16 Юли, 2019 19:15 8 352 33

Експерт по киберсигурност за ФАКТИ: Държавни структури неглижираха сигналите ни

  • нап-
  • атака-
  • сървър-
  • лични данни-
  • хакери-
  • киберсигурност-
  • експерт-
  • асен кехайов

Личните данни на хората вече са в пространството и връщане назад няма

Експерт по киберсигурност за ФАКТИ: Държавни структури неглижираха сигналите ни - 1
Снимка: НБУ
ФАКТИ публикува мнения с широк спектър от гледни точки, за да насърчава конструктивни дебати.

Вчера стана ясно, че хакери са пробили един от сървърите на НАП, а пробивът води след себе си и до придобиването на огромни масиви лични данни на български граждани от страна на въпросните хакери, които пък според думите на министъра на вътрешните работи Младен Маринов, са от Русия. От ФАКТИ не се поколебахме да потърсим експертно мнение и го срещнахме в лицето на експерта по киберсигурност Асен Кехайов, който освен, че има опит в тази област, в момента и развива собствената си компания InForce Cyber, която има свои офиси в САЩ, щата Тексас, град Далас, а също така и в столицата на България София.

- Г-н Кехайов, какви са причините да се стигне до този пробив в сървър на НАП, от който сървър да бъдат придобити незаконно данните на милиони българи?

- Като цяло за да стигне дотук реално се е минало през една поредица от пропуски. Поради незнание, поради нехайство, поради липсата на разбиране на дадения проблем. В повечето случаи аз обичам да правя аналог на киберсигурността със заболяванията. Болестите, за които всеки ден чуваме и които в общи линии повечето от нас не познават в детайли, докато един ден поради лошо стечение на обстоятелствата не ни сполети една такава болест. Тогава започваме да проучваме, да се интересуваме, да сме внимателни. За жалост същото се случва в сферата на информационната сигурност, боравенето с лични данни, критична информация, съхранението и трансфера на такава информация.

Всичко това върви по един плавен и добър начин, докато в един хубав светъл ден не се появи лошият черен каскет или хакер, който иска да ни навреди. Той срива всичко, срива нашия хубав ''розов'' свят и в случая, така че повечето от тези проблеми и в частност проблема с Министерство на финансите и тези данни на милиони българи и чуждестранни граждани, които са били компрометирани, реално са изложени на риск точно поради тази причина. Моят опит показва, че докато някой не е сериозно ''опарен'' от дадена групировка или просто хакер, който иска да навреди, няма как да очакваме той да подобри защитата на своята информация и на информацията на своите клиенти.

В случая клиентите сме ние, гражданите. Това се случва по цял свят, не е нещо, което е само в България, но в държави като Америка, която дълги години е основна цел на подобни хакерски атаки, забелязваме едно по-високо ниво на зрялост, тъй като доста от техните агенции, институции, частни фирми, са се ''парили'' и то сериозно. Виждали са какви могат да бъдат последствията от подобна атака. Говорим за пагубни последствия за частния бизнес, говорим за банкрут, сриване на репутация, абсолютно затваряне и заличаване на дадена компания. Що се касае до държавните структури - губене на доверието на гражданите, финансови загуби и куп други проблеми. От тази гледна точка мисля, че просто ние сме в един етап на развитие и на съзряване относно нивото на нашата информационна сигурност. В момента поемаме силните удари и започваме да осъзнаваме мащаба на риск, който стои пред нас.

- Чувал съм, че системите и сайтовете на държавните институции са по-слабо защитени и уязвими от компаниите в частния сектор. Можете ли да потвърдите подобно твърдение?

- Покрай кампания, който проведохме като частна фирма, кампания свързана със запознаване на различни държавни и частни структури с риска, който стои пред тях. Проведохме едно безплатно проучване и тестване на техните сайтове и разбрахме, че в крайна сметка сериозни пропуски има, както в държавните, така и в частните структури. Не мога да кажа, че едните са по-уязвими от другите, тъй като нямам възможност да определя точната бройка, но определено в частния сектор се забелязва по-голяма зрялост, говоря за малките и средни фирми, които започват развитието си и ползват услугите на компетентно лице, в повечето случаи препоръчан от някой или лице, което е препоръчано от много хора.

Частният сектор определено събира повече информация за даденото лице, което ще отговаря за новия уеб сайт, за неговите компютри, преди да го наеме. В държавните структури определено има лица, които са назначени там, може би повече от тях са от доста години, тези лица в повечето случаи няма кой да ги контролира. Ъпдейтите и тренингите, които получават според мен не са достатъчни или навременни в случая. Там се следва една стара практика, която в случая вече води до сериозни проблеми. Доста от сайтовете, които прегледахме, свързани с някои държавни структури, бяха уязвими, а най-лошото в случая е, че самите структури неглижираха нашите сигнали, както и сигналите на много други наши колеги и граждани. Това е най-лошото. Не е проблемът в това, че ти си уязвим, всеки може да изпадне в такава ситуация, в момент на невнимание да остави системата в риск и пряка заплаха.

Най-хубавото е, когато хората са отворени към това да подобрят сегашната си позиция на система за сигурност и да оправят нещата. В случая с държавните структури - не забелязваме подобно поведение. Поне с повечето, с които сме комуникирали, е така. От моя опит мога да кажа, че там има сериозни проблеми. Най-важното е, че тези държавни структури работят с лична информация на много голям брой българи, чуждестранни граждани и там данните са наистина критични. Давам за сравнение една фирма имаща в сайта си форма за записване, която включва email address, име и телефон. Това да кажем е информацията, която те съхраняват, а от друга страна за сравнение имаме базата данни на НАП, която съхранява много по-критична, сензитивна информация като ЕГН, адреси, всякаква информация относно приходи и данъци, които са плащани. Наистина там целта на хакерите е доста по-видима, тъй като това са бази данни, изключително привлекателни за продажба, за предлагане на ''черния'' пазар и съответно едно компрометиране на подобна база данни би довело до финансово облагодетелстване на извършителя, който стои зад това, било то един човек, било то група.

- Какви са мотивите на хакерите в конкретния случай според Вас? Користност или демонстрация?

- В повечето случаи виждаме три основни типа хакери. Ще запозная аудиторията с тях, за да стане ясно нататък за самата цел на отделните категории. Първите, които са ''белите шапки'', аз и моите колеги се числим към тях. Това са всички хора, които се занимават с тестване, легално тестване на информационни системи с цел подобряване на тяхната сигурност и реално репликиране на възможни атаки от зловредни хакери. Репликирането им е в една контролирана среда, с цел да се тества, да се направи един своеобразен стрес тест на сегашната система за сигурност, за да може собственикът на тази система да подобри каквото е възможно и да заздрави пролуките в своята сигурност.

От другата страна имаме и ''черни шапки''. Основна тяхна цел е да придобият финансова облага от компрометирането на различни бази данни, различна сензитивна информация придобита по нелегален начин, чрез похвати, които се използват от ''белите шапки'', но в същото време не са разрешени от собственика на самата информация. Базите данни в случая се изтеглят и информацията се пренася на носител, който е собственост на зловредния хакер. Това при ''белите шапки'' е минимизирано и в никакъв случай информацията, чиято сигурност се тества, не трябва да бъде компрометирана по никакъв начин. Там се следват стриктни процедури.

Третият вид са ''сивите шапки'', а те са точно тази тънка линия между ''черното'' и бялото''. Имат възможността да направят изключително много поразии, но те се придържат към това да променят облика на даден сайт например, като целта може да е изобличат някого, да му дадат урок, което само по себе си е незаконно, но в същото време не им носи почти никакви финансови облаги. Тези хакери, ''черните шапки'', правят всичко възможно, било то по поръчка, предварително заплатена от някаква организация, правителство, или по собствено усмотрение, тоест вътрешно организационно решение, което води до предприемането на зловредни действия срещу опредена цел. Това са двата варианта, или някой ще им плати да навредят на някого, да източат дадена сензитивна информация, или те самите ще решат да направят това нещо с цел след това да продадат дадената информация. В първия случай, когато някой им плаща, също не се изключва след като са изтеглили дадената информация, те да я продадат на ''черния'' пазар, тъй като контролът там е изключително труден, а пък и моралът на подобни групи е на доста ниско ниво. Не може да се очаква високо ниво на чест и доблест.

Случаят с откраднатите от НАП данни прилича на атака от типа на ''черните шапки'', но вече какви са подбудите, националността, дали е един човек, дали е група - не мога да бъда сигурен. При всички положения обаче едни такива незаконни действия, с похвати приложени по начина, по който собственикът на информацията я губи без да е дал позволение за това нещо - определено говори за ''черни шапки''. Има ги и така наречените групи, които се водят ''хактивисти'', тези групи се борят за някаква идеална цел, кауза, поддържат някаква теза и всичко, което правят, независимо дали е разрешено от закона или нелегално, е точно с цел подкрепа, разпространяване и популяризиране на подобна кауза. Пример може да се даде с организацията ''Anonymous''.

- По всяка вероятност потърпевшите хора ще обвинят и ще търсят отговорност от държавата. Всъщност проблемът само на нехайство ли се дължи или и на това, че услугите за качествена и адекватна поддръжка на информационната сигурност са скъпа услуга за страни като нашата?

- Отново от собствен опит бих казал, че инвестицията в един екип, в зависимост от нуждите на самата организация, но да кажем екип до 100 човека, който е изключително комплексен, разделен на различни звена вътре в екипа, ръководен от лице, което е дългогодишен специалист в областта, със сериозен опит и ясна визия за нещата. Създаването на един такъв екип, а аз съм участвал в такъв и съм бил в едно от основните звена, доведе всъщност до изключителното подобряване на сигурността на една световна организация, най-голяма световна организация в една конкретна сфера. Също така освен подобряване нивото на сигурност, се покачи и доверието от страна на партньори и клиенти, постъпленията многократно се завишиха.

Ние бяхме подложени на множество тестове, с които показахме, че сме способни да хванем наистина комплексна хакерска атака. Да я спрем, да идентифицираме източника и да запазим информация. Такъв вид инвестиция, било то от частна структура, билото от държавна такава, винаги има възвращаемост. Да, тя е в дългосрочен план, няма как такава инвестиция да се възвърне за една или две години, но в същото време се вижда как ефективността е на изключително високо ниво. Говорим за процеси, които са до голяма степен автоматизирани. Аз и повечето ми колеги ползвахме специални софтуери, написано от нас или купени от големи производители, с които ние автоматизирахме работата си, ускорявахме производителността и един човек вършеше работа като за петима.

Гледайки от тази гледна точка и в същото време знаейки как в държави като САЩ се подбират кадри за тяхната Агенция за национална сигурност, виждам, че инвестицията в подобни кадри, внимателният подбор, съвместната работа с частния сектор и групирането на един екип хора, които са изключително добри в това, което правят, води до изключително положителни резултати. В случая на хака, който беше срещу Министерство на финансите, са загубени едни изключително големи масиви от данни, които в крайна сметка не могат да бъдат възвърнати. Тоест вашата лична информация вече е в пространството, тя бива търгувана, хора знаят за нея, хора знаят адреса ви, хора знаят ЕГН-то ви - от това връщане назад няма. Тук вече самото изчисляване на загубите трябва да стане много внимателно, защото не трябва да се смята само финансовият аспект на нещата, но и загубата на доверие в случая от гражданите. Купищата дела, които ще бъдат повдигнати, най-вероятно и вече се водят срещу Агенцията, както и в дългосрочен план това до какви загуби би довело.

В крайна сметка едно добро партньорство между държавните и частни структури, инвестиция от държавата в силен екип, който да бъде мотивиран да работи дълго време, да се развива в дадената държавна структура, а не да бъде просто назначен и след кратко време да напусне тази структура за да търси реализация в частна организация, където условията са много по-добри. Това наистина би допринесло за подобряване на сигурността и то подобряване до такава степен, че да има видими резултати. Когато една държава има добра и силна система за сигурност, всички други звена работят много по-добре и гражданите имат доверие в институциите. Пестене на средства и нехайство не бива да има. Надявам се след нещата, които се случиха и най-вероятно тепърва ще се случват, съответните хора и органи да взимат бързи и компетентни решения, съгласувани с голям брой професионалисти в областта.


Поставете оценка:
Оценка 4.8 от 19 гласа.


Свързани новини


Напиши коментар:

ФAКТИ.БГ нe тoлeрирa oбидни кoмeнтaри и cпaм. Нeкoрeктни кoмeнтaри щe бъдaт изтривaни. Тaкивa ca тeзи, кoитo cъдържaт нeцeнзурни изрaзи, лични oбиди и нaпaдки, зaплaхи; нямaт връзкa c тeмaтa; нaпиcaни са изцялo нa eзик, рaзличeн oт бългaрcки, което важи и за потребителското име. Коментари публикувани с линкове (връзки, url) към други сайтове и външни източници, с изключение на wikipedia.org, mobile.bg, imot.bg, zaplata.bg, bazar.bg ще бъдат премахнати.

КОМЕНТАРИ КЪМ СТАТИЯТА

  • 1 Лекар БГ

    38 0 Отговор
    Кибер Чернобил?!
    "Дъжвната"ни...сигурност-гарантирана от Правителството на ГЕРБ!
    Поредното безобразие на картинките.
    И най-лошото-крият,лъжат и мажат за мащаба на щетите.

    Коментиран от #8, #24

  • 2 видимите резултати

    49 0 Отговор
    В администрацията е пълно с мъжки и женски калинки, нямащи си хал хабер от това, което работят.
  • 3 партийни калинкина важни постове

    37 2 Отговор
    Пак руските хакери ще са виновни и ... лично Путин ще ги е пратил да разбият НАП....
  • 4 Све

    38 4 Отговор
    ДОКАТО МУТРИТЕ СА НА ВЛАСТ , НА ТАЗИ ДЪРЖАВА 1 ЛЕВ НЯМА ДА ПЛАТЯ ДАНЪЦИ. ТАЗИ ЧЕСТ ОСТАВЯМ НА ТЪПАЦИТЕ
  • 5 Кой68

    25 1 Отговор
    С опорните точки не проумяха че този проблем си го влачим от 20 години та и повече.Тази сигурност се прави с много пари,а парите вместо да се влагат отиват в нечии джоб......
  • 6 Гост

    28 0 Отговор
    Искам да си сменя личните данни

    Коментиран от #13

  • 7 426

    31 1 Отговор
    Ми видехме колко сте компетентни, 5000000 егн-та на показ със инфо, в България само говорене и никва работа!!!
  • 8 бл.134 в Зап. парк

    18 2 Отговор

    До коментар #1 от "Лекар БГ":

    Българската маймуна е най-голяма .България на 6 морета
  • 9 така е

    28 0 Отговор
    ДОБРЕ ЧЕ ИЗЛЕЗНАА ТЕЯ ДА НИ КАЖАТ ЧЕ СМЕ ОСТАНАЛИ 5 МИЛИОНА А НЕ 7 МИЛИОНА КАКТО ТВЪРДЯТ ГРОБ

    Коментиран от #14

  • 10 Този коментар е премахнат от модератор.

  • 11 С помощта на Екимджиев

    22 3 Отговор
    Адвокат днес подадох жалба до съда в Страсбург! Според правилата за gdpr и неадекватността на управляващите да се справят с опазването на личните ми данни, за което плащам данъьи, ще осъдя България на яко обезшетение! Вие всички ще платите малоумието на Бойко Мутраков
  • 12 Странен

    16 2 Отговор
    Какво казва нашата еврокомисарка по електринните въпроси? Някой пита ли я какви ще са санкциите от страна на ЕК спрямо България?! Не си мислете, че ше се размине току така.
  • 13 BAMBAM

    9 0 Отговор

    До коментар #6 от "Гост":

    ДА , СМЕНИ СИ ПОЛА . . . . .И ДАННИТЕ СА ТИ СМЕНЕНИИИ !!!

    Коментиран от #16

  • 14 Ппп

    7 6 Отговор

    До коментар #9 от "така е":

    Над 18 години регистрирани в НАП са 5млн, но ако се махнеш от БГ вместо да хейтиш платено, няма да се промени числото, защото явно не работиш в белия сектор.
  • 15 Неглижирали

    7 0 Отговор
    Е как не, като са некомпетентни и прости!
  • 16 Гост

    3 1 Отговор

    До коментар #13 от "BAMBAM":

    Щом при тебе е станало, значи и при мен ще мине😂
  • 17 бай онзи

    8 1 Отговор
    тоя нахилен лаладжия е готов за политиката - дрън дрън локуми и нищо съществено
  • 18 Иван

    1 0 Отговор
    Даги маха веднага кадърни хора трябва там?
  • 19 Този коментар е премахнат от модератор.

  • 20 Този коментар е премахнат от модератор.

  • 21 Иван

    0 0 Отговор
    Махаи ги веднага останат ли герб щегуби електорат?
  • 22 гост

    3 0 Отговор
    прост народ слаба държава
  • 23 Русе Буда Хаус

    9 1 Отговор
    В системата на Еконт всеки пубер и прошляк на тезгяха ви вижда на екрана имената, ЕГН, телефон и дреса, когато изпращате нещо (задавате ги за пръв път като изпращате и остават в системата). Защо и ЕГН - никой не знае. Също когато отидете да изпратите нещо отново момченцето на компютъра пак ви гледа всички данни. Може да ви търси в системата им. Познавам момченца, които са намирали пички по тоя начин. Не че нещо, нали само да ви кажа, че във впоулгария нямате и елементарно понятие от защита на данните, които задавате и които фирмите раздават на най-низшите си подчинени.

    Коментиран от #33

  • 24 Този коментар е премахнат от модератор.

  • 25 829

    4 0 Отговор
    Аман от експерти вече втори ден! Осрала се работата и веднага се намират 10 експерта да теглят локуми. Къде бяхте досега? Евтин ПР е това.
  • 26 Казват от властта

    2 0 Отговор
    Кибер атака и това означава,обираме ви кибер
  • 27 Marinov

    6 0 Отговор
    Младежа си прави самореклама и си търси работа. Но НЕ е капацитет в областите за осигоряване на сигурността на електронни системи и носители.
    Такива в БГ БОЛ и затова сте на такова дереже ??? Без ЕДИННА Електронна и Осигурителна система за Държавните Учреждения Винаги ще може да има Изтичане и Маниполиране на тези системи и Информации?
  • 28 Сульо

    7 2 Отговор
    Всеки глупак под 25 г стана рязко "експерт по сигурността". Затова сме на това дередже с киберсигурноста. Щото всеки завършил курсове в Горно нанадолнище или онлайн менте курсове става "експерт"и се надува"И като дойдат истинските хакери му го набиват....
  • 29 Експерт

    5 0 Отговор
    Стига с тия експерти и супер разбирачи от компютърна техника. Само малоумници,затова се стига до тук. Не ви ли е ясно,че когато даден сървър има достъп до интернет, винаги ще може да се хакне,ако ще и NASA,да го защитава. Само затворен вътрешен сървър не се хаква, защото няма връзка с външния свят,тогава само вътрешно лице,може да изнася информация. Всичките програми за защити имат вътрешни вратички за изнасяне на информация,създадени от самите тях. Проблемът не е как да защитите нещо, което не може да се защити, а да се промени начина на използване и съхраняване на информацията, "специалисти" такива смешни. И само се правят всякакви протоколи, указания, заповеди, кризисни групи и центрове, от пълни дебили,неразбиращи абсолютно нищо от кибератаки и защити,за да се имитира дейност. Голяма работа е станала,че някой си е взел някакви ЕГН та,пълна простотия, вдигнахте толкова шумотевица,все едно идва края на света. Ето до такива неща водят електронните ви глупости,които бързате да създавате навсякъде във всички институции, освен че до абсолютно нищо положително не водят, само вредят и усложняват нещата. Ама нали трябва да усвоите едни пари от ЕС.
  • 30 NOV

    1 0 Отговор
    kakvito upravnicite takiva i,,SPECIALILISTITE,, abe vcicki ste ,,00,,....wc s kupeni diplomi kradeni pari v afrika
  • 31 Йозеф

    1 0 Отговор
    В един миг цялата GDPR политика за България изгуби смисъл.
  • 32 923

    0 0 Отговор
    Да не се изключва и версия с предателство, работещи в НАП, държани служители, политици, IT бизнес, дори да не се изклучва и интервюирания. Ако е вярно, което хакера казва за себе си, лесно е да се открие, малко са българки женени за руснаци.Един уважаващ себе си хакер няма за се издаде така нелепо. Има вероятност да е ала Сноудън история.
  • 33 .....

    1 0 Отговор

    До коментар #23 от "Русе Буда Хаус":

    Еконт искат и лични карти даже.