Нужна ни е Агенция за киберсигурност

На България е необходима Агенция за киберсигурност, която да провежда единна държавна политика в областта на информационната сигурност. Това заяви в интервю за Факти.бг проф. Веселин Целков, член на Комисията за защита на личните данни. Наскоро излезе книгата „Управление на риска, тестване и оценка на мрежовата и информационна сигурност“ - част от една интересна поредица „Защита на информацията“, на която проф. Целков е съавтор заедно с Орхан Исмаилов и Николай Стоянов. Това беше повод да се срещнем с професора, който е категоричен, че много се говори, но малко се прави по отношение на тази, за мнозина, неясна тема.

Нека в началото да обясним на читателите, защо е важна информационната сигурност?

В момента модерните понятия са кибервойна, киберсигурност. Един от елементите на тези понятия е информационната сигурност, т.е., сигурността на информацията обработена от компютърните системи и мрежи. Това е нещо изключително важно, тъй като в момента животът на хората е неразривно свързан с тези технологии, включително и смарт технологиите, облачните технологии, интернет базираните системи. Става въпрос не само за информацията, представляваща държавна и търговска тайна, а и личната информация на хората, която те, без да знаят, публикуват и съхраняват на незащитени места.

Какво представлява книгата „Управление на риска, тестване и оценка на мрежовата и информационна сигурност“?

Ако говорим за книгата, тя не е за широкия кръг читатели. Тя по-скоро е едно методическо пособие, учебно помагало за специалисти, експерти, студенти, които се занимават в тази област. Голяма част от съдържанието на тази книга е базирано на световните стандарти. Много хора използват понятия в тази област, без да ги разбират, без тези понятия да са ясно дефинирани. По този начин се получава объркване. Затова нашият колектив, който издава цялата поредица „Защита на информацията“, базира изданията главно на стандартите на Националния институт по стандартизация и технологии на Съединените щати и на стандартите и ръководството на Агенцията за национална сигурност на САЩ. Книгата е изключително ценна, защото, освен, че е базирана на тези световно приети стандарти, обхваща много важни направления свързани с мрежовата и информационна сигурност. В нея са разгледани основите на информационната сигурност – основните модели за сигурност, като първите й глави биха могли да бъдат достъпни и за по-широк кръг от хора. По-нататък се концентрира на целия процес на управление на риска, като важните елементи тук са, че се разглежда управлението на риска както от различни гледни точки, така и в целия жизнен цикъл на системите. Следващите приложни неща са тестването на мрежовата и информационна сигурност – изключително важно е, че в приложения са дадени достъпни средства за тестване, част от които са изпробвани в изследователската база на Университета по библиотекознание и информационни технологии, в Института по отбрана на Министерството на отбраната. Това са достъпни и хубави неща за вършене на конкретна работа.

Направили сме и преглед на основните стандарти на информационната сигурност – тези, които показват добрите практики.

По време на последните избори станахме свидетели на атаки срещу няколко държавни сайта. Предотвратими ли са подобни неща?

Отговорът на този въпрос е „и да, и не“. Защото технологиите се развиват, като заедно със защитните технологии се развиват и технологиите за изследване и намиране на уязвимостите на системите. А използваните уязвимости са реална заплаха.

Едни от нещата, които са свързани с управлението на риска през целия жизнен цикъл на системите са всички тези стъпки, които са идентификация на заплахите, идентификация на уязвимости, определяне на контролите за сигурност, определяне на вероятности, анализ.

Могат да се вземат достатъчно мерки за защита. Ако става въпрос за защита на държавните тайни, тези мерки са взети. Тези атаки, които бяха направени са от типа „отказ от обслужване“, с генериране на изключително голям брой заявки към един сървър. Ако атаката е предварително проиграна, би могло тези атаки още в началото да бъдат отхвърлени. Ако предварително е била идентифицирана подобна заплаха, резултатите от подобна атака биха могли да бъдат със значително по-малко поражения.

Каква е Вашата оценка за състоянието на информационната сигурност в страната – за държавата, фирмите, гражданите?

Много хора говорят за информационна сигурност, лошото е, че много малко се прави. Много сериозно гледат на тази работа хората, които са свързани с държавните тайни. Сериозно гледат и банките. Голяма част от компаниите обаче, не обръщат достатъчно внимание на този проблем. Това се дължи на две причини основно. Системите за сигурност са скъпи и второ - всяка една система за сигурност създава затруднения. Един пример – ако Вашата къща няма врата, в нея ще се влиза много лесно. Ако има, ще е по-трудно. Трябва да имате ключ, отключвате, заключвате. Ако имате две врати, система за СОТ, биометрични датчици, става още по-сложно и затрудняващо...

През последната година дълго време работихме по стратегията за киберсигурността на държавата. Изводът е, че у нас липсва цялостност в нормативната база, която резонира в различни отговорности на различни ведомости и държавни структури. И нито едно от тези ведомства не иска да се откаже от тези си функции и задължения. По този начин се получава липса на цялостност. От друга страна, държавата все още като че ли не иска да инвестира в такива системи за сигурност. Още един пример. По някакво отдавнашно решение Центърът за отговор на атаките и инцидентите за гражданските информационни и комуникационни системи е една агенция в Министерството на транспорта и информационните технологии и съобщенията. От друга страна, за защита на класифицираната информация отговаря по закон Държавната агенция по национална сигурност (ДАНС). От трета страна, за сигурността за правителствените мрежи, по закона за МВР, се грижи МВР. От четвърта страна, при ученията на НАТО, за това се грижи Министерството на отбраната. От пета страна, по Закона за националната сигурност, има Съвет за национална сигурност към Министерски съвет.

Как би могъл да се реши този въпрос?

Този въпрос би могъл да се реши със създаването на една агенция за киберсигурност, която да налага единната държавна политика. Тя би могла да бъде аналогична на ДАНС, на Държавната агенция „Технически операции“ и би осъществявала единна държавна политика.