Как ще се предпазим от кибер-"Костинброд"
46 Нови
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Как ще се предпазим от кибер-"Костинброд"

Как ще се предпазим от кибер-"Костинброд"

Онлайн атаката срещу държавните институции ще форсира изграждането на национална система за киберсигурност

Момчил Милев
6772 прочитания

© shutterstock


Може би сте чули за популярния щатски сериал "Mr. Robot". В него група хакери организират сложна и прецизно насочена атака, която предизвиква пожар в сървърните центрове на зла мегакорпорация, унищожава целия й информационен архив и хвърля в хаос финансовите пазари. Нещо подобно едва ли може да се случи в България в момента. Най-малкото защото въвеждането на електронни услуги в публичната администрация продължава да се намира в бебешкия си период, като повечето от тях са просто информационни и засега по-скоро не се отразяват пряко на дейността на критичната инфраструктура. През последните няколко дни обаче страната ни получи нагледен урок как неща като информационна сигурност и киберзащита вече не са понятия от абстрактното бъдеще, които засягат единствено ИТ специалистите.

За втора поредна седмица сайтовете на държавните институции в страната се оказаха обект на масирана онлайн офанзива, чиито ефекти бяха овладени едва към сряда-четвъртък. Добрата новина в случая е, че този път институциите в някаква степен бяха по-добре подготвени. И че случилото се ще катализира по-бързи и проактивни действия от страна на държавата в сферата на киберзащитата. Според наши източници от интернет бранша втората вълна на кибератаката отново е била от типа "разпределен отказ от услуга" или DdoS – най-грубо казано, задръстване на комуникационните канали с фалшив трафик. Този път нейната интезнивност е била в пъти по-голяма, като до реално хакване в смисъл проникване в информационните системи отново не се е стигало.

И този път публичното говорене по темата беше твърде оскъдно, което до голяма степен провокира слухове и повече притеснения. "Над 2 милиарда заявки в рамките на 24 часа са направени към един от големите институционални сайтове около втория тур на изборите за местна власт в България", беше единственият по-конкретен официален коментар по темата, направен от заместник-министъра на транспорта, информационните технологии и съобщенията Валери Борисов в отговор на журналистически въпроси.

В политическото говорене по темата се включи дори президентът Росен Плевнелиев, който акцентира предимно върху пиар ефектите от онлайн офанзивата. "Видяхме безпрецедентни действия в деня на изборите. Тези хакерски атаки не са случайни и целят да подхранят съмнение в деня на изборите. За мен това е нов "Костинброд", заяви държавният глава. И добави: "Хакерските атаки целят да подхранят съмненията на гражданите, че електронното гласуване не би следвало да е честно, няма как да успее. След като един или друг сайт може да бъдат атакувани, как може да успее едно електронно гласуване. Трябва да се отговори кой инициира тези хакерски атаки, кой плати за тях, кой от ЦИК даде инструкции да не се дават бюлетини." Президентът също така обяви, че ще разпореди на специалните служби да разследват до дъно интрнет атаката и да се опитат да достигнат до нейните поръчители.

Атака 2.0

За разлика от първия път кибератаката не е била насочена към домейните на съответствените сайтове, а директно към цялото адресно пространство на правителствената мрежа. Извършителите са сканирали един по един IP адресите на различни държавни ведомства за активни онлайн услуги и са ги заливали с невалиден трафик, блокирайки достъпа до тях. Също така този път са използвани много по-широк спектър от технологии за извършване на DdoS-атаки, отколкото седмица по-рано. "Различните типове атаки използват различна техника. Едната е т.нар. Flood – едно своеобразно наводнение, което изведнъж се изсипва. Другата имитира в началото един нормален трафик, който нараства постепенно и за да го уловиш, трябва да го наблюдаваш много време и да анализираш данните, за да се усетиш, че става нещо ненормално. Просто се приспива вниманието. Ако имаш една добра система за мониторинг, решаваш проблема, но зависи от целта и възможностите на този, които иска да я ползва. Едно средно добро решение може да струва от порядъка на 100-150 хил. евро", коментира преди седмица за "Капитал" Васил Грънчаров, ръководител на държавния CERT център, който координира защитата на информационните системи на администрацията.

Актуалната онлайн офанзива е засегнала работата на мрежите и на трите големи български телекома – Mtel, Telenor и Vivacom, но не е нарушила услугите за останалите клиенти. По наша информация в определен момент интезнивността на DdoS атаката към сайтовете, поддържани от държавната фирма "Информационно обслужване", е надвишила 6.5 гигабита в секунда като фалшивият трафик е идвал от над 10 хил. IP адреса по света. Допълнително усложнение за филтриране на фалшивия трафик е бил фактът, че някои интернет доставчици от съседните ни държави са включени към т.нар. пиъринг – високоскоростната вътрешна инфраструктура между провайдърите в България. Така част от атаката е минала през страни като Гърция, Турция и Румъния, заобикаляйки някои от инсталираните защити. Вероятно това е причината вътрешната връзка между някои български интернет доставчици да бъде периодично прекъсвана за известно време. В крайна сметка ударени се оказаха сайтовете на много от големите държави институции – Министерски съвет, президентство, парламент, Министерство на финансите, НАП, министерство на транспорта, МВР, ДАНС. В стремежа си да решат проблема последните две ведомства преминаха към използване на облачната услуга CloudFlare, чиято комерсиална версия предлага защита срещу разнообразни форми на DdoS. Така към края на седмицата интернет страниците на въпросните силови ведомства отново започнаха да функционират нормално. Реален проблем за гражданите и фирмите вероятно се е оказала най-вече онлайн атаката към сайта на НАП, където вече се предлагат електронни услуги за нуждите на бизнеса.

В отговор на кибератаките ресорните отговорници по киберсигурността в държавната администрация са организирали през седмицата спешна среща с представители на телекомуникационния бранш. Телекомите са поели ангажимент да създадат точки за контакти, където да има специалисти, работещи в режим 24/7 и които да могат да реагират в реално време при онлайн инцидент. Системните администратори на различните държавни ведомства пък са получили специални въпросници, на базата на които да могат да индентифицират по-лесно и бързо потенциални проблеми в своите мрежи и да ги докладват в CERT-центъра към транспортното министерство, който се занимава с методическото ръководство на защитата на мрежите в администрацията. Също така страната ни се е обърнала за помощ към CERT центъра на САЩ, който със сигурност има доста по-голям капацитет от българския си аналог. В последния по щат трябва да има 21 души, но реално в момента там работя само... 6 специалисти, които трябва да поемат комуникацията с ИТ отделите на всички държавни ведомства.

Време е за нови киберполитики

Събитията от последните дни би трябвало да изиграят ролята на предупредителна светлина и да форсират приемането на държавните политики в сферата на киберсигурността. Например буквално до няколко седмици трябва да е готова стратегия по киберсигурността и план за действие в случай на онлайн инциденти като настоящия. В него ще се разпише кой какво прави и с кого си комуникира в случай на киберкриза.

Най-важното нещо в стратегията е, че се предвижда да се създаде специален ситуационен център и координираща мрежа към Съвета по сигурност на Министерски съвет, които да се занимават онлайн-заплахите. "На национално ниво се предвижда създаване на координираща мрежа, която да може сглоби пълната киберкартина, за да може да има координиран отговор. Така че суперагенция няма да има. И не се препоръчва да има, защото мрежовият принцип дава възможност за по-голяма устойчивост на отговора и гъвкавост", коментира Георги Шарков, национален координатор по киберсигурността, на конференция на IDG преди четири седмици. Във въпросния орган ще участват както държавата в лицето на ГДБОП, ДАНС, киберзвеното на военното министерство и правителственият CERT, така и представители на индустрията, бизнеса и академичния сектор с много силно международно сътрудничество.

Стратегията ще инициира създаването на индустриални и секторни CERT центрове от страна на бизнеса, каквито в момента в страната ни няма. Това ще стане по линия на публично-частното партньорство. Първо това трябва да се случи в секторите, които попадат в графата "критична инфраструктура" - енергетика, транспорт, комуникации, банки и финанси, държавни е-услуги, здравеопазване и т.н. От енергийния сектор например вече увериха, че DdoS-атаките не могат да засегнат производствените и преносните мощности, тъй като информационната им инфраструктура е физически отделена от комерсиалния интернет.

Идеята на държавата най-общо е всеки, който "стопанисва" някаква част от интернет, да има и задължение да развие своя капацитет за киберзащита, най-малкото да прави мониторинг за нормално функциониране на мрежите и системите и да ги докладва в случай на проблеми. Държавните стратези в сферата на информационната сигурност много силно разчитат тази част от идеите им да се увенчаят с успех, защото наистина добрите ИТ специалисти съвсем логично работят в частния сектор. Желанието е да се сформират т.нар. екипи за бързо реагиране при онлайн инциденти, в които да има и представители на държавата, и на различните индустрии.

Е-война

Най-добрата илюстрация за реалните опасности за физическия свят при кибератака е масираната онлайн офанзива срещу Естония от април 2007 г. Тя се приема за първата своеобразна кибервойна в световната история. Става дума за триседмични постоянни DdoS атаки срещу стотици сайтове, които почти напълно парализират информационната инфраструктура на прибалтийската република. И тъй като тя е един от шампионите по въвеждане на електронни услуги в света, това в голяма степен обърква всекидневния живот в страната. Най-тежки са пораженията за естонската банкова система и и в частност за водещата финансова институция Hansabank. На първо място е парализирано онлайн банкирането, което съставлява 97% от транзакциите в Естония. На второ е блокирана работата на всички банкомати. На финала се оказва, че заради филтрирането на трафика, за да се спре онлайн атаката гражданите на страната не могат да използват дебитните си карти в чужбина. В опит да спре DdoS нашествието естонското правителство предприема драстична мярка и за няколко дни прекъсва връзката между националната информационна инфраструктура и останалия интернет. Така на 19 май 2007 г. първата кибервойна приключва, като основен заподозрян за организирането й е Русия. Първоизточникът на офанзивата обаче официално никога не е доказан.

Най-новите опасности в сферата на киберзаплахите са свързани с новонавлизащите "умни" устройства, които седят в основата на т.нар. интернет на нещата. Освен че са много на брой (по оценка на IDC до 5 години те трябва да достигнат 60 милиарда), те са свързани с интернет и голяма част от тях на практика са много евтини, което върви ръка за ръка със занижени изисквания към сигурността. Така през последната година мрежовите специалисти започват да засичат DdoS атаки, организирани не само чрез хакнати компютри и мобилни телефони, но и всякакви по-елементарни устройства, свързани в мрежата. Така например най-новата подобна офанзива преди няколко седмици е извършена чрез... няколкостотин хиляди хакнати IP камери.


9 коментара
  • 1
    today avatar :-|
    today

    Дори преди време бяха изхващали един умен хладилник да спами.

  • 2
    zcu00469861 avatar :-|
    zcu00469861

    На обикновенният човек може би му изглежда сложно, да се подсигури една такава система.
    Но обикновенният човек също така си мисли, че подсигуряването на АЕЦ "Козлодуй" е фасулска работа, просто защото никой не говори за това.

    В интерес на истината, подобни атаки не са рядкост. Мрежата на моят унивеситет дневно е атакувана от хиляди места, статистиката ми я беше казвал главният системен инженер. Въпреки това, работата на информационните системи никога не е била прекъсвана.
    Проблемът с информационните системи на българската дръжава е, че те просто не са подсигурени, т.е. никой не е бил анагажиран с това, те да бъдат подсигурени.
    Когато виждам, че дори страницата на ЦИК е генерирана по шаблон, това просто означава, че никой не му се занимава, поне за/до сега.
    Елементарни мерки за сигурност биха избегнали сценарии подобни на този разиграл се в изборните дни.
    На кратко, трябва да си подобрим сигурността, а не да мислим и да се вайкаме какво било станало.

  • 3
    korki avatar :-|
    Krasimir Koev

    в дълбока заблуда си - има органи по закон които трябва да се грижат , има лица които на минутата трябва да си подадат оставките и да има наказателно разследване срещу тях заради застрашаване на сигурноста на държавата и безхаберие , знаят се и лицата и службите и членовете на закона по които трябва да бъдат подведени - експертите знаем,че сигурността е много повече на хартия,отколкото на действия

    Публикувано през m.capital.bg

  • 4
    ivanchola avatar :-P
    ivanchoLA

    некадърни са бре, такъв трафик въобще не е проблем никъде. Просто архитектурата куца в БГ щото няма талант и затова стават такива циркове ... иначе БГ е интрАнет та е още по лесно ...

  • 5
    dove80 avatar :-|
    dove80

    Не виждам нищо лошо с въвеждането на електронните услуги в страната ни. Още по-хубаво е тяхното разширяване и улесняването ни в ред дейности като редене на дълги опашки или пазаруване. Ако има или ще има проблеми с това е, че системните администратори обслужващи тази техника просто трябва да си гледат работата.

  • 6
    hitrata_svraka avatar :-(
    Хит®ата Св®ака ;)

    "няколкостотин хиляди хакнати IP камери"

    ...които работят с Embedded Linux който трябва да се ъпдейтва периодично. Някои сисадмини направо ги оставят без парола.

  • 7
    hitrata_svraka avatar :-?
    Хит®ата Св®ака ;)

    [quote#1:"today"]Дори преди време бяха изхващали един умен хладилник да спами. [/quote]

    Ами то от аматьорщина.
    Много сисадмини оставят мейл сървъра в режим open relay.
    Както се казва, ако не знаете какво е open relay мейл сървър,
    не сте за тази професия.

  • 8
    funcy74 avatar :-|
    МилевГео

    В САЩ отдавна има закон за онлайн нещата, казва се Ди Ем Си Ей. В България все още всеки си прави каквото си иска онлайн, в САЩ това е федерално престъпление, т.е те грози затвор повече от 5 години. Тук всеки игнорира тази важна тема, трябваше да бъде хакнат сайта на ГРАО и на ЦИК, за да се сетим, че поблема отдавна чука на вратата. От 2006 година по различни семинари говоря за този проблем и виждам в очите на хората неразбиране и ехидност. Ето, че в момента и Капитал пише за това, но дали има някакво законодателно раздвижване. Не. Очакваме да се въведе електронното гласуване, а не сме дори и малко съзряли за това. Ди Ем Си Ей съществува от 1998г. сега сме 2015. 17 години по-късно в България дори не се говори за закон, който да урежда проблематиката. Вие решете колко голяма бананова република сме.

  • 9
    kalinski avatar :-|
    Kalin

    До коментар [#8] от "funcy74":

    Digital Millennium Copyright Act няма нищо общо с темата на статията. Самият закон цели предпазването на интелектуалната собственост в интернет, криминализира непозволеното качване на филми, музика и така нататък в нета и други "дигитални среди" ...


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK