Новини

Провалът с хакването на НАП започва от премиера

Този провал започва от премиера, за когото сигурността на информация не е била приоритет

Публикувана: 28 Юли, 2019 16:00
17 КОМЕНТАРА | ВИДЯНА 4659
Провалът с хакването на НАП започва от премиера
Снимка: БГНЕС
ШРИФТ ПЕЧАТ
Вашата оценка:
Оценка 4.5 от 27 гласа.
 
Източник:
СЕГА
ФАКТИ публикува мнения с широк спектър от гледни точки, за да насърчава конструктивни дебати.

Красимир Гаджоков е инженер по компютърни технологии от Техническия университет в София. Той има 15-годишен специализиран опит в информационната сигурност и киберзащита на две от най-големите канадски корпорации - TELUS и Canadian Tire Corporation. От над 20 години живее в Торонто, Канада.

- Г-н Гаджоков, защо са възможни пробиви като този в НАП?

- Всичко е възможно, поне теоретично. Правилният въпрос е колко е вероятно нещо да се случи. Информационната сигурност се занимава точно с намаляване на тази вероятност до поносимо ниво - за притежателя на информацията или системите, както и за неговите клиенти.

- Добре. Защо се случи точно в НАП?

- Защото отговарящите за защитата на гражданите - и тук не става въпрос само за защита на информацията за тях, а дори за физическата им сигурност - не са си направили труда да оценят риска подобаващо и да положат усилия да го намалят до разумни размери, т.е. обемът на изтеклата информация да е по-малък и изтеклите данни да не са толкова важни, че да ги застрашават значително.

Това е най-вече провал на упълномощените от нас да ни представляват в управлението на държавата - всички видове власти: изпълнителна, законодателна и съдебна. Този провал започва от премиера, за когото сигурността на информация не е била приоритет. Той или не разбира важността на такава чувствителна информация в днешно време, или ако разбира, не се чувства достатъчно отговорен да направи необходимото. Но отговорността продължава по цялата верига, чак до специалистите по информационни технологии на НАП. Конкретно, доколкото се разбира от оскъдните официални и полуофициални източници, случило се е сега заради нов модул в електронните услуги на НАП. Този модул е позволил на хакера да стигне до огромно количество информация. Как точно технически е станало това, има много малък шанс да разберем. Заради страх да не се "изложат" властите и специалистите ще мълчат.

Пробиви са възможни, защото е отделено твърде малко внимание на сигурността на внедряваните системи - особено на нови такива. Такива системи и софтуер трябва да се проверяват много усърдно по все повече начини, с все по-сложни средства.

- Има ли аналог в световен мащаб това изтичане на данни. Правилно ли е да се каже, че е хакната цяла държава?

- Като процент от населението, чиито основни данни са изтекли, няма аналог. Доколкото разбрах, около 5 милиона ЕГН-та с имена са в теча от НАП. Да, сред тях са и около милион, които не са сред живите. Но и техните данни могат да се ползват за измами, които в крайна сметка биват плащани от данъкоплатците.

Ако търсим аналогии, най-големият пробив от хакерска атака в американската данъчна агенция (IRS) е източил информация за 100 000 души. Това е 0.03% от цялото им население в сравнение с 60% от населението на България с пробива в НАП. Този различен обем означава различни последици - за гражданите, за икономиката. Много по-лесно е да се справиш с много по-малко потенциални злоупотреби.

В най-големия пробив в държавна институция в САЩ бяха откраднати данни на над 20 милиона предимно кандидатствали за работа в държавни учреждения. Дори и така, това е само 6% от населението. Но не само - изтеклите данни са доста по-малко като вид. В изтеклите от НАП има многократно по-чувствителна информация.

В САЩ обаче депутатите призоваха веднага за смяна на лидерите на държавните звена, където станаха тези пробиви. Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги.

- Какви могат да са последствията след толкова голям пробив?

- Последствията за гражданите са непредсказуеми - но най-вече заради общото ниво на беззаконие в България. Докато в други държави има достатъчно механизми да предпазят от масови злоупотреби, в България институциите не са демонстрирали нищо подобно в полза на хората.

С данните от лични карти може сериозно да се злоупотреби - много хора веднага посочиха "бързите кредити". Със или без участието на вътрешен човек в тези малки и не особено контролирани бизнеси, невинни хора могат да се окажат с огромни кредити. И ще им е почти невъзможно да докажат, че не те са заели средствата - защото "документът е цар".

Има и още по-опасни за хората данни в открадната от НАП информация - като доходи например. Хора могат да бъдат изнудвани, защото злонамерени престъпници могат вече да знаят със сигурност кой има значими средства.

- А властите? Какви могат да са последствията за тях?

- Не виждам как последствията за тях биха могли да са значими. Тези хора са превзели държавата и с нашите пари се охраняват от нас самите. Те са недосегаеми. Престъпниците няма да посмеят да злоупотребят с техните данни, защото рискът да се стовари върху тях цялата сила на държавната машина - за защита на личния интерес на един политик - е много голям.

Затова и виждаме пълна безотговорност дори и след открадването на данните от НАП. Цели пет дни след теча НАП въобще обяви нещо на сайта си. Едва 9 дни по-късно даде и някакви съвети към гражданите. Във всичко това прозира тотално игнориране на основната задача на държавната администрация и управление: да служи на гражданите и да ги защитава.

- Каква би била адекватната реакция на институциите?

- Най-напред да бъдат открити за станалото през цялото време. Да обявят, че се е случило колкото може по-бързо. Но за това трябваше да научат, преди хакерите да излязат в медиите. Трябваше да има "информационно разузнаване", което, ако не може да предотврати, то поне да е в час какво вече е станало. Съмнявам се, че някоя от медиите, до които е бил пратен имейлът от хакера, обявяващ пробива, не е имала контакт поне с ДАНС. Особено след като в медията са видели обема и вида на изтеклите данни.

Второто най-важно е администрацията да даде на гражданите реална представа какъв е рискът и да им предложи конкретни и реалистични съвети как да се предпазят от опасности, свързани с изтеклата информация за тях.

Трябваше също да се обърнат към всякакви институции и фирми, които работят с парични средства и собственост, с препоръка да бъдат по-придирчиви - за известно време поне - с всякакви видове документи, сделки и парични движения.

- Само ниските заплати ли са причина в държавната администрация да няма добри специалисти?

- В голяма степен, но не единствено. Най-голямото удовлетворение, особено за млади, започващи специалисти, е усещането, че са свършили нещо полезно с голям ефект. И, разбира се, признанието от страна на ръководещите ги. Което не отменя въпиющата нужда от много по-високи заплати за такива критично важни позиции в държавната администрация. Дадох вече пример в социалните мрежи, че най-добрите специалисти по информационна сигурност в САЩ и Канада получават заплати колкото министерските в тези страни.

- Колко би струвала една добра защита на такава система? Стана ясно, че не малко средства се харчат в тази посока.

- Трудно е да се отговори, защото не е поставена цел до каква степен искаме да намалим риска. Това означава колко често и колко големи - като последици - загуби от кибератаки сме готови да приемем като държава. Защото атаки и пробиви ще има, но трябва максимално да намалим тяхната вероятност и негативен резултат.

Усвояването на средства в една администрация като тази, която имаме сега, както се убедихме, въобще не води до успешни резултати. Нужно е киберзащитата да стане приоритет. А това няма да се случи, докато това правителство е на власт. То вече изхарчи огромни средства за електронни услуги (оценени на над 1 млрд. лева), а срещу това имаме малко и несигурни услуги.

Киберзащитата не може да бъде приоритет, ако е удавена в бюрократични структури, както е сега. Може да е приоритет само ако е подчинена директно на един отговорен премиер в отговорно правителство. Приоритет означава един директор с десетина души екип от специалисти с най-висока квалификация и много добро заплащане да отговаря пряко пред премиера. Колко е възможно такъв екип да свърши работа можем да съдим по това как в края на 60-те години само за девет месеца екип от 12 души разработва на практика цялата технология на интернет мрежите.

Ако говорим конкретно за НАП, трябва да изискаме данните какви са техните разходи за киберзащита. Най-вече трябва да анализираме за какво отиват - трябва да видим сериозен дял за обучение на специалистите. Ако няма такъв, това ще е показателно, че дори средствата да са големи, те не отиват за нуждите на гражданите, а за "нуждите" на администрацията. Тук няма и чуваемост - самият аз, както и други колеги с име в информационните технологии сме предупреждавали много пъти държавни институции за проблеми със сигурността на информацията им. Без никакви опити да проникваме, много от проблемите са фрапантно видими, дори от птичи поглед.

България

Поставете оценка на статията:
Оценка 4.5 от 27 гласа.

Въвеждане на коментар към статията
Име :


Напишете кода от картинката
Визуална кептча
Коментар:
Коментари към статията
ГРАЖДАНИН
(гост)

Неутрално
1 Отговор
Премиера не го еня за своя народ той отдавна ни е загърбил .За него важното е какво ще кажат от САЩ и гарантират ли му още дълго време да бъ дем кр ъводарители на Америка чрез нашите бази и територия

Коментиран от #5


Оценка:
-4 +75

Ясен
(гост)

Неутрално
2 Отговор
и смислен анализ в помощ на гражданите

Оценка:
-2 +43

Кой68
(гост)

Неутрално
3 Отговор
Много некомпетентни хора бяха назначени на високи и отговорни постове и длъжности.Действа се като при Живков-да е верен и отговорен към партията и нейния лидер...По същия начин са конструирани и другите партии?Нищо ново.

Коментиран от #11


Оценка:
-3 +45

Престъпника от Банкя
(гост)

Неутрално
4 Отговор
Когато има кризи, Тиквата се покрива.
Не чух да коментира свинската чума, а за пробива в НАП изръси поредните си неадекватни простотии.

Оценка:
-1 +51

Западните Балкани
(гост)

Неутрално
5 Отговор

До коментар #1 от "ГРАЖДАНИН":


Прав си наполовина. Борисов не му пука дали утре половината българи ще бъдат ограбени. А само дали от това ограбване половината пари да отидат при него и неговите хора. А САЩ не го вълнуват, той си има началници тук в България.

Оценка:
-0 +29

hacker
(гост)

Неутрално
6 Отговор
Какво му разбира главата на еднокнижникът от сигурност на информацията.

Оценка:
-0 +31

Име
(гост)

Неутрално
7 Отговор
Абе чудя се дали наистина има изтичане и шайкатасе опитва да замаже положението с тая показна акция срещу случайна фирма - жертвено агне. Или въпросната фирма наистина се е добрала до някава информация, ама е супер неудобна за управляващите и искат да им запушат устата.

Оценка:
-1 +17

Усмивката
(гост)

Неутрално
8 Отговор
,,В САЩ обаче депутатите призоваха веднага за смяна на лидерите на държавните звена, където станаха тези пробиви. Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги.,".....е как ще се произнесат гербаджийските мусколисти глави.Кога ще ги стигнем американците??

Оценка:
-0 +21

Слави Славов
(гост)

Неутрално
9 Отговор
Всичко в тази територия е шменти-капели!С такива тъпи управляващи това е неизбежно!Народа още мълчи,ама като вземат да гърмят измамите,може и нашия народ да поумнее и да измете тиквениците и техните слуги!

Оценка:
-0 +22

Васил
(гост)

Неутрално
10 Отговор
Много ясно рибата се вмирисва от към главата

Оценка:
-0 +12

хехехехех
(гост)

Неутрално
11 Отговор

До коментар #3 от "Кой68":


ПРИЯТЕЛЮ ПО ВРЕМЕТО НА ЖИВКОВ ПОДОБНО НЕЩО ТРУДНО ЩЕШЕ ДА СТАНЕ!

ПО ВРЕМЕТО НА ЖИВКОВ НА ВЪЗЛОВИТЕ ПОСТОВЕ ИМАШЕ КОМПЕТЕНТИ ХОРА, ПРЕДИ ТОВА Е ИМАЛО НЕКОМПЕТЕНТИ!

НЕДЕЙ ДА ПРИКАЗВАШ ГЛУПОСТИ ИДА ЛЪЖЕШ! ТОЧНО СЕГА Е УЖАСЪТ НА ПРОСТАЩИНАТА И ГЛУПОСТА! ЗАЩОТО ТОЧНО ТАКИВА КАТО ТЕБ ИЗБИРАХА ИВАНЧО КОСТОВ, ФИЛИПЧО И ТАКЪВ КАТО БОЙКО!

Коментиран от #14


Оценка:
-1 +4

Анализа
(гост)

Неутрално
12 Отговор
Съвсем е прав човека !

А на народа не му пука, поради това че ни разделиха на комунисти, социалисти, анти комунисти и и всякакви идиоти!

А за Борисов, какво да кажем повече? По-неприятното е че има хора които са с образование и възпитание и го харесват! Причината да го харесват е че просто им е слаб ангела на 24 часовата пропаганда която от както дойде тоя гнуснар се извършва върху България!

На всякъде цари некомпетентност в държавната администрация! Това е истината и тя е на ниво ръководители! За да бъде награбена тая фирма има две възможни ситуации: 1 . Случайна жертвено агне! 2. Тя е поподнала на инфо или е дала инфо на друга администрация която ще ореже парите на Бойко!

Оценка:
-0 +2

Бойко супекомпютъра
(гост)

Неутрално
13 Отговор
Тоя ще ни довърши. За него всичко е пунта мара.

Оценка:
-0 +4

Кой68
(гост)

Неутрално
14 Отговор

До коментар #11 от "хехехехех":


Навремето имаше АОНСУ/Овча купел/ подготовка на кадри за управление?Активните борци как се множаха?Не си ли партиен член почти невъзможно бе да си в управлението и на висок пост.Да не говорим за кариера?

Оценка:
-0 +1

Чип
(гост)

Неутрално
15 Отговор
Вижте проектите на Т.Дончев за електронно правителство на Бъчварова идеите за българските лични документи дето ще ги носят по пощата и ще ги правят само на едно място.Причината е че.направиха възможно обслужването на едно гише с.външен достъп и възможност за достъп от всички в цялата администрация.То наместа нямат нормални телефони и компютри та затова така стана.
А сега питайте Томислав.То сега се видя за НАП, преди вписванията а кой знае още колко и къде.

Оценка:
-0 +5

Хан Крум
(гост)

Неутрално
16 Отговор
Тиквата не го интересува нищо в държавата.Важно е определени фирми (зърно производство и стройтелство)близки до сегашната власт да взимат готовата пара ,отпукана от Унищожаващата ни Европа.

Оценка:
-1 +0

3333
(гост)

Неутрално
17 Отговор
Назначаването на калинките в държавната администрация е основната причина. При конкурсите за държавни служители не се гледа нивото на квалифиация на кандидата, а дали е наш човек или силно наш. Докато се подценява този факт така ще бъде. Сега премиера, ако мисли за държавата, всички които са назначавали хората отговорни за този гаф, трябва да бъдат уволнени без право да заемат каквито и да било постове в държавната администрация.

Оценка:
-0 +1

ФАКТИ.БГ не толерира обидни коментари и спам. Некоректни коментари ще бъдат изтривани. Такива са тези, които съдържат нецензурни изрази, лични обиди и нападки, заплахи; нямат връзка с темата или са написани изцяло на език, различен от български.

Ловци на бисери
Доналд Тръмп
Президентът на САЩ отново е "лошото" ченге
Северна Корея разбира само от едно..."

Още бисери