С бурното развитието на информационните и комуникационните технологии и дигитализацията като глобален феномен се промени характерът на съвременните общества. Преминахме от „технологични“ в „информационни“ общества и икономика „на знанията“. Индустрия 4.0, характерна с автоматизация, интелигентни машини и „умни“ фабрики, големи данни за решения и оптимизации, децентрализация и гъвкавост, постепенно еволюира в Индустрия 5.0 с персонализирани услуги и продукти, ориентация към човека и сътрудничеството между човек и машина, пренасочвайки фокуса от чисто икономическа стойност към обществена стойност, благополучие и благоденствие.

Отчитайки многопластовата дигитална трансформация, която започна в края на 90-те години и доведе на практика до Индустрия 4.0, но и до все по-критични зависимости, през 2014 г. Марк Андресен, създател на езика Mosaic за първия интернет браузър Netscape и инвеститор в множество иновативни ИТ компании, заяви, че „софтуерът постепенно „изяжда“ света“. Появиха се нови модели на все повече ключови бизнеси изцяло във виртуалното киберпространство, като „Амазон“ и Alibaba, и е-магазините, Facebook, Uber, Airbnb и управлението на всички пътнически услуги и много други. Нещо повече, през 2016 г. Марк Андресен добави, че „софтуерът не само „изяжда“ света, но вече го управлява“.

Умишлени или неумишлени действия могат да доведат до компрометиране на системи за управление на критични инфраструктури или важни приложни системи, да възпрепятстват нормалното им функциониране или чрез нерегламентирано проникване да манипулират или извличат информация. Начините за откриване и блокиране на тези възможности не са традиционни и изискват нова култура на взаимодействие между участниците в киберпространството, нови технически средства, които обаче също могат да бъдат уязвими. Така към бизнес рисковете се добавят непрекъснато и нови киберрискове с ключово значение, игнорирането на които може да доведе до катастрофални резултати.

Да си припомним историята със SolarWinds – един от най големите доставчици на софтуерна платформа за управление на сигурността и конфигурациите на инфраструктури и сложни системи. През 2020 г. тази платформа мозък на дигиталната инфраструктура и услуги в основни държавни и бизнес структури в САЩ и в света беше компрометирана в продължение на месеци от смятана за руска и държавно спонсорирана мащабна хакерска атака.

Защо трябва да работим за киберустойчивост?

Киберсигурността е само един от аспектите, свързани с превантивни мерки за мрежова и информационна сигурност, както и реакция при киберинциденти. Налични са множество инструменти, използващи различни „контроли за информационна и мрежова сигурност“ и методи и средства за откриване и превенция на нерегламентирано проникване (Intrusion Detection and Prevention), но това не е достатъчно. Нужно е да се подготвят мерки и планове и „когато лошото се случи“, или по-точно – изискване за непрекъсваемост на услугата или бизнеса (service/business continuity). Това се отнася и за цялата дигитализирана екосистема, т.нар. всеобхватен подход. Съответните мерки са свързани не само със защитата на основните активи в една организация (като информация, технологии, хора, съоръжения), но и осигуряване на тяхната наличност и устойчивост при разрушителни въздействия. Както и изготвяне на процедури за възстановяване към нормалната работа и преобразуване на научените по „трудния начин“ уроци във фирмени политики, което много често пропускаме.

Фокусът на приетата през 2016 г. Българска национална стратегия за киберсигурност „Киберустойчива България 2020“ е именно постигане на киберустойчиво общество, индустрия и държавно управление. Като Национален координатор по киберсигурността в правителството по това време, ръководех работата по нея.

Поуките от NotPetya и CrowdStrike

Един от първите болезнени сигнали, че е нужна смяна на подхода, бяха масовите и катастрофални за някои бизнеси поражения от няколко вълни рансъмуер-криптиращи вируси и атаки. Започнали през 2017 г. с WannaCry, Petya и криптиране с искане на откуп (т.е. бизнес мотивирани хакери) и продължили само след няколко седмици с друга, още по-унищожителна атака с NotPetya. Всички те използват нефиксирани уязвимости в операционните системи за заразяване и бързо разпространение, съчетано с ниска киберкултура и лоши политики за сигурност. Случаят с NotPetya обаче е различен, защото той не е рансъмуер, не иска откуп и реално не криптира, а унищожава компютрите. От друга страна, с мигновеното си разпространение в недобре конфигурирани корпоративни инфраструктури порази световни бизнес и държавни организации – транспорт и логистика, болници, финансови организации и борси, множество критични сектори и услуги, малки и средни предприятия, граждани. И отново показа критичната зависимост от веригите за доставка – всичко започна от „невинен“ допълнителен фискален софтуер за фирмите в Украйна, смятан за заразен по поръчка на руската служба за безопасност. NotPetya се определя и като първото известно кибероръжие за „масово поразяване“, създадено да унищожава.

Защо системите за киберсигурност и антивирусни средства не се справиха с тези атаки?

Основно защото те покриват само отделни аспекти на дигиталната зависимост или отделни компоненти на дигиталната екосистема. Те работеха с познатите „вектори на атака“ и известни видове слабости и уязвимости. При оценка на въздействието не се отчитаха „каскадните ефекти“ от дълбоки зависимости на дигитални услуги и ресурси, както и появата на т.нар. неизвестни неизвестни.

Кои са основните регулации в ЕС и какво е въздействието върху бизнеса в България?

Някои основни нови нормативни документи в ЕС, в сила или в процес на съгласуване, са:

• Регламент 881 от 2019 г. (т.нар. Акт за киберсигурност) – определя нова европейска рамка за сертифициране на киберсигурността на базата на сертификационни схеми, процедури за оценка на съответствието и сертифициране. Изискванията са към продукти, услуги и процеси в организациите. Препоръката е схемите да използват световни или европейски стандарти, някои от които се разработват от европейските стандартизиращи организации CEN/CENELEC и ETSI. Първите приети сертификационни схеми са EU CC (Common Criteria, на базата на ISO 15408) и EU CS (Cloud Services), като EU 5G е във финален етап. Очакват се схеми за IoT/IIoT (виж по-долу за стандартите на ETSI). Чрез сертифициране по съответни схеми/стандарти фирмите в ЕС могат да сертифицират продукти или услуги само веднъж и това да се признава в целия ЕС.

В Акта за киберсигурност е разширена и ролята на европейската агенция ENISA, като тя е обявена за Европейска агенция за киберсигурност и има задача да координира дейностите по изготвянето и прилагането на схемите за сертифициране, както и оперативно взаимодействие между центровете за киберсигурност на отделните държави.

• Нова директивата за мрежова и информационна сигурност (NIS 2) от 2022 г., както и предстоящата Директива за киберустойчивост на критични обекти. NIS2 замени NIS директивата от 2016 г., като систематизира по-добре обхвата на организации и критични услуги в съответствие и с Акта за киберсигурност; дефинира минимални изисквания към операторите на съществени услуги; осигурява взаимодействието между трансгранични организации като DNS, TLD, дейта центрове и доставчици на облачни услуги. В NIS 2 има повишени изисквания и завишени глоби. Определени са 17 сектора вместо досегашните 7 (за съществени услуги). Те са разделени на критични и много важни, като в критичните сектори са добавени отопление, чисти и отпадъчни води, космическите технологии. Към „важните“ сектори са и научните изследвания, разработването на нови технологии и съответните мерки за защита на интелектуалната собственост.

Директивата NIS (МИС) от 2016 г. беше транспонирана в България със Закона за киберсигурност (ЗКС), приет през 2018 г., и съответните подзаконови актове (наредби). В момента тече публично обсъждане на промени в закона, свързани с транспонирането на директива NIS2. Съответни промени и допълнения бяха направени в националната стратегия за киберсигурност от 2016 г. през 2021 г. и нейното удължаване до 2023 г. Бяха поставени цели до 2030 г., като беше запазен основният акцент върху киберустойчивостта. Координацията по нейното изпълнение, както и на дейностите по изпълнение на Акта за киберсигурност и прилагането на Сертификационните схеми, се извършва от Министерството на електронното управление. Но по отношение на завишените изисквания към критичните обекти/услуги и прилагането на Акта за киберустойчивост, както и съгласно действащия Закон за киберсигурност от 2018 г., определени ангажименти има ДАНС (Държавната агенция за национална сигурност), а също така и МО (Министерството на отбраната, виж по-долу и за създаване на киберрезерв).

Акт за киберустойчивост (Cyber Resilience Act) – Актът на ЕС за киберустойчивост има за цел да повиши сигурността на софтуерни и хардуерни решения по цялата верига на доставките, като е поставен особен акцент на свързаните устройства от тип IoT („интернет на нещата“). Той определя минимални изисквания за сигурност за свързаните устройства както по време на разработването на продуктите и услугите, така и през целия им жизнен цикъл. Един от механизмите, предвиден в Акта за киберустойчивост, е поддържането във всяка организация на SBOM (Software Bill of Materials) – пълна библиотека на използваните или разработваните софтуерни компоненти, с идентифицирани взаимозависимости между тях или външни услуги, определяне на критичните с възможен каскаден ефект, уведомяване за слабости и уязвимости (вкл. и за Open Source). Европейската агенция за киберсигурност ENISA реализира план за Coordinated Vulnerability Disclosure, в който националните центрове за киберсигурност (CERT/CSIRT) и операторите на критични услуги ще бъдат задължени да участват.

• Отчитайки важността за сигурността и безопасността на хората, както и ускореното развитие и разпространение на IoT/IIoT, EK и ENISA издадоха редица допълнителни насоки и специфични изисквания за отделни сектори. В отговор на нуждата от разработване на стандарти и в подготовка на бъдеща сертификационна схема техническият комитет CYBER в ETSI, в който участвам, разработи първия хармонизиран стандарт за Киберсигурност на IoT за крайни потребители/консуматори (ETSI EN 303 645 „Cybersecurity for Consumer Internet of Things“)[1]. В момента стандартът се осъвременява и разширява по „вертикала“ за различни сектори (като домашни рутери, устройства за телемедицина, мобилни устройства и др.), и се разработват указания за тестване и сертифициране на IoT устройства и приложения. Тези изисквания ще окажат съществено влияние на производството и предлагането на различни услуги от сферата на умни домове и градове, персонална грижа и телемедицина, умни енергийни установки (на базата на стандарта вече сме тествали редица инвертори и други устройства в Лабораторията по киберсигурност в София Тех Парк).

• Трябва да споменем и предстоящия Акт за киберсолидарност, който цели изграждането на „киберщит“ над Европа – защита и киберустойчивост на критичните сектори и услуги, на базата на сериозно ангажиране на капацитета на индустрията, публично-частни партньорства, изграждане на киберрезерв (за който в България ангажимент има Министерството на отбраната според Закона за киберсигурност от 2018 г.).

По наша инициатива на Европейския софтуерен институт към Европейската асоциация на дигитални МСП (European Digital SME Association, DSMEA) започна изграждането на Digital SME ISAC за подпомагане на Европейските МСП за внедряване на стандарти и изисквания и предпазване от най-разпространените слабости и уязвимости. В България партньор (и учредител) на DSMEA е Българската асоциация на софтуерните компании BASSCOM.

Освен тестове и сертифициране на продукти и услуги съществена роля за постигане на киберсигурност и устойчивост имат процесите и хората. Процесите трябва непрекъснато да се проверяват и усъвършенстват, като най-доброто средство са киберученията. В Европейския софтуерен институт (ЕСИ) и Лабораторията по киберсигурност вече 4 пъти организираме национални учения Cyber Shockwave с подкрепата на посолството на Великобритания и Министерството на отбраната. Чрез серия от киберинциденти, симулирани в реалистични технически полигони (Cyber Ranges), тествахме взаимодействието между държава и бизнес при ескалирани национални и международни кризи в секторите енергетика, транспорт, здравеопазване (в контекста на COVID-19) и снабдяване с чиста вода. Този тип учения са важен фактор за постигане на киберустойчив бизнес и общество.

Европейска стратегия за AI и регламент „AI Act” (март 2024 г.)

AI регламентът предвижда сертификационни схеми, подобни и в допълнение на схемите от Акта за киберсигурност. През 2022 г. Европейската комисия се обърна към европейските стандартизиращи организации CEN/CENELEC и ETSI с искане за разработване на стандарти за десет от основните характеристики на надежден и human-centred AI, като прозрачност, обяснимост, управление на AI рисковете, киберзащита, контрол на качеството на данните и др. Част от стандартите се разработват от Техническия комитет SAI (Securing AI) на ETSI, на който съм вицепрезидент. В комитета работим в три направления:

• AI за киберсигурността – модели и методи, с които AI подпомага работата на системи и технологии за киберсигурност и устойчивост, наблюдение и реакции при аномалии в поведението, сигнали за компромис или атаки;
• Киберсигурност за AI – методи, процеси и технологии за защита на системите с AI от специфични за AI заплахи и уязвимости, като data bias (отклонение, предубеденост) на данните за обучение/самообучение, разкриване на лични данни или конфиденциална информация, манипулиране на разсъжденията, сигурна и надеждна изчислителна среда и алгоритми;
• Злоумишлено използване на AI, или „weaponizing AI“ – използване на AI за съвременни сложни атаки и нови видове заплахи (т.е. включването им в оценките на киберрисковете), „интелигентни вируси“ (да припомним и т.нар. полиморфни вируси от зората на персоналните компютри през 90-те години, включително и българския Dark Avenger), организиране и самоорганизиране на сложни атаки. Това направление е важно не само за развитие на методите за киберзащита, но и за симулиране на атаки и киберучения, необходими при тестове за сигурност.