Божидар Божанов: Кибератаките зачестяват, но все още не може да се каже, че сме в кибервойна

В началото на май направихте нещо близо до призив за мобилизация в сферата на киберсигурността. В кибервойна ли е България?

- "Кибервойна" е термин, който се дебатира широко, и нямам намерението да влизам в този теоретичен дебат в момента. Накратко обаче, той предполага, че действията в киберпространството водят до разрушения във физическия свят. До този момент това не се е случило, за щастие. Така че не, не сме във война, но сме във фаза на засилена киберактивност.

През последната година имаше атаки срещу публични и частни институции в България. Повечето от тях бяхаDDoS атаки (отказ от услуга - бел. авт.). Виждате ли промяна във вида на атаките?

- Има атаки с ransomware (вирус, изискващ плащане - бел. авт.), като тази срещу пощата. Имаше и други, които бяха по-слаби и по-неуспешни. Виждаме и увеличение в капацитета на DDoS атаките, както и засилена активност в други насоки. Това не означава, че такива атаки не е имало и преди - означава само, че сега са по-интензивни и фокусирани, по-добре насочени спрямо конкретни институции, за да доведат до последствия в истинския живот, като спирането на разплащането на пенсиите.

Сега, след като имаме структурирано министерство, което отговаря за киберсигурността, прави ли ни това по-добре защитени?

- Не автоматично. Новото министерство не означава нищо само по себе си, но позитивната страна е, че това вече е тема на масата на Министерския съвет. Преди това киберсигурността беше някъде настрани - нещо, което министрите не гледаха, само от време на време, когато имаше нещо много голямо. Сега тези разговори се водят на най-високото възможно ниво, което е много важно. Всички останали мерки, които взимаме, като сканиране на инфраструктурата ни, тестове за пенетрация, подобряването на софтуера и наемането на нови хора не биха били възможни, ако нямаше одобрение от високо.

Забелязвате ли повишение в броя на атаките от началото на войната в Украйна насам и ако да, това ли е причината? Виждате ли корелация между интензивния политически живот в България и по света и това, което се случва в киберпространството?

- Първоначално не виждахме подобно повишение в киберактивността. Не бих нарекъл атаки опитите за пробив и проверките дали не сме оставили някоя "врата" отключена. Кибератаката е нещо на много нива, не става дума за натискане на копче. Така че в началото не виждахме нещо подобно, но в последните седмици положението се промени. Не само при нас, но и сред останалите на "източния фронт", ако мога да използвам тази реторика. Всички виждаме повече DDoS атаки, ransomware атаки, както и използването на други инструменти от хакерския арсенал. Така че да, виждаме повишение и е много вероятно то да е свързано с войната в Украйна. Източникът също е силно вероятно да е или Руската федерация, или руски хакерски групи. Поставянето на знак за равенство между двете не е задължително правилно, но нямаме достатъчно информация, за да ги различаваме в детайл. Това води до някои извънредни мерки от правителствата в Източна Европа.

Знаем ли с точност откъде идва този зловреден трафик?

- Начинът, по който работи интернет, не ни позволява да кажем с високо ниво на сигурност откъде идва трафикът. Самият той може да идва от всякъде - проверяваме IP адреси, имаме процес по сигнализиране към Екипа за реагиране при инциденти в компютърната сигурност (CERT), какъвто има и в други страни. Така че ако видим 15 американски IP адреса, прехвърляме към тамошния CERT и те проверяват техните доставчици на интернет и ако трябва, ги изключват от мрежата. Взимаме тези мерки, но компрометираните сървъри и крайни точки, понякога и устройства, като рутери например, са по целия свят. Те комуникират с командния център, но самият той не трябва да бъде задължително в Русия, за да се управлява от руснаци. За да знаем със сигурност кой е зад дадена атака, трябва да можем да достъпим този команден център и да видим откъде някой се е логнал, но дори това не ни дава 100-процентов отговор. Казано накратко, има висока вероятност, че този трафик идва от Русия, но няма как да сме 100% сигурни.

Ако вземем атаката срещу "Български пощи" като пример, какво се случи и как реагира правителството?

- Атаката срещу пощите беше ransomware, който криптира сървърите с данни и след това заради много бавната реакция на служителите криптира и бекъп сървърите. Данните бяха загубени и затова ни отне толкова много време. Защо се случи така? Причините са много, но основната е липсата на каквото и да било внимание към киберсигурността. Не би било пресилено да кажем, че в дружеството това занимание е било изоставено и е оставило отворени вратите за пробив. Множество лоши практики като слаби администраторски пароли, липса на антивирусен софтуер на сървърите и други са били налице. Било е много лесно за влизане в системата и криптирането на системата. Защо обаче се е случило от политическа гледна точка - пощите бяха извън всякаква регулация и контрол на киберсигурността, извън закона за киберсигурност и извън компетенциите на ДАНС. Сега предлагаме това да се промени. Иначе картината остава същата - пощата няма ресурса да се защити сама.

Казвате, че става дума за зловреден код, който изисква откуп за декриптирането на файловете. Ще плати ли такъв българското правителство?

- Не. Това е лоша идея, защото дори да платиш, нямаш гаранция, че файловете ще бъдат декриптирани. И да, ransomware е, но това е чадърен термин. Идеята е, че криптира данни и оставя бележка за разплащане, но никой не ни потърси активно да поиска пари, така че може би е просто по-обща атака "ако ни платите, благодарим".

Има ли чувствителни данни, които са били криптирани?

- Системите се връщат обратно онлайн. За момента разчитаме на хартията, за да може да има възможно най-малко проблеми при изплащането на пенсиите в страната. Тази атака има своите последствия, защото хората няма да си получат пенсиите, ако не живеят физически там, където са регистрирани. Колкото до писмата - иронично или не, всички сме виждали тетрадките в пощенските клонове и точно заради тях разнасянето на писма работи. За други данни в пощите се използват отделни доставчици на услуги, а и имаме останал работещ бекъп на около две седмици, така че нещата не са толкова зле и работим по връщането на всичко в нормален режим дори докато си говорим в момента.

Много от проблемите, които се случват и ще се случват в бъдеще, се дължат на стария софтуер, който използват служителите в администрацията, особено в малките населени места. Как може правителството да се справи с този проблем?

- Конкретно при пощите има голям бюджет, записан в Плана за възстановяване и устойчивост, който вече се изпълнява. В по-голямата картина за съжаление не знаем къде има стари компютри. Трябваше да знаем, защото има централизирана база данни, но тя не е била попълвана коректно. Така че имаме някаква идея, но има нужда от много ровене, за да стигнем до полезна информация. Това може да звучи като техническа подробност, но незнанието на правителството какво има и къде го има е проблем за тези политики. Така че първата ни работа е да вкараме базите данни в ред, да ги анализираме и да добавим още данни. Тогава вече ще си направим сметката да махнем компютри на над 7-8-годишна възраст през следващия бюджет.

Преди да станете министър, бяхте изпълнителен директор на компания за киберсигурност. Помага ли този опит или държавната киберсигурност е друга работа?

- За съжаление да, помага. Да бъдеш министър е преди всичко организационна задача. Да се грижиш за такава голяма структура като правителството, трябва да бъде организационна работа, но за съжаление ние нямаме нужните институции, за да прилагат адекватно политиките, така че се налага аз да се намесвам лично. Надявам се, че след мандата ни това вече няма да бъде така, но засега положението е такова и помага, че знам всеки детайл в киберзащитата.

Каква е веригата на комуникация при една атака? Кой отговаря пръв?

- Първо би трябвало CERT да получи сигнал от засегнатата институция и след това да координира с другите релевантни за случая институции. Имаме координационна група, която на практика е общ чат с хора от националната сигурност, министерствата с критично важна инфраструктура, други агенции и т.н. Всички знаят какво се случва и се координираме. Но CERT е институцията, която поема първоначално, и планираме да разширим нейните правомощия, за да може да функционира ефективно.

Работа само на държавата ли е да защитава българската киберсигурност?

- Държавата не може да се справи сама с киберсигурността - нито сега, нито след година, вероятно въобще никога. Част от инфраструктурата е частна и не можем да се месим там. Частният сектор ни помага, включително и в случая с пощите. Помага ни и чрез тестване на приоритетни системи на администрацията от доброволци. Това, което искаме ние от частния сектор, е не само да ни помагат, но и да следят дали тази помощ се използва правилно - дали услугите и продуктите са конфигурирани правилно в дадена администрация. И те го правят.

Имате ли активен контакт с българските компании за киберсигурност?

- Да и това е много важно. Едно е да знаеш детайлите от първоизточника, друго е от написан доклад. Това е важно за мен, за да разбера какво точно се случва или се е случило, да разбера колко е сериозна ситуацията и да вземем правилните мерки.

Интервюто взе Йоан Запрянов