Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.