Киберсигурността в България се развива, но никой не може да е готов за кибервойна

Никой не е готов за кибервойна. Има един постулат, че абсолютна сигурност няма - и най-сигурната защита може да бъде пробита и заобиколена. Това каза доц. Мартин Захариев, старши правен експерт във фондация "Право и Интернет" и преподавател в УниБИТ, в предаването "Бизнес старт" на Bloomberg TV Bulgaria с водещ Живка Попатанасова. "Все пак ние сме хора, има и човешки фактор, има способи като социално инженерство и други подобни, които могат да позволят манипулация и заобикаляне на всякакви видове защити. Животът ни се върти около технологиите и е нормално и военните конфликти да се развиват в посока използване на технологии". 

"Развитие по отношение на киберсигурността в България в последните 10 години има. Приета е една директива и в следствие на транспонирането й в българското законодателство имаме Закона за киберсигурност. Очаква се следваща директива в тази област да бъде транспонирана в България. Чисто нормативно основите ги имаме. Това, което предстои да се случи, е да има реални, видими резултати - инвестиции в тази област, подобряване на грамотността на хората, подобряване на уменията на специалистите, които боравят с това и изобщо инвестиране в областта на киберсигурността, защото това е от първостепенно значение". 

Относно повишаване на киберхигиената от страна на потребителите гостът каза, че не може да се даде еднозначен отговор "да" или "не". "Позитивно е, покрай регламента за защита на данните, че все повече и повече хора започват да разбират, че това, което правим във виртуална среда, може да има дори по-сериозни последици, отколкото това, което правим в заобикалящата ни реална среда. Все пак има една тенденция за повишаване на информационната грамотност". 

За аферата Пегас събеседникът каза, че наскоро европейският надзорен орган European Data Protection Supervisor е призовал подобни софтуери да бъдат директно забранени в Европа, защото разкриват множество специфики спрямо новите устройства за проследяване.

"Най-ключовото е т.нар. "нулева атака", при която не е необходимо потребителят да извърши определено действие, а може от разстояние да бъде активирана, без да знаем. "Това, според европейския орган е технология, която компрометира изначално идеята за неприкосновеност на личния живот и трябва да бъде забранена".

Това не е първата технология, която се обсъжда да бъде забранена, добави събеседникът. Например някои технологии за изкуствен интелект също се обсъжда да бъдат забранени, като например т. нар. социална оценка на представянето на хората в обществото, което да рефлектира върху социалния статус на хората, техните права и свободи".

Основният проблем е възможността тази технология да бъде използвана безконтролно, защото е логично, че "правото на неприкосновеност на личния живот не е абсолютно, когато става дума за опазване на закона, за националната сигурност и за борба с тероризма". Тогава може да има подслушване, вмешателство в личния живот, но това трябва да става за конкретен случай. "У нас има Закон за специалните разузнавателни средства,  НПК, които уреждат правата и свободите на хората, както и ограничаването им за определено време по искане на конкретни органи, с разрешение от съд. Така че, има множество гаранции, когато се използва такава технология". 

За напредъка в електронното управление в България Захариев каза, че плановете на правителството са амбициозни и резултати се очакват до месеци. "Предстои да видим, но наистина съм оптимист е се надявам, че най-накрая ще успеем да отговорим и на европейските достижения в тази област, защото със сигурност има сериозни дефицити".

 Работодателят се явява, по смисъла на GDPR, администратор на лични данни. Регламентът е доста детайлен, но основните задължения на работодателя са например да информира за това какви данни на служителите се събират, с каква цел, колко време се пазят, на кого могат да бъдат разкривани, какви права имат хората и т.н. Добрите практики са това да се случва с документ за информираност. 

Често срещана грешка е да се иска, освен информираност, съгласие от служителите за обработка на техните данни, заяви гостът. "Отдавна имаме становище и от българския орган за защита на личните данни, че съгласието не е подходящо в трудов контекст, защото съгласието се отличава с това, че човекът, който го дава, е господар на обработката - той казва дали да има обработка, дали да се съгласи, за колко време и за какъв обем и по всяко време може да оттегли това съгласие. Приема се, че когато има някаква неравнопоставеност, съгласието не може да бъде свободно, а икономически по-слабата страна е служителят. Има други основания за обработването на данни, много по-стабилни. Работодателите се предоверяват на това съгласие, считат, че изпълняват изискванията, а реално са в нарушение".

"Трансферът на лични данни извън ЕС е най-бързоразвиващата се тема. В момента и ЕС има нов одобрен инструмент, който заменя стария и идентифицира проблемите, свързани с т.нар. стандартни договорни клаузи. Това са клаузи, които се подписват едно към едно между страните, които изнасят и внасят данни, но се конкретизира съответния трансфер. Това е само един от възможните инструменти". 

Все повече компании се ориентират в това, че влизат в една по-сложна регулация, когато изнасят данни от ЕС и се наблюдава една тенденция за подход за локализиране на данните - да се ползват доставчици, които или са установени само в ЕС, или да се използват услуги с опция само за територията на ЕС. Все още сме в преходен период".

Когато са нарушени нашите права, както бе в случай с изтичането на данни от НАП, имаме възможност да подадем жалба към Комисията за защита на личните данни или в съда, каза гостът.  

"Имаме вече осъдителни решения по казуса НАП, но обезщетенията, които българският съд присъжда, са в доста ниски размери. Има осъдителни решения, които признават, че граждани са претърпели вреди, но обезщетенията са под 1000 лева на човек. А производството пред комисията е безплатно, инициира се по жалба на гражданите".  

Вижте целия коментар във видеото.

Всички гости на предаването "Бизнес старт" може да гледате тук.