Вчера стана ясно, че хакери са пробили един от сървърите на НАП, а пробивът води след себе си и до придобиването на огромни масиви лични данни на български граждани от страна на въпросните хакери, които пък според думите на министъра на вътрешните работи Младен Маринов, са от Русия. От ФАКТИ не се поколебахме да потърсим експертно мнение и го срещнахме в лицето на експерта по киберсигурност Асен Кехайов, който освен, че има опит в тази област, в момента и развива собствената си компания InForce Cyber, която има свои офиси в САЩ, щата Тексас, град Далас, а също така и в столицата на България София.
- Г-н Кехайов, какви са причините да се стигне до този пробив в сървър на НАП, от който сървър да бъдат придобити незаконно данните на милиони българи?
- Като цяло за да стигне дотук реално се е минало през една поредица от пропуски. Поради незнание, поради нехайство, поради липсата на разбиране на дадения проблем. В повечето случаи аз обичам да правя аналог на киберсигурността със заболяванията. Болестите, за които всеки ден чуваме и които в общи линии повечето от нас не познават в детайли, докато един ден поради лошо стечение на обстоятелствата не ни сполети една такава болест. Тогава започваме да проучваме, да се интересуваме, да сме внимателни. За жалост същото се случва в сферата на информационната сигурност, боравенето с лични данни, критична информация, съхранението и трансфера на такава информация.
Всичко това върви по един плавен и добър начин, докато в един хубав светъл ден не се появи лошият черен каскет или хакер, който иска да ни навреди. Той срива всичко, срива нашия хубав ''розов'' свят и в случая, така че повечето от тези проблеми и в частност проблема с Министерство на финансите и тези данни на милиони българи и чуждестранни граждани, които са били компрометирани, реално са изложени на риск точно поради тази причина. Моят опит показва, че докато някой не е сериозно ''опарен'' от дадена групировка или просто хакер, който иска да навреди, няма как да очакваме той да подобри защитата на своята информация и на информацията на своите клиенти.
В случая клиентите сме ние, гражданите. Това се случва по цял свят, не е нещо, което е само в България, но в държави като Америка, която дълги години е основна цел на подобни хакерски атаки, забелязваме едно по-високо ниво на зрялост, тъй като доста от техните агенции, институции, частни фирми, са се ''парили'' и то сериозно. Виждали са какви могат да бъдат последствията от подобна атака. Говорим за пагубни последствия за частния бизнес, говорим за банкрут, сриване на репутация, абсолютно затваряне и заличаване на дадена компания. Що се касае до държавните структури - губене на доверието на гражданите, финансови загуби и куп други проблеми. От тази гледна точка мисля, че просто ние сме в един етап на развитие и на съзряване относно нивото на нашата информационна сигурност. В момента поемаме силните удари и започваме да осъзнаваме мащаба на риск, който стои пред нас.
- Чувал съм, че системите и сайтовете на държавните институции са по-слабо защитени и уязвими от компаниите в частния сектор. Можете ли да потвърдите подобно твърдение?
- Покрай кампания, който проведохме като частна фирма, кампания свързана със запознаване на различни държавни и частни структури с риска, който стои пред тях. Проведохме едно безплатно проучване и тестване на техните сайтове и разбрахме, че в крайна сметка сериозни пропуски има, както в държавните, така и в частните структури. Не мога да кажа, че едните са по-уязвими от другите, тъй като нямам възможност да определя точната бройка, но определено в частния сектор се забелязва по-голяма зрялост, говоря за малките и средни фирми, които започват развитието си и ползват услугите на компетентно лице, в повечето случаи препоръчан от някой или лице, което е препоръчано от много хора.
Частният сектор определено събира повече информация за даденото лице, което ще отговаря за новия уеб сайт, за неговите компютри, преди да го наеме. В държавните структури определено има лица, които са назначени там, може би повече от тях са от доста години, тези лица в повечето случаи няма кой да ги контролира. Ъпдейтите и тренингите, които получават според мен не са достатъчни или навременни в случая. Там се следва една стара практика, която в случая вече води до сериозни проблеми. Доста от сайтовете, които прегледахме, свързани с някои държавни структури, бяха уязвими, а най-лошото в случая е, че самите структури неглижираха нашите сигнали, както и сигналите на много други наши колеги и граждани. Това е най-лошото. Не е проблемът в това, че ти си уязвим, всеки може да изпадне в такава ситуация, в момент на невнимание да остави системата в риск и пряка заплаха.
Най-хубавото е, когато хората са отворени към това да подобрят сегашната си позиция на система за сигурност и да оправят нещата. В случая с държавните структури - не забелязваме подобно поведение. Поне с повечето, с които сме комуникирали, е така. От моя опит мога да кажа, че там има сериозни проблеми. Най-важното е, че тези държавни структури работят с лична информация на много голям брой българи, чуждестранни граждани и там данните са наистина критични. Давам за сравнение една фирма имаща в сайта си форма за записване, която включва email address, име и телефон. Това да кажем е информацията, която те съхраняват, а от друга страна за сравнение имаме базата данни на НАП, която съхранява много по-критична, сензитивна информация като ЕГН, адреси, всякаква информация относно приходи и данъци, които са плащани. Наистина там целта на хакерите е доста по-видима, тъй като това са бази данни, изключително привлекателни за продажба, за предлагане на ''черния'' пазар и съответно едно компрометиране на подобна база данни би довело до финансово облагодетелстване на извършителя, който стои зад това, било то един човек, било то група.
- Какви са мотивите на хакерите в конкретния случай според Вас? Користност или демонстрация?
- В повечето случаи виждаме три основни типа хакери. Ще запозная аудиторията с тях, за да стане ясно нататък за самата цел на отделните категории. Първите, които са ''белите шапки'', аз и моите колеги се числим към тях. Това са всички хора, които се занимават с тестване, легално тестване на информационни системи с цел подобряване на тяхната сигурност и реално репликиране на възможни атаки от зловредни хакери. Репликирането им е в една контролирана среда, с цел да се тества, да се направи един своеобразен стрес тест на сегашната система за сигурност, за да може собственикът на тази система да подобри каквото е възможно и да заздрави пролуките в своята сигурност.
От другата страна имаме и ''черни шапки''. Основна тяхна цел е да придобият финансова облага от компрометирането на различни бази данни, различна сензитивна информация придобита по нелегален начин, чрез похвати, които се използват от ''белите шапки'', но в същото време не са разрешени от собственика на самата информация. Базите данни в случая се изтеглят и информацията се пренася на носител, който е собственост на зловредния хакер. Това при ''белите шапки'' е минимизирано и в никакъв случай информацията, чиято сигурност се тества, не трябва да бъде компрометирана по никакъв начин. Там се следват стриктни процедури.
Третият вид са ''сивите шапки'', а те са точно тази тънка линия между ''черното'' и бялото''. Имат възможността да направят изключително много поразии, но те се придържат към това да променят облика на даден сайт например, като целта може да е изобличат някого, да му дадат урок, което само по себе си е незаконно, но в същото време не им носи почти никакви финансови облаги. Тези хакери, ''черните шапки'', правят всичко възможно, било то по поръчка, предварително заплатена от някаква организация, правителство, или по собствено усмотрение, тоест вътрешно организационно решение, което води до предприемането на зловредни действия срещу опредена цел. Това са двата варианта, или някой ще им плати да навредят на някого, да източат дадена сензитивна информация, или те самите ще решат да направят това нещо с цел след това да продадат дадената информация. В първия случай, когато някой им плаща, също не се изключва след като са изтеглили дадената информация, те да я продадат на ''черния'' пазар, тъй като контролът там е изключително труден, а пък и моралът на подобни групи е на доста ниско ниво. Не може да се очаква високо ниво на чест и доблест.
Случаят с откраднатите от НАП данни прилича на атака от типа на ''черните шапки'', но вече какви са подбудите, националността, дали е един човек, дали е група - не мога да бъда сигурен. При всички положения обаче едни такива незаконни действия, с похвати приложени по начина, по който собственикът на информацията я губи без да е дал позволение за това нещо - определено говори за ''черни шапки''. Има ги и така наречените групи, които се водят ''хактивисти'', тези групи се борят за някаква идеална цел, кауза, поддържат някаква теза и всичко, което правят, независимо дали е разрешено от закона или нелегално, е точно с цел подкрепа, разпространяване и популяризиране на подобна кауза. Пример може да се даде с организацията ''Anonymous''.
- По всяка вероятност потърпевшите хора ще обвинят и ще търсят отговорност от държавата. Всъщност проблемът само на нехайство ли се дължи или и на това, че услугите за качествена и адекватна поддръжка на информационната сигурност са скъпа услуга за страни като нашата?
- Отново от собствен опит бих казал, че инвестицията в един екип, в зависимост от нуждите на самата организация, но да кажем екип до 100 човека, който е изключително комплексен, разделен на различни звена вътре в екипа, ръководен от лице, което е дългогодишен специалист в областта, със сериозен опит и ясна визия за нещата. Създаването на един такъв екип, а аз съм участвал в такъв и съм бил в едно от основните звена, доведе всъщност до изключителното подобряване на сигурността на една световна организация, най-голяма световна организация в една конкретна сфера. Също така освен подобряване нивото на сигурност, се покачи и доверието от страна на партньори и клиенти, постъпленията многократно се завишиха.
Ние бяхме подложени на множество тестове, с които показахме, че сме способни да хванем наистина комплексна хакерска атака. Да я спрем, да идентифицираме източника и да запазим информация. Такъв вид инвестиция, било то от частна структура, билото от държавна такава, винаги има възвращаемост. Да, тя е в дългосрочен план, няма как такава инвестиция да се възвърне за една или две години, но в същото време се вижда как ефективността е на изключително високо ниво. Говорим за процеси, които са до голяма степен автоматизирани. Аз и повечето ми колеги ползвахме специални софтуери, написано от нас или купени от големи производители, с които ние автоматизирахме работата си, ускорявахме производителността и един човек вършеше работа като за петима.
Гледайки от тази гледна точка и в същото време знаейки как в държави като САЩ се подбират кадри за тяхната Агенция за национална сигурност, виждам, че инвестицията в подобни кадри, внимателният подбор, съвместната работа с частния сектор и групирането на един екип хора, които са изключително добри в това, което правят, води до изключително положителни резултати. В случая на хака, който беше срещу Министерство на финансите, са загубени едни изключително големи масиви от данни, които в крайна сметка не могат да бъдат възвърнати. Тоест вашата лична информация вече е в пространството, тя бива търгувана, хора знаят за нея, хора знаят адреса ви, хора знаят ЕГН-то ви - от това връщане назад няма. Тук вече самото изчисляване на загубите трябва да стане много внимателно, защото не трябва да се смята само финансовият аспект на нещата, но и загубата на доверие в случая от гражданите. Купищата дела, които ще бъдат повдигнати, най-вероятно и вече се водят срещу Агенцията, както и в дългосрочен план това до какви загуби би довело.
В крайна сметка едно добро партньорство между държавните и частни структури, инвестиция от държавата в силен екип, който да бъде мотивиран да работи дълго време, да се развива в дадената държавна структура, а не да бъде просто назначен и след кратко време да напусне тази структура за да търси реализация в частна организация, където условията са много по-добри. Това наистина би допринесло за подобряване на сигурността и то подобряване до такава степен, че да има видими резултати. Когато една държава има добра и силна система за сигурност, всички други звена работят много по-добре и гражданите имат доверие в институциите. Пестене на средства и нехайство не бива да има. Надявам се след нещата, които се случиха и най-вероятно тепърва ще се случват, съответните хора и органи да взимат бързи и компетентни решения, съгласувани с голям брой професионалисти в областта.