С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
4 19 юли 2019, 12:33, 7054 прочитания

Ако някой просто спазваше закона

Течът на НАП нямаше да случи, ако на държавата ѝ пукаше за електронното управление

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg

Част от темата

#НАПЛийкс

НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Държавата с най-отворените данни в света

Как България неволно настигна скандинавските страни по публичност на доходите

Тече, всичко тече

Най-интересните моменти от файловете на НАП

"Имаме отличници като НАП, където услугите са тотално електронизирани. Така че твърдението, че нямаме електронно правителство, е в голяма степен невярно. Остават ни две големи неща, които трябва да се случат тази година" - така вицепремиерът Томислав Дончев коментира готовността на държавата да премине в електронно управление. Интервюто, което вероятно е взето преди "НАПЛийкс", излезе в "24 часа" в деня след теча.

От интервюто обаче не става ясно, че няколко седмици по-рано Томислав Дончев е изоставил един ресор, който видимо беше прегърнал - електронното управление. То е поето от неособено популярната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.


В дните след "НAПЛийкс" никой не чу нито Дончев, нито Николова да коментира темата.

Какви са мотивите зад това решение така и не стана ясно, но то е показателно за отношението на държавата към темата.

Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактора - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност.



Бърз поглед върху известните факти по случая показва, че течът в НАП никога нямаше да се случи, ако държавата беше припознала киберсигурността като сериозен приоритет. Или поне спазваше законовите си задължения.

Елементарно, Уотсън

От известните до този момент факти става ясно, че атаката е изключително базова, а защитата срещу нея - елементарна. "От 11-и клас знам какво е SQL injection и оттогава не съм се допускал такава в свой софтуер." Вероятно, ако се занимавах с това в 10-и клас, щях да имам проблеми", коментира шеговито Божидар Божанов - IT специалист, който от 2014 до 2015 г. помага на правителството да изгради стратегически скелет за развитието на електронното управление и киберсигурността.

Той добавя, че защита от подобна атака е проста - "достатъчно е да се съобразиш с десет базови неща".

"Причината е комбинация от силна атака и слаба защита. Системата не е добре защитена. Проблемът не е само в тази институция, а в цялата държава, особено в общините, където хората, разбираемо, са с по-ниско ниво на компетенция", е обобщението на Светлин Наков от SoftUni.

В случая не става дума за находчивост, а за съобразяване със законови задължения. От няколко години съществува закон за киберсигурността, наредба за общите изисквания към информационната сигурност. Последната въвежда базови стандарти за сигурност, които всяка държавна институция трябва да спазва.

"По скалата от 0 до 10 по всичко изглежда, че киберсигурността за държавата като приоритет е между 0 и 1. Въпрос на желание и приоритети е нещо да се промени", коментира Валентин Черноземски от екипа по уеб сигурност на SiteGround.

В опит да обясни причините за пробива министър Владислав Горанов обясни, че течът е станал възможен, защото НАП предлагала множество електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на двигателя с вътрешно горене).

Всъщност държавната администрация има правила, които трябва да предпазват от подобни ситуации.

Текстовете от наредбата за стандартите за мрежова и информационна сигурност и тази за общите изисквания към информационните системи, регистрите и електронните административни услуги въвеждат задължения към администрацията - минимални стандарти на защита, съобразени с международните достижения и криптиране на чувствителните бази данни. В първата наредба са описани няколко възможни заплахи, за които трябва да е подготвена държавната администрация, и една от тях е именно начинът, по който сега беше пробита базата данни на НАП. Тоест правила има, проблемът в случая е, че не са спазени.

Дали държавните институции изпълняват ангажиментите си трябва да следи агенция "Електронно управление", която има дори правомощия да санкционира тези, които не го правят.

Че тази система за контрол не работи, се видя не само покрай теча в НАП, а и миналата година, когато се срина Търговският регистър и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази заплаха също е описана в наредбата, включително има предложения какво трябва да се прави, за да се предотвратят подобни ситуации.

След срива на регистъра през 2018 г. правителството разпореди пълен одит на информационните системи в държавата, който трябваше да бъде изпълнен от агенцията. Подобни заявки имаше и след атаките по време на местните избори през 2015 г.

До редакционното приключване на броя от институцията не отговориха на въпроса какво е установил одитът през 2018 г. по отношение на НАП и дали институцията е спазила задълженията си по наредбата за информационната сигурност.

Нямаме пари

Едно от обясненията на финансовия министър Владислав Горанов беше, че държавата не може да разчита на защита, защото не може да си позволи да наеме скъпоплатени ИТ специалисти.

Първо - тестването на системите за пробиви от типа на SQL injection е на практика безплатно - има достатъчно програми с отворен код, които могат да бъдат използвани от вътрешните IT специалисти за тест.

Второ - от 2013 до 2015 г. НАП изпълнява проект за над 609 хил. лв., финансиран по оперативна програма "Административен капацитет" с предмет "Повишаване на нивото на информационна сигурност и защита на данните в НАП". От "Интегрити консулт" - фирмата, одитирала системите на приходната агенция, съобщиха, че са изготвили изключително задълбочен и остър доклад, който е съдържал препоръки. Системата, през която е станал пробивът, е съществувала към момента на одита, т.е. трябва да е била обхваната от него, а той да е открил пропуските в сигурността ѝ. Това с уточнението, че тестове за надеждност трябва да се правят сравнително регулярно, а от 2015 г., когато е приключил проектът, е минало много време.

Трето - цялостната реформа в електронното управление, започнала през 2015 г., предвиждаше създаването на предприятието "Единен системен оператор", което на практика да обедини всички ИТ специалисти в администрацията и да се занимава с интеграция на информационни системи и електронни административни услуги в държавната администрация, тяхната защита, поддръжка и управление и т.н. Идеята беше то да генерира собствени приходи, като държавните фирми му заплащат разходите, които имат за ИТ поддръжка. Тази реформа обаче беше блокирана впоследствие.

В крайна сметка реформата беше изоставена, а електронното управление стана задача, която никой не желае и по която никой не работи.
Кой е отговорен

Пряко - хакерът.Неговите действия представляват престъпление. Разкриването на чувствителни данни за милиони хора до широк кръг хора със сигурност причинява повече щети, отколкото ползи. Обикновено, ако хакери желаят да действат и изглеждат отговорни, в подобни случаи предпочитат да изтекат данните само към една или няколко избрани медии и да разчитат на журналистическия морал, така че да се извлече само обществено важна информация. Избраният от него подход повече прилича на хвърляне на бомба в търсене на максимални щети.

Оперативно - НАП. На база на публичната информация за действията на хакера повечето експерти оценяват пробива по-скоро като немарливост. А хакерската атака се оценява не като сложна операция, а по-скоро като нещо, което дори и някой със сравнително базови познания би могъл да направи. НАП работи с огромни масиви данни за практически всички граждани и основна грижа трябва да е опазването им.

Политически - Владислав Горанов. Той е министърът, на чието подчинение е НАП и който назначава ръководството й. От досегашните му изказвания той по-скоро приема позиция да се извинява на потърпевшите от теча, но да омаловажава проблема с изказвания, че такива неща се случват постоянно и че след Wikileaks не е имало оставки във ФБР.

Финансово - държавата. След казуса могат да последват дела за причинени вреди и/или колективни искове. На този етап е рано да се прогнозира колко би могло да струва това.

Концептуално - агенция "Електронно управление". Това е институцията, която трябва да следи дали различните държавни органи спазват стандартите за информационна сигурност.

Капитал #29

Текстът е част от седмичния Капитал. В новия брой ще прочетете още:

  • Кой взима летище София
  • Мая Манолова вече загрява за битката с Фандъкова
  • Загуби ли България битката за завода на Volkswagen

Купете

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Вечерни новини: Русия, Китай и Ковачки с интерес към АЕЦ "Белене", "Струма" ще е затворена до края на септември Вечерни новини: Русия, Китай и Ковачки с интерес към АЕЦ "Белене", "Струма" ще е затворена до края на септември

И още: Политолог и анализатор от "института" на Валерия Велева е новият шеф на кабинета на президента; Граждани на ЕС може да нямат право на свободно пребиваване във Великобритания при Brexit без сделка

19 авг 2019, 1436 прочитания

Африканската чума по прасетата влезе в седми свинекомплекс 1 Африканската чума по прасетата влезе в седми свинекомплекс

Фермата се намира в община Ценово, влизат ограничения за областите Русе и Велико Търново

19 авг 2019, 1644 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "България" Затваряне
НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Защо се бавят бързите влакове

КЗК връща в спечелени от чужди компании търгове за нови жп линии играчи като Ковачки, "Водстрой" и "Джи Пи груп"

Сметищата на гнева в Русия

Боклукът се превръща в политически проблем, който канализира недоволството и обединява различни групи около една кауза

България изнася все повече машини и авточасти

Увеличението във външната търговия през 2015 г. идва основно от пазарите на ЕС. Спад има при суровините, но той е ценови

Вдъхновението Хидра

Малкият, но изключително красив гръцки остров е не просто ваканционна дестинация, но и център на модерното изкуство

Лаборатория на края на света

Българската база на Антарктида ще има нова сграда