България направи значителна крачка в защитата на своята дигитална инфраструктура чрез сключването на стратегическо партньорство между Google и националния системен интегратор „Информационно обслужване“. Фокусът на проекта е внедряването на изкуствен интелект в откриването и неутрализирането на кибератаки – партньорство, което вече дава видими резултати, стана ясно по време на среща с журналисти.

Това партньорство е едно от първите внедрявания на Cybershield на Google Cloud в Европа и позиционира България като водеща държава за централизирана национална сигурност, базирана на AI. То е част от дейността на създадения национален Център за операции по сигурността (SOC), предназначен да защитава множество правителствени министерства и агенции.

В настоящата първа фаза системата, базирана на AI технологиите на Google Cloud, обхваща 54 правителствени организации, министерства и агенции, за които се осигурява пълен вътрешен мониторинг на данните. За останалата част от държавната инфраструктура в момента се извършва външно наблюдение на повърхността за атаки, като целта е в рамките на петгодишния период абсолютно всички държавни структури да бъдат изцяло интегрирани.

От реактивна към проактивна защита

Внедрената технология цели да промени модела на защита от реактивен към проактивен. Чрез софтуерните решения Google Cloud Security Operations и Google Threat Intelligence държавната администрация преминава към автоматизирана обработка на големи масиви от данни.

Чрез Cybershield помагаме на „Информационно обслужване“ да трансформира българската национална сигурност от ръчно изкуство в автоматизирана наука, като се бори със заплахи, базирани на AI, с превъзхождащи ги отбранителни средства, базирани на AI“, посочи Борис Георгиев, директор на Google Cloud за Централна и Източна Европа.

„Със стартирането на проекта и стратегическото партньорство между Google и българската държава наистина успяхме да минем от един реактивен модел на защита към един истински проактивен модел“, заяви Симеон Кърцелянски, мениджър по киберсигурност в „Информационно обслужване“ и ръководител на Националния център за киберсигурност на България.

Преди внедряването на системата инцидентите и хакерските атаки са се установявали, след като вече са се осъществили.

Грубо казано, брояхме труповете“, образно описа Кърцелянски досегашния модел.

Сега, с централизираната платформа, изградена в последните шест месеца, е станало възможно да се проследи целият цикъл на атаката още в нейния зародиш – от планирането на кампанията през подготовката на атакуващата инфраструктура до самото изпълнение.

Платформата разчита на голям обем телеметрия, обработвана от системите на Google Mandiant, чиито анализатори следят освен стандартното интернет пространство и така наречения „дарк уеб“ – включително хакерски форуми и Telegram канали.

Ние имаме ясна картина, на база сектори и на база държава, кои са недоброжелателите и кой какво иска да осъществи като атака“, поясни Кърцелянски.

Ефектът от новата система вече е видим. „След внедряването открихме четири напреднали атаки от чуждестранни държави, осъществени преди години, за чието съществуване не сме знаели“, разкри той.

Става дума за така наречените „спящи“ заплахи – компрометирани системи, активирани без цел, дотогава незабелязани.

Засега централизираното решение покрива 54 държавни администрации с пълна видимост – и отвътре, и отвън. Проектът е с планиран хоризонт пет години, като целта е постепенното интегриране в цялата държавна инфраструктура.

Кой атакува?

Що се отнася до произхода и характера на заплахите, картината не е изненадваща. Като член на НАТО и ЕС, България (както всяка друга страна член) е обект на интерес от всеки, който иска да добие информация за организациите. Атаките идват основно от Северна Корея, Китай, Русия и Иран. Освен фишинг кампании и DDoS атаки, най-опасни остават т.нар. напреднали атаки от държавно спонсорирани групи, чиято цел е кражба на дипломатическа информация, технологично ноу-хау и стратегически планове.

Физическата война се измества дигитално. Подобни атаки се наблюдават в целия регион.“

AI в двете посоки

Технологията е двуостро оръжие. „С напредването на изкуствения интелект хакерите започват да използват тази технология, за да изграждат фишинг платформи и системи за гласови обаждания и SMS – за да откраднат самоличността на потребители и да проникнат в инфраструктурата“, предупреди Кърцелянски.

Отговорът на тази заплаха минава именно през AI.

Чрез големия клъстър от изкуствен интелект, задвижван от системите на Google Mandiant, успяваме да отговорим на атаките толкова бързо, колкото те ни атакуват. Ние вече не сме изостанали в процеса по защита“, каза той.

Системата може да работи и в двата режима – само за мониторинг и алармиране или с автоматизирани действия за реакция. Пример: при 20 неуспешни опита за вход в даден акаунт той се блокира автоматично. Освен това платформата изгражда поведенчески профил на всеки потребител – и алармира при отклонение от обичайните му действия.

Платформата работи на принципа „защита в дълбочина“ (defense in depth) и извършва постоянен поведенчески анализ на потребителите и системите. Изкуственият интелект запаметява стандартното ежедневно поведение на служителите в мрежата. Ако системата засече нетипична активност – като стартиране на необичайни програми, скриптове или неоторизиран достъп – тя автоматично сигнализира или активира предварително зададени защитни режими. Те могат да включват мигновено изолиране на компрометирания компютър от мрежата или блокиране на потребителския акаунт.

Освен за автоматична реакция, AI се използва и за филтриране на т.нар. фалшиви сигнали (false positives), което оптимизира времето за реакция на дежурните анализатори.

Google инвестира в киберсигурност като стратегически приоритет

Борис Георгиев, директор на Google Cloud за Централна и Източна Европа, постави партньорството в по-широкия контекст на стратегията на компанията.

Инвестирахме доста в придобиването на компании, специализирани в киберсигурност“, изтъкна той, като спомена последното придобиване, което и най-голямото в историята ѝ – компанията Wiz, което допълва портфолиото от продукти в тази сфера.

Георгиев акцентира и върху мащаба на ангажимента на Google към сигурността: „Имаме над 800 от топ експертите в областта на сигурността в света, които ежедневно следят какво се случва, анализират софтуерни решения и търсят потенциални уязвимости.“

Той посочи, че Google е постоянна мишена – „и държавни, и частни организации непрекъснато се опитват да пробият в нашите системи“ – и именно това постоянно налягане поддържа технологичните ѝ защити на световно ниво.

По думите на Георгиев, изкуственият интелект вече се използва и за анализ на стар софтуер, разработен преди много години, „за да се открият пролуки, останали незабелязани от десетилетия“.

Публикувано съгласно указанията на Economic.bg