🗞 Новият брой на Капитал е онлайн >>
Технологии

Как се прави държавна киберсигурност

България се справя успешно с повишената киберактивност през последната година

Атанас Мазнев, зам.-министър на електронното управление, и Петър Кирков, национален координатор по киберсигурност
Атанас Мазнев, зам.-министър на електронното управление, и Петър Кирков, национален координатор по киберсигурност
Атанас Мазнев, зам.-министър на електронното управление, и Петър Кирков, национален координатор по киберсигурност    ©  Цветелина Белутова
Атанас Мазнев, зам.-министър на електронното управление, и Петър Кирков, национален координатор по киберсигурност    ©  Цветелина Белутова
Бюлетин: Вечерни новини Вечерни новини

Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"

Темата накратко
  • България се справя успешно с повишената киберактивност през последната година.
  • След изтичането на данни от НАП държавата вкарва минимални изисквания за хардуер, софтуер и информационна защита.
  • Администрацията има проблем с недостига на кадри.

Може да изглежда хаотично на повърхността, но България има своя работеща система за държавна киберсигурност - закони и институции, чиято цел е да не позволят падането на критично важни системи, изтичането на данни и, казано накратко, да изградят цялостна защита на администрацията. След година на засилена недобронамерена киберактивност покрай руската инвазия в Украйна може да се каже, че вече има и немалко доказателства за твърдение, което до неотдавна можеше да събуди само присмех: България се справя добре с киберзащитата си.

Причините за възможния присмех се дължат преди всичко от един огромен пример: през 2019 г. държавата беше направена за смях (и може би малко плач) заради хакването на НАП и изтичането на данните на милиони българи, живи и мъртви, от данъчната агенция. Но всъщност именно този инцидент води до приемането на добавки към Закона за киберсигурност (ЗК), които предвиждат различните нива на администрация да покриват базови изисквания по отношение на софтуера, хардуера и мрежите си.

Разбирането как работи системата на държавната киберсигурност е особено важно сега, когато интернет е все повече място за политически кибератаки, а не просто поле за изява на престъпници, които търсят финансова облага. "Преди атаките бяха предимно с финансов характер, тоест идеята бе от тях да се изкарват пари. Сега те имат политически характер с цел да се дестабилизира управление или сектор от живота", казва Атанас Мазнев, зам.-министър на електронното управление с ресор киберсигурност. На практика той отговаря за държавната киберсигурност още от 2018 г., когато става зам.-директор на предшественика на МЕУ, Държавната агенция "Електронно управление".

Да благодарим на ЕС и НАП

"Държавната киберсигурност лежи върху основата на членството ни в Европейския съюз. Когато влязохме в ЕС, България прие онези регламентиращи документи и директиви, които обуславят какво е киберсигурността и как да се пазим", казва Мазнев.

Тази основа от текстове обаче се оказва недостатъчна, когато става дума за практическа защита. През 2015 г., по време на местните избори и референдума за електронно гласуване, сайтовете на ЦИК, МВР и други институции са свалени. Важното уточнение е, че те не са пробити - няма изтичане на данни, или, казано най-общо, "хакване". Първата аларма обаче вече бие.

Второто предупреждение идва през 2019 г., когато до медиите са разпратени няколко архива с лични данни от НАП. Последва медиен цирк, в който обвинени са млад компютърен специалист и компанията, за която работи - TAD Group. Фирмата фалира, шумът утихва, обвинителен акт никога не е внесен, но поуки все пак са взети. След като през октомври 2018 г. влиза в сила законът за киберсигурност, през юли 2019 г., след атаката по НАП, е приета и наредбата за минимални изисквания за мрежова и информационна сигурност.

Друго важно събитие след случая с НАП е, че държавната компания "Информационно обслужване" поема изцяло IT обслужването на ключови министерства и агенции. Тогава решението е прието по-скоро критично (включително от "Капитал") заради възможността за корупционен елемент. В крайна сметка то е по-скоро позитивен развой на събитията, защото поръчките на хардуер и софтуер вече стават през хора, които действително се занимават с това, а не от неподготвени за дейността административни кадри.

На базата на тези нормативни актове и решения държавата разработва единна стратегия за киберсигурност, в която в момента влиза не само МЕУ, но и ДАНС, МО и МВР заедно с подзвена като ГДБОП и КИС. Последното обновление на стратегията е от 2021 г. Формира се и Националният екип за реагиране на киберинциденти - CERT, каквито екипи има в повечето развити страни. Работата му е да анализира даден инцидент и да обменя информация с ЕС, така че заплахите да бъдат задържани на място.

Всеки малък инцидент

"Не всичко е атака, затова ползваме термина "инцидент". Когато се случи такъв, организацията има два часа да уведоми CERT. Може да има заплаха и без да има атака - например технически дефект също нарушава сигурността на информацията", казва Петър Кирков, който от края на 2022 г. е национален координатор по киберсигурност.

Както личи и от титлата му, Кирков е свързващото звено между всички институции и лица, които отговарят за киберсигурността. Пред "Капитал" той обяснява, че, най-общо казано, държавната киберсигурност работи преди всичко като имунна система, която събира информация за един инцидент и я разпространява, така че останалите институции да бъдат подготвени.

Мерките са разделени на два вида. Едните са предварителни - спазването на минималните изисквания, проверки и евентуално глоби. Когато обаче все пак се случи инцидент, започва координация между българските институции и споделянето на информация с останалите CERT екипи в ЕС. Но както казва и Кирков, възможността за превантивни мерки е силно ограничена заради конституционните права на организациите.

"Киберсигурността е отговорност на всяка организация. Често ме питат: "Вие какво правите, за да пазите", но ние следваме конституцията, в която е заложена независимост на всяка организация. Ако ние трябва да пазим някой, трябва да поемем контрол. Ако поемем контрол, няма независимост. Затова те трябва да могат да се грижат сами за себе си", казва Кирков.

Когато един инцидент е прекалено голям, е възможно да бъде свикан и Съветът за киберсигурност, който е "почти като КСНС". Ако бъде взето политическо решение, може да се търси и помощ от ЕС. България до този момент не е стигала до финалния етап с външна помощ, но други страни, например Финландия, са търсили международна кооперация.

Кирков обяснява, че технически е възможно държавата и сама да следи за някои видове атаки, например чрез мониторинга на трафик, но този подход невинаги работи. "Понякога звъним ние, за да попитаме всичко наред ли е, понеже някой сайт е офлайн или виждаме огромен трафик", казва Кирков.

Атанас Мазнев добавя, че държавата има изричната отговорност да следи трафика на институциите, които използват публично-частния облак на България. "Държавата, логично, се грижи за държавната инфраструктура. При частните нямаме такъв ангажимент и те са отговорни сами за себе си."

Има, разбира се, и изключения. През есента на 2022 г. например бе атакувана разплащателната система на БОРИКА, която е част от списъка със стратегически обекти, макар да не е държавна собственост. В този списък влизат още организации като "Български пощи", БДЖ и Столичен градски транспорт.

Проблемът с кадрите

Според закона във всяко ведомство трябва да има поне един служител по мрежова и киберсигурност. Този санитарен минимум обаче е само това - санитарен. Когато става дума колко технически специалисти, които се занимават професионално с киберсигурност и код, има в държавните структури, Кирков отговаря кратко - недостатъчно.

Проблемът е очевиден. Заплатата на държавните служители е регламентирана и съответно значително по-ниска от тази в частния IT сектор. Държавата успя да се справи частично с проблема с програмистите чрез "Информационно обслужване", която работи на търговски принцип и заплатите са по-високи от тези в администрацията. Не така стоят нещата, когато става дума за хора на място, още повече в малки общини например.

Отговорът на този проблем е, че държавата си създава кадри, много от които след това напускат и отиват в частния сектор. Атанас Мазнев казва, че това невинаги е минус, защото тези специалисти остават свързани с администрацията, дават обратна връзка и помагат дори когато вече имат нов работодател.

Петър Кирков добавя, че това не е локален феномен. "В Европа наскоро имаше изследване за недостига на IT кадри в администрациите. Продължаваме да работим с университети с идеята такива специалисти да се създават. Ясно е, че ние вече научени не можем да си намерим", казва той. Самият Кирков е извървял пътя наобратно - той е бивш мениджър по киберсигурност в "Телелинк".

Когато разговорът се връща към темата за държавната киберсигурност на практика, двамата са на мнение, че много хора подценяват държавата и нейните възможности. Понякога това са самите граждани на България, но понякога са и чуждестранните хакери. Дават за пример атаките срещу държавни сайтове през есента. Някои от тях свалят за кратко страницата на президентството например, но повечето са неуспешни. "Понеже държавата се защити адекватно, те бяха пренасочени към медии и транспортни фирми, за да има някакъв ефект от тях", казва Кирков.

Мазнев добавя, че макар да е доволен от нивото на защита на България, случващото се в ресора му е прекалено динамично. "Атакуващите се променят, опитват се да бъдат гъвкави и ние реагираме. За нас има само една стопроцентова гаранция, че сме защитени - когато вземем сървъра и го заключим в касата", казва той с усмивка.

Киберсигурност за бизнеса
Специално издание

Киберсигурност за бизнеса

февруари 2023

Към изданието Специалните издания могат да се свалят само от регистирани потребители или абонати. /.

Все още няма коментари
Нов коментар

Още от Капитал

Home, smart home

Home, smart home