"Току-що хакнаха цяла нация", написа Си Ен Ен за огромния теч на лични данни на българските данъкоплатци, придобил известност като НАПлийкс. И докато все още се развиват най-различни теории за целта на пробива в сървърите на приходната администрация, все по-актуален става въпросът доколко сериозно държавата и бизнесът у нас гледат на темата киберсигурност.
Въпреки че в рамките на българското председателство на ЕС киберсигурността беше водеща тема на много от срещите на високо равнище, а в края на м.г. беше приет и нов Закон за киберсигурността, защитата от нерегламентиран достъп и злоупотреби с информация все още е по-скоро абстрактно понятие, отколкото редовна практика за повечето фирми и държавни организации. Драматичното е, че случаят с НАП ясно показа, че държавните организации не спазват дори разпоредбите, които ги задължават да правят одити по сигурността и да предприемат други превантивни мерки.
"Най-общо казано, държавните органи имат задължения да предприемат съответни административни и технологични мерки за постигане на мрежова и информационна сигурност (МИС). Подобно задължение следва от редица нормативни актове, като Закона за киберсигурността, Наредбата за общите изисквания за мрежова и информационна сигурност, а и Национална стратегия за киберсигурност "Киберустойчива България 2020", приета от Министерския съвет", казва д-р Мартин Захариев, адвокат от адвокатско дружество "Димитров, Петров и Ко." и експерт във фондация "Право и интернет".
Нормативната база за киберсигурност все още не е напълно завършена. "Привеждането на новия закон в ефективно работещ механизъм е времеемък процес, защото това е сложна материя, която дълго време не е била унифицирана под обща рамка. Затова и държавата напредва с бавни стъпки, може би дори по-бавни от необходимото", казва юристът. Той припомня, че през април Министерският съвет определи административните органи, към които ще бъдат създадени национални компетентни органи по МИС – това са съответните ресорни министри.
Предстои в кратки срокове да се обнародва приетата от кабинета по-рано този месец Наредба за минималните изисквания за мрежова и информационна сигурност, която е ключов инструмент според Захариев.
Състоянието в момента
България неизменно е в дъното на класациите във всички проучвания и доклади в последните години по два показателя: много ниско ниво на дигитална хигиена на населението и липса на инвестиции в киберсигурност от страна на бизнеса и държавата. За сметка на това страната се движи около 20-о – 30-о място в световен мащаб по уязвимост от киберрискове и несигурност на дигиталните услуги. "Иронията е, че България на хартия има почти перфектни закони, наредби, стратегии, указания. Но те не се изпълняват, най-вече от институциите, които са ги създали. Дори "валидността" на Националната стратегия за киберсигурност изтича догодина, без някога да се е прилагала", казва Ваня Палейкова, собственик на компанията за киберсигурност и защита на данни "Дейтагард".
На ведомствата се вменяват задължения, които те и да искат, не могат да изпълнят, защото или нямат бюджет, или нямат специалисти, или нищо не разбират от тази материя, или не получават помощ и указания. "В същото време се бавят критично важни проекти като Държавния хибриден частен облак (ДХЧО), в който след срива в Търговския регистър трябваше, най-просто казано, да се пазят държавните данни и тайни", припомня Палейкова.
Стои висящ въпросът и какъв е резултатът от дейността на Държавна агенция "Електронно управление" (ДАЕУ). Според Закона за киберсигурност ведомството разполага със сериозни правомощия. Агенцията чрез нейния председател провежда държавната политика в областта на мрежовата и информационна сигурност и има контролни функции. Тя би трябвало да упражнява контрол върху административните органи за предприетите от тях мерки за информационна сигурност и има санкционни правомощия за неизпълнение на Закона за киберсигурност. Но също така има и превантивни функции като организирането и провеждането на учения и тренировки в областта на МИС.
"Разбира се, бизнесът инвестира повече в киберсигурност, но извън банките, финансовите компании и големите чужди фирми това се случва чак след като е станал инцидент и фирмата е понесла щети – аварийно се запушват дупките", казва Ваня Палейкова, като посочва, че откупите, платени от български фирми на хакери, за да си върнат откраднати или криптирани данни, са десет пъти повече от инвестициите в сигурност.
В масовия случай мерките за киберсигурност са елементарни, като практиката показва, че най-важното е да са безплатни. "Работили сме с немалка фирма, чийто собственик твърдеше, че като има безплатна антивирусна програма и племенникът му е инсталирал сървъра, е много добре защитен. И се чудеше как така са го пробили хакери", дава пример тя, допълвайки, че фирмите, които прилагат най-добрите практики и системи за киберзащита, не са повече от 50 у нас.
Само одит не върши работа
"Пробивът в НАП изненада всички, но това не е нещо ненормално, въпреки че не трябва да звучи като оправдание. Информационните системи стават все по-комплексни, но същото важи и за начините им на пробив, фините методи, които използват хакерите – те винаги са движещата сила в тази еволюция и прогрес и винаги системите трябва да наваксват", казва Пламен Цеков, изп. директор и съосновател на "Скейл Фокус", една от най-големите български софтуерни компании. Според Цеков одитът на сигурността не е панацея за проблемите в киберсигурността.
В днешния свят одитът отдавна е нещо, което само по себе си не е достатъчно, за да предпази. "Както няма решетки, които могат да спрат крадците, трябва и активна физическа (в киберсвета - аналитична охрана), и контранаблюдение и активна киберзащита като цяло – това е, което правят големите организации, които са преминали почти изцяло в дигитален и автоматизиран режим на работа и осъзнават, че това е важно и наистина си струва парите", казва шефът на "Скейл Фокус".
"Колкото един бизнес или организация става все по-дигитално развита, тя осъзнава критичността на този тип дигитални системи, и съответно че и те имат нужда от наблюдение и охрана", казва Пламен Цеков. Но при предприятията, които са назад с дигитализацията като цяло, този риск изостава в приоритетите на мениджмънта, въпреки че въпросните системи стават все по-критични и спирането им може да ги изкара от бизнеса.
"Високо ниво на киберсигурност се постига чрез една цялостна програма, обхващаща системната организация, дизайн, наблюдение и процеси на всички нива. Освен прилагането на технически средства много е важно да се развият и човешките умения, култура и процеси за работа в дигитална среда. Това всъщност е най-голямото предизвикателство, особено в организации с инерция като големите държавни структури", убеден е Цеков.
Според Ваня Палейкова при държавните организации проблемът засега е нерешим, защото не е технически. "Става въпрос за градени с години високомерие, безхаберие, мързел и чувство за неуязвимост и безнаказаност. Освен това държавата предпочита да работи с 3 – 4 компании, които печелят всички ИТ поръчки, и не допуска никаква конкуренция. Тези фирми са вид монополисти, изграждат системите, сами си се проверяват, никой не контролира качеството и налагат на институциите цени, които правят невъзможни всякакви допълнителни дейности като тестове на сигурността", дава пример тя.
Често повтаряна от политиците мантра е, че "държавата няма пари, за да плаща за добри IT специалисти". Въпреки че в нея има известна доза истина, от една страна, проблемът не е само в парите, а и в липсата на желание да се използват решения, различни от скъпоплатени специалисти, които се водят на щат.
"Трудно ще е и на държавата, и на бизнеса да наемат топпрограмистите и консултантите – въпросът не е само до пари, тъй като надали ще може да им осигури устойчива среда. Тези хора като цяло нямат работно време, резултатът им трудно се "бизнес планира", те не се вписват в държавно или каквото и да е предприятие и колектив, нямат профсъюз", обяснява Пламен Цеков. Но той е категоричен, че както държавата, така и бизнесът могат да се възползват от ресурса, който има в страната ни, като ангажират проектно истински опитните фирми, доказали се в международни води. "Ще излезе много по-ефективно от това да се "влачат" международни консултанти, с компромис в заплащането, съответно и в квалификацията", казва Цеков.
Шефът на "Скейл Фокус" дава за пример, че още през 90-те години на миналия век едни от най-коварните вируси са били създадени в България, но тогава и хората, които са ги правели, са нямали много други алтернативи за професионална изява. В момента тези специалисти са в софтуерната индустрия, но има и много талантливо младо поколение.
"От три години работя с различни държавни институции и нещата отвътре са много различни от това, което се говори публично. Проблемът въобще не е в заплатите", казва и Палейкова. "В големите администрации заплатите са почти като в частните фирми и затова това оправдание за несвършена работа не е състоятелно. Сигурна съм, че заплатата на заподозрения хакер Кристиян Бойков е по-ниска от тези на шефовете в ИТ отдела на НАП", категорична е Палейкова. Тя смята, че тестовете за сигурност трябва да се правят от външна, независима страна и че това е напълно отделна дейност от системната администрация.
"В масовия случай, доколкото въобще се правят такива проверки, те се извършват от вътрешните ИТ екипи, което води до манипулиране на резултатите. Преди време предложихме на държавна агенция да проверим безплатно уязвимостта на публичните ѝ IP адреси, но получихме отговор "Абе недейте сега, ние си знаем слабостите, ще ни отворите много работа, няма кой да се занимава да запушва портове...", казва Палейкова.
Ако една компания или организация иска да провери уязвимостта на своята система, тя може да наеме "бял хакер" – фирма, която да извърши тестовете.
Т. нар. бели хакери използват същите инструменти, софтуери и подходи като "черните", като тестовете им представляват контролирана хакерска атака.
Основните са Vulnerability scan (автоматично сканиране за уязвимости) и Penetration test (ръчна проверка кои от откритите уязвимости могат да се експлоатират). Най-добрите тестове включват и елементи на социално инженерство, например да се проникне физически до сървърите или да се изпратят фишинг имейли до служителите, за да се провери тяхната бдителност.
"Цената на тестовете зависи от големината на ИТ инфраструктурата и какво клиентът иска да бъде проверено – само как се вижда отвън мрежата, или да се стигне до "трохите от солети" по клавиатурата на счетоводителката. Като цяло стойността на тези тестове е много, много ниска на фона на възможните щети и цената на хардуера и софтуера в една организация", казва Ваня Палейкова.
"Има фирми в България, които правят много добри хибридни penetration тестове, анализ и наблюдение на ИТ инфраструктурата, но също на приложно ниво чрез активни защити с елементи на изкуствен интелект, като подпомагат откриването на слабите места, преди хакерите да са те нарочили", обяснява Пламен Цеков.
Работата, която има да се свърши, е огромна и голяма част от проблема не е финансов, а организационен. Докато това не се осъзнае на държавно ниво, българското общество и бизнес могат да "палят свещи", за да не се случи нещо лошо.
Текстът е публикуван в брой 29/2019 г. на списание "Икономист", който може да купите в разпространителската мрежа.
Вижте какво още може да прочетете в броя.
