Защо един счупен файл побърка света? Киберспециалистът Христиан Даскалов пред ФАКТИ

Случилото се със софтуера на CrowdStrike не е кибератака, а класически инцидент, свързан със софтуерна разработка. Компанията CrowdStrike е надеждна и вероятно ще продължи да бъде такава, ако този срив в системите не се отрази твърде негативно на имиджа и акциите ѝ. Ето какви съвети даде експертът по киберсигурност Христиан Даскалов пред ФАКТИ.

- Г-н Даскалов, как един счупен файл на компанията CrowdStrike побърка света, буквално?
- Това стана, защото - когато говорим за киберсигурност, ние даваме на такива разработчици неограничен достъп до нашата система. Ние имаме файлове на различни доставчици на софтуер на компютрите си и на телефоните, с които работим ежедневно, но мнозинството от тях са с далеч по-ограничен достъп и не съществува риск при проблем да се блокира операционната система. Особеното, когато говорим за доставчици на киберсигурност, е че този „счупен“ файл има пълен достъп до операционната система, която ръководи работата на нашия компютър, на нашия смартфон. Респективно може да даде всякакви инструкции и да обърка тази операционна система така, че тя да забие на този прословут „син екран“. Предвидено е и е планирано, ако мога да обобщя, подобен тип софтуери, да имат неограничен достъп и точно поради това при тяхното разработването трябва да се следят и спазват много правила и процедури, да има особена степен на внимание при работата в дълбочина по тези процеси по разработка, които не биха позволили нещо подобно да се случи. Но очевидно е имало пропуск точно в този процес на управление на софтуерната разработка, най-вероятно с цел бързина на реакцията по конкретен повод.

- Ако трябва да го кажем просто, въпросната програма се актуализира, но има грешка в актуализацията, която побърка всичко…
- Става въпрос за ъпдейт на проблемен файл, който не е бил тестван достатъчно, преди да се актуализира, и който сам по себе си е служел за опосредстване на по-големи актуализации на софтуера за защита, но това е дребнотемие. Все пак, съм длъжен да го уточня.

- Ние сме свикнали на телефоните ни да се актуализира какво ли не. Всяка програма в един момент иска да се актуализира…
- Тук трябва да направя едно уточнение. Напълно погрешно би било, ако този инцидент причини реакция в потребителите от типа „… не, няма да позволя активизация на актуализациите“. Ъпдейтите са най-сигурният начин да не пострадате от кибератака, насочена срещу вас като потребители. И това е така, защото всяка нова актуализация цели да направи софтуера по-стабилен и ефективен, особено този за защита – било то антивирусен софтуер, защитна стена, или друг тип услуга за сигурност. Актуализацията прави така, че съответните машини - компютри, сървъри да бъдат в час с най-актуалните заплахи и несъвършенства, които са били идентифицирани от последната версия на инсталирания софтуер насам. Ако просто кажем, че „… аз не желая да дам актуализация на моя Windows“ като операционна система или на дадената антивирусна програма, така ще причиним висока степен на риск за съответния потребител, който е отказал актуализация.

Сега проблемът се е случил вследствие на актуализация, но това не означава, че правилното действие е ние да забраняваме или да намаляваме ъпдейтите.

Шансът подобен тип неволни или „зловредни“ инциденти да се случват регулярно на нашите компютри е минимален. Като потребители - специално при смартфоните, е добре да гледаме да инсталираме минимално количество приложения, от тези които не са ни критично необходими. Примерно игри или да свалим нещо, което излиза като реклама и решаваме да го инсталираме. Всяко такова приложение носи своите рискове, защото приложението добива достъп до нашите данни и потенциално е вектор на атака. Ако ние сме свалили 5 или 10 игри, то в момента, в който ние вече не ги използваме, съветът ми е незабавно да ги изтрием. И да продължа за антивирусните програми. В никакъв случай не ограничавайте тези програми да се актуализират в първия възможен момент, защото те ни защитават с актуализацията на своите бази данни от познати атаки. Случай да имаме „черен лебед“ е едно на милион, но в останалите 999 999 случаи тези актуализации ни защитават.

- Сега бяха засегнати банки, медии, летища и т.н. Стана голямо объркване, но разглежда ли се вече този инцидент като възможност за анализ, за да се избегнат в бъдеще подобни проблеми?
- В бъдеще проблемите не могат да се избегнат на 100%, но могат да се намалят щетите от настъпването на подобен тип проблеми. Никой не е застрахован, че утре или в друг ден при друга компания няма да се случи подобен тип инцидент със софтуерна разработка. Да се пусне нещо, което не е било достатъчно тествано, да се имплементира при нас. Пък дори и да не е през актуализация - може да е нещо, което за първи път инсталираме, и то да „счупи“ нашия компютър. Това няма как да го избегнем като риск, но е важно да не бъдем хванати неподготвени. Всяка компания трябва да има план за действие при кризисни и аварийни ситуации от този тип. Не само от гледна точка на управление на риска, а трябва да знаем във всяка една минута буквално какво се случва на различно ниво на защитата ни. Между другото при такъв тип кризи и управление на последствията от настъпили кризи вече

много важна роля и помощ може да ни предостави изкуственият интелект.

Благодарение на него може в голяма степен да се автоматизират различни процеси и така изкуственият интелект да ни помага да управляваме по-добре и развием различни по тип сценарии. За пример, в Европейският цифров иновационен хъб „Тракия“, който предоставя безвъзмездни услуги за киберсигурност по линия на програма „Дигитална Европа“ на Европейската комисия и българската ПНИИДИТ, сме разработили кибер полигон, чрез който с помощта на изкуствен интелект създаваме сценарии за кибер атаки и ответни мерки според спецификата на съответната среда и система, която виртуализираме. Говорим за стотици, да не кажа за хиляди сценарии в зависимост от това какви са параметрите на атаките, които проиграваме, колко е вероятно да настъпят рисковите ситуации за компаниите, който анализираме, и т.н. Другото нещо, чрез което можем да се защитим, е да направим диверсификация на риска. Ако приемем, че част от нашите информационни активи са на компютри или сървъри, които оперират под Windows, то е добре друга част от активите ни да бъдат на друга операционна система - да речем под някаква версия на отворените Linux дистрибуции. Друг пример в същия смисъл - една част от нашите активи да бъдат защитени с един вид софтуер за киберсигурност, а друга част - с друг. По този начин ние ще избегнем риска от прекомерната зависимост от крайните доставчици и евентуални инциденти при тях. Добре е да диверсифицираме риска и през разнообразяване на доставчиците на различните услуги, които на ежедневна база употребяваме – облачни услуги за съхранение, за споделяне на файлове, електронна поща и т.н. Да не сме зависими само от един единствен доставчик в едно и също направление.