от фишинг атаки. Младите хора разбраха как да се пазят от посегателство върху личния им живот. Сигурността е за изключително голям периметър от информация, която се движи от нашето общество. Облака повишава сигурността, но моделът – интензивна обмяна на информация, води до нови рискове, които могат да се намалят чрез съвременните технологии и подход. Напредъкът в технологично отношение и поведението на всеки потребител е изключително голям”.

Той призна също, че има и изключения, разбира се. Сигурността започва от поведението на хората, което се развива и подкрепя от технологиите.

“Трябва да се възпитават навици и поведение. Всяка една организация направи доста усилия, подкрепени от квалифицирани партньори и в интерес на истината, в България се направи доста за общата сигурност и аз съм впечатлен от това, което колегите постигнаха в определени области,” коментира Юрий Генов.

Вихрен Славчев направи интересен акцент на новите технологии като AI, ML и Deep Learning. Техните приложения са много големи и една от причините за широкото им навлизане е, че те могат да бъдат приложени и от добрата, и от лошата страна.

“Знаем как дроновете спасяват живот, правят доставки и т.н., но и могат да поразяват военни цели с изключителна мощ. По отношение на киберсигурността, ние сме във война. Тя се води между машини и машини. Позиционираме софтуери, алгоритми и центрове, 95% управлявани от AI. От другата страна са тези, които атакуват. Те отдавна не пишат фишинг имейли на ръка. Използват AI, който изучава и анализира вашето поведение, така че да пусне атаката много успешно. Дори в подготвена организация, наблюдаваме фишинг имейли, които са невероятно изпипани и направени с проучване от месеци наред. Въпреки годините опит зад гърба си на много специалисти, то от 10 фишинг имейла, успяват да разпознаят 6, 7,” коментира Славчев и отбеляза, че в даден момент, хората ще станат зрители на тази война и като такива, ще загубят контрола.

Запитан кой ще спечели войната, то Славчев отбеляза, че исторически погледнато, то атакуващите винаги са с една стъпка напред. Докато те имат най-модерното оръдие, за да са успешни в атаката, то от другата страна – защитата – трябва да се подходи с изключително много изучаване на всички модели на атака. Необходимо е сериозно изследване и могат да бъдат похарчени милиони за защитата, но слабото звено – човешкият фактор, да отвори вратата и да пусне врага.

Георги Шарков продължи военната аналогия, като заяви, че в световната история няма непревзети крепости. Защитникът винаги е в неблагоприятната ситуация.

“Крепост, която не е проектирана да е защитена, то няма как да бъде. Трябва да се замислим как да проектираме. Нападателите нямат етични, морални и нормативни ограничения в използването на средства. Те са с предимство. AI сам по себе си трябва да бъде защитен! Cyber security на AI е много важен аспект. Във връзка с войната и това дали ще има печеливш? От ядрена Трета световна вона няма да има нито един печеливш. В Киберпространството е по същия начин. Изкуственият интелект е единственото оръдие, което може да помогне срещу вражеския AI,” сподели Шарков.

На въпрос на DevStyleR, кои са трите стъпки, които една компания трябва да предприеме след атака, то Венцислав Почекански отбеляза, че получи ли се искането за откуп, то явно пробивът е вече налице. Ако компаниите мислят в перспектива, трябва да се погрижат за максималната защита на уязвимостите и традиционните, остарели приложения, които се използват. Те често са обект на атака и това се прави чрез постоянен мониторинг. Трябва да се използват и актуални системи за защита, базирани на наблюдение какво се случва в самата система – behaviour-based. Също е необходимо да се осигури защита на вътрешните системи. Но когато се стигне до кибер атака и искане на откуп, то там технологично решение вече няма”.

Вихрен Славчев акцентира и на друго любопитно – трябва ли да се плаща откупа? Ако компанията може да се възстанови сравнително бързо, то тогава няма нужда. Но атакуващите често унищожават и бекъпа, което вече е голям проблем. Той отбеляза също, че се водят разговори за инкриминирането на плащането на откуп.

“Ако това се случи, то няма да има избор – или не можеш да си възстановиш бизнеса, или плащаш и ставаш престъпник. Това ще е много интересно ако се случи”.

Като стъпки за защита, той отбеляза най-напред, доверяване на професионалист, защото “дърпане на кабела и изрязване на услуги” не е добре. Също така, трябва да се изолира периметъра – това е от голямо значение. Като трета стъпка пък – да е наличен кризистен план. Ако всичко се прави на момента, то тогава става много сложно.

Юрий Генов се съгласи, че всяка компания трябва да има предварително подготвен план и в България има налични системи за взаимодействие с национални органи. Той е на мнението, че трябва да се спазва законодателството и да се работи с оторизирани лица. Има добре подготвени организации, които могат да помогнат и плащането на откуп трябва да е невероятно крайна мярка за спасяването на бизнес.