Божидар Божанов: При администрациите с ключови регистри киберсигурността е по-добра

България за първи път има Министерство на електронното управление. Какви са неговите краткосрочни и дългосрочни приоритети?

Основните цели са три, като, разбира се, има много второстепенни. На първо място е електронната идентификация. Гражданите трябва да могат да използват всичко, което държавата е направила и предстои да направи, в електронна среда. В момента се използват ПИК-ове и сертифицирани електронни подписи, които или са твърде неудобни, или несигурни. Идеята ни е да комбинираме удобството със сигурността, и то в смартфоните на потребителите.

Втората цел са удостоверенията. Гражданите не трябва да са куриери на администрацията. Това е незаконно и нефункционално. Въпросът е да наредим организационните и техническите мерки и да поправим някои пропуски в законодателството, така че това да се случи.

Третият основен приоритет е киберсигурността. За да работи цялата тази система и обществото да има доверие в нея, тя трябва да е сигурна.

В този ред на мисли какви са данните около атаката срещу "Български пощи"? Конкретно насочена ли е тя или е плод на някаква случайност?

Атаката е добре организирана и координирана. Първата инсталация на криптовируса е няколко дни след като правителството обяви великденските надбавки. След това изчакали започването на изплащането, за да го възпрепятстват. При подобни кибератаки никога не е напълно ясно какъв е източникът, но има няколко индикатора, които сочат към Русия. На първо място - вирусът не се активира, когато операционната система е локализирана в Русия или бившите съветски републики. Това също не е достатъчно, за да сме напълно сигурни, но при нивата на киберсигурност на "Български пощи" няма как да съберем данните, които обикновено се използват за потвърждаване на една или друга теза. В крайна сметка е вероятно атаката да идва от Русия, но няма как да преценим дали са хакерски групи, които не са асоциирани с техните служби, или са такива, работещи за тях.

Истината е, че в "Български пощи" нямаше инсталирани антивирусни програми на сървърите, а администраторските пароли бяха във видим вид, достъпни в цялата мрежа. Ако синът на някой служител в другия край на България седне на един компютър, можеше да види въпросните пароли. Това е сериозен проблем, но този тип пропуски бяха отстранени и новото ръководство ще работи с бързи стъпки да навакса изоставането по отношение на киберсигурността.

Има ли и други институции с подобни нива на сигурност? Каква ситуация заварихте по отношение на киберсигурността на административните системи?

Има, но това като цяло са малки общини, второстепенни разпоредители, които нямат критични данни и системи. Най-много някой да им криптира деловодството и да спре за малко работата. Някои областни администрации имаха сериозни проблеми със сигурността преди няколко месеца, но те са решени вече. При важните администрации, които поддържат ключови регистри и системи или имат важа роля за функциониране на държавата, нивата са по-високи. Разбира се, навсякъде има какво да се желае. Затова и започнахме с препоръките още преди войната, а сега продължаваме дейностите в тази посока, включително налагането на санкции срещу някои институции, които не са изпълнили предписанията.

С базови инструменти открихме пропуски, които са много сериозни. Например отворен за открития интернет порт за достъп до сървъри. Да, нужни са потребителско име и парола за влизане, но такива изтичат. Нормативната уредба изисква те да бъдат затворени, затова и изпратихме веднага препоръки това да бъде направено. Администрациите изпълниха каквото беше възможно, така че вече сме на следващ етап.

Каква е най-голямата слабост в системите за киберсигурност на администрацията?

Основната слабост, не само в администрацията, е човешкият фактор. Държавата разполага със софтуер и хардуер с високо качество, но те не се използват адекватно. Има много примери за закупени продукти, които не са инсталирани, не се конфигурирани или се използват базови настройки, което на практика ги прави полезни на 10% от това, което биха могли да бъдат.

От друга страна, са политиките и правилата за информационна сигурност и тяхното спазване. Да имаш достатъчно хора в администрацията, които могат да реагират при атака, е най-важното нещо за запазването на данните. Нужна е серия от стъпки. Още при първото засичане на злонамерена дейност трябва да бъдат предприети действия като разкачане на бекъп сървъра, изключване на интернет, блокиране на определени IP адреси. Тогава има възможност атаката да се размине леко. В българската администрация в момента няма такива правила за отговор при инциденти, но в момента подготвяме решение на МС, с което да приемем такива.

На трето място идва по-широкият кръг служители в държавната администрация, които постоянно са обект на фишинг атаки и може във всеки момент да последват някой линк, като по този начин нищо неподозиращи хора застрашават цялата си организация с това, че не внимават в действията си.

"Основната слабост, не само в администрацията, е човешкият фактор. Държавата разполага със софтуер и хардуер с високо качество, но те не се използват адекватно. Има много примери за закупени продукти, които не са инсталирани, не се конфигурирани или се използват базови настройки, което на практика ги прави полезни на 10% от това, което биха могли да бъдат".

Божидар Божанов

Министър на електронното управление

Какви са основните изисквания, които трябва да покриват системите на държавната администрация, за да бъде гарантирана информационната сигурност, и доколко системите у нас ги покриват?

Изискванията са заложени в нормативната уредба. Всяка система, която се е изграждала в последните години, е трябвало да отговаря на определени изисквания за сигурност, но на практика това не се е случило в пълен обхват. Киберсигурността е сложна и многопластова. Има дълъг списък с добри и лоши практики и няма как в едно техническо задание всички те да бъдат изброени. Ето защо, когато се приемат тези системи, трябва да се правят тестове от трети страни, за да се провери дали са достатъчно сигурни. Това е правено на някои места - частично и на парче, без достатъчно координация, на други не. Искаме плавно да подобрим този процес, така че една система да не може да бъде пусната в експлоатация, докато не е приета по адекватен начин. В момента има случаи, в които системата е приета, но не е минала през тестове за проникване, тестове за удобство на потребителите, тестове за достъп на лица с увреждания и т.н. В момента от Министерството на електронното управление и преди това Държавна агенция "Електронно управление" провеждаме такива тестове на извадков принцип, но идеята е това да се случва преди приемането на всяка система.

Как ситуацията в Украйна и нейните киберизмерения промениха тези приоритети? Засили ли се фокусът на българската администрация върху киберсигурността?

От моя гледна точка нищо не се промени. Предвид моите правомощия в сферата на киберсигурността, задължението ми е да осигуря максимални нива на защита за администрацията. От гледна точка на обществото се наблюдава по-широко осъзнаване на риска от повече хора, включително от администрациите, които доскоро приемаха препоръките ни като пожелателни.

В момента голяма част от зловредните дейности са свързани със ситуацията в Украйна. Дали непременно източникът е Русия, или става думи за автономни групи, които защитават нейните позиции. От гледна точка на защитаващия се това няма значение. Истината е, че в началото на войната нямаше повишаване на инцидентите, тъй като фокусът на тези групи беше върху Украйна. В последните седмици обаче всички европейски държави, особено по източния фланг, забелязват сериозно увеличение на атаките. Ние не сме изключение.

А какви са следващите ви стъпки като институция по отношение на засилването на информационната сигурност в условия за влошаващи се геополитически отношения?

По-силно влизане в правомощията ни и централизирано предоставяне на някои услуги за сигурност. Имаме държавен облак, който има значително над средното ниво на сигурност. Всеки, който има нужда от система, може да използва този облак и да получи наготово част от елементите на сигурността.

В същото време GDPR беше една добра първа стъпка. В момента ЕС е близо до приемане на Директива за мрежова информационна сигурност, която искаме да транспонираме по най-бързия начин. Тя ще засегне още по-широк кръг лица в частния сектор, които ще имат допълнителни ангажименти в това отношение.

Често на бизнеса и администрацията се гледа като на противостоящи си страни? Но не е ли киберсигурността сфера, в която те могат да си сътрудничат по-тясно?

Такова сътрудничество трябва да има, защото държавата няма капацитет. Трябва да се използва външен такъв, за да се разбере какво е състоянието на системите. Някой трябва да й помага да настрои инструментите, с които разполага. Но това, което се опитваме да променим, е администрацията да не тормози бизнеса с бюрокрация от една страна, а от друга - бизнесът, който по някакъв начин е свързан с административно обслужване, да предоставя автоматизирано нужната информация на държавните органи. Целим да постигнем симбиоза, а не противопоставяне.