Автор: Мария Динкова

Иво Русев е главен търговски директор на Telelink Business Services. Той ще бъде и един от лекторите в конференцията Cybersecurity Forum, организирана от „Капитал“, която ще се проведе на 17 ноември в „София тех парк“.

В специално интервю за Digitalk експертът споделя какво представлява технологичният дълг в сферата на киберсигурността, с какви предизвикателства се сблъскват компаниите по пътя към неговото изплащане и какъв е утъпканият път за справяне с този тип трудности.

Г-н Русев, доколко сериозен е проблемът с технологичния дълг в сферата на киберсигурността и успяват ли компаниите да го преодолеят?

Голяма част от компаниите имат технологичен дълг, макар че Covid-19 донякъде промени това. Преди пандемията над 70% от организациите бяха влезли в една технологична спирала, в която постоянно им се налага да инвестират в нещо, но те не го правят или го покриват само частично. В резултат на този подход в един момент те са изправени пред невъзможност да работят напълно функционално или по начина, по който се очаква спрямо най-добрите практики.

Основният проблем обаче не е фактът, че те имат технологичен дълг, а че не правят оценка на това какъв е рискът от неинвестицията, особено в сферата на киберсигурността. Може би големият проблем е, че една такава инвестиция предполага доста сериозна зрялост у хората, доста добро познаване на технологиите, а не просто да се купи една услуга. А когато не се прави оценка на риска какво би им струвало да бъдат атакувани или решават, че може би те ще се оправят независимо какво им се случва, тази инвестиция им се струва нелогична, така че те остават в технологичен дълг.

Много от компаниите, дори публични такива, твърдят, че парите, които ще дадат срещу една атака са много по-малко от това, което ще трябва да плащат през годините, за да могат да си защитят инфраструктурата. Тоест според тях, ако на 3 години един път ги атакуват и те си платят впоследствие за справяне с щетите, то ще им струва много по- малко, отколкото ако продължават да инвестират в предотвратяване на кибернападенията и бързо възстановяване на данните. Идеята обаче е да можем максимално да се защитим и бързо да възстановим работоспособността на компанията, защото да бъдем атакувани най-вероятно е неизбежно. Това е подобно на застраховките – докато не се наложи, изглежда безсмислено да се плащат вноски.

На какви рискове се излагат компаниите, които не предприемат навременни мерки за дигитализация? Колко високи са „лихвите“?

Рисковете зависят от типа на компанията, като първите обхващат чистата финансова загуба, която е най-лесно измерима, до невъзможността да се функционира по начина, по който се е работило до вчера. Следващата група рискове са репутационните. Третите рискове са в компаниите, които си партнират с важни контрагенти от други страни, които очакват едно ниво на зрялост и киберсигурност. Например дори един обикновен сервиз за гуми най-вероятно е свързан директно със складовете на доставчици, които са от Западна Европа, за да могат да се правят поръчки. Ако този сервиз компрометира себе си, той ще компрометира и своите партньори. А тази загуба на доверие е една тежка лихва, която много трудно се възстановяват след това. Тоест основното нещо в нашия свят и в света на търговията е доверието, а то е много лесно да се загуби, ако гледаме на нашата инфраструктура непрофесионално.

От друга страна, през последните години много се говори за дигитализация и на хората започва да им омръзва. Те имат бизнес и искат да се фокусират върху него, без да им се налага да се трансформират и да спазват различни препоръки. Така е, но има един неизбежен набор от инструменти и правила, които ние трябва да прилагаме и трябва да го правим по най-подходящия начин. Добрата новина е, че в света на киберсигурността няма необходимост да се инвестира изцяло в собствени ресурси. Всъщност технологиите позволяват компаниите да се възползват от решения от типа сигурност като услуга, т.е. да се изнесе отговорността към фирма, на която това й е основната дейност, и то на цена, на която не може да се наеме дори един специалист в сферата.

Какво все пак мотивира компаниите да предприемат някакви действия за преодоляване на технологичния дълг?

Ние разделяме компаниите вече не толкова на различни сегменти и на типове „големи – малки“, а по-скоро на такива, които са узрели за определен тип решения, тоест те са достигнали някакво ниво на технологично развитие, познават решенията, които са достъпни на пазара, знаят какво могат да очакват, и такива, които се лутат в различни решения, неразбрали, недочули, недобре ориентирани. Във втория случай това, което ги кара да инвестират е нещо, което за жалост в България не се случва толкова открито и това е опитът на другите компании. В Западна Европа и в Щатите открито се говори за това как са ме атакували, какво се е случило, кой ме е атакувал, през какво съм минал, за да може този опит да бъде споделен. А у нас, общо взето, се води една апокрифна комуникация за това коя фирма е засегната, как са й заключили данните и колко са източени. Но не се разказва открито какво, как, защо, хората ги е срам по някакъв начин.

И всъщност ние от много години апелираме за кумулативна отговорност – тук става въпрос и за държавните институции, които са най-уязвими и най-атакувани. Те трябва да споделят какво се случва, трябва да има открит диалог, за да могат хората да се предпазят и да действат проактивно. Иначе в повечето случаи обикновените потребители и компании чакат да им се случи нещо и тогава търсят партньори, които да им помогнат. Затова примерът е един от съществените фактори.

На второ място е осъзнатостта – компанията трябва да си дава сметка какви активи притежава. В тази връзка една от най-съществените стъпки е да може да се направи оценка на риска от загубата на данни, като те могат да бъдат всякакви. Данните не е необходимо да бъдат някаква индустриална тайна, могат да бъдат финансови, комуникация с контрагенти, лична информация на служители и т.н. Всяка една компания следва да може да си направи една оценка на риска за това какво би й струвало, ако си загуби данните, което аз лично не виждам много от фирмите на пазара да го правят.

В този ред на мисли, ако компанията вече е осъзнала, че има технологичен дълг и иска да го преодолее, какви стъпки трябва да предприеме в тази насока?

Ключовите стъпки, за да се управлява технологичният дълг, са една много дълга тема. За късмет в киберсигурността много ясно са дефинирани различните нива на защита. Има различни модели, добри практики и архитектури за защита в зависимост от това на какво ниво е компанията. Повечето експерти в сектора следват утвърдените модели, това не е вече сива материя или черна кутия. Много лесно може да се направи анализ къде се намира дадена фирма чисто технологично, дали отговаря на минимални критерии, какъв път трябва да извърви и колко ще й струва, ако се купи сигурност като услуга или се изгради самостоятелно решение. Всичко това вече е достъпно за всички компании на пазара и е лесно да се направи.

Но пак се връщам на първата ми теза, че за фирмите е много по-важно да започнат да правят оценка на риска: от това колко ще ми струва, ако загубят данните си, до това колко ще ми струва, ако престанат да съществуват в дигиталния свят за определено време. Тогава тези оценки стават логични, те стават приети, а на хората им е интересно да разберат как може да постигнат някакво базово или много добро ниво на киберсигурност.

Другото, което е интересно, е, че не е задължително всяка компания да има необходимост от защита. Има фирми, които не притежават никакви активи и използват набор от инструменти като услуга, които са достатъчно защитени. Има множество такива организации, които мога да дам за пример. Представете си предприятие, което работи за BMW и което има един договор на година, според който трябва да изпълни един милион поръчки на някакви части. Самото предприятие няма индустриални тайни, тоест в България не създаваме някаква добавена стойност или продукт. Компанията получава само готови матрици, на база на които трябва да изпълни определена бройка.

Също така тя няма реално счетоводство, а единственото, което й е важно, са личните данни на служителите, които в голяма част от случаите са изнесени към външни организации. Оттук насетне – това може да е една от най-големите компании в България, един от най-големите инвеститори, но той няма инфраструктура, няма данни, които да крие, няма някаква добавена стойност, няма и собствено ноу-хау. Тази компания реално няма необходимост изобщо да мисли в посока как да се защити. Но тук пак въпросът е преди това да е направен този анализ, за да се установи дали има нужда от решения за киберсигурност.

До каква степен по-добрата комуникация между бизнеса и ИТ във фирмените структури ще подпомогне за преодоляването на технологичния дълг? Защо?

Тук става въпрос за зрелостта и на ИТ хората, които лично според мен през годините загубиха малко от своята тежест. Преди 4-5 години и може би малко по-назад във времето те бяха достигнали един пик на разпознаваемост в различните компании. ИТ експертите бяха сложени много близко до бизнеса с ясната идея, че те трябва да дискутират различните типове решения, които организацията взима, за да се случват нещата по най-добрия начин. През годините заради криза или други фактори те бяха изместени от други специалисти като важност – например защото липсват хора, трябва да се намалят бюджетите или да се търси друго финансиране. В момента отново ИТ експертите в различните компании не са в най-добра позиция, но пандемията ги изпрати малко по-напред като важност.

Отговаряйки на въпроса, да, те трябва да бъдат много близко до бизнеса, но също така бизнесът трябва да е отворен да си говори открито с големи ИТ компании или вендори за това какво е най-доброто решение за него. Моята теория е, че вътрешните ИТ експерти пречупват всяко едно бизнес решение през това какво те имат и какво им е удобно да се случи, а това не във всеки случай е най-доброто решение за компанията. С други думи, ако бизнесът се отвори да чуе и да види различни типове решения, компанията може да бъде далеч по-успешна. Малко или много вътрешните ИТ специалисти се съобразяват със статуквото, свикнали са да имат технологичен дълг, приемат, че с малко пари трябва да направят много неща. Обаче ако те побутват бизнеса да си говори повече с доставчици или с големи компании, тогава могат да се получат наистина трансформационни проекти и да се промени статуквото.

В заключение компаниите на българския пазар използват ли киберзастраховки, за да се подсигурят?

Мисля, че делът им е много нисък и в крайна сметка, за да може да се направи някаква застраховка, те трябва да имат базово ниво на инфраструктура и защита. За да те застраховат, някой трябва да направи оценка на това ти къде се намираш. Едно е да се направи застраховка на фирма, която изобщо не се защитава, друго е да се направи застраховка на такава, която е минала през различните нива на защита и има някакви правила за това какво и как да се прави.

А освен чисто технологичните инструменти, трябва да си дадем сметка, че са нужни правила, тъй като най-голямата дупка в киберсигурността са хората, които работят зад технологиите. Това включва как се обучават хората, за да достигнат едно определено ниво на зрялост и да могат да разпознават базови нива на атака; как да се защити първоначално дори и физически офисът, за да не бъде атакуван отвътре от външен човек. Затова казвам, че нивото на киберсигурност не е просто технологии и инструменти, а представлява един общ холистичен подход към това ние къде се намираме в желанието си да не бъдем уязвими.

Статията е публикувана в електронното издание DIGITALK: https://digitalk.bg/security/2022/11/14/4415168_ivo_rusev_telelink_malko_kompanii_praviat_ocenka_kakvo/ 

Как да сключим Кибер Застраховка?

За да откриете подходящия за Вашия бизнес продукт, е важно да се консултирате с опитен застрахователен брокер. Инстрейд Застрахователен брокер е компания с над 25-годишна история в българското застраховане и е на Ваше разположение за консултация и оферта. Свържете се с нас!

Научете повече за Кибер Застраховките от тази статия.