Разработчикът на софтуера: Системата на митниците не е удряна от кибер престъпници
Информационната система на Агенция „ Митници “ стана мотив за разгорещени разногласия сред ръководещите и опозицията. Хвърлят се обвинявания за стотици изтрити записи от Българска Акцизна Централизирана Информационна Система (БАЦИС), което довело до ощетяване на хазната с десетки милиони. Поради огромния публичен интерес публикуваме с някои съкращения позиция на Горан Ангелов, шеф на „ Ай Би Ес България “ ЕООД и ръководещ Консорицум ДЗЗД “Айдом и Ай Би Ес ” , който създава системата.
През 2012 година, представляваният от мен консорциум печели социална поръчка по Закон за обществените поръчки „ Изграждане на Българска Акцизна Централизирана Информационна Система (БАЦИС) за Агенция „ Митници “ и създаване на Информационна система „ Контрол на горивата “ за Национална агенция за приходите “. Общата сума на контракта е 4,4 млн. без Данък добавена стойност, от които 1,9 млн. за доставка на харудер, съоръжение и лицензи. Договорът е подписан за 5 години, като интервалът включва и гаранционната поддръжка на системите.
Договорът ни за БАЦИС беше обвързван с надграждане и интеграция на три към този момент съществуващи осведомителни системи в Агенция Митници – СУА – Система за ръководство на акцизите на национално равнище, EMCS (система за надзор на придвижването на артикули в режим отсрочено заплащане на акциза в ЕС) и Информационна система „ Измервателни устройства “. Към последната са свързани така наречен ИКУНК-и – контролни индустриални компютри с предопределение да събират и изпращат информацията от измервателните уреди в данъчните хранилища.
Фактите
С построяването на БАЦИС и ИСКГ бе осъществено свързване в действително време на данните в Агенция Митници и Национална агенция за приходите във връзка с събираемостта на акцизите и Данък добавена стойност при търговията с горива. Договорите на „ Айдом Ай Би Ес “ с Агенция Митници и Национална агенция за приходите завършиха през юли 2017 година с приключването на плануванаъа в тях гаранционна поддръжка.
Твърденията, че в БАЦИС са основани условия за манипулиране и/или изтриване на данни за набиране на финансова полза и/или директна машинация с акцизни артикули са изцяло несъстоятелни. Подобни дейности биха претендирали смяна на данните не в една, а в няколко системи в Агенция Митници, както и в системата на Национална агенция за приходите. Видно и от отчета на ДАНС, условия за сходна операция на данни не са открити.
Митове против обстоятелства
Мит: Изтрити са над 300 хиляди документа от БАЦИС.
Факт: Практически сходно нещо е невероятно да се реализира без да спре напълно да действа системата. Информацията се популяризира на толкоз доста места и по този начин е обвързана, че даже заличаване и/или модифициране единствено на един документ би довело до проблеми, които ще попречват работата и.
Мит: БАЦИС е хакната, пробита или нещо сходно и това е довело до директни загуби за фиска
Факт: БАЦИС в никакъв случай не е била обект на кибер закононарушение било посредством външна или вътрешна интервенция.
Мит: Всички могат да достъпят БАЦИС и то с елементарна ключова дума.
Факт: Всички консуматори на системата още с стартирането й в употреба са влизали единствено посредством Квалифициран електронен автограф (КЕП) и ПИН код. БАЦИС е централизирана web-базирана система, състояща се от над 30 интегрирани модули, като модулите които се виждат в Internet са отделени от вътрешните модули, както логичен, по този начин и мрежово.
Мит: Поради несъвършенствата на БАЦИС камионите минават свободно през границата и танкери се разтоварват безотговорно, в това число и на суша.
Факт: БАЦИС няма функционалности или контролни точки на гранична система. В нея се заявява освобождението на артикули за ползване или придвижването в режим отсрочено заплащане на акциза. Каквито и разкрития в региона на нереглементиран импорт през границата на акцизни артикули да се вършат, те не могат и е неправилно да се свързват с действието на тази система.
Мит: В Данъчните хранилища работят нивомерни системи.
Факт: Нивомерни системи може и да има в данъчните хранилища, само че те не са свързани с ИКУНК и Агенция Митници, а се употребяват от икономическите оператори за личните им действия по ръководство на склада. Съгласно условията на нормативната уредба и модул ИКУНК на БАЦИС, в данъчните хранилища за течни горива се употребяват измервателни устройства, които регистрират преминаващите през тях артикули.
Установени недостатъци в бацис съгласно отчета на данс
ДАНС открива девет недостатъци. В никакъв случай не може да се твърди, че те заплашват финансовата и икономическа сигурност на страната. Дори и да допуснем, че данните от ИКУНК могат да бъдат компрометирани, органите на Агенция Митници разполагат с спомагателен източник на данни за инспекция, а несъответствията няма по какъв начин да не бъдат засечени от модул „ Идентификация на рискови събития “ в БАЦИС. Нека погледнем в елементи тези девет констатации:
Констатация 1. „ Всички ИКУНК се достъпват и управляват отдалечено от чиновник на Агенция Митници с една и съща ключова дума. “
В случая под чиновник следва да разбираме систематичен админ. Отдалеченият достъп се употребява за ръководство на приложението върху ИКУНК (рестартиране, задаване на параметри) и за възобновяване на софтуера. Въпросната констатация се отнася за опция за достъп единствено през мрежовата среда на Агенция Митници с потребителско име и ключова дума. Ползването на еднакъв администраторски акаунт (привилигирован потребител) за всички ИКУНК-и може и да се класифицира като неточност от страна на сътрудниците от Агенция Митници, само че мъчно може да се дефинира като опасност за националната сигурност.
Констатация 2. „ Операционната система (ОС) на ИКУНК, не се актуализира за предотвратяване от открити уязвимости“
ИКУНК е затворена профилирана индустриална система. Очакването тя да бъде обновявана на равнище Оценка за съвместимост за уязвимости е неправилно и заблуждаващо. Индустриалните системи се тестват да извършват съответни профилирани задания и се нуждаят от непоклатимост в дълъг интервал на независима работа.
Констатация 3. „ Установено е, че достъпът до всички ИКУНК в страната се реализира през компютър, обвързван в Интернет и употребяващ Оценка за съвместимост Windows XP. На компютъра се съхранява детайлна информация за адресния проект на ИКУНК, местонахождение на притежателя и на данъчния склад, както и паролата в очевиден тип. “
Констатация 4. „ Установено е, че през време на достъп до ИКУНК на компютъра, употребяващ Оценка за съвместимост Windows XP, са дейни средствата за всеобща връзка Skype и ICQ. “
В Констатации 3 и 4 се цитира компютър – работна станция на чиновник в Агенция Митници. Самата работна станция не е градивна единица от инфраструктурата на БАЦИС и евентуално се употребява за обща администрация. Съгласни сме, че в тази ситуация служителят на Агенция Митници, ползващ тази работна станция, е нарушил положителните практики в осведомителната сигурност, само че определянето му като опасност за националната сигурност е прекомерно пресилено.
Констатация 5. „ Служителите в Агенция Митници не са дали информация за съществуването на система за мониторинг в „ действително време “, която да дава информация какви събития и какъв е статуса на мрежата на ИКУНК. “
Към момента на одита всички ИКУНК се следят посредством централизиран модул. Неработоспособността на всеки ИКУНК се третира като рисково събитие, за което се подвига сигнал в модул „ Идентификация на Рискови Събития “.
Констатация 6. „ В Оценка за съвместимост на ИКУНК не се водят лог файлове за одит на систематични процеси, реализирани връзки, достъп и други. “
Тази констатация не дава отговор на обстоятелствата. Лог файлове се подържат във всеки ИКУНК. В противоположен случай поддръжката на работоспособността на ИКУНК би била невъзможна.
Констатация 7. „ Според чиновници на Агенция Митници, Оценка за съвместимост на ИКУНК са 4 версии, като няма информация кой съответен ИКУНК с коя версия се употребява сега. “
Тази констатация още веднъж се разминава с истината. Модул ИКУНК дава в действително време версията на всеки съответен ИКУНК дружно с настоящия му статус.
Констатация 8. „ На предоставените ИКУНК пред чиновници на ДАНС е открит автоматизирано започващ се развой (netcat), допускащ далечен достъп, извършване на команди, трансфер на файлове и други “
Инструментът netcat се е употребявал целево, като инструмент за мониторинг на версията на ИКУНК в някои от първичните версии. В рамките на осъществяване на плана са въведени други механизми за отдалечена администрация, мониторинг и надзор.
Констатация 9. „ За интервала 24.04.2016 – 27.04.2016 към 33 броя ИКУНК не са функционирали по неизяснени все още аргументи в разнообразни данъчни хранилища. Липсва информация дали миналите през време на нефункционирането на ИКУНК акцизни артикули са регистрирани по открития ред. “
ИКУНК са системи, които събират данни от измервания и рапортуват на Агенция Митници в действително време, при съществуване на мрежова съгласуваност до съответния склад. При липса на съгласуваност, измерванията се съхраняват в самия ИКУНК до възобновяване на връзката, а и след и изпращането им за несъмнено време, което подсигурява прехвърлянето на данни към Агенция Митници даже и при дълготрайно отпадане на връзката.
Вместо умозаключение
Станахме очевидци на медийна нервност, която бе подклаждана от спекулативни изказвания на избрани лица. Основна причина за това съгласно мен бе класифицирането на отчета на ДАНС като конфиденциален. Докладът към този момент е обществен и е време спекулациите да бъдат прекъснати и обществото да научи истината. Опитите за компрометиране в общественото пространство на една от основните осведомителни системи в страната могат да извършват само частни корпоративни ползи. Тези опити очевидно се вършат и с вярата за добиване на голословни политически дивиденти.
През 2012 година, представляваният от мен консорциум печели социална поръчка по Закон за обществените поръчки „ Изграждане на Българска Акцизна Централизирана Информационна Система (БАЦИС) за Агенция „ Митници “ и създаване на Информационна система „ Контрол на горивата “ за Национална агенция за приходите “. Общата сума на контракта е 4,4 млн. без Данък добавена стойност, от които 1,9 млн. за доставка на харудер, съоръжение и лицензи. Договорът е подписан за 5 години, като интервалът включва и гаранционната поддръжка на системите.
Договорът ни за БАЦИС беше обвързван с надграждане и интеграция на три към този момент съществуващи осведомителни системи в Агенция Митници – СУА – Система за ръководство на акцизите на национално равнище, EMCS (система за надзор на придвижването на артикули в режим отсрочено заплащане на акциза в ЕС) и Информационна система „ Измервателни устройства “. Към последната са свързани така наречен ИКУНК-и – контролни индустриални компютри с предопределение да събират и изпращат информацията от измервателните уреди в данъчните хранилища.
Фактите
С построяването на БАЦИС и ИСКГ бе осъществено свързване в действително време на данните в Агенция Митници и Национална агенция за приходите във връзка с събираемостта на акцизите и Данък добавена стойност при търговията с горива. Договорите на „ Айдом Ай Би Ес “ с Агенция Митници и Национална агенция за приходите завършиха през юли 2017 година с приключването на плануванаъа в тях гаранционна поддръжка.
Твърденията, че в БАЦИС са основани условия за манипулиране и/или изтриване на данни за набиране на финансова полза и/или директна машинация с акцизни артикули са изцяло несъстоятелни. Подобни дейности биха претендирали смяна на данните не в една, а в няколко системи в Агенция Митници, както и в системата на Национална агенция за приходите. Видно и от отчета на ДАНС, условия за сходна операция на данни не са открити.
Митове против обстоятелства
Мит: Изтрити са над 300 хиляди документа от БАЦИС.
Факт: Практически сходно нещо е невероятно да се реализира без да спре напълно да действа системата. Информацията се популяризира на толкоз доста места и по този начин е обвързана, че даже заличаване и/или модифициране единствено на един документ би довело до проблеми, които ще попречват работата и.
Мит: БАЦИС е хакната, пробита или нещо сходно и това е довело до директни загуби за фиска
Факт: БАЦИС в никакъв случай не е била обект на кибер закононарушение било посредством външна или вътрешна интервенция.
Мит: Всички могат да достъпят БАЦИС и то с елементарна ключова дума.
Факт: Всички консуматори на системата още с стартирането й в употреба са влизали единствено посредством Квалифициран електронен автограф (КЕП) и ПИН код. БАЦИС е централизирана web-базирана система, състояща се от над 30 интегрирани модули, като модулите които се виждат в Internet са отделени от вътрешните модули, както логичен, по този начин и мрежово.
Мит: Поради несъвършенствата на БАЦИС камионите минават свободно през границата и танкери се разтоварват безотговорно, в това число и на суша.
Факт: БАЦИС няма функционалности или контролни точки на гранична система. В нея се заявява освобождението на артикули за ползване или придвижването в режим отсрочено заплащане на акциза. Каквито и разкрития в региона на нереглементиран импорт през границата на акцизни артикули да се вършат, те не могат и е неправилно да се свързват с действието на тази система.
Мит: В Данъчните хранилища работят нивомерни системи.
Факт: Нивомерни системи може и да има в данъчните хранилища, само че те не са свързани с ИКУНК и Агенция Митници, а се употребяват от икономическите оператори за личните им действия по ръководство на склада. Съгласно условията на нормативната уредба и модул ИКУНК на БАЦИС, в данъчните хранилища за течни горива се употребяват измервателни устройства, които регистрират преминаващите през тях артикули.
Установени недостатъци в бацис съгласно отчета на данс
ДАНС открива девет недостатъци. В никакъв случай не може да се твърди, че те заплашват финансовата и икономическа сигурност на страната. Дори и да допуснем, че данните от ИКУНК могат да бъдат компрометирани, органите на Агенция Митници разполагат с спомагателен източник на данни за инспекция, а несъответствията няма по какъв начин да не бъдат засечени от модул „ Идентификация на рискови събития “ в БАЦИС. Нека погледнем в елементи тези девет констатации:
Констатация 1. „ Всички ИКУНК се достъпват и управляват отдалечено от чиновник на Агенция Митници с една и съща ключова дума. “
В случая под чиновник следва да разбираме систематичен админ. Отдалеченият достъп се употребява за ръководство на приложението върху ИКУНК (рестартиране, задаване на параметри) и за възобновяване на софтуера. Въпросната констатация се отнася за опция за достъп единствено през мрежовата среда на Агенция Митници с потребителско име и ключова дума. Ползването на еднакъв администраторски акаунт (привилигирован потребител) за всички ИКУНК-и може и да се класифицира като неточност от страна на сътрудниците от Агенция Митници, само че мъчно може да се дефинира като опасност за националната сигурност.
Констатация 2. „ Операционната система (ОС) на ИКУНК, не се актуализира за предотвратяване от открити уязвимости“
ИКУНК е затворена профилирана индустриална система. Очакването тя да бъде обновявана на равнище Оценка за съвместимост за уязвимости е неправилно и заблуждаващо. Индустриалните системи се тестват да извършват съответни профилирани задания и се нуждаят от непоклатимост в дълъг интервал на независима работа.
Констатация 3. „ Установено е, че достъпът до всички ИКУНК в страната се реализира през компютър, обвързван в Интернет и употребяващ Оценка за съвместимост Windows XP. На компютъра се съхранява детайлна информация за адресния проект на ИКУНК, местонахождение на притежателя и на данъчния склад, както и паролата в очевиден тип. “
Констатация 4. „ Установено е, че през време на достъп до ИКУНК на компютъра, употребяващ Оценка за съвместимост Windows XP, са дейни средствата за всеобща връзка Skype и ICQ. “
В Констатации 3 и 4 се цитира компютър – работна станция на чиновник в Агенция Митници. Самата работна станция не е градивна единица от инфраструктурата на БАЦИС и евентуално се употребява за обща администрация. Съгласни сме, че в тази ситуация служителят на Агенция Митници, ползващ тази работна станция, е нарушил положителните практики в осведомителната сигурност, само че определянето му като опасност за националната сигурност е прекомерно пресилено.
Констатация 5. „ Служителите в Агенция Митници не са дали информация за съществуването на система за мониторинг в „ действително време “, която да дава информация какви събития и какъв е статуса на мрежата на ИКУНК. “
Към момента на одита всички ИКУНК се следят посредством централизиран модул. Неработоспособността на всеки ИКУНК се третира като рисково събитие, за което се подвига сигнал в модул „ Идентификация на Рискови Събития “.
Констатация 6. „ В Оценка за съвместимост на ИКУНК не се водят лог файлове за одит на систематични процеси, реализирани връзки, достъп и други. “
Тази констатация не дава отговор на обстоятелствата. Лог файлове се подържат във всеки ИКУНК. В противоположен случай поддръжката на работоспособността на ИКУНК би била невъзможна.
Констатация 7. „ Според чиновници на Агенция Митници, Оценка за съвместимост на ИКУНК са 4 версии, като няма информация кой съответен ИКУНК с коя версия се употребява сега. “
Тази констатация още веднъж се разминава с истината. Модул ИКУНК дава в действително време версията на всеки съответен ИКУНК дружно с настоящия му статус.
Констатация 8. „ На предоставените ИКУНК пред чиновници на ДАНС е открит автоматизирано започващ се развой (netcat), допускащ далечен достъп, извършване на команди, трансфер на файлове и други “
Инструментът netcat се е употребявал целево, като инструмент за мониторинг на версията на ИКУНК в някои от първичните версии. В рамките на осъществяване на плана са въведени други механизми за отдалечена администрация, мониторинг и надзор.
Констатация 9. „ За интервала 24.04.2016 – 27.04.2016 към 33 броя ИКУНК не са функционирали по неизяснени все още аргументи в разнообразни данъчни хранилища. Липсва информация дали миналите през време на нефункционирането на ИКУНК акцизни артикули са регистрирани по открития ред. “
ИКУНК са системи, които събират данни от измервания и рапортуват на Агенция Митници в действително време, при съществуване на мрежова съгласуваност до съответния склад. При липса на съгласуваност, измерванията се съхраняват в самия ИКУНК до възобновяване на връзката, а и след и изпращането им за несъмнено време, което подсигурява прехвърлянето на данни към Агенция Митници даже и при дълготрайно отпадане на връзката.
Вместо умозаключение
Станахме очевидци на медийна нервност, която бе подклаждана от спекулативни изказвания на избрани лица. Основна причина за това съгласно мен бе класифицирането на отчета на ДАНС като конфиденциален. Докладът към този момент е обществен и е време спекулациите да бъдат прекъснати и обществото да научи истината. Опитите за компрометиране в общественото пространство на една от основните осведомителни системи в страната могат да извършват само частни корпоративни ползи. Тези опити очевидно се вършат и с вярата за добиване на голословни политически дивиденти.
Източник: trud.bg
КОМЕНТАРИ