Специално за Econ.bg

Г-н Спасов какви са основните заплахи за сигурността на информационните системи?

Камен Спасов:

Заплахите са много, но най-голямата заплаха е т.нар. "вътрешен човек". Твърде скъпо е да се създават системи за пробиване на която и да е мрежа – корпоративна или институционална. Много по-евтино е да се намери недоволен служител в съответната администрация, който срещу сравнително скромно заплащане е готов да изнесе доста ценна информация. Анализът на американските служби показва, че това е най-често срещаният и най-скъпо струващият проблем за корпорациите. Естествено, съществуват и много други заплахи, свързани най-вече с широкото използване на Интернет. В много случаи има неправомерно изтичане на информацията. Ето един прост пример – служител на дадена фирма изпраща електронно писмо с чувствителна информация към човек, който не е оторизиран да я получи. Ето защо са разработени системи, които дават възможност да се филтрира изходящият трафик и извън фирмата да излизат съобщения, които не представляват заплаха за сигурността. В същото време, съобщенията, които съдържат конфиденциална информация могат да бъдат криптирани, за да стигнат некомпроментирани до съответния получател. Съществуват и заплахи за информационните мрежи на компаниите, които на пръв поглед могат да изглеждат смешни. Например т.нар scam или spoofing. Това означава, че има пробив в компютрите на някои служители и чрез тях се разпространява нежелана поща и различни реклами. В резултат на това компрометираните компютри на фирмата могат да влязат в списъците на спам–филтрите. Така реално се ограничава получаването и изпращането на съобщенията на самата фирма.

Филтрирането на изходящата поща може да донесе сигурност за информационните мрежи, но поставя ли морални проблеми пред компаниите?

Камен Спасов:

Филтрирането е напълно автоматично – по ключови думи, адресати, тип файлове. То не е заплаха за личната свобода на служителя, но му спестява проблеми при изтичане на конфиденциална информация. Не става въпрос за Big Brother, а за защита на системите. Не всички служители имат достатъчно висока квалификация, за да разграничат кое е конфиденциално и кое не е. Затова е необходимо изграждането на филтри, които автоматично да разпознават чувствителната информация. Защита може да донесе и автоматичното криптиране на електронните писма.

Как може да се противодейства на "вътрешния човек"?

Камен Спасов:

Много са начините за справяне с вътрешната заплаха за сигурността на информацията. Преди всичко, това е въпрос на морал и ценностна система на служителя. Човек без морални задръжки не може по никакъв начин да бъде накаран да бъде лоялен към която и да е организация. Създаването на корпоративна идентичност, т.е емоционалното обвързване на служителите с организацията до голяма степен предотвратяват това. В много случаи при изтичане на информация може да бъде търсена и наказателна отговорност. По принцип това е трудно – организацията трябва да докаже, че е претърпяла загуби в резултат на изнесената информация от точно този служител.

Има ли разлика в начините на защита на информацията в корпорациите и в държавната администрация?

Камен Спасов:

Формално може би има разлика, но практически тя не е съществена. Големите корпорации защитават много по-добре информацията от колкото администрацията в която и да е държава по света. От друга страна в държавната администрация съществува понятието "класифицирана" информация  и там мерките са много, добре дефинирани и стриктно се прилагат. Вероятността да изтече класифицирана информация, освен чрез вътрешен човек, е много малка. По-интересен е случаят с публичната информация – т.е онази дейност на държавната администрация, която не е свързана с класифицирана информация. Би могло да се каже, че всяка информация, с която оперира държавната администрация, би трябвало да е публично достъпна. Но това не е така. Ако бъде разпространена например черновата на някой документ, може да се създаде абсолютно погрешна представа за документа, за целите за изготвянето на му. Така може да се злепостави човекът или институцията, изготвили документа. Поради тази причина е много важно извън организацията да излиза само тази информация, предназначена за публичен достъп, въпреки че гражданското общество иска да знае с какво точно се занимава всеки един служител в държавната администрация. Това прилича на нездраво любопитство, а не на контрол върху публичните дейности. От тази гледна точка е важно за институциите да могат да работят в защитен режим. Съгласно законите голяма част от информацията, която е на разположение на държавната администрация е конфиденциална. Личните данни са защитени, медицинските записи – също. Но тези данни реално се обменят – между лекари, граждани и държава, и следва тази информация да бъде защитена. Защитата трябва да се дефинира в законодателната уредба. В България са в сила Законът за личните данни, Законът за електронните данни и електронния подпис и др. Защита на данните трябва да бъде дефинирана и чрез различни правила.

Доколко е защитена информацията в българската администрация?

Камен Спасов:

Информацията в нашата администрация е защитена, но проблемът е че всяко звено от администрацията само осигурява системите за защита. По-голяма сигурност ще донесе единна, национална мрежа на държавната администрация. Тя ще позволи с по-малко средства да се осигури по-добра защита. Може би има пробиви, по-важното е каква информация изтича, дали тя представлява заплаха за сигурността на организацията. И разбира се, какви ще са последствията и загубите - това е важното при изтичане на информацията.

Какво трябва да направи всеки един от нас, за да защити личните си данни?

Камен Спасов:

Най-малкото – да научим правата си. Според Закона за личните данни единните граждански номера например са информация, която не бива да бъде давана на неоторизирани лица.

Но реално даваме тази информация навсякъде...

Камен Спасов:

А защо?! Номерът на личната карта е напълно достатъчен да се идентифицира едно лице. Още повече - съществува система, чрез която в реално време, само чрез номера, може да бъде проверено дали документите за самоличност са валидни.