Провалът, направил хакването на НАП възможно, започва от премиера

Красимир Гаджоков е инженер по компютърни технологии от Техническия университет в София. Той има 15-годишен специализиран опит в информационната сигурност и киберзащита на две от най-големите канадски корпорации - TELUS и Canadian Tire Corporation. От над 20 години живее в Торонто, Канада.

- Г-н Гаджоков, защо са възможни пробиви като този в НАП?

- Всичко е възможно, поне теоретично. Правилният въпрос е колко е вероятно нещо да се случи. Информационната сигурност се занимава точно с намаляване на тази вероятност до поносимо ниво - за притежателя на информацията или системите, както и за неговите клиенти.

- Добре. Защо се случи точно в НАП?

- Защото отговарящите за защитата на гражданите - и тук не става въпрос само за защита на информацията за тях, а дори за физическата им сигурност - не са си направили труда да оценят риска подобаващо и да положат усилия да го намалят до разумни размери, т.е. обемът на изтеклата информация да е по-малък и изтеклите данни да не са толкова важни, че да ги застрашават значително.

Това е най-вече провал на упълномощените от нас да ни представляват в управлението на държавата - всички видове власти: изпълнителна, законодателна и съдебна. Този провал започва от премиера, за когото сигурността на информация не е била приоритет. Той или не разбира важността на такава чувствителна информация в днешно време, или ако разбира, не се чувства достатъчно отговорен да направи необходимото. Но отговорността продължава по цялата верига, чак до специалистите по информационни технологии на НАП. Конкретно, доколкото се разбира от оскъдните официални и полуофициални източници, случило се е сега заради нов модул в електронните услуги на НАП. Този модул е позволил на хакера да стигне до огромно количество информация. Как точно технически е станало това, има много малък шанс да разберем. Заради страх да не се "изложат" властите и специалистите ще мълчат.

Пробиви са възможни, защото е отделено твърде малко внимание на сигурността на внедряваните системи - особено на нови такива. Такива системи и софтуер трябва да се проверяват много усърдно по все повече начини, с все по-сложни средства. 

- Има ли аналог в световен мащаб това изтичане на данни. Правилно ли е да се каже, че е хакната цяла държава?

- Като процент от населението, чиито основни данни са изтекли, няма аналог. Доколкото разбрах, около 5 милиона ЕГН-та с имена са в теча от НАП. Да, сред тях са и около милион, които не са сред живите. Но и техните данни могат да се ползват за измами, които в крайна сметка биват плащани от данъкоплатците.

Ако търсим аналогии, най-големият пробив от хакерска атака в американската данъчна агенция (IRS) е източил информация за 100 000 души. Това е 0.03% от цялото им население в сравнение с 60% от населението на България с пробива в НАП. Този различен обем означава различни последици - за гражданите, за икономиката. Много по-лесно е да се справиш с много по-малко потенциални злоупотреби.

В най-големия пробив в държавна институция в САЩ бяха откраднати данни на над 20 милиона предимно кандидатствали за работа в държавни учреждения. Дори и така, това е само 6% от населението. Но не само - изтеклите данни са доста по-малко като вид. В изтеклите от НАП има многократно по-чувствителна информация.

В САЩ обаче депутатите призоваха веднага за смяна на лидерите на държавните звена, където станаха тези пробиви. Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги.

- Какви могат да са последствията след толкова голям пробив? 

- Последствията за гражданите са непредсказуеми - но най-вече заради общото ниво на беззаконие в България. Докато в други държави има достатъчно механизми да предпазят от масови злоупотреби, в България институциите не са демонстрирали нищо подобно в полза на хората.

С данните от лични карти може сериозно да се злоупотреби - много хора веднага посочиха "бързите кредити". Със или без участието на вътрешен човек в тези малки и не особено контролирани бизнеси, невинни хора могат да се окажат с огромни кредити. И ще им е почти невъзможно да докажат, че не те са заели средствата - защото "документът е цар".

Има и още по-опасни за хората данни в открадната от НАП информация - като доходи например. Хора могат да бъдат изнудвани, защото злонамерено престъпници могат вече да знаят със сигурност кой има значими средства.

- А властите? Какви могат да са последствията за тях?

- Не виждам как последствията за тях биха могли да са значими. Тези хора са превзели държавата и с нашите пари се охраняват от нас самите. Те са недосегаеми. Престъпниците няма да посмеят да злоупотребят с техните данни, защото рискът да се стовари върху тях цялата сила на държавната машина - за защита на личния интерес на един политик - е много голям.

Затова и виждаме пълна безотговорност дори и след открадването на данните от НАП. Цели пет дни след теча НАП въобще обяви нещо на сайта си. Едва 9 дни по-късно даде и някакви съвети към гражданите. Във всичко това прозира тотално игнориране на основната задача на държавната администрация и управление: да служи на гражданите и да ги защитава.

- Каква би била адекватната реакция на институциите?

- Най-напред да бъдат открити за станалото през цялото време. Да обявят, че се е случило колкото може по-бързо. Но за това трябваше да научат, преди хакерите да излязат в медиите. Трябваше да има "информационно разузнаване", което, ако не може да предотврати, то поне да е в час какво вече е станало. Съмнявам се, че някоя от медиите, до които е бил пратен имейлът от хакера, обявяващ пробива, не е имала контакт поне с ДАНС. Особено след като в медията са видели обема и вида на изтеклите данни.

Второто най-важно е администрацията да даде на гражданите реална представа какъв е рискът и да им предложи конкретни и реалистични съвети как да се предпазят от опасности, свързани с изтеклата информация за тях.

Трябваше също да се обърнат към всякакви институции и фирми, които работят с парични средства и собственост, с препоръка да бъдат по-придирчиви - за известно време поне - с всякакви видове документи, сделки и парични движения.  

- Само ниските заплати ли са причина в държавната администрация да няма добри специалисти?

- В голяма степен, но не единствено. Най-голямото удовлетворение, особено за млади, започващи специалисти, е усещането, че са свършили нещо полезно с голям ефект. И, разбира се, признанието от страна на ръководещите ги. Което не отменя въпиющата нужда от много по-високи заплати за такива критично важни позиции в държавната администрация. Дадох вече пример в социалните мрежи, че най-добрите специалисти по информационна сигурност в САЩ и Канада получават заплати колкото министерските в тези страни. 

- Колко би струвала една добра защита на такава система? Стана ясно, че не малко средства се харчат в тази посока.

- Трудно е да се отговори, защото не е поставена цел до каква степен искаме да намалим риска. Това означава колко често и колко големи - като последици - загуби от кибератаки сме готови да приемем като държава. Защото атаки и пробиви ще има, но трябва максимално да намалим тяхната вероятност и негативен резултат. 

Усвояването на средства в една администрация като тази, която имаме сега, както се убедихме, въобще не води до успешни резултати. Нужно е киберзащитата да стане приоритет. А това няма да се случи, докато това правителство е на власт. То вече изхарчи огромни средства за електронни услуги (оценени на над 1 млрд. лева), а срещу това имаме малко и несигурни услуги.

Киберзащитата не може да бъде приоритет, ако е удавена в бюрократични структури, както е сега. Може да е приоритет само ако е подчинена директно на един отговорен премиер в отговорно правителство. Приоритет означава един директор с десетина души екип от специалисти с най-висока квалификация и много добро заплащане да отговаря пряко пред премиера. Колко е възможно такъв екип да свърши работа можем да съдим по това как в края на 60-те години само за девет месеца екип от 12 души разработва на практика цялата технология на интернет мрежите.

Ако говорим конкретно за НАП, трябва да изискаме данните какви са техните разходи за киберзащита. Най-вече трябва да анализираме за какво отиват - трябва да видим сериозен дял за обучение на специалистите. Ако няма такъв, това ще е показателно, че дори средствата да са големи, те не отиват за нуждите на гражданите, а за "нуждите" на администрацията. Тук няма и чуваемост - самият аз, както и други колеги с име в информационните технологии сме предупреждавали много пъти държавни институции за проблеми със сигурността на информацията им. Без никакви опити да проникваме, много от проблемите са фрапантно видими, дори от птичи поглед.

Източник: segabg.com