Кибер(не)сигурност за милиони

Скандалът с хакерската атака срещу НАП, при която изтекоха личните данни на 5 млн. българи, засега се върти основно около разкритието на прокуратурата, че това е дело на фирмата за киберсигурност "ТАД Груп", която се занимавала с киберрекет. В цялата суматоха около първия предполагаем случай на кибертероризъм в България (каквито обвинения отправи прокуратурата) на най-заден план остана онова, от което всъщност тръгна цялата история.

"Правителството ви е бавноразвиващо се. Киберсигурността ви е пародийна", гласеше мейлът, изпратен до редакции на български медии с линк към източените данни от Националната агенция по приходите (НАП), която дори не бе разбрала какво й се е случило.

Разбира се, че е важен въпросът дали някой, който смята да злоупотребява с тези данни, би предупредил, че разполага с тях, или целта е била дестабилизиране на правителството. Но не по-малко важен е въпросът как въобще е била защитена ключова институция като НАП, на която реално се крепи държавният бюджет, а от там и функционирането на правителството и държавата като цяло.

Фактът, че кибератаки стават навсякъде, не е кой знае колко голяма утеха, нито пък оправдание за несвършена работа. Защото едно е да си направил всичко възможно да предотвратиш подобни опити, а друго е да съчиниш обяснението, което даде финансовият министър Владислав Горанов: "Ако си оставите колата отключена, това не ви прави виновен, ако някой ви я открадне".

По 5 млн. лв. годишно за киберзащита

Отговорна за защитата на действащите информационни системи на администрациите в България е Държавна агенция "Електронно управление" (ДАЕУ), създадена със закон в края на 2016 г. Тя се занимава с развитието и поддръжката на техническата инфраструктура, информационните центрове и комуникационната мрежа на администрацията. За тези си дейности агенцията е изхарчила над 10 млн. лв. от държавния бюджет през 2017 и 2018 г., сочат данни, предоставени от Министерския съвет на Mediapool.

Какви средства са отивали за киберсигурност в държавата преди създаването на ДАЕУ, никой не е следил през годините. Причината е, че тези разходи не са били отделени от останалите текущи и капиталови разходи на администрациите и не са били следени отделно, обясниха от Министерския съвет.

Съвсем отделно обаче са парите, които всяка администрация и община влагат за разработване, внедряване, поддръжка и надграждане на системите си за мрежова и информационна сигурност. Каква е общата сума на национално ниво трудно може да се обобщи, тъй като става въпрос за хиляди обществени поръчки, обявявани през годините, част от които по специален режим, тъй като изпълнителните им трябва да имат одобрен достъп до класифицирана информация от Държавната агенция "Национална сигурност" и Държавната комисия за сигурност на информацията.

Пробивът в НАП вероятно ще доведе до въвеждане на нови мерки за сигурност, което означава нови разходи.

Нови мерки и разходи срещу хакерски атаки

След хакването на НАП всички държавни и общински институции са получили указания от ДАЕУ да повишат нивото на мрежовата и информационната сигурност. Всяка администрация има срок до края на август да изготви план с необходимите мерки и тяхното прилагане да бъде остойностено. След което ще се извърши анализ и ще се прецени дали да се искат допълнително средства от бюджета за засилване на киберсигурността и какъв да е техният размер, казаха от агенцията пред Mediapool.

Успешната хакерска атака срещу НАП практически разкри не само слабостите в системата за киберсигурност на НАП, но и че държавните пари за защита от хакерски атаки се харчат със съмнителен ефект.

Предстои да се види дали и как случаят с НАП ще спомогне за повишаване на защитата на електронните административни системи – все пак правителството афишира,че смята да продължава да развива електронното публично управление. За целта обаче трябва да върне доверието на хората, предоставящи цялата информация за себе си при онлайн комуникацията с институциите.

"Когато говорим за киберсигурност, трябва да се има предвид, че се касае за прилагане на комплекс от мерки и действия за защита на киберпространството от заплахи, свързани с независимите мрежи и информационна инфраструктура на държавата, които могат да нарушат работата им", посочват от Министерския съвет.

Все още сигурност на теория и на хартия

В същото време обаче правителството не се е разбързало особено в прилагането на собствените си разпоредби за киберсигурност. В края на октомври 2018 г. бе приет Закон за киберсигурност, регламентиращ как администрациите да организират киберзащитата си и да противодействат на киберпрестъпността. Два месеца след публикуването на закона, което става в началото на ноември 2018 г., трябваше да се приеме методика за определяне на оператори за съществени услуги за киберзащита, след още три месеца да се определят тези оператори, които може да са както частни, така и държавни фирми, и те да влязат в регистър, воден от ДАЕУ.

Към момента такъв липсва на сайта на агенцията. В същото време при срок за изготвяне шест месец след обнародването на закона, едва миналия петък – 26 юли, е публикувана наредба на Министерския съвет с мерките за киберсигурност, регламентираща действията на администрациите за защита от хакери, зловреден софтуер, криптиране на данни и резервиране и архивиране на информацията.

Изискваният по закон Съвет за киберсигурност към МС все още не е сформиран, стана ясно от отговори на Държавната агенция "Електронно управление" до Mediapool. Той трябва да се ръководи от определен от премиера вицепремиер и да подпомага правителството в

управлението и организацията на системата за киберсигурност. Според ДАЕУ предстои създаването на този съвет, чийто членове ще бъдат министрите на вътрешните работи, на отбраната, на външните работи, на финансите, на транспорта, на енергетиката, на здравеопазването, на околната среда, както и шефовете на държавните агенции "Национална сигурност“ и "Разузнаване“. Кога ще стане това, не е ясно.

Няма също така публична информация страната ни да е подхванала проекти по киберотбрана, каквато възможност има по линията на членството си в НАТО и ЕС.

Законът за киберсигурност предвижда страната да информира ЕС и НАТО за пробиви като този в НАП и да търси тяхната помощ.

Още на 16 юли, в първия ден след новината за хакерската атака, докато властите все още бяха сигурни, че тя е дошла отвън (мейлът на хакерите бе изпратен от руски сървър), бе съобщено, че България е поискала помощ от ЕК. В следващите дни Европейският център за киберсигурност в Гърция и службата на еврокомисаря по цифровизацията Мария Габриел ще са изцяло на разположение на България, за да помогнат, каза тогава министър Горанов.

Каква помощ е поискана и каква е оказана, засега не се съобщава.

ИТ заплатите в администрацията съвсем не са ниски

Любопитен момент е, че хакването на НАП почти съвпада със смяната на вицепремиера, който отговаря за киберсигурността. Преди това беше Томислав Дончев, а сега е Марияна Николова от квотата на "Обединени патриоти", която замени на поста Валери Симеонов.

Въпреки това Дончев е този, който коментира хакерската атака срещу НАП пред медиите. Николова се отчете само с проведена във вторник среща с бизнеса, на която обсъдили подобряването на мрежовата и информационна сигурност на административните органи и подобряване на защитата на данните, които те използват и съхраняват. Според съобщението на МС тя ги запознала с приемането на наредбата с мерките за киберсигурност и обещала по-голяма оперативност в диалога с частния ИТ сектор по отношение на електронното управление.

Третият вицепремиер - Екатерина Захариева - също се включи с коментар по темата. Тя се оплака, че почти никой не се явява на конкурсите за киберсигурност в държавната администрация. Захариева информира, че на Съвета по сигурността в МС, свикан спешно от премиера след кибератаката в НАП, било обсъдено да се повишат заплатите на държавните ИТ специалисти, за да се привличат най-добрите експерти.

Заплатите на ИТ специалистите в държавната администрация обаче не са чак толкова ниски, става ясно от данните на Министерския съвет.

Размерът им достига 3500-4200 лв., съгласно приетите през януари 2019 г. промени в Наредбата за заплатите на служителите в държавната администрация, позволяващи възнагражденията на ведомствените ИТ специалисти да надвишават с до 60 процента максималния размер на заплатите за други длъжности от същото ниво.

Правителството е преценило, че така заплатите за държавните ИТ експерти ще се доближат до нивата на заплащане в частния сектор. Според Националния статистически институт средната заплата в сектора "създаване и разпространение на информация и комуникации", където влизат и ИТ експертите, е била 3087 лв. през месец март 2019 г.

Така че не е съвсем сигурно, че ниските заплати отблъскват ИТ специалистите от публичния сектор. В същото време администрацията харчи сериозни средства за договори с частни фирми за допълнителна защита от хакери и зловредни софтуери.

mediapool.bg