facebook
twitter

Наблюдател

Провалът, направил хакването на НАП възможно, започва от премиера

Това правителство изхарчи огромни средства, а срещу това имаме и малко, и несигурни електронни услуги, казва експертът Красимир Гаджоков
17294
Личен архив
Красимир Гаджоков е инженер по компютърни технологии от Техническия университет в София. Той има 15-годишен специализиран опит в информационната сигурност и киберзащита на две от най-големите канадски корпорации - TELUS и Canadian Tire Corporation. От над 20 години живее в Торонто, Канада.

- Г-н Гаджоков, защо са възможни пробиви като този в НАП?

- Всичко е възможно, поне теоретично. Правилният въпрос е колко е вероятно нещо да се случи. Информационната сигурност се занимава точно с намаляване на тази вероятност до поносимо ниво - за притежателя на информацията или системите, както и за неговите клиенти.

- Добре. Защо се случи точно в НАП?

- Защото отговарящите за защитата на гражданите - и тук не става въпрос само за защита на информацията за тях, а дори за физическата им сигурност - не са си направили труда да оценят риска подобаващо и да положат усилия да го намалят до разумни размери, т.е. обемът на изтеклата информация да е по-малък и изтеклите данни да не са толкова важни, че да ги застрашават значително.

Това е най-вече провал на упълномощените от нас да ни представляват в управлението на държавата - всички видове власти: изпълнителна, законодателна и съдебна. Този провал започва от премиера, за когото сигурността на информация не е била приоритет. Той или не разбира важността на такава чувствителна информация в днешно време, или ако разбира, не се чувства достатъчно отговорен да направи необходимото. Но отговорността продължава по цялата верига, чак до специалистите по информационни технологии на НАП. Конкретно, доколкото се разбира от оскъдните официални и полуофициални източници, случило се е сега заради нов модул в електронните услуги на НАП. Този модул е позволил на хакера да стигне до огромно количество информация. Как точно технически е станало това, има много малък шанс да разберем. Заради страх да не се "изложат" властите и специалистите ще мълчат.

Пробиви са възможни, защото е отделено твърде малко внимание на сигурността на внедряваните системи - особено на нови такива. Такива системи и софтуер трябва да се проверяват много усърдно по все повече начини, с все по-сложни средства. 

- Има ли аналог в световен мащаб това изтичане на данни. Правилно ли е да се каже, че е хакната цяла държава?

- Като процент от населението, чиито основни данни са изтекли, няма аналог. Доколкото разбрах, около 5 милиона ЕГН-та с имена са в теча от НАП. Да, сред тях са и около милион, които не са сред живите. Но и техните данни могат да се ползват за измами, които в крайна сметка биват плащани от данъкоплатците.

Ако търсим аналогии, най-големият пробив от хакерска атака в американската данъчна агенция (IRS) е източил информация за 100 000 души. Това е 0.03% от цялото им население в сравнение с 60% от населението на България с пробива в НАП. Този различен обем означава различни последици - за гражданите, за икономиката. Много по-лесно е да се справиш с много по-малко потенциални злоупотреби.

В най-големия пробив в държавна институция в САЩ бяха откраднати данни на над 20 милиона предимно кандидатствали за работа в държавни учреждения. Дори и така, това е само 6% от населението. Но не само - изтеклите данни са доста по-малко като вид. В изтеклите от НАП има многократно по-чувствителна информация.

В САЩ обаче депутатите призоваха веднага за смяна на лидерите на държавните звена, където станаха тези пробиви. Никой не омаловажи инцидентите, не се изказа пренебрежително, със зле скроени опити за шеги.

- Какви могат да са последствията след толкова голям пробив? 

- Последствията за гражданите са непредсказуеми - но най-вече заради общото ниво на беззаконие в България. Докато в други държави има достатъчно механизми да предпазят от масови злоупотреби, в България институциите не са демонстрирали нищо подобно в полза на хората.

С данните от лични карти може сериозно да се злоупотреби - много хора веднага посочиха "бързите кредити". Със или без участието на вътрешен човек в тези малки и не особено контролирани бизнеси, невинни хора могат да се окажат с огромни кредити. И ще им е почти невъзможно да докажат, че не те са заели средствата - защото "документът е цар".

Има и още по-опасни за хората данни в открадната от НАП информация - като доходи например. Хора могат да бъдат изнудвани, защото злонамерено престъпници могат вече да знаят със сигурност кой има значими средства.

- А властите? Какви могат да са последствията за тях?

- Не виждам как последствията за тях биха могли да са значими. Тези хора са превзели държавата и с нашите пари се охраняват от нас самите. Те са недосегаеми. Престъпниците няма да посмеят да злоупотребят с техните данни, защото рискът да се стовари върху тях цялата сила на държавната машина - за защита на личния интерес на един политик - е много голям.

Затова и виждаме пълна безотговорност дори и след открадването на данните от НАП. Цели пет дни след теча НАП въобще обяви нещо на сайта си. Едва 9 дни по-късно даде и някакви съвети към гражданите. Във всичко това прозира тотално игнориране на основната задача на държавната администрация и управление: да служи на гражданите и да ги защитава.

- Каква би била адекватната реакция на институциите?

- Най-напред да бъдат открити за станалото през цялото време. Да обявят, че се е случило колкото може по-бързо. Но за това трябваше да научат, преди хакерите да излязат в медиите. Трябваше да има "информационно разузнаване", което, ако не може да предотврати, то поне да е в час какво вече е станало. Съмнявам се, че някоя от медиите, до които е бил пратен имейлът от хакера, обявяващ пробива, не е имала контакт поне с ДАНС. Особено след като в медията са видели обема и вида на изтеклите данни.

Второто най-важно е администрацията да даде на гражданите реална представа какъв е рискът и да им предложи конкретни и реалистични съвети как да се предпазят от опасности, свързани с изтеклата информация за тях.

Трябваше също да се обърнат към всякакви институции и фирми, които работят с парични средства и собственост, с препоръка да бъдат по-придирчиви - за известно време поне - с всякакви видове документи, сделки и парични движения.  

- Само ниските заплати ли са причина в държавната администрация да няма добри специалисти?

- В голяма степен, но не единствено. Най-голямото удовлетворение, особено за млади, започващи специалисти, е усещането, че са свършили нещо полезно с голям ефект. И, разбира се, признанието от страна на ръководещите ги. Което не отменя въпиющата нужда от много по-високи заплати за такива критично важни позиции в държавната администрация. Дадох вече пример в социалните мрежи, че най-добрите специалисти по информационна сигурност в САЩ и Канада получават заплати колкото министерските в тези страни. 

- Колко би струвала една добра защита на такава система? Стана ясно, че не малко средства се харчат в тази посока.

- Трудно е да се отговори, защото не е поставена цел до каква степен искаме да намалим риска. Това означава колко често и колко големи - като последици - загуби от кибератаки сме готови да приемем като държава. Защото атаки и пробиви ще има, но трябва максимално да намалим тяхната вероятност и негативен резултат. 

Усвояването на средства в една администрация като тази, която имаме сега, както се убедихме, въобще не води до успешни резултати. Нужно е киберзащитата да стане приоритет. А това няма да се случи, докато това правителство е на власт. То вече изхарчи огромни средства за електронни услуги (оценени на над 1 млрд. лева), а срещу това имаме малко и несигурни услуги.

Киберзащитата не може да бъде приоритет, ако е удавена в бюрократични структури, както е сега. Може да е приоритет само ако е подчинена директно на един отговорен премиер в отговорно правителство. Приоритет означава един директор с десетина души екип от специалисти с най-висока квалификация и много добро заплащане да отговаря пряко пред премиера. Колко е възможно такъв екип да свърши работа можем да съдим по това как в края на 60-те години само за девет месеца екип от 12 души разработва на практика цялата технология на интернет мрежите.

Ако говорим конкретно за НАП, трябва да изискаме данните какви са техните разходи за киберзащита. Най-вече трябва да анализираме за какво отиват - трябва да видим сериозен дял за обучение на специалистите. Ако няма такъв, това ще е показателно, че дори средствата да са големи, те не отиват за нуждите на гражданите, а за "нуждите" на администрацията. Тук няма и чуваемост - самият аз, както и други колеги с име в информационните технологии сме предупреждавали много пъти държавни институции за проблеми със сигурността на информацията им. Без никакви опити да проникваме, много от проблемите са фрапантно видими, дори от птичи поглед.

 

12

Влез или се регистрирай за да коментираш

Още

Вместо да затяга, НАП улеснява достъпа до личните ни данни

22.08.2019

Мартин Георгиев

2346 7
Вицепремиерът по киберсигурността допусна пробив още в първата си изява

22.08.2019

Таня Петкова

5559 5
Вицепремиерът: Киберсигурността не е "горещ картоф"

21.08.2019

1586 23

Коментари

Simplicissima
снимка на Simplicissima

Ами ако това не е никакво хакване, ами е откъртване на буца от забатачения масив на НАП,

и набутването му в добре подбран компютър,

следва изваждането на буцата наяве -- пак контролирано,

останало е да се проведе брилянтната операция по разкриване на източника.

 

Това възможно ли е технологично?

 

Защото цялата история силно мирише на активно мероприятие на прокуратурата на Пеевски.

anton

Наказанието на когото и да е не решава нито един проблем възникнал в резултат на изтичането на данните. Нещо повече - има съществена разлика между информация и материален обект. Откраднатият материален обект може да бъде открит и върнат на собственика му, откраднатата информация е нематериална - веднъж открадната, тя не може да се върне на мястото си.

 

Откраднатата лична карта може да се върне на собстеника й, но информацията която тя съдържа и която е станала достояние на крадеца не може да бъде отнета от крадеца.

 

inventus

Откраднатата информация не можело да бъде отнета от крадеца!? За можене може да му бъде отнета . По това спор няма. Стига крадеца да бъде поставен в невъзможност да я ползва. Най лесният начин е крадеца да бъде отделен от главата си. Чисто физически.

Simplicissima
снимка на Simplicissima

Qui bono?

 

Гражданското общество очевидно е жертва, тъй като почти всичките му човешки единици се оказаха под сериозен риск.

 

Затова изключвам и неформалните му лидери -- Биволъ, Боец, ДСБ, ДБ, Зелен Младост, дисидентите-съдии и адвокати да са зад извличането и особено -- зад разпространението на информацията от ямата на НАП.

 

За мен от произведената несигурност и застрашеност печелят само кръговете около, под и над днешното (вчерашно и онзиденшно) правителство.

Gilgamesh
снимка на Gilgamesh

Никой от нас нямаше да знае за пробива, ако липсваше прословутия имейл от хакера до медиите.
Трябва да му благодарим, че ни осведоми за сигурността на личните ни данни в държавна институция
и ни накара да се замислим колко много още не знаем за тези, които искат достъп до дейността на всеки.

аман бе

Ех, Канада....

https://www.youtube.com/watch?v=j3S4E07uppg

 

Господин Гаджоков може би отдавна не се е връщал тъдява, след като счита, че 5000000+ души са само 60% от населението на България. Но това са само подробности. Основното, което разбрах е, че вероятно не е наясно и с много от "българските реалии", една от които е, че управляващите, които и да са те, не хвърлят пари в "проекти", които не дават възможност за "усвояване" от "правилните" хора и фирми на крупни суми от ЕС и т.н. организации.

Minderbinder

Господин Гаджоков може би отдавна не се е връщал тъдява, след като счита, че 5000000+ души са само 60% от населението на България.

60% от 7 000 000 = 4 млн и нещо. Плюс 1 млн мъртви = 5 млн. Тук Гаджоков не бърка.

Остналата част от интервюто са общи лафове на ниво начален общообразователен курс по информатика.

muncho1876

  Тотална, вопиюща некадърност! Едни "калинки" от адмиистрацията дават "обществена поръчка" на свои хора да скалъпят един софтуер. Резултатът е налице. Номинално погледнато - ние ги  избираме, тези от които зависи.  От такъв мат'риал - толкова.

Simplicissima
снимка на Simplicissima

Премиерът е само едно от следствията на травмата, нанесена върху крехкото политическо тяло на страната от бай Симо Цара. Травмата даде начало на злокачествени последици и днешните метастази наистина си ги бива.

 

Красимир Гаджоков. Нещо ми напомни това име. Не бяхте ли Вий, господине, едно от най-гласовитите великденчета? Бяхте твърде млад тогава, но бихте могли да си доставите допълнителен катарзис, ако споделите как днес преценявате онова, на което способствахте -- очевидно чистосърдечно впрочем, както си личеше още тогава. Благодаря.

Su38

Чета и ми е безумно интересно, как една периодично повтаращя се групичка форумци постоянно заобикалят сегашния момент и търсят причините за развала единствено в предишни правителства, но не и в сегашното. Не видях нито една думичка за вината на актуалното правителство.

Бай Симо бил единствено виновен. Това е май единственото конкретно име. А не, и вестоносецът е виновен - тъп бил. Глупово били мнението му, казали всезнайковците. А днешните негодници? Те, какво, просто регистратори ли са? Нямат ли поне някакво задължение? Белички като ланшния сняг, а?

Тази широкомащабна акция по отвличане на вниманието, воденето на процеса на търсене на отговорност в задънена улица... не ми се струва случаен процес. В единични случаи може би да, но като цяло - прилича ми на акция за минимизиране на щетите, която отговорните фактори на момента би следвало да понесат.

Ако имаше общество... И свестни хора...

rorik

И какво се заобикаля??

Ако беше Корни на власт , нямаше да и се случи оли??

 

Ми няма , сигурно , щото нямаше да има електронно правителство . Щеше да си пишем на пишещи машини. 

Su38

Корни ли ти е виновна, че НАП е като продънена каца? Че ги хакнаха, без да се усетят и че щяха да ни лъжат, че всичко е ОК? Това е заслугата на сега властващите от десет години насам? Десет години, ей, не са една или две.

Пък вие... Хан Аспарух ви крив..

Влез или се регистрирай за да коментираш

×