Киберсигурност: какво общо има тя с мен и моята компания?

Много неща се промениха в дигиталния свят след Corona. Наред с други неща, това се отразява и на състоянието на цифровизацията тук, в Германия, но и в световен мащаб. На много места инфраструктурата е недостатъчна или дори липсва. Не толкова отдавна високопоставени представители на германското правителство определиха интернет като „неизследвана територия“, което предизвика учудване в много части от населението, тъй като интернет се е превърнал в незаменима част от нашето ежедневие. Цифровизацията обаче подмина не само публичните власти, но и много малки и средни предприятия, а това сега е особено болезнено. Придобиването на нови клиенти е основна пречка поради загубата на лични контакти, домашните офиси са трудна задача поради липсата на инфраструктура, а административната тежест се увеличава.

Много повтарящи се задачи, които отдавна биха могли да бъдат автоматизирани, за да се освободи време за служителите, все още се извършват по трудоемък и скъпоструващ начин. все още се извършват по трудоемък и скъпоструващ начин, отчасти на ръка. Използвана правилно, една добра стратегия за цифровизация може да разшири клиентската ни база и да подобри удовлетвореността на служителите.

Киберсигурност и нарушения на сигурността на данните

Какво общо има всичко това с „киберсигурността“? Колкото повече данни и процеси прехвърляме в цифровия свят, толкова повече „повърхност за атака“ предлагаме за потенциални щети. Неведнъж в заглавията на вестниците се появяват грандиозни нарушения на сигурността на данните – от загуба на данни, които си струва да бъдат защитени, до срив на важни инфраструктури. Както често се случва, най-добрата стратегия за мнозина тук е „ако не правите нищо, няма да допуснете грешки“.

От противоположната страна на спектъра имаме подхода „много помага много“, така че всичко, за което някой може да се сети или е популярно по някакъв начин в момента, се хвърля върху проблема. Но и тук трябва да се отбележи, че сложността може да застраши и сигурността на системата. Колкото по-сложна е една система, толкова повече място даваме за потенциални уязвимости в сигурността. По този начин увеличаваме обема на кода, на който трябва да се доверим и същевременно да го поддържаме в актуално състояние; това се нарича доверена изчислителна база (TCB). Уязвимост само в един компонент на нашата TCB може потенциално да компрометира цялата система, така че колкото по-малка е TCB, толкова по-добре.

Сигурността като елемент на стратегията

Сигурността също така винаги трябва да бъде с висок приоритет във всяка стратегия за цифровизация. Първата и вероятно най-проста стратегия е да се стратегия е да се актуализира използваният софтуер. Много системи често се създават веднъж и след това не се поддържат или се поддържат слабо. Многократно изтъкваният аргумент защо това не е сериозен проблем е: „никакви престъпници не се интересуват от нашата компания“, но Telekom вече съобщава за двуцифрен брой кибератаки в милиони през 2019 г.

Автоматизиране на атаките

Факт е, че по-голямата част от атаките не са целенасочени, а изцяло автоматизирани. „Романтичната“ идея за киберпрестъпниците, които седят в мазето между кутиите с енергийни напитки и атакуват компании, отстъпва място на малка програма, която неуморно сканира интернет 24 часа в денонощието, седем дни в седмицата за няколко предварително дефинирани уязвимости. Често тези уязвимости се използват в деня, в който станат известни.

Говорим за гореспоменатите програми като за така наречените експлойти от нулев ден. Това са програми, които могат да се възползват от дадена уязвимост, понякога дори преди да съществуват ефективни мерки за противодействие. Съществува цял пазар за този вид софтуер, на който, в зависимост от сериозността и привлекателността на уязвимостта в сигурността, има голямо търсене. В зависимост от сериозността и привлекателността на уязвимостта на сигурността се плащат големи суми пари. Софтуерът, който се радва на широка употреба, често е обект на такива атаки и поради това изисква повишено внимание, когато става въпрос за актуализации.

Особено интересно е да се види тук класът уязвимости в сигурността, с който се занимаваме най-често. Проектът Open Web Application Security Project (накратко OWASP) поддържа списък с ТОП 10 на проблемите със сигурността, които могат да бъдат открити в съвременните уеб приложения. Така наречените „инжекционни“ атаки са на първо място от много години. Най-просто казано, това са атаки, с които в приложението могат да се инжектират команди чрез нормално въвеждане от потребителя (например заявки за търсене). Такива уязвимости обикновено се появяват поради недостатъчна грижа при разработването на софтуера и в много случаи биха могли да бъдат значително намалени чрез използване на по-съвременни инструменти.

Във финансовия сектор тези инструменти, като например усъвършенствани езици за програмиране, вече се използват. На много места обаче
софтуерната индустрия все още изпитва затруднения. Често липсва желание да се инвестира в такива технологии и свързаните с тях експертни познания. В резултат на това голяма част от тези проблеми все още могат да бъдат открити чрез ръчно „търсене“. По-прогресивните инструменти обаче могат значително да облекчат разработчиците от този процес и в крайна сметка да доведат до по-добри резултати. Хората, които работят, допускат грешки. Инструментите не са там, за да ни упрекват, а за да ни подкрепят; трябва да разпознаем и използваме тази възможност.

Безопасно разработване на софтуер

Като разработчици на софтуер ние дължим на нашите клиенти – особено във времена на нарастваща киберпрестъпност – повишено ниво на грижа. Разработването на правилен и надежден софтуер е задача, която изисква много опит. Като разработчици на софтуер ние сме в постоянна игра на котка и мишка. Да сме наясно с това и редовно да надничаме в картите на нападателите, за да разберем техния начин на действие, е част от нашата работа.

Много стандартни софтуерни решения често са оборудвани с доста строг набор от функции, за да покрият възможно най-много сценарии. Често обаче точно тази функционалност, която би била желателна за дадено специализирано приложение, не е част от него. Затова в някои случаи софтуерът се адаптира с големи разходи. Един от рисковете, които могат да възникнат тук, е, че системата не може да бъде актуализирана без корекции. Така че, ако възникне риск за сигурността, който изисква нова версия на използвания софтуер, това автоматично се свързва с допълнителни усилия, които в най-лошия случай могат да доведат до цялостно преработване на софтуера.

Функциониращата инфраструктура изисква експертни познания, а намирането на надежден партньор за тази задача може да се окаже сериозно предизвикателство. За тази цел комуникацията на ниво очи е от съществено значение. „Стопроцентова сигурност“ и подобни обещания трябва да се приемат с голямо внимание, защото винаги могат да възникнат проблеми със сигурността. Важно е колко прозрачно се подхожда към тях и как екипът реагира на възможните опасности. Не се впечатлявайте от цветисти думи. Нападателите също няма да се впечатлят.

Автор: Raichoo Ketchum (XING | LINKEDIN) | Antei GmbH

DIGITAL BREAKFAST

WAS IST DAS DIGITAL BREAKFAST? „Deine digitale Wissensdusche - egal wo Du bist!" #LIVE-STREAM Die seit 28. Oktober 2015 stattfindenden Offline-Veranstaltungen wurden im März 2020 in Online-Veranstaltungen umgewandelt. Die Online-Veranstaltungen finden dienstags & freitags von 9:00 Uhr bis 10:00 Uhr an 62 Lokationen statt und beinhalten einen 25-minütigen Impulsvortrag zu einem digitalen Thema mit Diskussion und Austausch im Anschluss. #PODCAST Der DIGITAL BREAKFAST PODCAST widmet sich jeden Montag authentisch aktuellen Themen rund um die Digitalisierung. Für Menschen, die etwas zu sagen haben oder erfahren wollen. Befähigung, Inspiration, Networking - dafür stehen wir!