Експерт по киберсигурност алармира: Сменете си всички пароли
Държавата трябва да инвестира повече, за да опазим данните от атаки на Черните шапки, убеден е спецът Любомир Тулев
Любомир Тулев е завършил Академията на МВР. Магистър по право от ЮЗУ „Неофит Рилски“. Бил е разузнавач в отдел „Киберпрестъпност“ при ГДБОП-МВР.
Участник в стотици международни разследвания за киберпрестъпления и криминалистични експертизи в тясно сътрудничество с ФБР, Европол, Интерпол.
Активен член и обучител в Международната академия за обучение по киберпрестъпления. От 2017 г. е водещ експерт по киберсигурност в Amatas.
Инструктор към международната организация EC Council, пише "Марица".
- Неизбежни ли са подобни пробиви и течове на данни като този в НАП?
- България няма как да бъде остров на спокойствието на фона на цялата глобална заплаха от кибератаки. Няма как да гарантираме 100-процентова киберсигурност. Ако някой каже, че може да я подсигури - със сигурност лъже. В тази ситуация трябва да положим максимални усилия, за да сведем до минимум изложеността ни на подобни атаки.
А и да не забравяме, че и най-голямата банка в САЩ Capital One бе хакната още през март. Според авторитетни медии като Си Ен Ен, Би Би Си, Ройтерс става въпрос за теч на данни - на над 100 млн. граждани на САЩ и на още 6 млн. в Канада.
Изтеклата информация съдържа Social Security numbers (социалноосигурителни номера), имена и дори номера на кредитни карти. А това не е единственият подобен случай, просто информацията за този съвпадна по време с теча от НАП у нас.
Да, случаят с изтичането на информация от НАП е безпрецедентен за България - за първи път ставаме свидетели на теч на данни за 5 милиона души. Но сравнен със световните мащаби - теч на информация на 5 милиона души е далече по-малък, отколкото на 106 милиона.
В никакъв случай не омаловажавам случилото се с данни в НАП, но течове има и в държави, които несъмнено отделят много повече финансови средства за защита от нас.
- Бихте ли определил обаче пробива в НАП като кибертерор?
- Според световните стандарти хакерите са 6 категории,3 от които са най-известни - Black Hat, Grey Hat, White Hat: Черни, Сиви и Бели шапки, както е правилното наименование. У нас придобиха популярност наименованията Бели, Сиви и Черни хакери.
Всички използваме едни и същи инструменти, едни и същи техники на атака - и Белите шапки, т.е. експертите по киберсигурност, добрите, и Черните шапки, лошите.
Разликата е в мотивацията, в спазването или не на разписаните процедури и правила. Ако ги спазваш, не тестваш пробив в компания или институция без тяхното съгласие и разрешение, което те превръща в Черен хакер и деянията ти стават наказуеми.
Разбира се, какво точно е извършила въпросната компания, неин служител, дали са спазени тези процедури и правила, е въпрос на доказване от компетентните органи.
Дали това представлява терористично действие - аз съм по-скоро скептичен да го категоризирам така. Но ако се докаже, че служител или служители са атакували компании, след което са да ги уведомявали за открита уязвимост с оферта за киберсигурност - това е неспазване на етичните правила, подобни действия са незаконни.
- Доколко страхът на гражданите, чиито данни са изтекли, е основателен?
- По-скоро съм склонен да кажа не. В изтеклата информация в този огромен масив от данни има имена, ЕГН-та, адреси за някои потребители, за някои - имейл адреси, пощенски кутии респективно, пароли. За някои има и т.нар. данъчна информация за доходи, платени данъци. Да, притеснително е, че е изтекла информация за 5 млн. граждани.
Но действията, които могат да се направят с едно име и ЕГН, са много ограничени в момента.
След вдигналия се медиен шум след тази хакерска атака банковите институции няма да си позволят да отпуснат кредит без точно спазване на правилата.
И никой нотариус няма да рискува с незаконни действия, които да го изложат на опасност от повдигане на обвинения.
Основание за притеснение са по-скоро изтеклите имейл адреси и пароли, използвани за логване в тази система. Лоша практика за много потребители е да използват една и съща парола за различни акаунти - поща, профили. Така че бих препоръчал гражданите да си сменят паролите на абсолютно всички акаунти, които ползват в своята онлайн идентичност.
В момента всеки недоброжелател може да отвори архива, да види паролата, да разбие пощенската кутия на гражданина Х и да открадне цялата му кореспонденция, дори да започне кореспонденция от негово име.
Това е едната опасност заради изтеклите пароли, с които гражданите са се идентифицирали при влизане в системата на НАП.
Друга опасност е да започнат масово т. нар. спам или фишинг кампании. Нищо чудно някой от хакерите да яхне вълната и да започне да праща фишинг мейли до потребители с призив да кликнат някъде, за да проверят дали техните данни са сред изтеклите. А след клик на въпросния линк потребителят може да бъде отведен на място, контролирано от хакер, след което да бъдат източени още техни лични данни.
А и тази информация може да бъде използвана от конкурентни фирми за шантаж.
Телефонни измамници, обикновени крадци също могат да ползват изтеклата информация за адреси и доходи, за да набелязват своите жертви много по-целенасочено.
Така че сменете паролите и бъдете много внимателни с всякакви получени съмнителни имейли, особено на тематика НАП.
- Какви са основните уроци от атаката?
- Твърди се, че НАП не са имали необходимите имплементирани предпазни системи. Ако наистина се окаже, че не са имали всички тези устройства като Firewall, IDS, IPS и прочие, това означава, че, за съжаление, са дали много лесен достъп на хора с технически знания и умения да осъществят подобна хакерска атака.
Държавата трябва инвестира повече в киберсигурност. Т.е. инсталирането, подновяването на всички тези системи, които боравят с лични данни на български граждани, внедряването на различни хардуерни и софтуерни решения за инспектиране на трафик, за защита на тези системи от външни намеси - всичко това е много необходимо да се направи - не само в НАП, а във всички държавни институции.
Държавата трябва да засили превенцията, да инициира тестовете за проникване, т.нар. пен тестове, одити на системите да се правят редовно. Излезе информация, че одит на тази система в НАП не е правен от години.
А според стандартите такива одити трябва да се правят един, дори два пъти годишно.
Притеснява ме дали няма и други Черни шапки, които много преди този случай са успели да направят подобен пробив - на бази данни в други държавни институции, които са държали за тяхна лична употреба. И да продължават да ги ползват!
За съжаление, няма как да знаем дали нещо подобно не се е случило, ако не се прегледат и анализират логовете на трафика на всяка институция, потенциална жертва.
- Достатъчно добри ли са кадрите ни, които се занимават с киберсигурност?
- България е една от страните, в която много световни компании прехвърлят своите колцентрове и отдели за защита.
Страната ни очевидно се слави с добри специалисти.
Имаме кадри, които биха могли да работят за защита на критични структури. Проблемът отново опира до финанси и мотивация - IT специалисти, които работят в държавните институции, за съжаление, получават понякога 3-4 пъти по-малко, отколкото биха получили в частна компания навън.
А освен добра заплата добрият специалист има нужда техника и устройства за киберсигурност, за които са нужни значителни средства.
- Белите или Черните шапки са повече у нас?
- В България не са много компаниите, тясно специализирани в киберсигурност. Може би са 4-5 компаниите с отдели, които се занимават с професионална киберзащита. Това са т.нар. Бели шапки, експерти, призвани да работят за повишаване на киберсигурността.
Отделно всяка компания разполага с назначени служители, които играят ролята на Бели шапки. Ако за тях може да се извлече макар приблизителна бройка, за съжаление, нямаме точна представа колко у нас са Черните, т.е. злонамерените хакери. Със сигурност едва ли са малко.
Известни сме с кадърните си професионалисти, но и доста често наши хакери биват залавяни при осъществяване на т.нар. кардинг операции, скимиране на кредитни карти, разбиване на сайтове. Очевидно имаме доста хора с наклонности към черно хакерство.
- Как да се пазим в компютърната джунгла?
- В дигиталния 21. век няма как да избягаме от електронната джунгла, но трябва да направим всичко възможно да я защитим от външна злонамерена намеса.
Течове на данни са се случвали, случват се и ще се случват - в ЕС, в САЩ, в държави, които инвестират много повече от нас в киберсигурност. Място за паника обаче няма. Нужни са мерки за максимална защита в държавните институции, които боравят с наши лични данни.
В България от 2018 г. действа закон за киберсигурност, но отделни държавни институции явно не спазват разписаните правила за защита. Ако те бяха спазвани, най-малкото щяхме да затрудним до голяма степен подобен опит за хакерска намеса отвън.
През 2018 г. влезе в сила GDPR Общият регламент за защита на личните данни на ЕС, чиято цел е да принуди компаниите и институциите, които боравят с лични данни, да са доста по-ангажирани с тяхното правилно опазване.