С Петър Кирков, експерт по информационна сигурност, разговаря Ирина Генова
***
Петър Кирков, ръководител отдел „Управление на риска“ в „Телелинк“, има опит от над 18 години, който включва позиции, свързани с Информационна сигурност и одит на информационни системи в публичния и частния сектор.
Работил е по проектиране, изграждане, оценяване и поддръжка на сигурността на данните, дизайна и имплементацията на високонадеждни/високопроизводителни ИТ системи, комуникационни мрежи и решения за защита на информационни активи и ресурси, включително системи за управление на информационната сигурност, съгласно ISO 27001 и защитата на личните данни, съгласно GDPR.
Петър Кирков е регистриран експерт, работил по случаи в системите на Министерство на Правосъдието и Министерство на Вътрешните работи. Неговият основен фокус е сигурност и управление на данните и ИТ системите, включително нападателни и отбранителни инструменти и техники, както и опит с голямо портфолио от ИТ технологии.
Петър Кирков взе участие в 40-та Международна конференция на органите по защита на личните данни и неприкосновеността, която се провежда едновременно в София и Брюксел от 22 до 26 октомври.
***
- Г-н Кирков, защитени ли са личните данни при използване на облачни услуги?
- Би трябвало да са защитени. Всъщност, днес на конференцията говорихме точно за това - как клиент може да разпознае добрия доставчик облачни услуги.
Какви клаузи да заложи в договора, така че личните данни, които са дадени на този доставчик и той отговаря за тях, да бъдат защитени.
- Какво трябва да гледа клиентът-лаик, който не разбира много от тези неща?
- Клиентът-лаик трябва, за съжаление, бързичко да се научи. Независимо дали са в облак ли не, тези данни, трябва да ги защитава.
Клиентът-лаик трябва да гледа кой е доставчикът на тези облачни услуги, има ли сертификация. Дори ако се започне от традиционния ISO 27001, който е на системи за управление на информационната сигурност или от новия стандарт ISO 27018, който е специално за облачни доставчици.
Много от доставчиците публикуват резултатите от одити, както това правят например Гугъл и Майкрософт. Тези одити са публични и са на доста по-високо ниво, тъй като някой е одитирал тези организации и е дал резултата.
Така, че когато тръгваме да ползваме някой доставчик на облачни услуги, трябва подходът да е както когато сключваме договор с която и да е фирма. Де факто ние поверяваме данните си на този доставчик. Трябва знаем кой стои отсреща, как ще пази данните, как ще ги защитава, какъв контрол имаме върху него и т.н.
- Т.е., ако трябва да го преведем на общодостъпен език - условията трябва да са изложени прозрачно в самия договор.
- Точно така. Както и защитата, както и мерките и трябва да знаем кой стои срещу нас.
- По време на дискусията казахте, че често самите фирми не знаят къде се сват данните. Това проблем ли е за защитата им?
- По-точно казах, че има технологии, при които няма как да се разбере конкретно към момента къде се намират данните. Цитирах технология Гугъл, но тя не е единствената.
Идеята е такава. Данните се движат между различните дейта центрове, за да са максимално достъпни. Това не е поза притеснение относно защитата им.
Това, което се опитвам да кажа е, че ако даден момент попитаме – къде са ми данните?, в момента извадим тази информация, за времето, през което ще прочетем доклада, тези данни вече ще бъдат някъде другаде. Т.е. този доклад вече няма да бъде актуален.
Това по никакъв начин не нарушава информационната сигурност и GDPR.
- Обичате да казвате, че има три сигурни неща, кои са те?
- Това е една шега с моите колеги IT-та. Общоприетото е, че има две сигурни неща – смъртта и данъците. С колегите ми се шегуваме, че има и трето и това са загубените данни.
Повечето от облачните доставчици имат много сериозни системи и много сериозен начин на съхраняване на информация те могат да възстановят данните.
Често това не е по бюджета на една по-малка организация.
Т.е. ако качим данните си в облака, там те са много по-добре защитени от изчезване, отколкото, ако ги държим при нас.
Снимки: meduzata.com