Ако някой просто спазваше закона

Исторически погледнато, интересът към ИТ в държавната администрация е провокиран от два основни фактора - корупционният заряд на обществените поръчки в сектора и възможностите за контрол над информацията. На този фон някъде назад остават грижите за ефективни електронни услуги или информационна сигурност.

Бърз поглед върху известните факти по случая показва, че течът в НАП никога нямаше да се случи, ако държавата беше припознала киберсигурността като сериозен приоритет. Или поне спазваше законовите си задължения.

Елементарно, Уотсън

От известните до този момент факти става ясно, че атаката е изключително базова, а защитата срещу нея - елементарна. "От 11-и клас знам какво е SQL injection и оттогава не съм се допускал такава в свой софтуер." Вероятно, ако се занимавах с това в 10-и клас, щях да имам проблеми", коментира шеговито Божидар Божанов - IT специалист, който от 2014 до 2015 г. помага на правителството да изгради стратегически скелет за развитието на електронното управление и киберсигурността.

Той добавя, че защита от подобна атака е проста - "достатъчно е да се съобразиш с десет базови неща".

"Причината е комбинация от силна атака и слаба защита. Системата не е добре защитена. Проблемът не е само в тази институция, а в цялата държава, особено в общините, където хората, разбираемо, са с по-ниско ниво на компетенция", е обобщението на Светлин Наков от SoftUni.

В случая не става дума за находчивост, а за съобразяване със законови задължения. От няколко години съществува закон за киберсигурността, наредба за общите изисквания към информационната сигурност. Последната въвежда базови стандарти за сигурност, които всяка държавна институция трябва да спазва.

"По скалата от 0 до 10 по всичко изглежда, че киберсигурността за държавата като приоритет е между 0 и 1. Въпрос на желание и приоритети е нещо да се промени", коментира Валентин Черноземски от екипа по уеб сигурност на SiteGround.

В опит да обясни причините за пробива министър Владислав Горанов обясни, че течът е станал възможен, защото НАП предлагала множество електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на двигателя с вътрешно горене).

Всъщност държавната администрация има правила, които трябва да предпазват от подобни ситуации.

Текстовете от наредбата за стандартите за мрежова и информационна сигурност и тази за общите изисквания към информационните системи, регистрите и електронните административни услуги въвеждат задължения към администрацията - минимални стандарти на защита, съобразени с международните достижения и криптиране на чувствителните бази данни. В първата наредба са описани няколко възможни заплахи, за които трябва да е подготвена държавната администрация, и една от тях е именно начинът, по който сега беше пробита базата данни на НАП. Тоест правила има, проблемът в случая е, че не са спазени.

Дали държавните институции изпълняват ангажиментите си трябва да следи агенция "Електронно управление", която има дори правомощия да санкционира тези, които не го правят.

Че тази система за контрол не работи, се видя не само покрай теча в НАП, а и миналата година, когато се срина Търговският регистър и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази заплаха също е описана в наредбата, включително има предложения какво трябва да се прави, за да се предотвратят подобни ситуации.

След срива на регистъра през 2018 г. правителството разпореди пълен одит на информационните системи в държавата, който трябваше да бъде изпълнен от агенцията. Подобни заявки имаше и след атаките по време на местните избори през 2015 г.

До редакционното приключване на броя от институцията не отговориха на въпроса какво е установил одитът през 2018 г. по отношение на НАП и дали институцията е спазила задълженията си по наредбата за информационната сигурност.

Нямаме пари

Едно от обясненията на финансовия министър Владислав Горанов беше, че държавата не може да разчита на защита, защото не може да си позволи да наеме скъпоплатени ИТ специалисти.

Първо - тестването на системите за пробиви от типа на SQL injection е на практика безплатно - има достатъчно програми с отворен код, които могат да бъдат използвани от вътрешните IT специалисти за тест.

Второ - от 2013 до 2015 г. НАП изпълнява проект за над 609 хил. лв., финансиран по оперативна програма "Административен капацитет" с предмет "Повишаване на нивото на информационна сигурност и защита на данните в НАП". От "Интегрити консулт" - фирмата, одитирала системите на приходната агенция, съобщиха, че са изготвили изключително задълбочен и остър доклад, който е съдържал препоръки. Системата, през която е станал пробивът, е съществувала към момента на одита, т.е. трябва да е била обхваната от него, а той да е открил пропуските в сигурността ѝ. Това с уточнението, че тестове за надеждност трябва да се правят сравнително регулярно, а от 2015 г., когато е приключил проектът, е минало много време.

Трето - цялостната реформа в електронното управление, започнала през 2015 г., предвиждаше създаването на предприятието "Единен системен оператор", което на практика да обедини всички ИТ специалисти в администрацията и да се занимава с интеграция на информационни системи и електронни административни услуги в държавната администрация, тяхната защита, поддръжка и управление и т.н. Идеята беше то да генерира собствени приходи, като държавните фирми му заплащат разходите, които имат за ИТ поддръжка. Тази реформа обаче беше блокирана впоследствие.

В крайна сметка реформата беше изоставена, а електронното управление стана задача, която никой не желае и по която никой не работи.