"Това е най-вече провал на упълномощените от нас да ни представляват в управлението на държавата - всички видове власти: изпълнителна, законодателна и съдебна. Този провал започва от премиера, за когото сигурността на информация не е била приоритет. Той или не разбира важността на такава чувствителна информация в днешно време, или ако разбира, не се чувства достатъчно отговорен да направи необходимото. Но отговорността продължава по цялата верига, чак до специалистите по информационни технологии на НАП", казва в интервю за "Сега" експертът Красимир Гаджоков.

 

Красимир Гаджоков е инженер по компютърни технологии от Техническия университет в София. Той има 15-годишен специализиран опит в информационната сигурност и киберзащита на две от най-големите канадски корпорации - TELUS и Canadian Tire Corporation. От над 20 години живее в Торонто, Канада.

 

 

- Г-н Гаджоков, защо са възможни пробиви като този в НАП?

 

- Всичко е възможно, поне теоретично. Правилният въпрос е колко е вероятно нещо да се случи. Информационната сигурност се занимава точно с намаляване на тази вероятност до поносимо ниво - за притежателя на информацията или системите, както и за неговите клиенти.

 

- Добре. Защо се случи точно в НАП?

 

- Защото отговарящите за защитата на гражданите - и тук не става въпрос само за защита на информацията за тях, а дори за физическата им сигурност - не са си направили труда да оценят риска подобаващо и да положат усилия да го намалят до разумни размери, т.е. обемът на изтеклата информация да е по-малък и изтеклите данни да не са толкова важни, че да ги застрашават значително.

 

Това е най-вече провал на упълномощените от нас да ни представляват в управлението на държавата - всички видове власти: изпълнителна, законодателна и съдебна. Този провал започва от премиера, за когото сигурността на информация не е била приоритет. Той или не разбира важността на такава чувствителна информация в днешно време, или ако разбира, не се чувства достатъчно отговорен да направи необходимото. Но отговорността продължава по цялата верига, чак до специалистите по информационни технологии на НАП. Конкретно, доколкото се разбира от оскъдните официални и полуофициални източници, случило се е сега заради нов модул в електронните услуги на НАП. Този модул е позволил на хакера да стигне до огромно количество информация. Как точно технически е станало това, има много малък шанс да разберем. Заради страх да не се "изложат" властите и специалистите ще мълчат.

 

Пробиви са възможни, защото е отделено твърде малко внимание на сигурността на внедряваните системи - особено на нови такива. Такива системи и софтуер трябва да се проверяват много усърдно по все повече начини, с все по-сложни средства. 

 

- Има ли аналог в световен мащаб това изтичане на данни. Правилно ли е да се каже, че е хакната цяла държава?

 

- Като процент от населението, чиито основни данни са изтекли, няма аналог. Доколкото разбрах, около 5 милиона ЕГН-та с имена са в теча от НАП. Да, сред тях са и около милион, които не са сред живите. Но и техните данни могат да се ползват за измами, които в крайна сметка биват плащани от данъкоплатците.

 

Ако търсим аналогии, най-големият пробив от хакерска атака в американската данъчна агенция (IRS) е източил информация за 100 000 души. Това е 0.03% от цялото им население в сравнение с 60% от населението на България с пробива в НАП. Този различен обем означава различни последици - за гражданите, за икономиката. Много по-лесно е да се справиш с много по-малко потенциални злоупотреби.

 

В най-големия пробив в държавна институция в САЩ бяха откраднати данни на над 20 милиона предимно кандидатствали за работа в държавни учреждения. Дори и така, това е само 6% от населението. Но не само - изтеклите данни са доста по-малко като вид. В изтеклите от НАП има многократно по-чувствителна информация.

 

В САЩ обаче депутатите призоваха веднага за смяна на лидерите на държавните звена, където станаха тези пробиви. Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги.

 

- Какви могат да са последствията след толкова голям пробив? 

 

- Последствията за гражданите са непредсказуеми - но най-вече заради общото ниво на беззаконие в България. Докато в други държави има достатъчно механизми да предпазят от масови злоупотреби, в България институциите не са демонстрирали нищо подобно в полза на хората.

 

С данните от лични карти може сериозно да се злоупотреби - много хора веднага посочиха "бързите кредити". Със или без участието на вътрешен човек в тези малки и не особено контролирани бизнеси, невинни хора могат да се окажат с огромни кредити. И ще им е почти невъзможно да докажат, че не те са заели средствата - защото "документът е цар".

 

Има и още по-опасни за хората данни в открадната от НАП информация - като доходи например. Хора могат да бъдат изнудвани, защото злонамерено престъпници могат вече да знаят със сигурност кой има значими средства.

 

- А властите? Какви могат да са последствията за тях?

 

- Не виждам как последствията за тях биха могли да са значими. Тези хора са превзели държавата и с нашите пари се охраняват от нас самите. Те са недосегаеми. Престъпниците няма да посмеят да злоупотребят с техните данни, защото рискът да се стовари върху тях цялата сила на държавната машина - за защита на личния интерес на един политик - е много голям.

 

Затова и виждаме пълна безотговорност дори и след открадването на данните от НАП. Цели пет дни след теча НАП въобще обяви нещо на сайта си. Едва 9 дни по-късно даде и някакви съвети към гражданите. Във всичко това прозира тотално игнориране на основната задача на държавната администрация и управление: да служи на гражданите и да ги защитава.

 

- Каква би била адекватната реакция на институциите?

 

- Най-напред да бъдат открити за станалото през цялото време. Да обявят, че се е случило колкото може по-бързо. Но за това трябваше да научат, преди хакерите да излязат в медиите. Трябваше да има "информационно разузнаване", което, ако не може да предотврати, то поне да е в час какво вече е станало. Съмнявам се, че някоя от медиите, до които е бил пратен имейлът от хакера, обявяващ пробива, не е имала контакт поне с ДАНС. Особено след като в медията са видели обема и вида на изтеклите данни.

 

Второто най-важно е администрацията да даде на гражданите реална представа какъв е рискът и да им предложи конкретни и реалистични съвети как да се предпазят от опасности, свързани с изтеклата информация за тях.

 

Трябваше също да се обърнат към всякакви институции и фирми, които работят с парични средства и собственост, с препоръка да бъдат по-придирчиви - за известно време поне - с всякакви видове документи, сделки и парични движения.  

 

- Само ниските заплати ли са причина в държавната администрация да няма добри специалисти?

 

- В голяма степен, но не единствено. Най-голямото удовлетворение, особено за млади, започващи специалисти, е усещането, че са свършили нещо полезно с голям ефект. И, разбира се, признанието от страна на ръководещите ги. Което не отменя въпиющата нужда от много по-високи заплати за такива критично важни позиции в държавната администрация. Дадох вече пример в социалните мрежи, че най-добрите специалисти по информационна сигурност в САЩ и Канада получават заплати колкото министерските в тези страни. 

 

- Колко би струвала една добра защита на такава система? Стана ясно, че не малко средства се харчат в тази посока.

 

- Трудно е да се отговори, защото не е поставена цел до каква степен искаме да намалим риска. Това означава колко често и колко големи - като последици - загуби от кибератаки сме готови да приемем като държава. Защото атаки и пробиви ще има, но трябва максимално да намалим тяхната вероятност и негативен резултат. 

 

Усвояването на средства в една администрация като тази, която имаме сега, както се убедихме, въобще не води до успешни резултати. Нужно е киберзащитата да стане приоритет. А това няма да се случи, докато това правителство е на власт. То вече изхарчи огромни средства за електронни услуги (оценени на над 1 млрд. лева), а срещу това имаме малко и несигурни услуги.

 

Киберзащитата не може да бъде приоритет, ако е удавена в бюрократични структури, както е сега. Може да е приоритет само ако е подчинена директно на един отговорен премиер в отговорно правителство. Приоритет означава един директор с десетина души екип от специалисти с най-висока квалификация и много добро заплащане да отговаря пряко пред премиера. Колко е възможно такъв екип да свърши работа можем да съдим по това как в края на 60-те години само за девет месеца екип от 12 души разработва на практика цялата технология на интернет мрежите.

 

Ако говорим конкретно за НАП, трябва да изискаме данните какви са техните разходи за киберзащита. Най-вече трябва да анализираме за какво отиват - трябва да видим сериозен дял за обучение на специалистите. Ако няма такъв, това ще е показателно, че дори средствата да са големи, те не отиват за нуждите на гражданите, а за "нуждите" на администрацията. Тук няма и чуваемост - самият аз, както и други колеги с име в информационните технологии сме предупреждавали много пъти държавни институции за проблеми със сигурността на информацията им. Без никакви опити да проникваме, много от проблемите са фрапантно видими, дори от птичи поглед.

 

 

Източник: segabg.com

 

 

 

 

 

 

 

Още от категорията

11 коментар/a

София на 27.07.2019 в 17:01
Какво можем да очакваме от прости , некадърни , посредствени хора , избрани с цигански гласове, мъртви души и манипулации ! Те са завзели властта , за да харчат нашите пари и да определят законите и живота ни , нищо друго не ги интересува освен парите ! Те нямат умствен капацитет дори да искат да направят нещо полезно за държавата и хората ! Намират си изкупителна жертва ,която може да е всеки от нас , за прехвърляне на вината им ! Нещата вървят към фашизъм с новия главен прокурор !
Българина на 27.07.2019 в 18:08
Какво разузнаване бе? Във всички министерства от 15 г поне има агенти на цру мосад.и мит, но не и български! Унищожават ни! ОЧЕВАДНО Е! Като хлебарки
Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги. на 27.07.2019 в 19:00
Кого ли има предвид?
Kubis на 27.07.2019 в 20:15
За кой премиер говори този експерт! Да не би за нашия който знае само едно да се хвали до бекраи и народа да не го интересува въобще. Та този, нашия премиер от тези работи за които говори това момче бъкел не разбира. Него го интересува да манипулира както винаги до сега изборите, да купува гласове и така пак да измами народа!
европе(и)ди на 28.07.2019 в 09:42
Превърнали са ни в избата на еврейската държава. Пфу!
четец на 28.07.2019 в 17:52
ха ха де хакере
Бацко си остава мафиот от 90-те години на 29.07.2019 в 10:21
Такъв му е манталитетът просто - тъпо амбициозно парче, мутра и ... чаровник, който живее в паралелна реалност и ... трупа $$ и ... преживявания, от парти на парти, на най-високото си ниво на некомпетентност - ес. В момента от страх (наченки на болна съвест?) се опитва да отложи възмездието с машинации и планове нови 'изборни победи', дори ако за тях да се наложи да ни вкара в пъкъла! Последната реч на Б. Елцин винаги ме разтриса... https://www.youtube.com/watch?v=vTsqy18Mbvs Явно няма да дочакаме такава реч, а и подготвен всеотдаен непокварен човек нямаме... А кой знае? И за качествата на Румен Радев ни не подозирахме, оклюмани сред всичките цецки и цецковци, а тук си е човекът, съвсем читав и ... с недостатъчно пълномощия... Може би имаме някой неизявен бъдещ млад лидер, когото трябва да открием?
ЧУМА на 29.07.2019 в 12:45
ГЕРБЕРАСТКА ЧУМА.
??? на 29.07.2019 в 14:37
Навсякъде все експерти се изказват. Колко страшно било за ти знаят ЕГН, адреса, личната карта, доходите и т.н. Много филми гледате, момчета и момичета. Във филмите става всичко. Айде някой, ако може да опише поне един механизъм за злоупотреба. В реалния живот нито парите могат да ви вземат, нито заем да изтеглят, нито имота и колата да ви продадат. Абсолютно нищо не могат да направят с тези изтекли данни.
??? на 29.07.2019 в 14:37 на 29.07.2019 в 16:58
Я помисли пак! Ако наемеш фирма да ти извърши услуга (в БГ повече от половината частни фирми работят полулегално и на ръба на закона - например, не издават фактури, за да не ти вземат повече пари), ще ти знаят точния брой на спестяванията в банка и веднага ще преценят колко да те одрусат (според колкото ще можеш да платиш). Достатъчна им е незаконно придобитата информация за теб, за да знаят как да те изнудят. И тогава парите ти сам ще им ги дадеш, доброволно - за да си платиш услугата.
Некадърното шефче на ИО на 08.08.2019 в 16:32
А онова говедо, което заяви на всеослушание, че "няма пробив" и годишно харчи десетки милиони пари на данъкоплатците за да защитава споменаваната НАП-ас от подобни "пробиви", още не е натирено с тоягите на майната си и задължено да върне на хазната всички пари, които е получавало до сега за възлаганата му работа!

Напиши коментар