Хакерите пробиват Facebook профили не само заради съдържанието им
Регулациите в сферата на информационната сигурност не са пречка за иновациите
Борис Гончаров, експерт по киберсигурност:
~ 7 мин.
Краят на месец септември дойде с новината за хакерска атака срещу най-голямата социална мрежа Facebook, при която се смята, че са били компрометирани профилите на десетки милиони потребители. В медийното пространство заваляха различни версии за случилото се, включително се чу предположение, че случаят може да е инсценировка от страна на компанията в опит да прикрие други подобни действия. Междувременно кибертероризмът се разраства като явление в световен мащаб на фона на все по-голямата ни дигитална зависимост. Проблемите с опазването на личните данни се задълбочават и властите опитват да отговорят на тревогите с повече регулации.
За случая около кибератаката във Facebook , за предизвикалия бурни реакции Общ регламент за защита на лични данни (GDPR), за отговорността на компаниите и потребителите си говорим с Борис Гончаров, главен експерт по киберсигурност в Аматас.
- Г-н Гончаров, миналата седмица бе съобщено за хакерска атака срещу Facebook, определяна като „най-голямата досега“ в историята на социалната мрежа. Какви според Вас биха могли да са правните последици за компанията?
- Правните последици могат да бъдат свързани например с Общия регламент за защита на личните данни (GDPR). Рано е да се каже обаче дали изобщо ще има такива. Сега предстои да се прецени дали Facebook е взела необходимите мерки.
- През тази седмица се появи информация за потенциална глоба от над милиард долара. Смятате ли, че може да се стигне до нейното налагане?
- Гледайки нещата, не смятам, че ще се стигне до там, защото това, че е възникнал инцидент, не значи, че те не са изпълнили Регламента. Facebook вече спази частта със задължителното уведомление и съобщи на регулатора в Ирландия за случая и че има изложени на риск потребители. Всеки може да стане жертва на хакерска атака, въпросът е какви действия си предприел преди и след нея.
- В публичното пространство се чу хипотезата, че тази атака може да не е истинска, а да е опит на компанията да прикрие по-стари или бъдещи пробиви. Възможно ли е това според Вас?
- Не. Честно казано това са спекулации, които не почиват на никаква логика. Facebook вече има достатъчно проблеми покрай Cambridge Analytica и подобно нещо би им навредило много повече.
- Какво може да се каже за кражбата на информация на този етап?
- В момента трудно можем да говорим за каквато и да било кражба, тъй като не е ясно дали нерегламентираният достъп до акаунтите е довел до такава. Това, което е установено към момента от самата Facebook, е, че е имало външна атака, която се е възползвала от определен набор технически уязвимости, но трудно може да се каже без да се проведе детайлно разследване точно кои акаунти и за какъв период от време са били изложени на този риск и съответно дали са правени опити те да бъдат използвани. Въпрос на време е да се разберат тези подробности. Инциденти като този се разследват доста трудно, включително заради големия брой засегнати.
- Някои потребители си казват „какво от това, че са ми пробили профила, в него няма нищо важно“. Така ли е всъщност?
- Хакерите не хакват профили във Facebook и подобни мрежи единствено заради съдържанието само по себе си. Дадена комуникация би била интересна, в случай че е водена между определени високо рискови профили, когато става дума за корпоративни дела или национална сигурност. Когато обаче ситуацията опре до обикновения потребител, вече става дума за съвсем друг тип интерес.
Много често, когато биват овладявани дадени акаунти, след това чрез придобитите данни се стартира последваща атака за пробив в други системи, където човек има профил. Също така може да послужат за изнудване, тормоз, искане на откуп, пускане на вируси или достигане до профилите на приятели. Възможностите са безкрайни, а последствията от една такава атака продължават с години. Това не е еднократно действие, а ресурс, който може да бъде употребен по хиляди възможни начини. Целта на групировките, които искат да печелят от това, е да се сдобият с колкото се може повече информация.
- Хакерите на практика могат да пробият всичко, въпрос единствено на време е. Какви защитни мерки може да вземе потребителят?
- Това е като самолетните катастрофи – дори най-добре защитените системи, могат да бъдат компрометирани при определени обстоятелства. Потребителите следва да направят не едно, а много неща. Прилагането на сложна парола не е достатъчно. Сигурността в интернет изисква цял набор от действия – да се спазват определени принципи като това да се следи кога и откъде се влиза в профила, да се прилага многофакторна идентификация и да се добавят хардуерни устройства към защитата, да се сменя паролата периодично, да се използват специализирани приложения за сигурност и пр. Именно такива действия могат да ограничат ефекта от такива масови атаки като във Facebook.
- Като че липсва разбиране сред хората за необходимостта от по-добра защита.
- Хората трябва да разберат, че личните данни са изключително важни, защото голяма част от тях не се променят през целия живот. Едно компрометиране на такава информация ви излага на риск до края на дните ви, колкото и страшно да звучи това. Колкото повече ставаме дигитално зависими, колкото повече използваме своето дигитално „Аз“, толкова повече ефектът от подобни атаки става по-сериозен. Ако някой злонамерен се сдобие с имената, датата на раждане или номера на личната карта, представете си какво може да направи с тях. Това не е шега, не е действие, което се случва и отминава. Точно обратното е.
- Във време, когато данните са толкова важни, големите компании като Facebook имат цели звена за киберсигурност. Как обаче да се справят малките?
- Не се справят по принцип, тъй като нямат ресурс и капацитет да разработят комплексни защитни механизми и системи сами. Те се опитват да използват решения, които големите им предоставят. Става дума за инструменти за интегрирана идентификация като логин в сайт през Facebook профила. Малките често разчитат на големите за подобни функционалности, които да им помогнат да се защитават. Същевременно обаче така се създава цяла една екосистема, която ако бъде пробита в една точка (както например сегашната Facebook атака), позволява ефектът да стигне и до други платформи.
- Що се отнася до потребителите, за тях по-добре ли е да се логват през Facebook профила си?
- Големите компании влагат много повече пари в своите системи за сигурност. Има концентрация на експертиза, която позволява да управляват по-добре защитата си. В тази връзка, наред с удобството, за потребителя в повечето случаи е по-добре да се довери на тези компании, отколкото на по-малките. Все пак е въпрос на личен избор и баланс, както и преценка къде рискът е по-голям.
- Как според вас се справят българските компании? Узряват ли за това, че трябва да повишават защитите си?
- Налице е процес на узряване, но има много още какво да се желае в тази посока, защото все още битува схващането „мен това не ме засяга“. С навлизането на GDPR поне тези, които боравят с лични данни, вече са задължени да вземат превантивни мерки. Инциденти се случват и щом жертва става и Facebook, значи всеки може да пострада. Презумпцията „на мен няма да ми се случи“ не важи в съвременния свят, доминиран от толкова много взаимно свързани системи.
- Според някои регулации като GDPR спъват иновациите. Съгласен ли сте?
- Категорично не съм съгласен. Това са изказвания, които искат да намерят проблема там, където не е. Всички компании трябва да разберат, че информационната сигурност е част от бизнеса им и те трябва да полагат усилия да минимизират рисковете. По тази логика защо не погледнем банките, в чийто сектор има толкова много регулации за информационна сигурност. Те обаче не се оплакват, защото отдавна са разбрали, че са изложени на огромен риск и имат нужда от високи изисквания.
Пренебрежението идва от неразбирането на опасностите. Ако говорим за физически рискове, тогава нещата са много ясни – никой не иска да носи големи суми пари до банка с колело например, защото е силно уязвим. Същите рискове съществуват и в интернет, но те остават замаскирани зад дигиталните процеси.
- Как определяте регулаторната среда в Европа?
- Не мисля, че в Европа има кой знае какви тежки регулации, ако трябва да съм откровен. Що се отнася до GDPR – той е само първата стъпка в правилната посока. Проблемът се неглижираше твърде дълго, а регулациите бяха с твърде пожелателен характер. Истината е, че няма как да съществува дигитален свят без информационна сигурност. И който продължава да се прави на ударен и да неглижира опасността, тя ще му се стовари в даден момент. Това е неизбежно. И ако няма правила, ако се разчита на добрите намерения на компаниите, едва ли ще има добър резултат.
- А GDPR разписан ли е добре?
- Не знам да има регламент, който да е разписан идеално добре за всички. Конкретно за GDPR смятам, че дори има фрагметни, които са разписани меко. Да, той не е идеален и няма и да бъде, но урежда важни въпроси и се фокусира върху едни от най-проблемните казуси в съвременния дигитален свят за това как се използват личните данни. Преди него всяка държава имаше свои правила в локално законодателство. Интернет обаче е глобален по своя характер и затова беше необходимо да се приравнят тези изисквания и ясно да се каже какви са правата и задълженията в областта.
Така че Регламентът в никакъв случай не е идеален и има много неща, които подлежат на подобрение, но това е правилната рамка.
- Къде виждате проблемни точки?
- Проблемът не е точно в дефинициите, а в скоростта, с която дигиталните услуги се развиват и в техния характер. Нуждата от промяната е по-скоро свързана с приложението му, тъй като липсва и опит в тази посока. Дигиталните услуги се развиват изключително бързо и липсва практика по отношение на конкретни казуси. Има и голямо объркване от страна на хората, които тълкуват текстовете и това не е от злонамереност, а от липса на опит.