Дигитален погром

Хакерската атака срещу НАП показа ниското ниво на сигурност на информационната инфраструктура в обществения сектор

BusinessGlobal
BusinessGlobal / 18 July 2019 16:05 >
Дигитален погром

Хронологията на "НАПлийкс"
Всичко започва с имейл до медиите, изпратен в понеделник. Той е от имейл, регистриран в руския оператор на електронни пощи Yandex.ru, и съдържа линк към сайт за споделяне на информация. Веднъж свалени, файловете се отварят с парола Bulgaria, а метаданните им показват, че са създадени на 10 ноември 1989 година.

Всичко това накара НАП, службите и вътрешния министър Младен Маринов да заговорят, че атаката идва от Русия. Тази версия подсили и самият хакер, който в последващо писмо, изпратено до избрани медии, обясни, че е руснак, женен за българка, който е напуснал страната. В съобщението си той обяви, че системата на НАП е пробита от 2012 година, но като цяло приходната администрация има проблеми с киберсигурността си, които датират от 2008 година. Изпращачът на писмото казва, че това, което е опубличил, е малка част от това, с което се е сдобил, и заплашва да публикува нова порция данни.

Както първото, така и второто писмо на хакера съдържаха обвинения към правителството, че е корумпирано и некадърно. И в двата мейла, за които няма достатъчно данни да се заключи, че са изпратени от един и същ човек, няма искане за откуп или някакво друго намерение за осребряване на източените данни.

Версията, че атаката идва от Русия, загуби скорост в сряда сутринта, когато от ГДБОП заявиха, че са арестували заподозрян. Той е 20-годишен младеж и работи в компания за киберсигурност, а мотивът му е бил до изкара наяве слабости в информационната сигурност. И след ареста властите не можеха да кажат със сигурност, че той е извършителят на хакерската атака, и затова бе съобщено, че работата по всички версии продължава.

"Това са ресурсите на НАП." Този лаконичен коментар на говорителя на Националната агенция за приходите Росен Бъчваров най-вероятно обяснява защо данъчните нямат по-сигурна система за киберсигурност. А фактът, че най-големият теч на служебна информация в историята на България се случи само година след като блокира Търговският регистър, показва колко далеч е държавата от обещаното електронно правителство. Ако има нещо положително, то е, че "НАПлийкс" може да се използва за стимул на правителството да погледне по нов начин на сигурността и информационните си масиви, където системните проблеми стават очевадни.

Скандалът, който свари институциите "по долни гащи", се разви за по-малко от 24 часа, а два дни след развихрянето му ГДБОП обяви, че има заподозрян и той е арестуван. Това обаче не прозвуча успокоително, най-малкото защото медии, звена за корпоративно разузнаване и анализатори на данни вече разполагат с лични данни за повече от 4 млн. български граждани. Ако сте работили в България през последните десет години и за вас е плащан данък (без значение дали работодателят го удържа, или вие лично сте го внесли), то най-вероятно записи за вас вече са стигнали до неограничен кръг от хора. Масивът в размер на 1.6 гигабайта съдържа документи с милиони записи. Преди папките да бъдат систематично преровени и информацията от тях да стане публично достояние, нещо, в което почти няма съмнение, за тяхното съдържание може да се съди по заглавията на документите и по съдържанието на произволно отворени файлове.

"Икономист", както и повечето медии, видяха файл с личните данни на целия политически елит, но към 2008 година. В друг документ обаче се съдържа информация за представители на корпоративния сектор и тя е далеч по-актуална. Папка със заглавието BACIS пък съдържа информация за собствениците на данъчни складове и търговци с акцизни стоки, които подават електронни декларации пред Агенция "Митници".

Как е станал пробивът
От НАП признаха, че информацията е добита чрез използването на слабост в една от системите за обслужване на клиенти. Става дума за т.нар. VAT Refund, при която се изисква възстановяване на ДДС, платено в чужбина. Системата е въведена в експлоатация през 2012 година, но е пропуснато да се улови, че успоредно с подаването на електронни формуляри от клиентите може да се въведе и код, чрез който да се получи достъп до информационния масив на системата.

Този тип атаки е известен като "SQL инжекция" (SQL е един от най-популярните езици за изтегляне на справки от огромни масиви с данни – бел. ред.) и е относително тривиален, защото е сред най-лесните и често прилагани опити за пробив, като в същото време противодействието му се залага още с първите стъпки по изграждане на една система за киберзащита. Защо това не се е случило, НАП определиха като свой пропуск.

Последствията
Финансовият министър Владислав Горанов опита да успокои притесненията, посочвайки, че ако човек не укрива доходи от членове на семейството си, няма от какво да се притеснява. Той не коментира факта, че изтеклите масиви на теория може да дадат информация за богатството на българите, чиито данни са изтекли, и тя да се използва за престъпни цели. В киберпространството има цяла индустрия, която се занимава със събиране на лични данни, които впоследствие се продават. Според адвокат Александър Кашъмов хората, които разберат, че техни данни са били обект на хакерската атака, не могат да съдят НАП за това, че не е защитила личните им данни, ако не могат да докажат реална щета вследствие на теча. "Ако данни на човек, които се съдържат в документите в НАП, изтекат, примерно в публичното пространство, и това доведе до определени коментари на факти и обстоятелства, свързани с този човек, тогава той би могъл да претендира и неимуществени вреди", допълни Кашъмов пред Би Ти Ви. Другата евентуална последица е, че НАП може да бъде глобена с до 20 млн. евро от Комисията за защита на личните данни, но тези средства по косвен начин ще бъдат платени отново от жертвите на изтичането на информацията.

Самата НАП е може би най-напредналата институция в държавата, когато става дума за електронно обслужване на гражданите и фирмите. Тя предлага възможност за подаване на данъчни декларации по интернет повече от 15 години, а в днешно време само на ден обработва повече от 100 000 електронни заявки и декларации на ден.

От приходната агенция признаха, че сървърът, който е бил хакнат, съдържа информация и от други държавни служби. Тя е била необходима за целите на бизнес процесите, които системата за възстановяване на ДДС следи. Това означава, че ако бъде пробита правилната система, хакерите могат да получат достъп до далеч по-чувствителна информация.

Гафът компрометира напълно и намеренията на НАП да получи достъп до търговския софтуер на компаниите. Промените в Наредба 18, които се пренаписват вече няколко пъти, бяха представени като опит за засичане на продажби, които не са отчетени от касовите апарати на една фирма, но много скоро стана ясно, че ще имат далеч по-голям обхват. В една от версиите си наредбата предвиждаше компаниите да оголят напълно своята търговска практика и данъчните да виждат политиката по ценообразуване, търговските партньори и дори отстъпките, които една фирма прави. Или с други думи – данъчните щяха да институционализират корпоративното разузнаване, създавайки най-привлекателната база данни за всяка корпорация, която иска да опознае пазара, конкурентите и клиентите си.

 

ОФИЦИАЛНО: Говорителят на НАП Росен Бъчваров и заместник-директорът на агенцията Милена Кръстанова признаха, че изнесените данни са достоверни
Източник: БТА

От НАП коментираха за "Икономист", че точно тази инициатива може да е вдъхновила хакерските атаки и те да са поръчани от бизнеси, които не желаят да излизат на светло. Най-ироничното е, че след подобен пробив, който дори и да няма общо с амбициите на НАП, данъчните трудно ще убедят когото и да било в целесъобразността на толкова мащабен достъп до фирмена информация.

Кое е страшното
Най-плашещото в провала на НАП е, че той компрометира цялата идея за електронно правителство. След като с години се говори как институциите трябва да обменят информация помежду си и хората да не подават един и същ документ на няколко места, след като вече са го депозирали някъде в администрацията, от удобство тази концепция звучи като заплаха.

Ако има нещо, което трябва сериозно да ни притеснява, то е системната неподготвеност на държавата да създава информационна сигурност. Зад това мнение се обединиха редица експерти и политици, сред които и Божидар Божанов, който е специалист по информационни технологии и съветник на вече бившия вицепремиер по електронно управление Румяна Бъчварова.

"В единия случай (спирането на Търговския регистър) беше нарушена достъпността на данните, а в другия – конфиденциалността. И в двата случая има притеснения, че е нарушен и третият компонент на информационната сигурност – интегритетът на данните. И двата инцидента показват липса на някои базови мерки за защита на данните – дали от пробиви, или от срив", коментира той за "Икономист".

Според него киберсигурността е поредната област, в която държавата има идея какво трябва да се направи, но дейността се симулира. Пример затова е Националната стратегия "Киберустойчива България 2020", според която догодина вече трябва да сме "зряло и киберустойчиво общество". По думите му мерките от документа се изпълняват, но само формално.

Източник на "Икономист" от правителството разказа, че преди няколко години хакер е подал сигнал за установена слабост до специалист по информационна сигурност в едно от най-важните министерства. Когато експертът уведомил началниците си, срещу него започнало разследване как е влязъл във връзка с хакера, вместо да се вземат мерки за отстраняване на слабостта.

Резултатът е, че човекът напуснал държавната администрация и днес работи за далеч по-голяма заплата в частния сектор.

Нашите хакери са най-добри, но не работят без пари
Ако "НАПлийкс" навежда на един извод, с който всички са съгласни, то е, че се налагат спешни инвестиции в информационна сигурност. И не толкова в технологии, колкото в специалисти. Заместник изпълнителният директор на НАП Милена Кръстанова обясни за "Икономист", че заплащането на IT специалистите в приходната администрация е далеч по-ниско в сравнение с това, което предлага частният сектор, и въпреки това те са мотивирани и работят съвестно. Понякога обаче това просто не е достатъчно.

Подобно признание направи и финансовият министър Владислав Горанов, макар да не отвори темата за повишаване на възнагражденията.

 


Тази привилегия се падна на премиера Бойко Борисов по време на заседанието на кабинета в сряда. "Много е важно за такива деца да имаме възможност да им плащаме повече, за да ги ползват службите и ние самите, за да не ни нанасят такива щети и след това да им се повдигат обвинения, а да ги привлечем в полза на държавата", обясни министър-председателят.

В момента възнагражденията в публичния сектор варират, но в масовата си част са под 3000 лева. Само най-опитните чиновници с изключително големи отговорности и стаж получават заплати около 5000 лева, но дори и те отстъпват, когато става дума за конкуренцията на частните фирми в IT сектора.

В това отношение Националната агенция за приходите и Агенция "Митници" са в по-силни позиции. Те формират бюджет за допълнителни материални възнаграждения от допълнителните приходи, които събират като резултат от разкриване на данъчни нарушения. Източници от НАП коментираха, че се случва допълнителните възнаграждения да стигнат и десетки хиляди левове, но и при тяхното определяне не винаги се следва меритократичен подход. Това на свой ред кара експерти да недоволстват и да се чувстват неоценени, което приключва с напускане на длъжността и преместване в частния сектор.

В случаи като този от ключово значение е дали ръководството на НАП ще успее да защити един адекватен план за подобряване на сигурността и неотстъпчиво да се пребори за адекватно финансиране. За това обаче се иска и поемане на лична отговорност, а въпросът кой ще поеме отговорност, беше най-последователно отбягван от властите. Докато от НАП просто посочиха, че няма да коментират темата, финансовият министър Владислав Горанов директно заяви, че темата за оставка е дискутирана с премиера, но от него се очаквало решение на проблема и събираемост, а не оставка. След това попита риторично: "Представете си какво ще стане, ако така лесно дадем оставка заради една хакерска атака?".

Ако има добра новина, тя е, че държавата ще проведе одит на всички свои информационни системи. Най-важното обаче е да не се позволи обичайното оправдание "няма пари" да спъне прегледа и инвестициите в киберсигурност. Според бивш министър на вътрешните работи много важно ще е държавата да създаде свой собствен капацитет, а не да се разчита на външни фирми. Проблемът според него е, че за разлика от магистралите, заплатите и пенсиите не връщат пари към възложителите и затова те са първото, от което държавата опитва да пести.

 


Божидар Божанов, експерт по информационни технологии: Мерките по киберсигурност се формализират

- Каква слабост на системата е позволила пробива според Вас?
- Не е официално известно, но по медиите се появи слух, който изглежда вероятен - SQL инжекция. Това е типична уязвимост, която не би трябвало сериозна институция да има. Тя позволява пълен контрол върху базата данни на неоторизирани потребители през потребителския интерфейс на дадена система.

- Какво препоръчват добрите практики в такъв случай?
- Регулярно сканиране за уязвимости, инсталиране и конфигуриране на система за мониторинг на трафика и сигнализиране (и дори блокиране) при анормално поведение. Също така анализ на изходния код на предаденото решение и неприемането му при наличия на очевидни уязвимости. Т.нар. "тестове за проникване" също трябва да бъдат изпълнявани поне веднъж годишно – при тях наети от институцията експерти се опитват да намерят уязвимости, които след това да бъдат коригирани.

- Миналата година спря Търговският регистър, тази година пробиха НАП, двете неща сигнал ли са за системна слабост и уязвимост на държавата?
- За съжаление, да. В единия случай беше нарушена достъпността на данните, а в другия – конфиденциалността. И в двата случая има притеснения, че е нарушен и третият компонент на информационната сигурност – интегритетът на данните. И двата инцидента показват липса на някои базови мерки за защита на данните – дали от пробиви, или от срив.

- На какво ниво е генерално информационната инфраструктура в обществения сектор и какво е състоянието на държавната база данни, и какво трябва да се направи, за да се подобри?
- Отговорът на този въпрос е стратегия от поне 120 страници – нивото не е високо, има много какво да се направи и то е серия от комплексни мерки, свързани с човешките ресурси, с процедурите за заявяване, приемане и използване на софтуер, със системите, които се използват за повишаване на киберсигурността. По всички компоненти има много, много работа.

- Изпълнено ли е нещо от приетата през 2016 година Национална стратегия за киберсигурност "Киберустойчива България 2020", според която догодина вече трябва да сме "зряло и киберустойчиво общество"?
- Вероятно да – поне формално. На практика обаче голяма част от мерките по същество не са изпълнени. Неизпълнението на добре звучащи стратегически документи е запазена марка в нашата изпълнителна власт. Най-често тези документи са писани с добра идея, от хора, които разбират, и след това остават "висящи", без политическа воля или разбиране за тяхното изпълнение

Текстът е публикуван в брой 28/2019 г. на списание "Икономист", който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя.

Exit

Този уебсайт ползва “бисквитки”, за да Ви предостави повече функционалност. Ползвайки го, вие се съгласявате с използването на бисквитки.

Политика за личните данни Съгласен съм Отказ