словашката

Ян Майтан ръководи отдела за киберсигурност в кабинета на вицепремиера по инвестиции и информатизация.

Братислава, 10 март (TASR) - Учи банково дело и приложна информатика в университетите във Виена и Амстердам. През 1999 г. се присъединява към CA Bankverein във Виена в проекти за цифровизация и информатизация, а впоследствие работи на ръководни позиции в банковия сектор. По-късно работи като директор и консултант в консултантски компании, фокусирани върху ИТ сигурност, управление на проекти, проектиране на ИТ системи и ръководи няколко големи проекта за ИТ сигурност. Днес Ян Майтан ръководи секцията по киберсигурност в кабинета на вицепремиера по инвестиции и информатизация. Той отговори на въпроси на TASR в рамките на мултимедийния проект Личности: лица, мисли.


-Малко хора имат толкова информация и данни за гражданите, колкото държавата или публични институции. Още повече, че тяхната сигурност и защита срещу злоупотреби или хакерски атаки се превръща в актуален проблем. Ако в средата на 2018 г. бъде създаден отделен раздел за киберсигурност, това може да се разглежда като сигнал, че държавата отдава значение на тази област.?-


Определено. Тази тема резонира не само в медиите, но също така има значително въздействие върху хората и тяхното нормално функциониране, въпреки че те не винаги са наясно с това. Сякаш скрит вирус циркулира в тялото ни, но все още нямаме никакви симптоми на заболяването - проблемът в началния му стадий се разкрива само чрез задълбочен преглед. По подобен начин в киберсигурността заплахата често не се появява веднага. Едно от най-трудните неща някога е да се установи, че е настъпило нежелано проникване в системата. Вече знаете как да го анализирате. Но времето, което изминава от реална атака до нейното откриване, може да бъде месеци или дори години, умножавайки възможните последици. Чешкото министерство на външните работи отне повече от година и половина, за да открие проникването.

-Въпросът за киберсигурността е вероятно толкова стар, колкото самите компютри. Кога тази заплаха нарасна до сегашните размери?-


Това е тясно свързано с масовото развитие на мобилните технологии. Някъде около 2007 г., когато ерата на смартфоните започва да се пише, хората започват да имат устройства със себе си, които освен икономически и практически ползи, им осигуряват и емоционални ползи под формата на достъп до социалните мрежи. Когато използвате социални мрежи, това означава, че ви позволява да събирате данни за вашите интереси, близки, връзки, както и къде се намирате и какво правите. Всичко струва нещо. Ако имате безплатна социална мрежа или търсачка, би било наивно да мислите, че операторът на такава мрежа предоставя услугите си безплатно. Вие му плащате със себе си, тоест с вашите данни, геолокация, така че системата да знае с кого общувате, какво търсите и какво ви притеснява. Такава ретроспекция на вашата история на търсене - и Google може да го направи много добре - перфектно излага вашата лична история, така че можете да си спомните голямата си изненада, когато сте били болни, какво сте работили, когато сте срещнали някого и т.н.

-Класически пример е, когато някой се притеснява от, да речем, наднорменото тегло - и щом открие нещо за проблема, започва да го залива с реклами за диети или продукти за отслабване.-


Да, по този начин можете да дадете на човек информация или съвет, които може да са от интерес за него. Но по-сериозно системата около вас ще създаде един вид изкуствен „балон“, който ви засилва още повече във вашите идеи или мнения. Това може да се използва много целенасочено. Доставчикът на услуги прави това, за да поддържа клиента възможно най-дълго „онлайн“, да може да продаде своя профил на няколко страни и да го накара да почувства, че това е добра услуга.

-Къде е границата на законността, когато потребителските данни са не само основа за невинно насочено рекламиране, но могат да бъдат буквално злоупотребявани?-


Това ограничение е например кражба на самоличност. Това означава, че вашите лични данни ще бъдат използвани, за да ви персонализират, тоест да направят нещо друго за вас. Или въз основа на вашата самоличност ще бъдат създадени виртуални клонинги, които се използват за различни дейности. Така нареченият Съвременното социално инженерство разполага с много инструменти за пълноценно използване на вашата самоличност. Това може да има и финансови последици. Много просто, можете да дойдете да кажете заплата. Например, те ще променят вашите лични и банкови данни и парите ви ще попаднат в друга сметка и вие ще разберете след известно време.

На снимката е Ян Майтан, генерален директор на секция за киберсигурност в кабинета на вицепремиера по инвестиции и информатизация (IPVII), на 10 март 2019 г. в Братислава по време на интервю в рамките на мултимедийния проект TASR Личности: лица, мисли . Снимка: TASR/Павол Захар

-Какво може да направи потребителят на интернет, за да сведе до минимум риска от злоупотреба?-


Важно е да сте бдителни, да проверявате кои страници разглеждате, какви приложения използвате. Например, не познавам много хора, които четат условията за използване на приложения и услуги. Малко хора осъзнават, че данните, които въвеждате в приложението, след това обикалят целия свят. Доскоро всяко съдържание във вашия Facebook профил - изображение, текст, видео - автоматично става собственост на Facebook, който може да се справи с него по свое усмотрение. За щастие днес имаме директива за защита на личните данни - GDPR, която трябва да се спазва дори от големите играчи. Огромно количество данни обаче е в ръцете на няколко компании на пазара, които са извън юрисдикцията на Словакия и Европейския съюз. Въпреки че те предоставят услуги или продукти на граждани на ЕС и следователно трябва да се съобразяват с правилата на ЕС, не е лесно да се приложи и контролира това. Огромни количества данни са съсредоточени в компании като Google, Facebook, Amazon или Netflix, за които имаме само посреднически обхват. Също така е трудно да се открият действителните местоположения, където се съхраняват данните.

-Какво означава?-


Когато въведете информация във вашия акаунт във Facebook, информацията веднага се декомпозира и съхранява в различни фрагменти на няколко места по света. Може би в десетки глобални центрове за данни. Представете си, че една система се използва от милиард потребители и те очакват техните дейности и заявки да бъдат обработени незабавно. За да направите това, имате нужда от изключително здрава система по отношение на производителността и наличността на данни. В момента се обсъжда възможността потребителите да изтриват туитове в Twitter. Например, ако напиша и публикувам туит, за да мога да го изтрия в рамките на един час. Това е технически изключително сложно нещо, тъй като данните за туитове също са фрагментирани и се съхраняват географски много диверсифицирани на редица места. Ако искате да изтриете съобщение, за системата е труден проблем с производителността да го прави синхронизирано и в крайна сметка може да не се получи напълно. Такава страхотна система, това е самият свят.

-Тоест, дори да изтрия имейл от входящата си поща, той всъщност не е изтрит?-


Това не трябва да означава, че е изтрито. Доставчикът често просто го прави недостъпен. И с достатъчно усилия и пари, вероятно бихте могли да стигнете отново до него.

-Толкова ефективно, колкото и приемането на Регламента за ОРЗД?-


GDPR със сигурност има смисъл. Тази мярка често се представя като бариера, усложнение или сложност, особено в бизнес средите. Но можете ли да се сетите за какъвто и да е друг национален или наднационален субект, който би защитавал неприкосновеността на личния живот и данните на своите граждани, колкото Европейския съюз? В същото време това е само основата за по-нататъшно продължаване. И тези, които са внедрили този стандарт правилно и са му дали разумно време и усилия за прилагането му, със сигурност ще се върнат. Бих споменал и инициативата Форум за управление на интернет, платформа, в която например участват французите, дори самият президент Макрон. Става въпрос за създаване на пространство, което ще позволи на огромни играчи да бъдат разумно регулирани извън нашата юрисдикция и да ги накара да спазват мрежовия неутралитет. Не само политическо, но и мнение или културно общество. Днес например изграждате интернет магистрала и трябва да гарантирате, че всички имат еднакъв достъп до нея. Да приемем, че Google използва магистралата в пълен профил, не остава много място за други.

-Какво може да си представи неспециалистът под тази магистрала? Каква метафора?-


Например кабели и мрежи. И обемът на потоците от данни, голяма част от които се консумират от големи мултинационални компании.

-Ако говорим за големи играчи, малко хора имат толкова много данни за гражданите в ръцете си, колкото публични институции, да речем такава данъчна служба, застрахователни компании, местни правителства. Следователно, вие се обръщате към сигурността на тази информация приоритетно?-


Да, това е основно публичният сектор като администратор и доставчик на услуги. Необходимо е да се създадат условия за безопасното функциониране на 300 000 служители в публичната администрация, както и за 5 милиона и половина граждани в позицията на клиенти. Това е огромно количество данни, които, ако обобщите, биха получили по-задълбочена картина на всеки един, отколкото той би могъл да създаде за себе си. Тъй като човек забравя, паметта ни е селективна, но цифровият отпечатък не избира, не забравя, съдържа всичко. Освен това може би си спомняте от физиката диод, който предава електричество само в една посока. И тук, след изтичане на данни и особено биометрични данни, те са там и не могат да бъдат отменени. Например имаме цифрово изображение на лице в паспорта си, имаме пръстови отпечатъци в полицията и медицински досиета. Ако такава информация изтече, някой може да я използва и да злоупотреби с нашата самоличност. Така че е необходимо да се проектират системата и приложенията, така че подобни неща да се избягват, съответно. за да ги елиминира възможно най-много.

-Това е постижима задача?-


Постижимо е, само това се нуждае от внимание, ресурси и политики - по отношение на правила, укази, директиви. Така че, от една страна, можем да защитим данните превантивно и активно, а също така и в случай на инцидент, за да можем да реагираме адекватно. Работим систематично по него, но той е много широк. Не може да се гарантира сто процента сигурност. Разбира се, хората не трябва да стават рано сутрин, притесняващи се, че има такава заплаха, те просто трябва да внимават дали имат някакви дейности във виртуалното пространство и дали дават на някого самоличността си, независимо дали доброволно или принудително .

-По-важното е инвестирането в сигурност или обучение на хората да се справят отговорно с данните?-


И двете са постепенен процес и наистина изискват много образование, усилия, обяснения. В началото може просто да се наложи да осъзнаете, че не е необходимо да предоставяте на всички вашето име, имейл, адрес, накратко, че е създадена добра система, така че необходимата минимална информация за потребителя да е достатъчна за него. Опитваме се да минимизираме зоната на атака. Както при битката, когато противниците се стреляха един в друг, те се обърнаха настрани, за да намалят вероятността от удар. Що се отнася до цифровите данни, често правим точно обратното: изправяме се и дори се разпространяваме, така че правим всичко възможно, за да направим въздействието по-вероятно. Ето защо е важно хората да възприемат сложността на цифровия свят.

-Не можете да посочите мерките, които държавата предприема, за да защити своята респ. нашите данни?-


Те се състоят от три слоя. Първият е определянето на правила, т.нар управление, образование, контрол и одит. Вторите са т.нар CSIRTs (Екип за реагиране при инциденти с компютърна сигурност), екипи от експерти, които активно и реактивно се намесват, се занимават с инциденти, анализират и проектират мерки за сигурност. И третото е непрекъснатото наблюдение на ключови възли на държавата, т.нар SOC (Център за операции по сигурността). Техническите решения обикновено са класифицирани и има причини за това. Стените, т.е. защитните мерки, са проектирани безопасно, но не могат да бъдат напълно изключени грешки в приложенията, така че като не разкриваме подробности, много затрудняваме потенциалния нападател да ги намери и използва неправилно.


На снимката е Ян Майтан, генерален директор на секция за киберсигурност в кабинета на вицепремиера по инвестиции и информатизация (IPVII), на 10 март 2019 г. в Братислава по време на интервю в рамките на мултимедийния проект TASR Личности: лица, мисли . Снимка: TASR/Павол Захар


-Кажете ни поне на какво ниво е Словакия в киберсигурността от международна гледна точка.-


Ние сме, да речем, на нивото на околните страни от Централна Европа. Разбира се, зависи от коя област става въпрос. Полша например като по-голяма държава има по-голям бюджет за сигурност и дава работа на повече хора. Моята работа е да гледам към бъдещето. Погледнете къде сме днес и какво ще направим, за да стигнем по-далеч. Това, което планираме да направим в областта на киберсигурността в Словакия, би могло след няколко години да ни премести другаде.

-Напоследък се появи информация, че киберсигурността е един от най-търсените термини в Интернет, както и възможностите за прилагане в тази област. Наистина е толкова привлекателно?-

-Днес често се споменават хибридни заплахи, усилията на някои държави да повлияят на демократичните избори, а интернет също е поле за почва за рискове като, да речем, екстремизъм, радикални политически течения и т.н. На политическо ниво тези опасности често се подценяват. Гражданинът може поне да разчита на факта, че не е подценяван на експертно ниво?-


Те не са подценявани, ние ги възприемаме. Със сигурност тук има хибридни заплахи, които не бих се осмелил да не уточнявам. Ние наблюдаваме пространството, стремим се да подобрим капацитета си и да постигнем напредък и в тази област. В същото време Европа има трудна позиция, защото е правилна, опитва се да реагира рационално и така има проблем с т.нар. приписване. Това означава, че ако видите проблем, изправите се срещу постоянна атака или дори еднократна атака, можете да кажете, че това е бил единственият атакуващ само когато имате пълна информация за него. Но получаването на такава изчерпателна информация, която би идентифицирала нападателя, отнема много време и често е много трудно и почти никога не сте сигурни на 100 процента. Европа, която е справедлива, зачита закона и зачита неприкосновеността на личния живот, страда в глобален контекст, тъй като някои други играчи изобщо не придават значение на тази концепция.