/fdata%2F4266034%2Favatar-blog-1212474526-tmpphpFMIwYn.jpeg){kind=avatar}
Мауро Израел е експерт по информационна сигурност от повече от 20 години, в рамките на които, наред с основната си дейност, провежда курсове по запознаване с основите на сигурността, етично хакерство и одити в сферата на сигурността.
След като се дипломира от бизнес училището Institut Superieur du Commerce, Мауро последователно е:
- програмист във Френската армия,
- Master CNE Novell,
- Microsoft Certified Professional,
- proCSSI на Pole Universitaire Leonard de Vinci на INSECA,
- сертифициран водещ одитор по ISO27001.
Понастоящем Мауро се занимава активно с практическа сигурност на информационните системи, вкл. одит, сертификация и планове за непрекъсваемост на бизнес процесите. Автор е на редица книги и статии в специализирани издания за информационна сигурност.
Експертът ще бъде водещ лектор в обучение за финансови институции по темата "Борба с киберпрестъпленията". То ще се проведе на 21 март в София и се организира от ICT Media и Международния банков институт.
Бихте ли разказали с какво се занимавате в момента? Повече ли ви допада работата като фрилансър, отколкото на стандартно работно време, закотвен в офиса?
Всъщност в момента работя като служител по сигурността в софтуерна компания, посветена на дву-факторна автентификация: MOBILEGOV. Преди време работех като хакер на свободна практика. Работил съм
и за големи организации като Pinault Printemps Redoute, както и за ръководител по penetration testing в British Telecom Cybernetworks. Изготвил съм над 300 одита по сигурността за
Bureau Veritas през изминалите 15 години, най-вече за големи корпорации като Valeo. Провеждам и много обучения и курсове и конференции за повишаване нивото на информираност за заплахите и
сигурността на информацията. В този смисъл, основната част от времето аз пътувам. Този месец например ще бъда в Буркина Фасо за обучение на големи организации и банки в сферата на информационната
сигурност.
Честно казано, не помня точно как изглежда офисът ми в Ница! Последният път, в който ходих в офиса си, беше преди повече от месец… Но дори да работя за дадена компания, аз нямам фиксираното
общоприето “работно време”. Използвам много устройства и инструменти за дистанционна работа като Skype и Google Apps. Бих допълнил, че “хакер” е някой, който анализира сложна ситуация (анализирам
на гръцки означава “раздробявам на повече прости парчета”). Затова хакерството не може да се окачестви като “лошо” или “добро”, то зависи от това какво правиш с резултатите…
Какво е основното послание, което отправяте към аудиторията си по време на обученията – кои са най-важните тактики и мерки за опазването на сигурността на корпоративната информационна
система?
Много е важно сигурността да дава възможности на бизнеса, а не да е създадена така, че да го блокира. В противен случай, хората ще отхвърлят контролите за сигурност и нивото на сигурността като
цяло ще бъде много по-лошо. В този смисъл, всяко устройство или софтуер, което е истински помощник за бизнеса, като Voice over IP или споделянето на файлове онлайн, трябва да се използва, да се
гарантира и наблюдава сигурността му, вместо просто да се заклейми. Мениджърите ще са склонни да използват Blackberry устройства, смартфони и Skype, така би била детинска проява и реално
погледнато не би било сигурно да им се забрани ползването им. По-добре е приложи сигурност при подобно поведение чрез обучения и чрез добро ниво на въвеждане на сигурност. Така например, Skype
предоставя на предприятието възможност за мониторинг на Skype акаунтите, а това позволява да се контролира употребата на този протокол вътре в компанията. Освен това, някои характеристики на
програмата като “обмен на файлове” могат да се спрат, за да се контролира потенциално изтичане на вътрешна информация. Водещото послание при обученията зависи от това кой го чува: главни
информационни директори, или ръководители по сигурността. Бих казал, че сигурността е синхронизирана комбинация между “техника” и “организация”. Ако целевата аудитория са не-ИТ мениджъри, бих
наблегнал на незащитеното поведение на потребителите. Друга важна точка е “тествайте го, както хакерите биха го направили” или т. нар. penetration testing. Този метод е много по-ценен, отколкото
който и да било анализ на риска, защото е основан на симулация на реалната ситуация, в която хакерите биха действали отвътре или отвън. Оцентака на риска и сертификацията или стандартизацията
като PCI/DSS, SOX или ISO27001, само би проверила съответствието на правилата за сигурност, но те всъщност не дават гаранции, че ти си “в безопасност”…
Кои са най-страшните заплахи за информационните системи в организациите? С популяризирането на уеб технологиите, киберсигурността добива все по-голямо значение. Смятате ли, че
информационната сигурност ще е предизвикателството на 2010 г.?
Когато говорим за потребителите, се сещам следното изречение: “Ние открихме врага … и той сме самите ние”. Тази реплика изрекъл щатски генерал относно смъртните случаи на американски войници във
Виетнам, които открили огън едни срещу други по погрешка. Мисля, че тази фраза е напълно вярна по отношение на сигурността. Какъв е смисълът от употребата на 18-символна парола, когато тя е
написана на лепящо листче до компютъра?! Човешкото поведение е най-лошата заплаха сега и за в бъдеще. Хората подценяват и не разбират атаките. Сега, когато правя penetration testing за
банка, аз включвам тест за “социална машинация”, опитвайки се да проникна физически в офисите и да открадна чувствителна информация, оставена на бюрата и на компютрите, които не са били добре
защитени от потребителите. Изпробвам и потенциала за предаване на данни от страна на хората, като изготвям 360° оценка през Google и разбира се през Facebook…
Ето защо, информационната сигурност е, и ще бъде основното предизвикателство в продължение на години: в момента има над 2 милиарда души, свързани в Интернет, и всеки от тези компютри е едва на
половин секунда разстояние във времето от вашия. Атаките ще бъдат ограничени единствено от въображението на кибернападателите.
Смятате ли, че “cloud computing” ще се провърне във водеща тема за големите бизнес потребители до 2011 г.? Повече защита или повече заплахи ще донесе облака?
Ако взема за пример компанията Valeo, която е включена във фондовия индекс на френската борса CAC40, тя скоро се прехвърли към ползването на Google Apps приложенията в облака. Сега те ще се
откажат от собствената си електронна пощенска система, както и от споделянето на файлове и т.н. … Те ще се нуждаят единствено от компютър с Интернет свързаност, за да работят. Сега те ще имат 20
Gbytes сторидж, вместо 200 Mbytes на всеки потребител, което е 100 пъти повече памет! Що се отнася до достъпността, облакът е много по-добър вариант от която и да е корпоративна система. Затова
бизнесите обичат “облака”, поради огромните икономии на ИТ разходи. Смятам, че фирмите масово ще започнат да ползват облачни приложения в близко бъдеще. Единствено остава въпросът “Дали това е
сигурно?”. Отговорът за сигурността е твърде сложен, но ние трябва да се адаптираме към бизнеса, затова бих променил въпроса на “Дали това е достатъчно сигурно?”.
По какъв начин предпазвате собствените си данни?
Прехвърлих се към облака през 2005 г., още когато тези технологии бяха измислени, макар да нямаха ясно наименование. Аз го нарекох “проникващ компютинг”, но смятам, че “облачен компютинг” е
по-добро определение! Използвам основната особеност на облака, а именно уеб-поща, а от 2006 г. – и споделянето на файлове, всички услуги, предоставяни от Google. Имам различни Skype номера (wifi,
DECT, GSM), зависещи от наличния достъп до Интернет. Почти всичките ми документи оттогава са онлайн, така че вече не мисля за архивиране или синхронизиране на данните. Всичко е онлайн. По този
начин данните ми са защитени по отношение на достъпност от Google, по отношение на секретност – от PGP, когато става дума за документи, съдържащи чувствителна информация. Моите USB ключове са
криптирани и се отключват чрез автентификация от моя пръстов отпечатък. По същия начин стои въпросът с външния ми харддиск – при него прилагам биометрични данни за достъп. Преносимият ми харддиск
е изцяло криптиран (Pointsec) и се отключва с чрез цифрова ДНК (Digital DNA), която е най-силната система за автентификация от MOBILEGOV. Използвам USB ключ, който работи като “стартер”: ако го
отстраня от лаптопа, машината се самозаключва; когато го включа в устройството, преносимият ми компютър се отключва, ако въведа правилния PIN номер, подобно на кредитна карта. Мисля, че тази
защита е задължителна за всеки мениджър или за всеки човек, който оперира с чувствителна информация. Прилагам и специално поведение: свързвам се към Google единствено през https връзка и
използвайки цифрова ДНК, така че никога не изпращам парола по Интернет. Никога не използвам WiFi мрежа на публични места като летища, и винаги се свързвам с офиса чрез VPN мрежа. Моят смартфон -
Android, също е със защитен достъп чрез “path pin code”, така че не ми се налага да изписвам код, а проследявам илюстрация, за да отключа телефона. Много по-просто е за запомняне и е много
по-трудно да се открадне с отключващото устройство.
Крайната цена на притежанието (Total cost of ownership) на всичко това, която възлиза на няколко стотин евро, е много ниска в сравнение с ползите. Задължително е да предпазите информацията си.
Ако трябваше да направя една-единствена стъпка, за да защитя своите данни, бих криптирал хард диска на лаптопа си. Смятам, че това е основната възможност за изтичане на информация за една
компания, защото хиляди преносими компютри се губят или крадат всяка година.
В заключение бих казал, че проблемите на сигурността ще са на дневен ред за дълго, защото “всеки компютър в Интернет е на половин секунда разстояние от вашия”.
Въпросите зададе:
Констанца Григорова