vorbește

Jan Majtan conduce secția de securitate cibernetică la Biroul viceprim-ministrului pentru investiții și informare.

Bratislava, 10 martie (TASR) - A studiat băncile și informatica aplicată la universitățile din Viena și Amsterdam. În 1999, s-a alăturat CA Bankverein la Viena în proiecte de digitalizare și informatizare, iar ulterior a lucrat în poziții de conducere în sectorul bancar. Ulterior a lucrat ca director și consultant în companii de consultanță axate pe securitatea IT, managementul proiectelor, proiectarea sistemelor IT și a gestionat mai multe proiecte mari de securitate IT. Astăzi, Jan Majtan conduce secția de securitate cibernetică la biroul viceprim-ministrului pentru investiții și informare. El a răspuns la întrebările TASR în cadrul proiectului multimedia Personalități: fețe, gânduri.


-Puțini oameni au la fel de multe informații și date despre cetățeni ca și statul sau institutii publice. Cu atât mai mult, securitatea și protecția lor împotriva abuzului sau atacurilor hackerilor devine o problemă actuală. Dacă la jumătatea anului 2018 este înființată o secțiune separată de securitate cibernetică, aceasta poate fi văzută ca un semnal că statul acordă importanță acestui domeniu.?-


Categoric. Acest subiect rezonează nu numai în mass-media, dar are și un impact semnificativ asupra oamenilor și a funcționării lor normale, deși nu sunt întotdeauna conștienți de aceasta. Este ca un virus ascuns care circulă în corpul nostru, dar până acum nu avem simptome ale bolii - problema în stadiul său inițial este dezvăluită doar printr-o examinare amănunțită. În mod similar, în securitatea cibernetică, de multe ori amenințarea nu apare imediat. Unul dintre cele mai grele lucruri vreodată este să constate că a avut loc o intruziune nedorită în sistem. Știi deja să-l analizezi. Dar timpul care trece de la un atac real la descoperirea acestuia poate fi de luni sau chiar de ani, multiplicând posibilele consecințe. Ministerului ceh al afacerilor externe i-a trebuit mai mult de un an și jumătate pentru a detecta infiltrarea.

-Problema securității cibernetice este probabil la fel de veche ca și computerele în sine. Când a crescut această amenințare până la proporțiile actuale?-


Acest lucru este strâns legat de dezvoltarea în masă a tehnologiilor mobile. La un moment dat în jurul anului 2007, când a început să se scrie era smartphone-urilor, oamenii au început să aibă dispozitive care, pe lângă beneficiile economice și practice, le oferă și beneficii emoționale sub forma accesului la rețelele sociale. Atunci când utilizați rețelele de socializare, înseamnă că vă permiteți să colectați date despre interesele dvs., cei dragi, relațiile, precum și unde vă aflați și ce faceți. Totul costă ceva. Dacă aveți o rețea socială sau un motor de căutare care este gratuit, ar fi naiv să credeți că operatorul unei astfel de rețele oferă serviciile sale gratuit. Îl plătiți cu voi înșivă, adică cu datele dvs., geolocalizarea, astfel încât sistemul să știe cu cine comunicați, ce căutați și ce vă deranjează. O astfel de retrospectivă a istoricului căutărilor dvs. - și Google o poate face foarte frumos - vă prezintă perfect istoricul personal, astfel încât să vă puteți aminti marea surpriză când ați fost bolnav, la ce ați lucrat, când ați întâlnit pe cineva și așa mai departe.

-Un exemplu clasic este atunci când cineva este deranjat de, să zicem, supraponderal - și de îndată ce află ceva despre problemă, începe să-l inunde cu reclame pentru diete sau produse pentru slăbit.-


Da, astfel puteți oferi unei persoane informații sau sfaturi care ar putea fi de interes pentru ei. Dar, mai serios, sistemul din jurul tău va crea un fel de „bulă” artificială care te întărește și mai mult în ideile sau opiniile tale. Acest lucru poate fi folosit foarte intenționat. Furnizorul de servicii face acest lucru pentru a menține clientul „online” cât mai mult timp, pentru a-și putea vinde profilul mai multor părți și pentru a-l face să simtă că este un serviciu bun.

-Unde este limita legalității, atunci când datele utilizatorului nu sunt doar baza pentru publicitate direcționată nevinovată, ci pot fi literalmente utilizate în mod abuziv?-


Această limită este, de exemplu, furtul de identitate. Aceasta înseamnă că datele dvs. personale vor fi utilizate pentru a vă personaliza, adică pentru a face altceva pentru dvs. Sau, pe baza identității dvs., vor fi create clone virtuale care sunt utilizate pentru diverse activități. Asa numitul Ingineria socială modernă are multe instrumente pentru a vă folosi identitatea cu atenție. Poate avea și implicații financiare. Foarte simplu, puteți veni să spuneți un salariu. De exemplu, vă vor schimba datele personale și bancare, iar banii dvs. vor ateriza într-un alt cont și veți afla după un timp.

În imagine este Jan Majtan, directorul general al Secției de securitate cibernetică la Biroul viceprim-ministrului pentru investiții și informare (IPVII), pe 10 martie 2019 la Bratislava în timpul unui interviu în cadrul proiectului multimedia TASR Personalități: fețe, gânduri . Foto: TASR/Pavol Zachar

-Ce poate face un utilizator de Internet pentru a minimiza riscul abuzului?-


Este important să fiți vigilenți, să verificați ce pagini vizualizați, ce aplicații utilizați. De exemplu, nu cunosc mulți oameni care citesc condițiile de utilizare a aplicațiilor și serviciilor. Puțini oameni își dau seama că datele pe care le introduceți în aplicație călătoresc apoi în jurul lumii. Până de curând, orice conținut din profilul dvs. Facebook - imagine, text, videoclip - a devenit automat proprietatea Facebook, care ar putea să-l gestioneze la propria sa discreție. Din fericire, astăzi avem o directivă privind protecția datelor cu caracter personal - GDPR, care trebuie respectată chiar și de jucătorii mari. Cu toate acestea, o cantitate imensă de date se află în mâinile mai multor companii de pe piață, care se află în afara jurisdicției Slovaciei și a Uniunii Europene. Deși furnizează servicii sau produse cetățenilor UE și, prin urmare, trebuie să respecte normele UE, nu este ușor să impunem și să controlăm acest lucru. Cantități uriașe de date sunt concentrate în companii precum Google, Facebook, Amazon sau Netflix, la care avem doar o acoperire mediatizată. De asemenea, este dificil să aflați locațiile efective în care sunt stocate datele.

-Ce înseamnă?-


Când introduceți informații pe contul dvs. de Facebook, informațiile sunt descompuse imediat și stocate în diverse fragmente în mai multe locuri din lume. Poate în zeci de centre de date globale. Imaginați-vă că un sistem este utilizat de un miliard de utilizatori și se așteaptă ca activitățile și solicitările lor să fie procesate imediat. Pentru a face acest lucru, aveți nevoie de un sistem extrem de robust în ceea ce privește performanța și disponibilitatea datelor. În prezent există o discuție despre posibilitatea utilizatorilor de a șterge tweet-uri pe Twitter. De exemplu, dacă scriu și public un tweet, astfel încât să îl pot șterge într-o oră. Acest lucru este din punct de vedere tehnic un lucru extrem de complicat, deoarece datele tweet sunt, de asemenea, fragmentate și stocate geografic, foarte diversificate în mai multe locuri. Dacă doriți să ștergeți un mesaj, este o problemă dificilă de performanță pentru sistem să o facă sincronizată și, în cele din urmă, este posibil să nu funcționeze complet. Un sistem atât de mare, aceasta este lumea însăși.

-Adică, chiar dacă șterg un e-mail din căsuța de e-mail, acesta nu este șters de fapt?-


Nu trebuie să însemne că a fost șters. Furnizorul de multe ori îl face inaccesibil. Și cu suficient efort și bani, probabil că vei putea ajunge din nou la el.

-La fel de eficient ca și adoptarea Regulamentului GDPR?-


GDPR are cu siguranță un sens. Această măsură a fost adesea prezentată ca o barieră, o complicație sau o complexitate, în special în cercurile de afaceri. Dar vă puteți gândi la vreo altă entitate națională sau supranațională care ar proteja intimitatea și datele cetățenilor săi la fel de mult ca Uniunea Europeană? În același timp, este doar baza pentru continuarea ulterioară. Și cei care au implementat acest standard corect și au acordat timp și efort rezonabil pentru a-l implementa vor reveni cu siguranță. Aș menționa, de asemenea, inițiativa Internet Governance Forum, o platformă în care sunt implicați, de exemplu, francezii, chiar și președintele Macron. Este vorba despre crearea unui spațiu care să permită jucătorilor uriași să fie reglementați în mod sensibil în afara jurisdicției noastre și să îi determine să respecte neutralitatea rețelei. Nu numai societatea politică, ci și de opinie sau culturală. Astăzi, de exemplu, construiți o autostradă pe internet și ar trebui să vă asigurați că toată lumea are același acces la ea. Dar să presupunem că Google folosește autostrada în profil complet, că nu mai este mult loc pentru alții.

-Ce își poate imagina un laic sub această autostradă? Ce metaforă?-


De exemplu, cabluri și rețele. Și volumul fluxurilor de date, dintre care o mare parte este consumat de marile companii multinaționale.

-Dacă vorbim despre marii jucători, puțini oameni au la dispoziție la fel de multe date despre cetățeni ca instituțiile publice, să spunem un astfel de birou fiscal, companiile de asigurări, guvernele locale. Prin urmare, abordați în primul rând problema securității acestor informații?-


Da, este în principal sectorul public atât ca administrator, cât și ca furnizor de servicii. Este necesar să se creeze condiții pentru funcționarea în siguranță a 300.000 de angajați ai administrației publice, precum și pentru 5 milioane și jumătate de cetățeni aflați în poziția de clienți. Este o cantitate uriașă de date care, dacă ați agrega, ar obține o imagine mai detaliată a fiecăruia decât ar fi putut crea pentru el însuși. Deoarece omul uită, memoria noastră este selectivă, dar amprenta digitală nu selectează, nu uită, deține totul. În plus, este posibil să vă amintiți din fizică o diodă care transmite electricitate într-o singură direcție. Și aici, odată ce scurgerile de date și, în special, cele biometrice, sunt acolo și nu pot fi recuperate. De exemplu, avem o imagine digitală a feței în pașaport, avem amprente pe poliție și dosare medicale. Dacă se scurg astfel de informații, cineva le poate folosi și ne poate folosi abuziv identitatea. Deci, este necesar să proiectăm sistemul și aplicațiile, astfel încât să fie evitate, respectiv, lucruri similare. pentru a le elimina cât mai mult posibil.

-Este o sarcină realizabilă?-


Este realizabil, doar acest lucru necesită atenție, resurse și politici - în termeni de reguli, decrete, directive. Astfel, pe de o parte, putem proteja datele preventiv și proactiv și, de asemenea, în cazul unui incident, astfel încât să putem răspunde în mod adecvat. Lucrăm la el în mod sistematic, dar este un domeniu foarte larg. Securitatea sută la sută nu poate fi garantată. Desigur, oamenii nu trebuie să se trezească dimineața devreme îngrijorându-se că există o astfel de amenințare, trebuie doar să fie atenți dacă au activități în spațiul virtual și dacă dau cuiva identitatea lor, fie în mod voluntar, fie în mod obligatoriu .

-Mai important, investițiile în securitate sau educarea oamenilor pentru a gestiona datele în mod responsabil?-


Ambele sunt un proces treptat și necesită într-adevăr multă educație, efort, explicații. La început, este posibil să trebuiască doar să vă dați seama că nu trebuie să oferiți tuturor numele, adresa de e-mail, adresa, pe scurt, că un sistem bun este configurat, astfel încât informațiile minime necesare despre utilizator să fie suficiente. Încercăm să minimalizăm zona de atac. La fel ca în luptă, când adversarii s-au împușcat unul pe celălalt, s-au întors lateral pentru a reduce probabilitatea unui lovit. Când vine vorba de date digitale, facem adesea exact opusul: ne confruntăm cu fața în sus și chiar ne răspândim, deci facem tot ce putem pentru a face impactul mai probabil. De aceea, este important ca oamenii să perceapă complexitatea lumii digitale.

-Nu puteți specifica măsurile pe care statul le ia pentru a-și proteja resp. datele noastre?-


Acestea sunt formate din trei straturi. Primul este stabilirea regulilor, așa-numitul guvernare, educație, control și audit. Al doilea este așa-numitul CSIRTs (Computer Security Incident Response Team), echipe de experți care intervin proactiv și reactiv, se ocupă de incidente, analizează și proiectează măsuri de securitate. Iar al treilea este monitorizarea continuă a nodurilor cheie ale statului, așa-numitul SOC (Centrul de operațiuni de securitate). Soluțiile tehnice sunt de obicei clasificate și există motive pentru aceasta. Pereții, adică măsurile de protecție, sunt proiectate în condiții de siguranță, dar erorile din aplicații nu pot fi complet excluse, așa că prin dezvăluirea detaliilor, este foarte dificil pentru un potențial atacator să le găsească și să le utilizeze greșit.


În imagine este Jan Majtan, directorul general al Secției de securitate cibernetică la Biroul viceprim-ministrului pentru investiții și informare (IPVII), pe 10 martie 2019 la Bratislava în timpul unui interviu în cadrul proiectului multimedia TASR Personalități: fețe, gânduri . Foto: TASR/Pavol Zachar


-Spuneți-ne cel puțin ce nivel are Slovacia în materie de securitate cibernetică dintr-o perspectivă internațională.-


Suntem, să zicem, la nivelul țărilor înconjurătoare din Europa Centrală. Desigur, depinde de ce zonă este. Polonia, de exemplu, ca țară mai mare, are un buget de securitate mai mare și angajează mai mulți oameni. Sarcina mea este să privesc spre viitor. Aruncați o privire unde ne aflăm astăzi și ce vom face pentru a merge mai departe. Ceea ce intenționăm să facem în domeniul securității cibernetice în Slovacia ar putea, în câțiva ani, să ne mute fundamental în altă parte.

-Recent, au apărut informații că securitatea cibernetică este unul dintre cei mai căutați termeni de pe internet, precum și oportunități de a aplica în acest domeniu. Este chiar atât de atractiv?-

-Amenințările hibride sunt adesea menționate astăzi, eforturile unor țări de a influența alegerile democratice, iar Internetul este, de asemenea, un teren propice pentru riscuri precum, să zicem, extremismul, curentele politice radicale și așa mai departe. La nivel politic, aceste pericole sunt adesea subestimate. Cetățeanul se poate baza cel puțin pe faptul că nu este subestimat la nivel de expert?-


Nu sunt subestimate, noi le percepem. Sigur că există amenințări hibride aici și nu aș îndrăzni să nu le specific inițiatorii. Monitorizăm spațiul, ne străduim să ne îmbunătățim capacitățile și să facem progrese și în acest domeniu. În același timp, Europa are o poziție dificilă, deoarece este corectă, încearcă să reacționeze rațional și, prin urmare, are o problemă cu așa-numitul atribuire. Acest lucru înseamnă că, dacă vedeți o problemă, vă confruntați cu un atac persistent sau chiar cu un atac unic, puteți spune că a fost atacatorul unic numai atunci când aveți informații complete despre aceasta. Dar obținerea unor informații atât de cuprinzătoare care ar identifica atacatorul este consumatoare de timp și adesea foarte dificilă și aproape niciodată nu ești 100% sigur. O Europă care este corectă, respectă legea și respectă viața privată suferă într-un context global, deoarece unii alți actori nu acordă deloc importanță acestui concept.