Киберекспертът Христиан Даскалов разказва за едно от най-защитените приложения за размяна на лична комуникация

Signal е едно от най-защитените приложения за размяна на лична комуникация, в общия смисъл. То е с отворен код, тоест всеки, който има интерес да види как работи обмяната на информация, криптирането на данни може да го направи - да изтегли кода и да си поиграе или да направи някаква индивидуализирана версия. Хората, които стоят зад това приложение вярват в действителност в защитата на личната комуникация и не позволяват, така да го наречем двойни стандарти”, разказва киберекспертът Христиан Даскалов.

Според него проблемът идва, когато човек не използва това нещо за лична комуникация, а за корпоративна или такава, свързана с обмен на класифицирана информация. „Дори за една малка фирма, с десет служители, не е допустимо да ползва софтуер, който не е описан в нейната политика за информационна сигурност. Едно правителство, в случая правителството на  САЩ – те имат много строги регулации по повод на това как трябва да се извършва размяната на комуникация между неговите служители, особено пък класифицирана такава. Със сигурност размяната на подобен тип съобщения през подобен тип комуникатори, не е разрешена”, добавя Даскалов.

Влезе по погрешка, излезе с тайни: Как журналист попадна в таен чат на администрацията на Тръмп

„Тук има основание да се задейства не просто някаква процедура за търсене на административна отговорност от съответния експерт по национална сигурност и съветник на президента на САЩ, но и да се организира изслушване в сената, а защо не да се предприемат и наказателни действия, тъй като специално във федералното законодателство изрично е указано, че подобен тип разговори следва да бъдат обект на строга документация и на строги правила за архивиране”, обяснява киберекспертът.

„Това не са хора, които са свикнали с по-рутинната и обрана комуникация по класическите канали. Не са се сетили, че трябва до тях да има някой, който да води стенограма на такива разговори, а са свиквали, че просто ще създадат един чат в подобно приложение и ще започнат да обсъждат таква чувствителна тема”, посочва още Даскалов.

Тръмп: Груповият чат в Signal е единствената грешка на администрацията ми

Според него  самото приложение, само по себе си, нито представлява някаква уязвимост. „То просто не е част от политиката за информационна сигурност, нито пък е с нещо по-лошо от алтернативите. Когато има криптиране от край до край, ключовете, които разкодират съобщението, което аз изпращам към Вас са наше притежание, на нас двамата”, казва Даскалов.

„Човекът е най-уязвимото и несигурно звено, защото и конкретният инцидент е могъл да бъде избегнат ако не беше човешкият мързел. Има опции като си правиш чат в „Сигнал”, не само, да си настроиш така, че да не може в този чат, освен администратора на групата, ти да добавяш някакви външни хора или ако решиш да ги добавиш – да трябва някой втори да провери и потвърди с цел точно да не се допуснат грешки. Тези опции обаче са били спрени, те не са били използвани. Защо? Защото това означава, че трябва да натиснеш още един-два бутона, да направиш точните настройки”, разкрива киберекспертът.

Какво пише в изтеклия чат от американската военна група (СНИМКИ)

„Не знаеш кой се опитва да те уязви и най-глупавото, което можеш да направиш в такъв случай е да се довериш на приложение, което се използва от деца да общуват с родителите и бабите и дядовците си и ти през това нещо  да споделяш военни или корпоративни тайни. Това трябва да е част от корпоративната или правителствена политика за информационна сигурност”, смята Даскалов.

„Преди да правим тази тънка сметка какви са рисковете, какви са ползите, ние трябва да видим документацията какво казва. Ако нямаме документация ние незабавно трябва да внедрим политика за информационна сигурност и да преминем към сертификация. Преди всичко трябва да я има хартията, за да може това, което правим в цифровия свят да бъде в съответствие с организационна ни структура, йерархия и политика”, посочва той.

„Самото приложение „Сигнал”, негова версия, базирана на отвореното ядро, софтуерно ядро на това приложение, би могло да се сертифицира в определени среди и би могло да бъде позволено за работа от страна на съответните служители. Друг е въпросът, че влиза една много интересна регулация в Европа, тя няма да засегне САЩ, но то и без това там не обичат много-много тези нормативни рестрикции, видимо е и от поведението на служителите”, добавя Даскалов.

Той обяснява, че регулацията се нарича „Cyber Resilience Act” или европейски закон за кибер устойчивост. „По линя на този закон, всяко софтуерно или хардуерно решение, което има някакъв цифров компонент, ще следва да бъде сертифицирано като кибер сигурно без значение да ли се използва за правителствени или за комерсиални цели, ако искаме то да бъде продавано в ЕС”, допълва Даскалов.

„Каквото посееш, това ще пожънеш. Допреди няколко месеца същите тези хора, дори и в чатовете се вижда тази злоба, с която говорят за Европа и европейските бюрократи, регулации всъщност казаха как в технологичния свят едва ли не трябва да е като в Дивия Запад – не спирайте нашите компании, вие ги задушавате с регулации. В момента, в който те започнат неоторизирано да ползват тези технологии за каквото им скимне и където им скимнe, се вижда, че те стават жертва на нещо много сериозно, което можеше да доведе до загуба на много животи”, смята киберекспертът.

Повече по темата гледайте във видеото.