IT спец за хакера, разбил НАП: Удари България с бича на 21 век! Но не е сигурно, че е...
Според световни проучвания подобно изтичане на данни, включително и за Уикилийкс, се извършва от вътрешен човек, заяви доц. Георги Павлов
Подценяването на киберсигурността се превръща в бича на 21 век. Според световни проучвания подобно изтичане на данни, като това в НАП, включително и за Уикилийкс, се извършва от вътрешен човек. Важно е да се разбере каква е била целта - дали да се компрометира НАП и събираемостта на агенцията. Това каза преподавателят по киберсигурност доц. Георги Павлов.
Кой е той?
Доц. Георги Павлов е доктор по системи за автоматично управление. Възпитаник е на ТУ, специалност „Автоматика и телемеханика”.
В катедра „Национална и регионална сигурност” в УНСС води курсове по информационни технологии, мобилизационно планиране, корпоративна сигурност и защита на информацията.
Изненада: IT спец разкри кой е хакерът, ударил НАП (ВИДЕО)
През 1989 е ръководил колектив във Военния научноизследователски институт на Генералния щаб, който е награден от началник-щаба на въоръжените сили на Варшавския договор.
Участва като експерт по проекти, финансирани от фонд „Научни изследвания“ към Министерство на образованието и науката (2006) и Световната банка (2003), бил е член на Академичния съвет на Военна академия, научен секретар на Института за перспективни изследвания за отбраната и ръководител на секция „Анализ на ресурсите за отбрана”. Съосновател е на клуб MENSA България (1994), бил е съветник на заместник-министъра на отбраната.
Автор е на над 130 публикации.
Ето какво заяви още той в интервю, което даде пред в. Монитор:
- Доц. Павлов, как ще коментирате изтичането на данни на милиони български и чужди граждани. Безпрецедентна ли е тази атака?
- За мен случилото се е недопустимо. Факт е, че всички сме уязвими и няма 100-процентова сигурност. Но от гледна точка на процедурите, които се изискват по новия Закон за защита на личните данни, би трябвало вече да сме постигнали нужната защита. Най-важното е, че данните за вашите имена трябва да са в един сървър или файл, а тези за местообитанието ви като физическо лице, ако щете къде живеете, да са в друга база. Тоест, ако това е изпълнено, което е едно от задължителните изисквания, би следвало да се очаква, че ако изобщо се стигне до изтичане на информация, то ще е преди влизането в сила на закона на 25 май 2018 година. Затова очаквам специалистите да кажат дали е така. Тълкуванията отстрани са едно, но истината е съвсем друго. Ние имаме програма за управление на киберсигурността, която стартираме тази година точно с идеята хората да се подготвят по тези въпроси и да спазват правилата. Като дългогодишен одитор съм имал ситуации, в които констатирам, че всичко необходимо е направено, за да мине одитът, но след това не се спазва. Типичен пример е случаят със сървърите на Агенцията по вписванията. Това са едни от хората, които съм обучавал, и те бяха изключително добре подготвени. Затова контролът трябва да е по-сериозен.
Ексклузивно: Проговори хакерът, ударил НАП
- Но на какво според вас се дължи тази атака? Според някои е дело на вътрешен човек. И как си обяснявате, че конкретни медии получиха мейл, за който се твърди, че е от хакера, извършил атаката. Доколко смятате това за достоверно?
- По принцип изследванията, които са извършвани по света, доказват, включително и за Уикилийкс, че източването на такива данни се извършва от вътрешен човек. Тъй като не е възможно толкова дълго време да има пробив, през който да изтича информацията. Става дума за данни на милиони души по света. Представете си колко време трябва да е повреден този сървър.
- В конкретното писмо обаче се посочва, че е имало такъв пробив и преди време, но никой не е разбрал. Възможно ли е?
- Имаше съобщение преди години, че има проблеми с някои от електронните услуги, но колегите би трябвало да са се справили. Как стаят нещата към днешна дата, че е имало проблеми и ще продължава да има, това е ясно.
- Безпрецедентна ли е тази атака обаче? Според някои ваши колеги такива има всеки ден, но не стигали до медиите.
- Не бих използвал определение като безпрецедентна, но мога да ви дам пример с Пентагона, където има 50 000 атаки годишно. Ние едва ли сме толкова интересни колкото Пентагона, но все пак явно някой се опитва да пробие в системата. За мен по-интересно е каква е целта. Трябва да се мисли най-вече върху това. Първо нека да се установи дали наистина става дума за руски хакер, защо се намесва руска следа и какво се цели с атаката - да се компрометира НАП и по принцип събираемостта на агенцията ли? Върху това трябва да се помисли, защото не е сигурно, че информацията е изтекла през сайта. Ако той не е бил добре защитен, е възможно да изтече информация. Аз също подавам декларациите си по електронен път.
- Беше коментирано, че повечето данни са за 2007 година, има и по-нови, но общо взето са за този период, как си го обяснявате?
- Нормално е сега данните да са по-защитени, което подсказва идеята, че всъщност сме се справили с проблема и комисията по защита на личните данни са си свършили работата. Също така си зададох въпроса и дали не е добре да се попита и самото Информационно обслужване, тъй като те са държавното обединение, което се грижи за тези системи.
- Но не изключвате ли и хипотезата да е работено дълго време по тази атака, защото става дума за данните на милиони хора? Според някои експерти най-вероятно става дума за възрастен човек.
- Това е психологическият профил, който бе изтъкнат от някои институции. За мен е важно това, че ако хората, които обучаваме, спазват правилата, това не би се допуснало. Така че като институции трябва да работим върху превенцията. Колкото повече хора подготвим да се справят с проблема, толкова по-добре. Ако информацията е изтекла през вътрешен човек, това може да стане и за 3 минути. Точно така се случи с данните на Уикилийкс, които са класифицирана информация.
Хакнатата папка KRASI на НАП пази тайните на целия политически и административен елит у нас
- Защо превенцията обаче продължава да ни куца, при условие че имаше промени в закона?
- Ако се окаже, че атаката е след приемането на европейския регламент, предстоят сериозни санкции, които трябва да плащаме всички ние. В комисията за защита на личните данни би трябвало да имат отговор.
- Какви са конкретните стъпки, които сега трябва да се предприемат?
- Първо да се установи реално кога е извършена атаката и тогава ще се предложи и решението. Все пак става дума за държавен проблем и стигаме до разговора за националната сигурност, въпреки че не става дума за класифицирана информация, защото тогава влизаме в тази хипотеза. Явно тези, които работят в съответната дирекция в ДАНС, се справят по-добре, отколкото други страни по света, което е добър атестат при липсата на кадри. Но е добре да се изясни какво точно се е случило. Вярвам, че специалистите от ГДБОП ще се справят.
- Как ви се струва разпращането на такъв мейл до определени медии, достоверен ли е?
- Бих го определил като вид хибридна война, не става дума за нормална ситуация. Няма доказателства, че е бил хакер. Мой колега също каза, че данните му са изтекли, но това са само предположения. Би трябвало да се справим с тези проблеми.
- Превръща ли се наистина в бич проблемът с киберсигурността в 21 век? Някак си много лековато започнахме да си говорим през ден за изтичане на ЕГН-та, на други лични данни.
- Да, така е. Трябва да се вземат сериозни мерки и навсякъде да има такива специалисти. Това е причината да открием и такава магистърска програма, за да подготвим повече хора. Имам чувството, че у нас проблемът се подценява, никой не иска да дава пари за сигурност и това води до случилото се. Представете си, че на всяка фирма й трябва поне по един специалист и ще видите колко кадри са ни необходими. Дори и да има желаещи в близките десет години няма как да ги подготвим.
- Защо в 21 век ни заляха с фалшиви новини, изтичане на лични данни?
- Това е проблем, който според мен първо трябва да се изследва, да разберем състоянието му у нас. Дори вие, медиите, се затруднявате да отсеете фалшивата от истинската новина.
- Трябваше ли обаче да се случи подобна атака, за да ни светне червената лампичка?
- Тя вече няколко пъти светва, но няма резултат досега. А и представете си, че нарушителят бъде хванат, смятате ли, че ще бъде осъден по нашето законодателство? Едва ли. Мога да ви дам един пример. Задавали ли сте си въпроса защо на практика нашата система за граждански отчет на населението няма хакерски атаки. Причината е, че е криптирана отдавна и дори някой хакер да извлече информацията, той не може да направи нищо с нея. Също така в нашия университет нанасяме оценките със съответния подпис, който също е криптиран. Така резултатите няма как да бъдат достъпни. Трябва да се отчита, че светът е глобален. Стига се до един момент, че парите, които струва подобна хакерска дейност, са много повече от тези, които ще дадем за защита. Така че е добре да разсъждаваме от икономическа гледна точка. Има дори фирми, които плащат на хакери, за да видят дали могат да пробият системата им и да разберат къде са слабите им места. Така се постигат резултати.