Защо падат държавните IT системи

Краткотрайните затруднения в достъпа до системата за издаване на сертификати се обяснява с масиран зловреден трафик срещу страната

Дигиталните системи на държавните институции са под атака вече шести ден, което води до сривове в здравно-информационната платформа, тази за електронни рецепти, сайта на Плана за възстановяване и др. Държавната компания "Информационно обслужване", която поддържа всички тези системи, казва, че срещу България има насочен огромен зловреден трафик, който в пиковия момент е достигнал "безпрецедентните за България 405 гигабита в секунда".

Атаките са от типа DDoS (distributed denial-of-service; отказ от услуга - бел. авт.), при която срещу дадена система се насочва фалшив трафик, който тя не може да поеме и съответно не може да се използва от реалните си потребители. Това например води до проблеми с ваксинацията и изваждането на сертификати в момент, когато много повече хора се интересуват и от двете заради въвеждането на изискването за зелен сертификат на затворени места през миналата седмица.

От "Информационно обслужване" казаха в петък, че макар някои атаки да са пробили защитите им, те са успели да отблъснат над 400 други такива. "Враждебните кампании от типа "отказ от услуга" (DDoS) към портала his.bg започнаха по обяд на 20 октомври 2021 г., в деня на оповестяването на новите епидемични мерки. Цитираните над 400 злонамерени атаки са в периода 20.10.2021 г. - 22.2021 г., но продължават и през уикенда, а също така и през днешния ден", коментираха от "Информационно обслужване" в отговори към "Капитал" в понеделник.

Кой и от къде

Настрана от сухата статистика обаче, казусът поражда и въпроси, особено като се има предвид, че едва миналия месец друга държавна институция - Националният статистически институт (НСИ), бе атакувана по същия начин, като цитираният трафик през септември бе 276 гигабита в секунда. Тогава фалшивият трафик срина платформата за електронно преброяване и се наложи НСИ да удължи първоначално поставения срок.

Първият въпрос без ясен отговор е откъде и от кого идва атаката. В петък "Информационно обслужване" посочи като географски източници на атаката Русия, САЩ и Бразилия. Пред "Капитал" от компанията правят уточнението, че "трафикът се пренасочва от компютри по целия свят". Няма директен отговор на въпроса на какъв принцип са атаките - свалянето на здравно-информационната система изглежда логично за атакуващите, но сайтът на Плана за възстановяване, от друга страна, е далеч от критична инфраструктура.

В специализирани форуми и групи за софтуерни разработчици се изразяват и съмнения доколко цитираният трафик е истински, предвид че няма достъп до преки доказателства за него. Те обаче нямат и никакви доказателства за съмненията си. Още през септември, след атаката срещу НСИ, имаше противоположни мнения дали посоченият трафик е истински предвид мащаба му. Според двама експерти от компании за киберсигурност, с които "Капитал" говори, подобни обеми са реалистични, а големият проблем с DDoS атаките в момента е, че те са сравнително евтини и дават резултат, когато са масирани.

България вече има опит с организирани атаки срещу свои системи - такива имаше през 2015 г., веднага след референдума за електронно гласуване, когато почти цялата дигитална инфраструктура на страната бе свалена. Четири години по-късно, през 2019 г., тогавашният директор на отдела "Киберпрестъпления" към ГДБОП посочи за извършили руската хакерска група Fancy Bear.

Този горчив спомен, който постави под съмнение доколко българската държава може да се справи добре с електронен вот, повдига и друг въпрос - дали предстоящите парламентарни и президентски избори в средата на ноември са застрашени, при условие че "Информационно обслужване" отговаря за обработката на резултатите от тях. Краткият отговор е "не", защото системата за обработка не е свързана с интернет и всичко се случва офлайн.

Третият и най-важен въпрос е за нивото на киберсигурност в страната. Заради липсата на достатъчно информация, настрана от публикациите и официалните отговори от пресцентровете, твърденията за брой атаки и мащаба им не може да бъдат потвърдени. Възможност за изискване на информация би имал парламентът, но такъв по-често няма, отколкото има.

"Информационно обслужване" е централна институция за държавната киберсигурност, след като в края на 2019 г. чрез закон компанията бе направена единствената обслужваща за повечето важни институции в държавата. Аргументът за това бе всички системи да се управляват от едно място и да са под един стандарт.

Още от Капитал