Защо падат държавните IT системи
Краткотрайните затруднения в достъпа до системата за издаване на сертификати се обяснява с масиран зловреден трафик срещу страната
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
Дигиталните системи на държавните институции са под атака вече шести ден, което води до сривове в здравно-информационната платформа, тази за електронни рецепти, сайта на Плана за възстановяване и др. Държавната компания "Информационно обслужване", която поддържа всички тези системи, казва, че срещу България има насочен огромен зловреден трафик, който в пиковия момент е достигнал "безпрецедентните за България 405 гигабита в секунда".
Атаките са от типа DDoS (distributed denial-of-service; отказ от услуга - бел. авт.), при която срещу дадена система се насочва фалшив трафик, който тя не може да поеме и съответно не може да се използва от реалните си потребители. Това например води до проблеми с ваксинацията и изваждането на сертификати в момент, когато много повече хора се интересуват и от двете заради въвеждането на изискването за зелен сертификат на затворени места през миналата седмица.
От "Информационно обслужване" казаха в петък, че макар някои атаки да са пробили защитите им, те са успели да отблъснат над 400 други такива. "Враждебните кампании от типа "отказ от услуга" (DDoS) към портала his.bg започнаха по обяд на 20 октомври 2021 г., в деня на оповестяването на новите епидемични мерки. Цитираните над 400 злонамерени атаки са в периода 20.10.2021 г. - 22.2021 г., но продължават и през уикенда, а също така и през днешния ден", коментираха от "Информационно обслужване" в отговори към "Капитал" в понеделник.
Кой и от къде
Настрана от сухата статистика обаче, казусът поражда и въпроси, особено като се има предвид, че едва миналия месец друга държавна институция - Националният статистически институт (НСИ), бе атакувана по същия начин, като цитираният трафик през септември бе 276 гигабита в секунда. Тогава фалшивият трафик срина платформата за електронно преброяване и се наложи НСИ да удължи първоначално поставения срок.
Първият въпрос без ясен отговор е откъде и от кого идва атаката. В петък "Информационно обслужване" посочи като географски източници на атаката Русия, САЩ и Бразилия. Пред "Капитал" от компанията правят уточнението, че "трафикът се пренасочва от компютри по целия свят". Няма директен отговор на въпроса на какъв принцип са атаките - свалянето на здравно-информационната система изглежда логично за атакуващите, но сайтът на Плана за възстановяване, от друга страна, е далеч от критична инфраструктура.
В специализирани форуми и групи за софтуерни разработчици се изразяват и съмнения доколко цитираният трафик е истински, предвид че няма достъп до преки доказателства за него. Те обаче нямат и никакви доказателства за съмненията си. Още през септември, след атаката срещу НСИ, имаше противоположни мнения дали посоченият трафик е истински предвид мащаба му. Според двама експерти от компании за киберсигурност, с които "Капитал" говори, подобни обеми са реалистични, а големият проблем с DDoS атаките в момента е, че те са сравнително евтини и дават резултат, когато са масирани.
България вече има опит с организирани атаки срещу свои системи - такива имаше през 2015 г., веднага след референдума за електронно гласуване, когато почти цялата дигитална инфраструктура на страната бе свалена. Четири години по-късно, през 2019 г., тогавашният директор на отдела "Киберпрестъпления" към ГДБОП посочи за извършили руската хакерска група Fancy Bear.
Този горчив спомен, който постави под съмнение доколко българската държава може да се справи добре с електронен вот, повдига и друг въпрос - дали предстоящите парламентарни и президентски избори в средата на ноември са застрашени, при условие че "Информационно обслужване" отговаря за обработката на резултатите от тях. Краткият отговор е "не", защото системата за обработка не е свързана с интернет и всичко се случва офлайн.
Третият и най-важен въпрос е за нивото на киберсигурност в страната. Заради липсата на достатъчно информация, настрана от публикациите и официалните отговори от пресцентровете, твърденията за брой атаки и мащаба им не може да бъдат потвърдени. Възможност за изискване на информация би имал парламентът, но такъв по-често няма, отколкото има.
"Информационно обслужване" е централна институция за държавната киберсигурност, след като в края на 2019 г. чрез закон компанията бе направена единствената обслужваща за повечето важни институции в държавата. Аргументът за това бе всички системи да се управляват от едно място и да са под един стандарт.
6 коментара
Хубаво, ама въпроси всеки си задава, а отговори няма :)
Слаба статия.
Авторът е можел да поиска подробности и доказателства от ИО, в подкрепа на твърденията им, или поне да търси екпертно мнение извън ИО.
Звучи повече от съмнително как в момента, в който тръгне или се засили интереса към някаква електронна услуга и изведнъж тръгват ДДоС атаки към нея.
Каква мотивация може да има някой да пречи временно на хората да се преброят или изтеглят документ?!? Не можеш да плащаш твърде дълго за такава атака, това струва пари. Много по-вероятно звучи да се е сринала системата, заради лошо оразмеряване и ИО просто да лъжат за причината, особено след като никой не ги притиска за доказателства.
Здравейте,
По подробна информация може да получите от тук - https://www.is-bg.net/upload/2394/ddos-systems-1.4.pdf. По отношение възможността изобщо да можем да засечем атака с такъв размер, то това е възможно защото имаме договор с една от най-големите американски компании в света за DDoS Mitigation and Protection. По отношение на това как е направена система - на 25.10. имаме изтеглени сертификати през публичният портал над 262 000 БР. Общо за 5 дни под атаките - над 700 000 БР. Отделно от сертифилатите са еРецепти - на месец над 60 000бр. или над 7 500 000бр. от началото на февруари.
До коментар [#] от "":
До коментар [#] от "":
И линкът ви даже не работи (връща 404) :-(
Еми нали знаете колко са рецептите и колко сертификата има в системата? Що не е оразмерено всичко както трябва? Ами да си ги бяхте подготвили още докато се ваксинират хората с регулярни job-ове и да ги има генерирани и дистрибутиране в CDN.
Какво ми цитирате хиляди документи издадени при положение, че това е целта на системата. 700хил. документа са 10-20 документа в секунда. Гооляяямааааа работа. За някой дето взема милиони на месец трябва да може да смогне. Май DDoS хакерите са само във вашите очи и глави.
До коментар [#] от "":
https://www.is-bg.net/upload/2394/ddos-systems-1.4.pdf
Очевидно системата е оразмерена супер, при положение, че поема този трафик!
До коментар [#] от "":
По отношение на това, че атаките са в нашите глави, Ви каня в офиса, за да Ви ги покажем на “живо”. В случай, че имате желание, моля да се свържите в нас.
Нов коментар
За да публикувате коментари,
трябва да сте регистриран потребител.