Ако някой просто спазваше закона
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Ако някой просто спазваше закона

С неясни мотиви от вицепремиера Томислав Дончев беше отнет ресор "електронно управление"

Ако някой просто спазваше закона

Течът на НАП нямаше да случи, ако на държавата ѝ пукаше за електронното управление

8988 прочитания

С неясни мотиви от вицепремиера Томислав Дончев беше отнет ресор "електронно управление"

© Юлия Лазарова


"Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година" - така вицепремиерът Томислав Дончев коментира готовността на държавата да премине в електронно управление. Интервюто, което вероятно е взето преди "НАПЛийкс", излезе в "24 часа" в деня след теча.

От интервюто обаче не става ясно, че няколко седмици по-рано Томислав Дончев е изоставил един ресор, който видимо беше прегърнал - електронното управление. То е поето от неособено популярната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.

В дните след "НAПЛийкс" никой не чу нито Дончев, нито Николова да коментира темата.

Какви са мотивите зад това решение така и не стана ясно, но то е показателно за отношението на държавата към темата.

Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактора - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност.

Бърз поглед върху известните факти по случая показва, че течът в НАП никога нямаше да се случи, ако държавата беше припознала киберсигурността като сериозен приоритет. Или поне спазваше законовите си задължения.

Елементарно, Уотсън

От известните до този момент факти става ясно, че атаката е изключително базова, а защитата срещу нея - елементарна. "От 11-и клас знам какво е SQL injection и оттогава не съм се допускал такава в свой софтуер." Вероятно, ако се занимавах с това в 10-и клас, щях да имам проблеми", коментира шеговито Божидар Божанов - IT специалист, който от 2014 до 2015 г. помага на правителството да изгради стратегически скелет за развитието на електронното управление и киберсигурността.

Той добавя, че защита от подобна атака е проста - "достатъчно е да се съобразиш с десет базови неща".

"Причината е комбинация от силна атака и слаба защита. Системата не е добре защитена. Проблемът не е само в тази институция, а в цялата държава, особено в общините, където хората, разбираемо, са с по-ниско ниво на компетенция", е обобщението на Светлин Наков от SoftUni.

В случая не става дума за находчивост, а за съобразяване със законови задължения. От няколко години съществува закон за киберсигурността, наредба за общите изисквания към информационната сигурност. Последната въвежда базови стандарти за сигурност, които всяка държавна институция трябва да спазва.

"По скалата от 0 до 10 по всичко изглежда, че киберсигурността за държавата като приоритет е между 0 и 1. Въпрос на желание и приоритети е нещо да се промени", коментира Валентин Черноземски от екипа по уеб сигурност на SiteGround.

В опит да обясни причините за пробива министър Владислав Горанов обясни, че течът е станал възможен, защото НАП предлагала множество електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на двигателя с вътрешно горене).

Всъщност държавната администрация има правила, които трябва да предпазват от подобни ситуации.

Текстовете от наредбата за стандартите за мрежова и информационна сигурност и тази за общите изисквания към информационните системи, регистрите и електронните административни услуги въвеждат задължения към администрацията - минимални стандарти на защита, съобразени с международните достижения и криптиране на чувствителните бази данни. В първата наредба са описани няколко възможни заплахи, за които трябва да е подготвена държавната администрация, и една от тях е именно начинът, по който сега беше пробита базата данни на НАП. Тоест правила има, проблемът в случая е, че не са спазени.

Дали държавните институции изпълняват ангажиментите си трябва да следи агенция "Електронно управление", която има дори правомощия да санкционира тези, които не го правят.

Че тази система за контрол не работи, се видя не само покрай теча в НАП, а и миналата година, когато се срина Търговският регистър и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази заплаха също е описана в наредбата, включително има предложения какво трябва да се прави, за да се предотвратят подобни ситуации.

След срива на регистъра през 2018 г. правителството разпореди пълен одит на информационните системи в държавата, който трябваше да бъде изпълнен от агенцията. Подобни заявки имаше и след атаките по време на местните избори през 2015 г.

До редакционното приключване на броя от институцията не отговориха на въпроса какво е установил одитът през 2018 г. по отношение на НАП и дали институцията е спазила задълженията си по наредбата за информационната сигурност.

Нямаме пари

Едно от обясненията на финансовия министър Владислав Горанов беше, че държавата не може да разчита на защита, защото не може да си позволи да наеме скъпоплатени ИТ специалисти.

Първо - тестването на системите за пробиви от типа на SQL injection е на практика безплатно - има достатъчно програми с отворен код, които могат да бъдат използвани от вътрешните IT специалисти за тест.

Второ - от 2013 до 2015 г. НАП изпълнява проект за над 609 хил. лв., финансиран по оперативна програма "Административен капацитет" с предмет "Повишаване на нивото на информационна сигурност и защита на данните в НАП". От "Интегрити консулт" - фирмата, одитирала системите на приходната агенция, съобщиха, че са изготвили изключително задълбочен и остър доклад, който е съдържал препоръки. Системата, през която е станал пробивът, е съществувала към момента на одита, т.е. трябва да е била обхваната от него, а той да е открил пропуските в сигурността ѝ. Това с уточнението, че тестове за надеждност трябва да се правят сравнително регулярно, а от 2015 г., когато е приключил проектът, е минало много време.

Трето - цялостната реформа в електронното управление, започнала през 2015 г., предвиждаше създаването на предприятието "Единен системен оператор", което на практика да обедини всички ИТ специалисти в администрацията и да се занимава с интеграция на информационни системи и електронни административни услуги в държавната администрация, тяхната защита, поддръжка и управление и т.н. Идеята беше то да генерира собствени приходи, като държавните фирми му заплащат разходите, които имат за ИТ поддръжка. Тази реформа обаче беше блокирана впоследствие.

В крайна сметка реформата беше изоставена, а електронното управление стана задача, която никой не желае и по която никой не работи.

Кой е отговорен

Пряко - хакерът.Неговите действия представляват престъпление. Разкриването на чувствителни данни за милиони хора до широк кръг хора със сигурност причинява повече щети, отколкото ползи. Обикновено, ако хакери желаят да действат и изглеждат отговорни, в подобни случаи предпочитат да изтекат данните само към една или няколко избрани медии и да разчитат на журналистическия морал, така че да се извлече само обществено важна информация. Избраният от него подход повече прилича на хвърляне на бомба в търсене на максимални щети.

Оперативно - НАП. На база на публичната информация за действията на хакера повечето експерти оценяват пробива по-скоро като немарливост. А хакерската атака се оценява не като сложна операция, а по-скоро като нещо, което дори и някой със сравнително базови познания би могъл да направи. НАП работи с огромни масиви данни за практически всички граждани и основна грижа трябва да е опазването им.

Политически - Владислав Горанов. Той е министърът, на чието подчинение е НАП и който назначава ръководството й. От досегашните му изказвания той по-скоро приема позиция да се извинява на потърпевшите от теча, но да омаловажава проблема с изказвания, че такива неща се случват постоянно и че след Wikileaks не е имало оставки във ФБР.

Финансово - държавата. След казуса могат да последват дела за причинени вреди и/или колективни искове. На този етап е рано да се прогнозира колко би могло да струва това.

Концептуално - агенция "Електронно управление". Това е институцията, която трябва да следи дали различните държавни органи спазват стандартите за информационна сигурност.

"Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година" - така вицепремиерът Томислав Дончев коментира готовността на държавата да премине в електронно управление. Интервюто, което вероятно е взето преди "НАПЛийкс", излезе в "24 часа" в деня след теча.

От интервюто обаче не става ясно, че няколко седмици по-рано Томислав Дончев е изоставил един ресор, който видимо беше прегърнал - електронното управление. То е поето от неособено популярната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

4 коментара
  • 1
    vfr37593263 avatar :-|
    Моа Преател Тайпи

    е тва е:

    Кой е отговорен


    Пряко - хакерът.

    Оперативно - НАП.

    Политически - Владислав Горанов.

    Финансово - държавата.

    Концептуално - агенция "Електронно управление".

  • 2
    kotovad avatar :-|
    А.Стоянова

    "Ако някой просто спазваше закона" Течът на НАП нямаше да случи, ако държавата имаше нужния интерес за електронното управление.
    "Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година"- така вицепремиера Томислав Дончев коментира готовността на държавата да премине в електронно управление".
    "Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактори - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност".

  • 3
    vaskoangelov avatar :-?
    vaskoangelov

    браво - много добре казано за отговорните!

  • 4
    baki4p avatar :-|
    Ilia Pavlov

    Плъховете напускат кораба първи,явно че НАП и казаното от Горанов за липса на пари за ИТ специалисти ясно е,че държавата е абдекирала от въвеждане на електроното правителство,затова вицепримиера Дончев е прехвърлил заместничката на В.Симеонов даотговаря за него.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK