Хакерите пробиват Facebook профили не само заради съдържанието им

- Правните последици могат да бъдат свързани например с Общия регламент за защита на личните данни (GDPR). Рано е да се каже обаче дали изобщо ще има такива. Сега предстои да се прецени дали Facebook е взела необходимите мерки.

- Гледайки нещата, не смятам, че ще се стигне до там, защото това, че е възникнал инцидент, не значи, че те не са изпълнили Регламента. Facebook вече спази частта със задължителното уведомление и съобщи на регулатора в Ирландия за случая и че има изложени на риск потребители. Всеки може да стане жертва на хакерска атака, въпросът е какви действия си предприел преди и след нея.

- Не. Честно казано това са спекулации, които не почиват на никаква логика. Facebook вече има достатъчно проблеми покрай Cambridge Analytica и подобно нещо би им навредило много повече.

- В момента трудно можем да говорим за каквато и да било кражба, тъй като не е ясно дали нерегламентираният достъп до акаунтите е довел до такава. Това, което е установено към момента от самата Facebook, е, че е имало външна атака, която се е възползвала от определен набор технически уязвимости, но трудно може да се каже без да се проведе детайлно разследване точно кои акаунти и за какъв период от време са били изложени на този риск и съответно дали са правени опити те да бъдат използвани. Въпрос на време е да се разберат тези подробности. Инциденти като този се разследват доста трудно, включително заради големия брой засегнати.

- Хакерите не хакват профили във Facebook и подобни мрежи единствено заради съдържанието само по себе си. Дадена комуникация би била интересна, в случай че е водена между определени високо рискови профили, когато става дума за корпоративни дела или национална сигурност. Когато обаче ситуацията опре до обикновения потребител, вече става дума за съвсем друг тип интерес.

Много често, когато биват овладявани дадени акаунти, след това чрез придобитите данни се стартира последваща атака за пробив в други системи, където човек има профил. Също така може да послужат за изнудване, тормоз, искане на откуп, пускане на вируси или достигане до профилите на приятели. Възможностите са безкрайни, а последствията от една такава атака продължават с години. Това не е еднократно действие, а ресурс, който може да бъде употребен по хиляди възможни начини. Целта на групировките, които искат да печелят от това, е да се сдобият с колкото се може повече информация.

- Това е като самолетните катастрофи – дори най-добре защитените системи, могат да бъдат компрометирани при определени обстоятелства. Потребителите следва да направят не едно, а много неща. Прилагането на сложна парола не е достатъчно. Сигурността в интернет изисква цял набор от действия – да се спазват определени принципи като това да се следи кога и откъде се влиза в профила, да се прилага многофакторна идентификация и да се добавят хардуерни устройства към защитата, да се сменя паролата периодично, да се използват специализирани приложения за сигурност и пр. Именно такива действия могат да ограничат ефекта от такива масови атаки като във Facebook.

- Хората трябва да разберат, че личните данни са изключително важни, защото голяма част от тях не се променят през целия живот. Едно компрометиране на такава информация ви излага на риск до края на дните ви, колкото и страшно да звучи това. Колкото повече ставаме дигитално зависими, колкото повече използваме своето дигитално „Аз“, толкова повече ефектът от подобни атаки става по-сериозен. Ако някой злонамерен се сдобие с имената, датата на раждане или номера на личната карта, представете си какво може да направи с тях. Това не е шега, не е действие, което се случва и отминава. Точно обратното е.

- Не се справят по принцип, тъй като нямат ресурс и капацитет да разработят комплексни защитни механизми и системи сами. Те се опитват да използват решения, които големите им предоставят. Става дума за инструменти за интегрирана идентификация като логин в сайт през Facebook профила. Малките често разчитат на големите за подобни функционалности, които да им помогнат да се защитават. Същевременно обаче така се създава цяла една екосистема, която ако бъде пробита в една точка (както например сегашната Facebook атака), позволява ефектът да стигне и до други платформи.

- Големите компании влагат много повече пари в своите системи за сигурност. Има концентрация на експертиза, която позволява да управляват по-добре защитата си. В тази връзка, наред с удобството, за потребителя в повечето случаи е по-добре да се довери на тези компании, отколкото на по-малките. Все пак е въпрос на личен избор и баланс, както и преценка къде рискът е по-голям.

- Налице е процес на узряване, но има много още какво да се желае в тази посока, защото все още битува схващането „мен това не ме засяга“. С навлизането на GDPR поне тези, които боравят с лични данни, вече са задължени да вземат превантивни мерки. Инциденти се случват и щом жертва става и Facebook, значи всеки може да пострада. Презумпцията „на мен няма да ми се случи“ не важи в съвременния свят, доминиран от толкова много взаимно свързани системи.

- Категорично не съм съгласен. Това са изказвания, които искат да намерят проблема там, където не е. Всички компании трябва да разберат, че информационната сигурност е част от бизнеса им и те трябва да полагат усилия да минимизират рисковете. По тази логика защо не погледнем банките, в чийто сектор има толкова много регулации за информационна сигурност. Те обаче не се оплакват, защото отдавна са разбрали, че са изложени на огромен риск и имат нужда от високи изисквания.

Пренебрежението идва от неразбирането на опасностите. Ако говорим за физически рискове, тогава нещата са много ясни – никой не иска да носи големи суми пари до банка с колело например, защото е силно уязвим. Същите рискове съществуват и в интернет, но те остават замаскирани зад дигиталните процеси.

- Не мисля, че в Европа има кой знае какви тежки регулации, ако трябва да съм откровен. Що се отнася до GDPR – той е само първата стъпка в правилната посока. Проблемът се неглижираше твърде дълго, а регулациите бяха с твърде пожелателен характер. Истината е, че няма как да съществува дигитален свят без информационна сигурност. И който продължава да се прави на ударен и да неглижира опасността, тя ще му се стовари в даден момент. Това е неизбежно. И ако няма правила, ако се разчита на добрите намерения на компаниите, едва ли ще има добър резултат.

- Не знам да има регламент, който да е разписан идеално добре за всички. Конкретно за GDPR смятам, че дори има фрагметни, които са разписани меко. Да, той не е идеален и няма и да бъде, но урежда важни въпроси и се фокусира върху едни от най-проблемните казуси в съвременния дигитален свят за това как се използват личните данни. Преди него всяка държава имаше свои правила в локално законодателство. Интернет обаче е глобален по своя характер и затова беше необходимо да се приравнят тези изисквания и ясно да се каже какви са правата и задълженията в областта.

Така че Регламентът в никакъв случай не е идеален и има много неща, които подлежат на подобрение, но това е правилната рамка.

- Проблемът не е точно в дефинициите, а в скоростта, с която дигиталните услуги се развиват и в техния характер. Нуждата от промяната е по-скоро свързана с приложението му, тъй като липсва и опит в тази посока. Дигиталните услуги се развиват изключително бързо и липсва практика по отношение на конкретни казуси. Има и голямо объркване от страна на хората, които тълкуват текстовете и това не е от злонамереност, а от липса на опит.