Киберсигурна работа
Божидар Божанов е компютърен експерт, създател и началник на LogSentinel. Работил е като консултант към Министерския съвет по въпросите на електронното държавно управление. Коментарът е от блога му.
Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш тв приемника – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха Национална агенция за приходите, вицепремиер със документ за компютърна просветеност съобщи, че е задоволително квалифицирана да управлява съвет по въпроса, а очевидно в този момент ще желаеме подобен сектор в Европейската комисия.
Макар че към този момент съм писал един път за киберсигурността, ми се ще да прегледам тематиката малко повече, изключително от позиция на обществените институции, и най-после
ще опитам да отговоря на въпроса - може ли България да е киберсигурна.
Имаме тактика за киберустойчива България, която не мисля, че се съблюдава, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има нереални организационни ограничения (той е транспонирана европейска инструкция, тъй че не е по наша инициатива). Имаме разпоредба към този закон, която е много прилична, само че сред съществуването на добра разпоредба и нейното използване има разлика. Имаме и образец на техническо задание, което всички нови системи би трябвало да употребяват. Там сме се постарали да опишем допустимо най-вече неща, които реализатор и възложител изрчно да ревизират – уязвимости като тази в Национална агенция за приходите, напр, също са там.
Както стана ясно от теча в Национална агенция за приходите, а и от редица пробиви в последно време, равнището на киберсигурност е ниско. (Някои пробиви не стават обществено притежание, само че можем да питаме govcert-а, звеното за реакция при киберинциденти, какъв брой сигнала за уязвимости е приел). За да имаме цялостна картина какъв брой зле са нещата, би трябвало да един цялостен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което към този момент знаем – че равнището е ниско.
В допълнение на въпроса нагоре, ще отговоря и на още три: за какво системите са уязвими, кой може да злоупотреби с това и какво може да се направи.
- Системите са уязвими по две аргументи. Първата е, че по принцип е мъчно да се поддържат сигурни системи. Дори да е била сигурна в един миг, нещата се трансформират, оттриват се незнайни до момента уязвимости на съставни елементи, от които зависи самата система. Затова самодейно възобновяване, следене за уязвимости и композиция от доста други ограничения са методът да има по-сигурни системи, само че даже това не всеки път е задоволително. Втората причина е, че системите в страната с доста ниско качество (в общия случай). Пишат ги компании с не изключително кадърни хора (защото и дребното кадърни по тематиката са отишли на по-високи заплати другаде, където не се разчита на публични поръчки), одобряват ги хора, които нямат концепция какво одобряват, и няма кой да следи този развой да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични наказания, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като в никакъв случай беше спазен законът и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен образец за изгодите кодът да е отворен), само че най-базовата неточност при работа с база данни, за която категорично има предизвестие в заданието, беше позволена. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се употребяват, са на толкоз години.
- Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – например е потребно за една компания да има данните от Национална база данни " Население " ; геополитически – някои страни не утвърждават избрани решения, които нашата е взела или следва да вземе, и надлежно включват киберарсенала си; " някои хора просто желаят да гледат по какъв начин света гори " – хакване поради самото хакване и поради деструктивния резултат. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, посредством които да източат данните – това също е част от киберсигурността, която включва както външни, по този начин и вътрешни " офанзиви ".
- Може да се направи доста – да се ползва по-стриктно нормативната уредба, да се употребяват разнообразни механизми за привличане на по-компетентни хора (включително с по-високо заплащане), да се образоват по-активно хората в обществения бранш, да се затегнат вътрешните механизми за надзор на достъпа на чиновници. Имаше оферти за по-големи санкции в Наказателния кодекс, само че съгласно мен това няма да работи – хакерите или не познават Наказателен кодекс и той не ги стопира, или си мислят, че си прикриват следите задоволително добре, че да са неоткриваеми. Или и двете.
Сложен въпрос, на който в промишлеността се пробва да даде логичен отговор е " какво пък толкоз може да стане ". По принцип всичко, само че дали може да има цифров прелом и дали в случай че няма, е нужно да влагаме в киберсигурност, е отворена тематика. Засега консенсусът е, че е нужно повече. Повече знание, повече хора, повече принадлежности, повече вложения.
Киберсигурността е съревнование с " неприятните " и включва голям брой ограничения.
Не може да се реши просто като си купиш едно устройство или един програмен продукт
(макар че това може да помогне). Най-важният запас и тук са хората, които да знаят какви са ограниченията, да имат уменията да ги приложат в комплициран подтекст (процедури по Закона за публичните поръчки и политическа неадекватност), да знаят по какъв начин да употребяват и конфигурират наличните принадлежности. И това да не са просто двама-трима души на места, а да е редовно решение.
Дотук би трябвало да е ясно, че нещата не наподобяват розово. Няма хора, няма съответни снабдители, " неприятните " могат да разполагат с огромни запаси, а отбраната е фундаментално сложна задача.
Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други сходни не са решението. Някои от тях са небезполезни стъпки, други – отблъскване на номера, трети – политически опортюнизъм.
Решението е същото, като в една огромна корпорация – висшият мениджмънт да осъзнае критичността на казуса и да насочи запаси на там. Не, не да купим още техника, която няма кой да конфигурира, а
да подредим по този начин пъзела, че да има хора с мотивация, да има финансови запаси за това
(а не за петорно надценен нов уеб страница, например).
Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, виновен за това, е подложен не човек с управнически опит и с опит в цифрова промяна (не безусловно технически), а някой, който просто се е оказал там по стичане на събитията. В същото време всички механизми, планувани законите, за привличане и задържане на повече хора, отпадат един по един. Това е неприятен сигнал за всички (освен за хакерите). И в случай че желаеме да имаме еврокомисар по киберсигурност, първо може би би трябвало да имаме някаква вътрешна адекватност по тематиката. И откакто я имаме, сполучливият началник на това изпитание да стане еврокомисар.
Дори киберсигурността е повече човешки, в сравнение с механически проблем. По-скоро управнически и политически, в сравнение с експертен. Експертната част е сложна и доста забавна, само че сме доста надалеч от тази част в обществения бранш. Тепърва би трябвало да създадем първата копка на действителната киберсигурност.
Може ли България да е киберсигурна и дълготрайно киберустойчива?
Може, несъмнено – задачата е решима. Но не наподобява реалистично в близко бъдеще, тъй като даже да стартираме незабавно, при мащаба на обществения бранш и насъбраните систематични проблеми, резултати може да има едвам след 3-4 години. А до тогава – двайсетгодишни хакери, съветски сътрудници или просто хора, които " имат човек " някъде, могат да вършат (почти) каквото си желаят.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (136)
Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш тв приемника – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха Национална агенция за приходите, вицепремиер със документ за компютърна просветеност съобщи, че е задоволително квалифицирана да управлява съвет по въпроса, а очевидно в този момент ще желаеме подобен сектор в Европейската комисия.
Макар че към този момент съм писал един път за киберсигурността, ми се ще да прегледам тематиката малко повече, изключително от позиция на обществените институции, и най-после
ще опитам да отговоря на въпроса - може ли България да е киберсигурна.
Имаме тактика за киберустойчива България, която не мисля, че се съблюдава, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има нереални организационни ограничения (той е транспонирана европейска инструкция, тъй че не е по наша инициатива). Имаме разпоредба към този закон, която е много прилична, само че сред съществуването на добра разпоредба и нейното използване има разлика. Имаме и образец на техническо задание, което всички нови системи би трябвало да употребяват. Там сме се постарали да опишем допустимо най-вече неща, които реализатор и възложител изрчно да ревизират – уязвимости като тази в Национална агенция за приходите, напр, също са там.
Както стана ясно от теча в Национална агенция за приходите, а и от редица пробиви в последно време, равнището на киберсигурност е ниско. (Някои пробиви не стават обществено притежание, само че можем да питаме govcert-а, звеното за реакция при киберинциденти, какъв брой сигнала за уязвимости е приел). За да имаме цялостна картина какъв брой зле са нещата, би трябвало да един цялостен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което към този момент знаем – че равнището е ниско.
В допълнение на въпроса нагоре, ще отговоря и на още три: за какво системите са уязвими, кой може да злоупотреби с това и какво може да се направи.
- Системите са уязвими по две аргументи. Първата е, че по принцип е мъчно да се поддържат сигурни системи. Дори да е била сигурна в един миг, нещата се трансформират, оттриват се незнайни до момента уязвимости на съставни елементи, от които зависи самата система. Затова самодейно възобновяване, следене за уязвимости и композиция от доста други ограничения са методът да има по-сигурни системи, само че даже това не всеки път е задоволително. Втората причина е, че системите в страната с доста ниско качество (в общия случай). Пишат ги компании с не изключително кадърни хора (защото и дребното кадърни по тематиката са отишли на по-високи заплати другаде, където не се разчита на публични поръчки), одобряват ги хора, които нямат концепция какво одобряват, и няма кой да следи този развой да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични наказания, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като в никакъв случай беше спазен законът и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен образец за изгодите кодът да е отворен), само че най-базовата неточност при работа с база данни, за която категорично има предизвестие в заданието, беше позволена. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се употребяват, са на толкоз години.
- Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – например е потребно за една компания да има данните от Национална база данни " Население " ; геополитически – някои страни не утвърждават избрани решения, които нашата е взела или следва да вземе, и надлежно включват киберарсенала си; " някои хора просто желаят да гледат по какъв начин света гори " – хакване поради самото хакване и поради деструктивния резултат. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, посредством които да източат данните – това също е част от киберсигурността, която включва както външни, по този начин и вътрешни " офанзиви ".
- Може да се направи доста – да се ползва по-стриктно нормативната уредба, да се употребяват разнообразни механизми за привличане на по-компетентни хора (включително с по-високо заплащане), да се образоват по-активно хората в обществения бранш, да се затегнат вътрешните механизми за надзор на достъпа на чиновници. Имаше оферти за по-големи санкции в Наказателния кодекс, само че съгласно мен това няма да работи – хакерите или не познават Наказателен кодекс и той не ги стопира, или си мислят, че си прикриват следите задоволително добре, че да са неоткриваеми. Или и двете.
Сложен въпрос, на който в промишлеността се пробва да даде логичен отговор е " какво пък толкоз може да стане ". По принцип всичко, само че дали може да има цифров прелом и дали в случай че няма, е нужно да влагаме в киберсигурност, е отворена тематика. Засега консенсусът е, че е нужно повече. Повече знание, повече хора, повече принадлежности, повече вложения.
Киберсигурността е съревнование с " неприятните " и включва голям брой ограничения.
Не може да се реши просто като си купиш едно устройство или един програмен продукт
(макар че това може да помогне). Най-важният запас и тук са хората, които да знаят какви са ограниченията, да имат уменията да ги приложат в комплициран подтекст (процедури по Закона за публичните поръчки и политическа неадекватност), да знаят по какъв начин да употребяват и конфигурират наличните принадлежности. И това да не са просто двама-трима души на места, а да е редовно решение.
Дотук би трябвало да е ясно, че нещата не наподобяват розово. Няма хора, няма съответни снабдители, " неприятните " могат да разполагат с огромни запаси, а отбраната е фундаментално сложна задача.
Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други сходни не са решението. Някои от тях са небезполезни стъпки, други – отблъскване на номера, трети – политически опортюнизъм.
Решението е същото, като в една огромна корпорация – висшият мениджмънт да осъзнае критичността на казуса и да насочи запаси на там. Не, не да купим още техника, която няма кой да конфигурира, а
да подредим по този начин пъзела, че да има хора с мотивация, да има финансови запаси за това
(а не за петорно надценен нов уеб страница, например).
Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, виновен за това, е подложен не човек с управнически опит и с опит в цифрова промяна (не безусловно технически), а някой, който просто се е оказал там по стичане на събитията. В същото време всички механизми, планувани законите, за привличане и задържане на повече хора, отпадат един по един. Това е неприятен сигнал за всички (освен за хакерите). И в случай че желаеме да имаме еврокомисар по киберсигурност, първо може би би трябвало да имаме някаква вътрешна адекватност по тематиката. И откакто я имаме, сполучливият началник на това изпитание да стане еврокомисар.
Дори киберсигурността е повече човешки, в сравнение с механически проблем. По-скоро управнически и политически, в сравнение с експертен. Експертната част е сложна и доста забавна, само че сме доста надалеч от тази част в обществения бранш. Тепърва би трябвало да създадем първата копка на действителната киберсигурност.
Може ли България да е киберсигурна и дълготрайно киберустойчива?
Може, несъмнено – задачата е решима. Но не наподобява реалистично в близко бъдеще, тъй като даже да стартираме незабавно, при мащаба на обществения бранш и насъбраните систематични проблеми, резултати може да има едвам след 3-4 години. А до тогава – двайсетгодишни хакери, съветски сътрудници или просто хора, които " имат човек " някъде, могат да вършат (почти) каквото си желаят.
Всичко, което би трябвало да знаете за: Изтичането на персонални данни от Национална агенция за приходите (136)
Източник: dnevnik.bg
КОМЕНТАРИ