Г. Чамуровски, колку слабата сајбер-безбедност може да ги загрози и граѓаните (пример упадите во Фондот за здравство)?
-Градењето на сајбер-безбедноста е комплексен процес и слабата сајбер-безбедност секако може да ги загрози граѓаните. Напаѓачите сѐ уште се во предност и на нападите тешко можат да оддолеат и земји кои имаат многу поголема зрелост од нашата во поглед на сајбер-безбедноста. По короната кога системите се отворија, а посебно по војната во Украина, нападите станаа „попрофесионални“ и позлонамерни. „Професионалноста“ произлегува од можноста преку ransomware нападот да се монетизира. Зад овој тип на напади стојат „професионалци“ кои имаат споредливо знаење и вештини со она на сајбер-професионалците.
Најчесто нападите се добро организирани, таргетирани и изведени на начин по кој е тешко да се направи оправување затоа што од тоа зависи заработката на напаѓачите. Архитектурата на „сервисот“ е таква што напаѓачите се одлично организирани на повеќе нивоа, користат напредни технологии како вештачка интелигенција со различни специјалности т.е. да произведат алатки за напад, да нападнат и да го ескалираат нападот и да преговараат за откуп на податоците. Притоа, не е потребно да се знаат меѓусебно и доколку бидат разоткриени, тоа е само делумно, односно нема да падне цел „сервис“ и откриените членови ќе бидат заменет со нови.
Во однос на злонамерноста, го имаме примерот на Албанија која беше нападната од тим спонзориран од држава (Иран), кога беше принудена да ги исклучи сите владини електронски сервиси и вебстраници и кога податоците за граѓаните масовно истекоа.
Зошто е важно државата да инвестира во сајбер безбедност?
-Секако мора да се инвестира, но тоа некогаш се сфаќа како да е важна само самата бројка т.е. што повеќе - тоа подобро. Постоеше пракса пред години да се купуваат решенија кои чинат стотици илјади, па и до милион евра кои се имплементираат за една работна недела и тие во пракса се неинтегрирани, неефективни, а оправдувањето е дека се базирани на вештачка интелигенција и машинско учење (ML) и сѐ уште учат, а државата треба да плаќа со години додека научат. Ова е таканаречена „Стратегија на волшебно стапче“ кoja наеднаш ќе ја имплементира сајбер-безбедноста со некои многу „модерни“ решенија и таа е невозможна.
Препораката е дека без соодветна експертиза за решенијата, контрола на сервисот, знаење кај институцијата и зрелост на процесот најдобро е да не се фрлаат парите на граѓаните.
Постои процес кој сегашната владина гарнитура го отпочна со донесување на „Стратегија за сајбер-безбедност 2025 – 2028“ и Предлог - закон за безбедност на мрежи и информациски системи“(ЗБМИС) што се темелните чекори за имплементација на сајбер-безбедноста. Законот има амбиција да ја имплементира втората генерација на ЕУ-регулатива на тема сајбер-безбедност и кога ќе стапи на сила ќе значи дека Владата прифаќа одговорност да постапува на ниво усогласено со ЕУ.
Како Вие го оценувате нивото на заштитеност на државните институции од хакерски упади и други ризици поврзани со пробивање на заштитата?
-Да, правилно размислувате тоа е следниот логичен трет чекор кој надлежните институции треба да го направат пред да почнат да инвестираат во адекватни решенија за сајбер-безбедност. Оценката се базира на сеопфатна анализа на ризик на инфраструктурата, процесите и сервисите на секоја критична инфраструктура што е прво барање на законот. Со оглед на тоа што институциите ги немаат знаењето и способностите да го изведат ова, тие треба да вработат професионалци кои сеопфатната анализа на ризик ќе ја испорачаат и ваквите ресурси треба да бидат инволвирани и во контрола на имплементацијата на решенијата за да ја оценат ефективноста во однос на совладување на ризикот што е клучно за да дојдеме до некое адекватно ниво на заштита.
