Каква е била целта на хакерската атака срещу НАП?
Руснак, женен за българка, е извършил проникването в сървъра на НАП, твърдят български медии. Но каква е била целта на хакерската атака? Ето какво научихме от Божидар Божанов, експерт по информационна сигурност.
Какво, според Вас, може да се цели с това проникване в сървъра на НАП? Някаква демонстрация? Кражба на лични данни? Прикриване на факти?
Божидар Божанов: Целите може да са много. Беше изказана хипотеза, че има връзка със закупуването на F-16, което е възможно. Но според мен по-скоро някой е искал да демонстрира колко са уязвими системите на държавата. Защото те не са уязвими от днес – уязвими са много отдавна. Миналата година видяхме нещо подобно, което се случи в Търговския регистър. Но явно никой не си е взел поука.
А какво означава това проникване за сигурността на сървърите, на държавните служби и в крайна сметка за личните данни на хората, а и за друга деликатна информация, свързана примерно с националната сигурност?
Божанов: За съжаление е доста притеснително. Не искам да използвам силни думи, но да изтекат толкова много и различни типове данни – не само лични, но и данъчно-осигурителна информация – това е много притеснително. И то да изтекат от институцията, която по принцип се слави с това, че има най-доброто електронно управление и най-добрите информационни системи в сравнение с всички останали. Така че ако НАП е жертва на такава атака, то останалите вероятно са много по-слабо защитени.
Откъде, според Вас, идва атаката – отвън или отвътре? Такива атаки обикновено са проследими по IP-адреса.
Божанов: Не са непременно проследими. Тези, които са извършили атаката, със сигурност са взели мерки, за да защитят своя IP-адрес. А дори този адрес да излезе някъде от Тайван примерно, това може да е някакво прокси, някои VPN (virtual private networks), може да са използвали торн-мрежата – има начини да се скрие кой всъщност стои зад атаката. Има, разбира се, и методи за установяване, има американски компании в това число, които се занимават изцяло с това да показват с висока вероятност кой е извършил атаката. Но стопроцентова сигурност не може да има. Дали атаката е причинена от външен човек – това аз в момента не мога да кажа, нямам достъп до оперативната информация. Тоест, до този момент не е възможно да се установи дали е външна или вътрешна атаката, какви точно са целите. Можем само да коментираме резултата, който е много лош.
А кой е виновен, на кого трябва да се търси отговорност за това проникване? И какви мерки могат да се взимат в бъдеще?
Божанов: Въпросът за вината всъщност е най-важният. Той остана без отговор и в случая с Търговския регистър. Разбира се, винаги можем да кажем, че е виновна фирмата, която е написала системата. Или че системният администратор е проспал нещо. Или пък че виновен е този, който е приел системата, или онзи, който не я е мониторирал. Винаги можем да хвърлим отговорността върху конкретен служител, който нещо не е свършил. Въпросът е обаче дали в държавата има среда за това качествени, кадърни IT-експерти не просто да стоят там, а да си вършат работата на максимума на своите възможности. Разбира се, не казвам, че в администрацията няма качествени експерти – просто те не са мнозинството. И в такава среда е неизбежно да се случи нещо такова. Дали пробивът ще стане в тази система по този начин заради един служител или утре в друга система заради друг служител – това е системен проблем. Това е големият проблем.
А какви мерки трябва да се вземат, според Вас?
Божанов: Сложно е. Всеки такъв проблем, особено в мащабите на държавата, не може да има просто решение. Едно от изискванията в Закона за електронно управление е да бъде създадено едно държавно предприятие, където да могат на пазарни заплати да се привличат специалисти, които да подпомагат държавата в областта на информационната сигурност, в писането на техническите данни, одит и още други неща. За съжаление такова предприятие не е създадено. В самата държавна администрация заплатите са ограничени според класификатора. Да, има начини да се дадат допълнителни материални стимулирания, може би в НАП все пак успяват да си докарат малко по-високи заплати, но те също не са пазарните, които IT-секторът плаща. Той доста сериозно е изпреварил всички останали сектори и плаща заплати, които са няколко пъти по-високи, отколкото в администрацията. И съответно няма как да очакваме наплив на експерти към администрацията.
Божидар Божанов е експерт по електронно управление и информационна сигурност и ръководител на ресор Дигитална трансформация в „Демократична България„.