май 26, 2021
Приходните агенции трябва спешно да припознаят киберсигурността за приоритет
Хакерска атака за 3 лева би могла да остави държавата без горива и да манипулира изборите
СВЕТОСЛАВ БЕНЧЕВ
Вероятно всички си спомняме филма “Златното око” с истинския Джеймс Бонд (Пиърс Броснан), в който двама компютърни специалисти, свързани в мрежата, се бореха помежду си за контрола на един спътник, който можеше да подпали поредната световна война. По-късно се появиха и други филми за симпатични хакери, крадящи пари с добри намерения от зли капиталисти, както и за терористи, саботиращи инфраструктурата на държавите с цел някакви изгода за тях или каузата им. Така или иначе образът на информационните технологии като възможност за облагодетелстване или въздействие над обществото бе показан на екрана доста преди реално да се появи в практиката. И докато секторите в икономиката взеха и взимат сериозни мерки срещу кибер заплахите, пандемията отново ги постави в заради необходимостта да предоставят отдалечен достъп на служителите. Това неимоверно увеличи риска от компютърни престъпления, което се манифестира в енергийния сектор с успешната атака над информационната система, управляваща един от най-големите петролопроводи в САЩ, опериран от Колониъл Ойл Индустрис. Последвалият недостиг на горива в някои щати и комичните и апокалиптични картини на хора, зареждащи бензин в найлонови торбички, показаха единствено изключителната сериозност на заплахата, която представляват няколко компютъра и няколко човека, за сигурността на доставките и изобщо за подредения живот, на който сме свикнали. И понеже видяхме какво се случва в една добре развита страна при подобна атака, трябва да се замислим и каква е опасността за нашата страна и дали подобна ситуация е възможна у нас. България е държава, която освен с добре развита ИТ индустрия, се характеризира с почти нулев административен капацитет по темата, което предполагам много хора констатираха и сами след като, подобно на мен, откриха изтеклите си лични и други данни при хакерската атака над НАП.
И тук някой би попитал какво общо има хакерската атака над един петролопровод и компетентността на държавната ни администрация да опази личните ни данни? Как това може да се окаже свързано със сигурността на доставките на горива в страната? Пък и нали, въпреки всичко, ние сме все още “аналогова” държава по същността си, което впрочем се установява лесно, още повече като се има предвид развитието на електронното ни правителство и способностите за предоставяне на административни услуги по електронен път. Всъщност описаните неща са изключително свързани, както показа и един съвместен проект между петролната индустрия, експерти по киберсигурност и държавната администрация, под егидата на британското посолство, провел се преди около две години.
Както вероятно е известно на широката публика, всички икономически оператори на нефтопродукти в страната са свързани по електронен път, по един или друг начин, с приходните администрации. За данъчните складове, упражняващи търговия на едро, съществува връзка между тях и Агенция “Митници”, а обектите за търговия на дребно, съхранители и ползватели за собствени нужди са привързани към Националната агенция за приходите. Системите на двете администрации са свързани една с друга с цел сверяване на подадената от операторите информация, както и за вътрешен контрол. Неработоспособността на всяка от тях е сериозна предпоставка за затрудняване на бизнеса и снабдяването с енергийни продукти. Проектът, реализиран преди време, обаче извади на показ много по-сериозните импликации от проблемите при електронната връзка между икономически оператори и държавната администрация.
Целта на разработката, част от международен тест за информационната сигурност на енергийните системи на държавите в ЕС, бе да покаже готовността на реакцията при кризисна ситуация, състояща се от пробив в киберсигурността. Представители на индустрията, службите за сигурност, приходните администрации и информационните специалисти трябваше да разиграят сценарий за саботаж на системите за предаване на данни към НАП и Агенция “Митници”. Според изградения сценарий това се случваше в период преди дълъг уикенд, в който се очаква много граждани да пътуват извън големите градове и седмица преди провеждането на парламентарни избори в страната, за които предварително бе постъпила разузнавателна информация за опит от трети страни за влияние на крайния резултат чрез фалшиви новини.
Резултатите от упражнението бяха близо до плачевните – оказа се, че в рамките на 24 часа страната е напълно блокирана и без никакви запаси от горива, като на 48-ия час няма нито една бензиностанция, която да разполага със запас от енергийни продукти. Още по-притеснителен бе фактът, че всичко това бе предизвикано без никаква софтуерна намеса, а постигнато единствено с хардуерен саботаж на стойност …3 лева. Беше констатирана и липсата на каквато и да е било структура за реакция от страна на приходните администрации (лица за контакти, верига на предаване на информацията). Още повече, че през почивните дни компетентните служители от агенциите не работят. Неприятно също бе и създаденото усещане, че някои държавни служители нямаха особено доверие на своите колеги от индустрията, които по-скоро подозираха в измама, отколкото да ги възприемат като част от решението на задачата. Бяха отчетени и много технически проблеми при осъществяване на контрола от страна на митниците и НАП, които все още предпочитам да не разкривам. Тук може би е мястото да се припомни и онзи казус, който бе обявен преди време, за ползването на една проста парола за достъп до системата на митниците, използвана от множество служители и несменяема, за да се помни лесно.
Най-неприятното от цялото упражнение все пак не беше толкова фактът, че може да се създаде сериозна криза с доставките. Макар и със затруднения до 5 дни, според симулацията, доставките се върнаха на сравнително нормални нива. Основният проблем бе създаването на предпоставки за граждански размирици, както и за влияние на чужда страна над вътрешнополитическите процеси в България. Според участващите експерти по сигурност подобна ситуация би повлияла върху резултатите от изборите с над 85% вероятност. На 55% се оцени риска от размирици и протести, вследствие и на разпространението на фалшиви новини. Иначе казано, още веднъж бе доказано, че енергийните доставки са неизменна част от националната сигурност.
Разбира се, промени бяха направени с оглед подобряване на сигурността оттогава, но част от проблемите продължават да бъдат актуални и продължават да висят като Дамоклев меч над индустрията и страната. Със съжаление може да се констатира, че все още държавата гледа малко пренебрежително върху този аспект, а именно киберсигурността на системите за контрол на НАП и митниците. Все пак нека напомним, че освен създаване на кризисна ситуация, данните предавани към приходната администрация могат да бъдат обект на интерес и с други цели. Те съдържат търговски тайни, които могат да бъдат използвани и за промишлен шпионаж. Също така и за саботиране на дейността на конкурент или друго неудобно лице. Поради важността на системите за контрола над приходната част от бюджета, индустрията няма достъп до тях и функционирането им. В този смисъл специалистите от частния сектор не са запознати как да реагират при проблем и липсата на ясна организация не подпомага процеса.
Какво всъщност трябва да се направи?
На първо място, държавата най-сетне трябва да даде приоритет на киберсигурността. Досега системите на приходните администрации се градяха върху принципа „да осигурим приходи в бюджета и да контролираме лесно“. Всичко се изграждаше бързо, в кратки срокове, с единствена цел да се представи готов продукт за контрол, който просто да предава някакви данни, независимо как и колко са защитени. Изключително необходимо е да бъдат оценена информационната сигурност на системите и да бъдат взети мерки за защита им, а бъдещите промени в тях да се разглеждат и от този ъгъл, като той бъде водещ при взимането на решение.
На второ място, са необходими и промени в Закона за киберсигурността. Той създава една изключително тромава структура за реакция, недобре замислена и в европейската директива, която е транспонирана. Трябва да бъде засилена нормативно връзката между администрация и бизнес чрез изграждане на бърза структура за реакция, състояща се от по-ниски управленски нива, която да е способна да прецени сериозността на проблема и при необходимост да го ескалира нагоре по веригата.
На трето място, трябва да се промени мисленето в държавната администрация. В повечето случай на индустрията се гледа с подозрение, като на разбойник, целящ да открадне от държавните приходи. Разумни предложения се отхвърлят, тъй като не се разбират и се преценяват като странни, защото идват от бизнеса. Тук е мястото да се спомене и необходимостта от кадри в митниците и НАП, които да са информационно компетентни и да могат да взимат решения, а не да ги предлагат на своите началници, които в повечето случаи не ги оценяват поради неразбиране или други мотиви. Проблем, разбира се, е и по-ниското заплащане за ИТ специалист, който работи за държавната администрация в сравнение със заетите в частния сектор.
На четвърто място, може да се отбележи още една важна тема, а именно необходимостта от учения и обучения, които да се провеждат на определен период от време. Чрез тях могат да се откриват пропуски и да се коригират бързо, за да не се допускат проблеми в сигурността. Също така подобряването на комуникацията между различните участници в процеса е от изключителна важност. Очевидна е необходимостта от по-добра кооперация между индустрия и държава особено при реакция в момент на криза, в която нито една от страните не може да се справи сама, а залогът е сигурността на държавата.
Хубаво би било поне част от изложените предложения да станат реалност и то в близко време, за да не се окажем един ден в ситуацията на средностатистическия американец с няколко найлонови пликчета с бензин, обграден от още няколко наши сънародници със сопи, на които вече знаем ЕГН-тата и данъчните задължения, желаещи да отмъкнат драгоценните торбички, за да се приберат в София или Пловдив.
More Details
