Коронавирус в България и по света
Коронавирус в България и по света
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
4 19 юли 2019, 12:33, 8262 прочитания

Ако някой просто спазваше закона

Течът на НАП нямаше да случи, ако на държавата ѝ пукаше за електронното управление

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Част от темата

#НАПЛийкс

Държавата с най-отворените данни в света

Как България неволно настигна скандинавските страни по публичност на доходите

НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Тече, всичко тече

Най-интересните моменти от файловете на НАП

"Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година" - така вицепремиерът Томислав Дончев коментира готовността на държавата да премине в електронно управление. Интервюто, което вероятно е взето преди "НАПЛийкс", излезе в "24 часа" в деня след теча.

От интервюто обаче не става ясно, че няколко седмици по-рано Томислав Дончев е изоставил един ресор, който видимо беше прегърнал - електронното управление. То е поето от неособено популярната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.


В дните след "НAПЛийкс" никой не чу нито Дончев, нито Николова да коментира темата.

Какви са мотивите зад това решение така и не стана ясно, но то е показателно за отношението на държавата към темата.

Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактора - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност.



Бърз поглед върху известните факти по случая показва, че течът в НАП никога нямаше да се случи, ако държавата беше припознала киберсигурността като сериозен приоритет. Или поне спазваше законовите си задължения.

Елементарно, Уотсън

От известните до този момент факти става ясно, че атаката е изключително базова, а защитата срещу нея - елементарна. "От 11-и клас знам какво е SQL injection и оттогава не съм се допускал такава в свой софтуер." Вероятно, ако се занимавах с това в 10-и клас, щях да имам проблеми", коментира шеговито Божидар Божанов - IT специалист, който от 2014 до 2015 г. помага на правителството да изгради стратегически скелет за развитието на електронното управление и киберсигурността.

Той добавя, че защита от подобна атака е проста - "достатъчно е да се съобразиш с десет базови неща".

"Причината е комбинация от силна атака и слаба защита. Системата не е добре защитена. Проблемът не е само в тази институция, а в цялата държава, особено в общините, където хората, разбираемо, са с по-ниско ниво на компетенция", е обобщението на Светлин Наков от SoftUni.

В случая не става дума за находчивост, а за съобразяване със законови задължения. От няколко години съществува закон за киберсигурността, наредба за общите изисквания към информационната сигурност. Последната въвежда базови стандарти за сигурност, които всяка държавна институция трябва да спазва.

"По скалата от 0 до 10 по всичко изглежда, че киберсигурността за държавата като приоритет е между 0 и 1. Въпрос на желание и приоритети е нещо да се промени", коментира Валентин Черноземски от екипа по уеб сигурност на SiteGround.

В опит да обясни причините за пробива министър Владислав Горанов обясни, че течът е станал възможен, защото НАП предлагала множество електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на двигателя с вътрешно горене).

Всъщност държавната администрация има правила, които трябва да предпазват от подобни ситуации.

Текстовете от наредбата за стандартите за мрежова и информационна сигурност и тази за общите изисквания към информационните системи, регистрите и електронните административни услуги въвеждат задължения към администрацията - минимални стандарти на защита, съобразени с международните достижения и криптиране на чувствителните бази данни. В първата наредба са описани няколко възможни заплахи, за които трябва да е подготвена държавната администрация, и една от тях е именно начинът, по който сега беше пробита базата данни на НАП. Тоест правила има, проблемът в случая е, че не са спазени.

Дали държавните институции изпълняват ангажиментите си трябва да следи агенция "Електронно управление", която има дори правомощия да санкционира тези, които не го правят.

Че тази система за контрол не работи, се видя не само покрай теча в НАП, а и миналата година, когато се срина Търговският регистър и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази заплаха също е описана в наредбата, включително има предложения какво трябва да се прави, за да се предотвратят подобни ситуации.

След срива на регистъра през 2018 г. правителството разпореди пълен одит на информационните системи в държавата, който трябваше да бъде изпълнен от агенцията. Подобни заявки имаше и след атаките по време на местните избори през 2015 г.

До редакционното приключване на броя от институцията не отговориха на въпроса какво е установил одитът през 2018 г. по отношение на НАП и дали институцията е спазила задълженията си по наредбата за информационната сигурност.

Нямаме пари

Едно от обясненията на финансовия министър Владислав Горанов беше, че държавата не може да разчита на защита, защото не може да си позволи да наеме скъпоплатени ИТ специалисти.

Първо - тестването на системите за пробиви от типа на SQL injection е на практика безплатно - има достатъчно програми с отворен код, които могат да бъдат използвани от вътрешните IT специалисти за тест.

Второ - от 2013 до 2015 г. НАП изпълнява проект за над 609 хил. лв., финансиран по оперативна програма "Административен капацитет" с предмет "Повишаване на нивото на информационна сигурност и защита на данните в НАП". От "Интегрити консулт" - фирмата, одитирала системите на приходната агенция, съобщиха, че са изготвили изключително задълбочен и остър доклад, който е съдържал препоръки. Системата, през която е станал пробивът, е съществувала към момента на одита, т.е. трябва да е била обхваната от него, а той да е открил пропуските в сигурността ѝ. Това с уточнението, че тестове за надеждност трябва да се правят сравнително регулярно, а от 2015 г., когато е приключил проектът, е минало много време.

Трето - цялостната реформа в електронното управление, започнала през 2015 г., предвиждаше създаването на предприятието "Единен системен оператор", което на практика да обедини всички ИТ специалисти в администрацията и да се занимава с интеграция на информационни системи и електронни административни услуги в държавната администрация, тяхната защита, поддръжка и управление и т.н. Идеята беше то да генерира собствени приходи, като държавните фирми му заплащат разходите, които имат за ИТ поддръжка. Тази реформа обаче беше блокирана впоследствие.

В крайна сметка реформата беше изоставена, а електронното управление стана задача, която никой не желае и по която никой не работи.
Кой е отговорен

Пряко - хакерът.Неговите действия представляват престъпление. Разкриването на чувствителни данни за милиони хора до широк кръг хора със сигурност причинява повече щети, отколкото ползи. Обикновено, ако хакери желаят да действат и изглеждат отговорни, в подобни случаи предпочитат да изтекат данните само към една или няколко избрани медии и да разчитат на журналистическия морал, така че да се извлече само обществено важна информация. Избраният от него подход повече прилича на хвърляне на бомба в търсене на максимални щети.

Оперативно - НАП. На база на публичната информация за действията на хакера повечето експерти оценяват пробива по-скоро като немарливост. А хакерската атака се оценява не като сложна операция, а по-скоро като нещо, което дори и някой със сравнително базови познания би могъл да направи. НАП работи с огромни масиви данни за практически всички граждани и основна грижа трябва да е опазването им.

Политически - Владислав Горанов. Той е министърът, на чието подчинение е НАП и който назначава ръководството й. От досегашните му изказвания той по-скоро приема позиция да се извинява на потърпевшите от теча, но да омаловажава проблема с изказвания, че такива неща се случват постоянно и че след Wikileaks не е имало оставки във ФБР.

Финансово - държавата. След казуса могат да последват дела за причинени вреди и/или колективни искове. На този етап е рано да се прогнозира колко би могло да струва това.

Концептуално - агенция "Електронно управление". Това е институцията, която трябва да следи дали различните държавни органи спазват стандартите за информационна сигурност.

Капитал #29

Текстът е част от седмичния Капитал. В новия брой ще прочетете още:

  • Кой взима летище София
  • Мая Манолова вече загрява за битката с Фандъкова
  • Загуби ли България битката за завода на Volkswagen

Прочетете

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

За две седмици в бюрата по труда са се регистрирали 37 870 души 1 За две седмици в бюрата по труда са се регистрирали 37 870 души

От тях пристигналите от чужбина са 640 души. Най-силно са засегнати туризъм, хотелиерство и рестораньорство

4 апр 2020, 2040 прочитания

Радан Кънев: Икономическите мерки не отговарят на европейските условия за подпомагане 14 Радан Кънев: Икономическите мерки не отговарят на европейските условия за подпомагане

Възстановяване на нормалния обществен живот и връщането към здрава и процъфтяваща икономика трябва да върви ръка за ръка с възстановяването на правовата държава

4 апр 2020, 2946 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Политика" Затваряне
НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Още от Капитал
В енергетиката всичко върви надолу

Блокирането на икономиката заради COVID-19 доведе до най-драстичния спад в цените на електроенергията и природния газ

Жилищният пазар е в ступор

Плановете за покупка на дом масово се отлагат. Банките леко затягат кредитирането. Строителството зависи от банките

Къде изчезна златото

Затварянето на ключови рафинерии и липсата на транспорт почти блокират пазара на физическия благороден метал

Глобалната рецесия изглежда неизбежна

Коронавирусът инфектира както търсенето, така и предлагането по света

И това ще мине

Как да се съхраним психически по време на пандемия и изолация

Всички в кухнята

Как да пазаруваме, какво да готвим и откъде да черпим кулинарно вдъхновение

X Остават ви 0 свободни статии
0 / 10