Во Македонија од пред пет години постои само една компанија што се занимава со сајбер-сигурност, и таа е една од ретките на Балканот. Во согласност со ЕУ-регулативите, нашата дирекција за заштита на личните податоци креира нова регулатива кај нас, која ќе се вметне во Законот за заштита на лични податоци и ќе биде пандан на европската регулатива. Компаниите најверојатно имаат рок од една година за да се усогласат со новата регулатива, во спротивно можно е да плаќаат големи казни
Сајбер-нападот на Централната банка на Бангладеш во Дака, во 2016 година, направи голема штета, кога на 5 февруари група неидентификувани хакери се обиделе да украдат 951 милион долари. Повеќето од парите биле вратени, но сајбер-крадците сепак успеале да извлечат 81 милион долари. Обидот се смета за една од најголемите банкарски кражби на сите времиња. Хакерите биле добро организирани, поврзани и добро финансирани. Но нивниот успех, повеќе од сè друго, се должи на слабото безбедносно ниво и слабостите на банкарскиот софтверски систем. Зголемените напади во изминативе години, кои стануваат сѐ пософистицирани ја наметнуваат потребата од развивање на областа сајбер-сигурност, која ќе ги третира овие проблеми. Македонија, која претендира да биде членка на Европската Унија и на НАТО, исто така мора да фати приклучок во современите текови за поголема сајбер-сигурност, односно треба да ги усогласи и да ги следи европските регулативи. За среќа, во земјава од пред пет години постои само една фирма што се занимава со оваа област, и таа е една од ретките на Балканот и во регионот.
Вакви експерти во иднина ќе бидат и многу попотребни одошто се мисли, бидејќи секоја компанија ќе мора многу повеќе да се заштити во согласност со новите начела што ни претстојат, а се наложени од ЕУ и од НАТО.
Лошите хакери би можеле да ги насочат своите напади и кон секој оној што користи ИТ-средство или има пристап до Интернет преку каков било уред, или на пример би можеле да ги нападнат банкоматите на една земја, а потоа милиони граѓани би можеле да се обидат парите да си ги извадат од банкарските сметки, затоа што повеќе нема да му веруваат на банкарскиот систем, велат експертите.
Компјутерскиот криминал опфаќа неколку области, како навлегување во компјутерски систем, вируси, компјутерски измами и фалсификати, потоа злоупотреба на платежни картички социјални медиуми, детска порнографија и друго. Според податоците од нашето министерството за внатрешни работи, Секторот за компјутерски криминал и дигитална форензика во текот на 2018 година има вкупно 124 пријави од физички и од правни лица. Од нив 51 пријава за кривично дело злоупотреба на лични податоци, 7 пријави за кривично дело загрозување на сигурноста и 16 пријави за кривично дело оштетување и неовластено навлегување во компјутерски систем. Кога станува збор за интернет-напади, пријавите и податоците што ги поседува МВР се за откриениот криминал. Доколку се случи некаков компјутерски криминал како навлегување во компјутерски систем и се пријави, МВР излегува во пресрет со форензика за да открие од каде е направен нападот. Одредени случаи можат да завршат и кај Интерпол и други агенции за да се дојде до информација кој е вистинскиот напаѓач, велат експертите за безбедност.
Во светот постојат експерти што ја тестираат сајбер-сигурноста на компјутерските системи, тие се попознати како бели хакери или сиви хакери. Овој вид хакери претставуваат етички хакери, кои симулираат реални хакерски напади познати како пенетрациски тестирања со кои се тестираат платформите од евентуални безбедносните пропусти, кои можат да постoјат кај компаниите, а за нив тие не се свесни. Во суштина тие ја проверуваат отпорноста на системот од тие хакерски напади. Принципот на кој работат е следен. Ги откриваат дупките (или како што тие велат ранливостите) во системот низ кој можат да влезат хакерите, ги тестираат и кажуваат како можат да се поправат тие слабости во системот, односно креираат препораки за подобрување на безбедноста кај системите. Највисоката сигурност што еден систем може да ја достигне е 99 проценти, 100 проценти не е можно бидејќи сепак најслабата алка во целиот процес е човекот, велат познавачите.
– Од пред шест години на пазарот се појави потребата за проверка на безбедносни системи за да се види колку сме безбедни. Тоа што ние вообичаено го правиме е пенетрациско тестирање или етичко хакирање системи, ИТ-инфраструктура, на мобилни апликации или социјален инженеринг. Јас сум веќе 10 години во оваа работна област. Почнав со тоа што работев во „Македонски телеком“ каде што имаше напади по сигурносниот систем. Така научив, но и продолжив да се занимавам во оваа област – вели Филип Симеонов, сигурносниот сајбер-експерт.
Познавачите на областа кажуваат дека пред неколку години Народна банка со одлука иницирала да се зголеми безбедноста на банките. Одлуката предвидувала секоја финансиска институција што соработува и одговара пред Народната банка во Македонија, еднаш во три години да направи пенетрациско тестирање, проверка на безбедноста на својот систем и ИТ-инфраструктурата. Истата регулатива важи и доколку настане некоја поголема промена во безбедносните системи. Народната банка е регулаторно тело и една ваква одлука е потребна затоа што банкарскиот систем има критична инфраструктура, која се состои од податоци на граѓаните, сметки, матични броеви, место на живеење и слично. Народната банка во ваков случај има национален интерес да им ги заштити личните податоци на граѓаните, затоа сите институции што одговараат пред неа, мораат да овозможат соодветна сајбер-заштита за нивните податоци. Доколку ја немаат соодветната заштита, хакери или злонамерни корисници би можел да влезат во системот и да ги злоупотреби податоците. Тоа не смее да се случи, а доколку се случи би претставувало голем проблем па и би можело да дојде до пад на банкарскиот систем. Пример е масивниот сајбер-напад на Централната банка на Бангладеш, кој предизвика штета од 80 милиони долари – се наведува на страницата „Банк инфо секјурити“.
– Народната банка оваа година донесе нова одлука, со која ќе се обиде да ја крене безбедноста на повисоко ниво. Воведе таканаречено ниво на зрелост на финансиските институции, а нивото покажува колку тие се зрели во својата сајбер-безбедност. И одредбата од три години за проверка на безбедносните системи ја намали на две години. Тоа значи дека на секои две години тие ќе треба да прават пенетрациско тестирање во секој дел од системската инфраструктура. Европската Унија има 80 отсто раст на напади последниве две години, кои стануваат сѐ пософистицирани. Сега повеќе нема заштита само со поставување антивирус-програма или некоја алатка за која сме прочитале дека може да нѐ заштити од каков било хакерски напад. Денешните вируси што се недетектибилни и многу паметни успешно ги избегнуваат, односно ги бајпасираат ваквиот тип алатки и заштити. Во нашата околина исто така постојат напади што се насочени кон ранливости, за кои не е откриено како да се поправат, наречени зеро-деј напади. Овие напади се толку софистицирани и напредни што и најсовршените системи за безбедност може да ги бајпасира и тие да бидат успешно искористени – вели Филип Симеонов.
Европската Унија направи соодветен чекор за справување со ваквите проблеми уште пред три години со создавање на „Џенерал дата протекшн регулејшн“ или попозната како ГДПР, се наведува на страницата на Еу гдпр.орг. Оваа регулатива важи за сите земји-членки на Европската Унија, но и за сите членки што претендираат да влезат во Европската Унија, тие ќе мора да ја следат и усогласат оваа регулатива во својата држава. Во согласност со оваа регулатива нашата дирекција на заштита на лични податоци креира нова регулатива кај нас, која ќе се вметне во Законот за заштита на лични податоци и ќе биде пандан на европската регулатива. Компаниите имаат рок од една година за да се усогласат и да ја применуваат новата регулатива, бидејќи во спротивно ќе плаќаат високи казни, кои ќе бидат во висина од два до четири отсто од минатогодишниот приход.
– Во суштина регулативата вели дека можеш ама не мораш да ја имплементираш. Ама ако не се имплементира постои казна. Пример во компанијата има некаков напад во кој се украдени податоци од 2.000 луѓе. Овој напад треба да се открие, кој го направил и од каде е направен. Во регулативата пишува дека треба да се пријави во рок од 72 часа дека се случил инцидент, како се случил инцидентот и што е направено во врска со него. Поточно, во согласност со имплементираните мерки дека фирмата не била во можност да го спречи нападот, но дека реагирала. Доколку нема никаква имплементација на техничките и организациски мерки што ги препорачува регулативата, се предвидува казна од два до четири отсто од минатогодишниот приход на фирмата. За да се избегне ваква казна во компаниите е потребно да има тим што ќе одговара на вакви напади и ќе одговара на ваков тип напади во непрекинат интервал, односно поддршка 24/7 – објаснува Филип Симеонов.