С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
4 19 юли 2019, 12:33, 7431 прочитания

Ако някой просто спазваше закона

Течът на НАП нямаше да случи, ако на държавата ѝ пукаше за електронното управление

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Част от темата

#НАПЛийкс

НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Държавата с най-отворените данни в света

Как България неволно настигна скандинавските страни по публичност на доходите

Тече, всичко тече

Най-интересните моменти от файловете на НАП

"Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година" - така вицепремиерът Томислав Дончев коментира готовността на държавата да премине в електронно управление. Интервюто, което вероятно е взето преди "НАПЛийкс", излезе в "24 часа" в деня след теча.

От интервюто обаче не става ясно, че няколко седмици по-рано Томислав Дончев е изоставил един ресор, който видимо беше прегърнал - електронното управление. То е поето от неособено популярната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.


В дните след "НAПЛийкс" никой не чу нито Дончев, нито Николова да коментира темата.

Какви са мотивите зад това решение така и не стана ясно, но то е показателно за отношението на държавата към темата.

Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактора - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност.



Бърз поглед върху известните факти по случая показва, че течът в НАП никога нямаше да се случи, ако държавата беше припознала киберсигурността като сериозен приоритет. Или поне спазваше законовите си задължения.

Елементарно, Уотсън

От известните до този момент факти става ясно, че атаката е изключително базова, а защитата срещу нея - елементарна. "От 11-и клас знам какво е SQL injection и оттогава не съм се допускал такава в свой софтуер." Вероятно, ако се занимавах с това в 10-и клас, щях да имам проблеми", коментира шеговито Божидар Божанов - IT специалист, който от 2014 до 2015 г. помага на правителството да изгради стратегически скелет за развитието на електронното управление и киберсигурността.

Той добавя, че защита от подобна атака е проста - "достатъчно е да се съобразиш с десет базови неща".

"Причината е комбинация от силна атака и слаба защита. Системата не е добре защитена. Проблемът не е само в тази институция, а в цялата държава, особено в общините, където хората, разбираемо, са с по-ниско ниво на компетенция", е обобщението на Светлин Наков от SoftUni.

В случая не става дума за находчивост, а за съобразяване със законови задължения. От няколко години съществува закон за киберсигурността, наредба за общите изисквания към информационната сигурност. Последната въвежда базови стандарти за сигурност, които всяка държавна институция трябва да спазва.

"По скалата от 0 до 10 по всичко изглежда, че киберсигурността за държавата като приоритет е между 0 и 1. Въпрос на желание и приоритети е нещо да се промени", коментира Валентин Черноземски от екипа по уеб сигурност на SiteGround.

В опит да обясни причините за пробива министър Владислав Горанов обясни, че течът е станал възможен, защото НАП предлагала множество електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на двигателя с вътрешно горене).

Всъщност държавната администрация има правила, които трябва да предпазват от подобни ситуации.

Текстовете от наредбата за стандартите за мрежова и информационна сигурност и тази за общите изисквания към информационните системи, регистрите и електронните административни услуги въвеждат задължения към администрацията - минимални стандарти на защита, съобразени с международните достижения и криптиране на чувствителните бази данни. В първата наредба са описани няколко възможни заплахи, за които трябва да е подготвена държавната администрация, и една от тях е именно начинът, по който сега беше пробита базата данни на НАП. Тоест правила има, проблемът в случая е, че не са спазени.

Дали държавните институции изпълняват ангажиментите си трябва да следи агенция "Електронно управление", която има дори правомощия да санкционира тези, които не го правят.

Че тази система за контрол не работи, се видя не само покрай теча в НАП, а и миналата година, когато се срина Търговският регистър и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази заплаха също е описана в наредбата, включително има предложения какво трябва да се прави, за да се предотвратят подобни ситуации.

След срива на регистъра през 2018 г. правителството разпореди пълен одит на информационните системи в държавата, който трябваше да бъде изпълнен от агенцията. Подобни заявки имаше и след атаките по време на местните избори през 2015 г.

До редакционното приключване на броя от институцията не отговориха на въпроса какво е установил одитът през 2018 г. по отношение на НАП и дали институцията е спазила задълженията си по наредбата за информационната сигурност.

Нямаме пари

Едно от обясненията на финансовия министър Владислав Горанов беше, че държавата не може да разчита на защита, защото не може да си позволи да наеме скъпоплатени ИТ специалисти.

Първо - тестването на системите за пробиви от типа на SQL injection е на практика безплатно - има достатъчно програми с отворен код, които могат да бъдат използвани от вътрешните IT специалисти за тест.

Второ - от 2013 до 2015 г. НАП изпълнява проект за над 609 хил. лв., финансиран по оперативна програма "Административен капацитет" с предмет "Повишаване на нивото на информационна сигурност и защита на данните в НАП". От "Интегрити консулт" - фирмата, одитирала системите на приходната агенция, съобщиха, че са изготвили изключително задълбочен и остър доклад, който е съдържал препоръки. Системата, през която е станал пробивът, е съществувала към момента на одита, т.е. трябва да е била обхваната от него, а той да е открил пропуските в сигурността ѝ. Това с уточнението, че тестове за надеждност трябва да се правят сравнително регулярно, а от 2015 г., когато е приключил проектът, е минало много време.

Трето - цялостната реформа в електронното управление, започнала през 2015 г., предвиждаше създаването на предприятието "Единен системен оператор", което на практика да обедини всички ИТ специалисти в администрацията и да се занимава с интеграция на информационни системи и електронни административни услуги в държавната администрация, тяхната защита, поддръжка и управление и т.н. Идеята беше то да генерира собствени приходи, като държавните фирми му заплащат разходите, които имат за ИТ поддръжка. Тази реформа обаче беше блокирана впоследствие.

В крайна сметка реформата беше изоставена, а електронното управление стана задача, която никой не желае и по която никой не работи.
Кой е отговорен

Пряко - хакерът.Неговите действия представляват престъпление. Разкриването на чувствителни данни за милиони хора до широк кръг хора със сигурност причинява повече щети, отколкото ползи. Обикновено, ако хакери желаят да действат и изглеждат отговорни, в подобни случаи предпочитат да изтекат данните само към една или няколко избрани медии и да разчитат на журналистическия морал, така че да се извлече само обществено важна информация. Избраният от него подход повече прилича на хвърляне на бомба в търсене на максимални щети.

Оперативно - НАП. На база на публичната информация за действията на хакера повечето експерти оценяват пробива по-скоро като немарливост. А хакерската атака се оценява не като сложна операция, а по-скоро като нещо, което дори и някой със сравнително базови познания би могъл да направи. НАП работи с огромни масиви данни за практически всички граждани и основна грижа трябва да е опазването им.

Политически - Владислав Горанов. Той е министърът, на чието подчинение е НАП и който назначава ръководството й. От досегашните му изказвания той по-скоро приема позиция да се извинява на потърпевшите от теча, но да омаловажава проблема с изказвания, че такива неща се случват постоянно и че след Wikileaks не е имало оставки във ФБР.

Финансово - държавата. След казуса могат да последват дела за причинени вреди и/или колективни искове. На този етап е рано да се прогнозира колко би могло да струва това.

Концептуално - агенция "Електронно управление". Това е институцията, която трябва да следи дали различните държавни органи спазват стандартите за информационна сигурност.

Капитал #29

Текстът е част от седмичния Капитал. В новия брой ще прочетете още:

  • Кой взима летище София
  • Мая Манолова вече загрява за битката с Фандъкова
  • Загуби ли България битката за завода на Volkswagen

Купете

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Уикенд новини: Мощен тайфун опустоши Япония, Турция засилва офанзивата срещу кюрдите Уикенд новини: Мощен тайфун опустоши Япония, Турция засилва офанзивата срещу кюрдите

И още: Гръцката църква първа призна автокефалността на украинската; Предстои важна седмица за Brexit и европейското бъдеще на Северна Македония и Албания; Полша избира парламент с предизвестена победа за управляващите националисти

13 окт 2019, 1073 прочитания

"Канал 3" е фаворитът на партиите за предизборна реклама "Канал 3" е фаворитът на партиите за предизборна реклама

Според официалните данни близкият до Пеевски канал е получил най-много средства от политическите формации, ВМРО и ДПС водят по инвестиции в медиите като цяло

13 окт 2019, 798 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "България" Затваряне
НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Арабският пробив на IPS

Българската семейна компания "Интернешънъл пауър съплай" завърши ключов проект за Saudi Aramco

Сметка за основни операции - струва ли си

Всеки, който ползва рядко банкови услуги, може да се възползва от опцията, но и не само той

Предизборният "Route 66" на арх. Игнатов

Според кандидата на "Демократична България" електронното управление на София ще реши два ключови проблема - с бюрокрацията и с корупцията

Кеч с корупцията

За близо две години съществуване антикорупционната комисия не само не постигна резултати, но и създаде корупция

20 въпроса: Здравко Петров

Урбанистът познат от "Исторически маршути" издаде книга, която обединява две от архитектуните разходки

В Белград, на чисто

С изложбата The Cleaner Марина Абрамович показва творчеството си в родния Белград след 44-годишно отсъствие