Ако някой просто спазваше закона
С неразбираеми претекстове от вицепремиера Томислав Дончев беше лишен сектор " електронно ръководство "
© Юлия Лазарова Част от тематиката #НАПЛийкс
Тече, всичко тече
Най-интересните моменти от файловете на Национална агенция за приходите
Национална агенция за приходите: нищо персонално
Най-големият теч на данни в България визира на практика цялото стопански интензивно население на страната
Държавата с най-отворените данни в света
Как България несъзнателно настигна скандинавските страни по гласност на приходите
" Имаме отличници като Национална агенция за приходите, където услугите са тотално електронизирани. Така че изказванието, че нямаме електронно държавно управление, е в огромна степен погрешно. Остават ни две огромни неща, които би трябвало да се случат тази година " - по този начин вицепремиерът Томислав Дончев разяснява готовността на страната да премине в електронно ръководство. Интервюто, което евентуално е взето преди " НАПЛийкс ", излезе в " 24 часа " в деня след теча.
От изявлението обаче не излиза наяве, че няколко седмици по-рано Томислав Дончев е изоставил един сектор, който очевидно беше прегърнал - електронното ръководство. То е поето от неособено известната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики. В дните след " НAПЛийкс " никой не чу нито Дончев, нито Николова да разяснява тематиката.
Какви са претекстовете зад това решение по този начин и не стана ясно, само че то е показателно за отношението на страната към тематиката.
Исторически видяно, ползата към ИТ в държавната администрация е предизвикан от два съществени фактора - корупционният заряд на публичните поръчки в бранша и опциите за надзор над информацията. На този декор някъде обратно остават грижите за ефикасни електронни услуги или осведомителна сигурност.
Бърз взор върху известните обстоятелства по случая демонстрира, че течът в Национална агенция за приходите в никакъв случай нямаше да се случи, в случай че страната беше припознала киберсигурността като сериозен приоритет. Или най-малко спазваше законовите си отговорности.
Елементарно, Уотсън
От известните до този миг обстоятелства излиза наяве, че офанзивата е извънредно базова, а отбраната против нея - обикновена. " От 11-и клас знам какво е SQL injection и от този момент не съм се допускал такава в собствен програмен продукт. " Вероятно, в случай че се занимавах с това в 10-и клас, щях да имам проблеми ", разяснява шеговито Божидар Божанов - IT експерт, който от 2014 до 2015 година оказва помощ на държавното управление да построи стратегически скелет за развиването на електронното ръководство и киберсигурността.
Той прибавя, че отбрана от сходна офанзива е елементарна - " задоволително е да се съобразиш с 10 базови неща ".
" Причината е композиция от мощна офанзива и слаба отбрана. Системата не е добре предпазена. Проблемът не е единствено в тази институция, а в цялата страна, изключително в общините, където хората, разбираемо, са с по-ниско равнище на компетентност ", е обобщението на Светлин Наков от SoftUni.
В случая не става дума за съобразителност, а за вземане предвид със законови отговорности. От няколко години съществува закон за киберсигурността, разпоредба за общите условия към осведомителната сигурност. Последната вкарва базови стандарти за сигурност, които всяка държавна институция би трябвало да съблюдава.
" По скалата от 0 до 10 по всичко наподобява, че киберсигурността за страната като приоритет е сред 0 и 1. Въпрос на предпочитание и цели е нещо да се промени ", разяснява Валентин Черноземски от екипа по уеб сигурност на SiteGround.
В опит да изясни аргументите за пробива министър Владислав Горанов изясни, че течът е станал вероятен, тъй като Национална агенция за приходите предложила голям брой електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на мотора с вътрешно горене).
Всъщност държавната администрация има правила, които би трябвало да защищават от сходни обстановки.
Текстовете от наредбата за стандартите за мрежова и осведомителна сигурност и тази за общите условия към осведомителните системи, регистрите и електронните административни услуги вкарват отговорности към администрацията - минимални стандарти на отбрана, съобразени с интернационалните постижения и криптиране на сензитивните бази данни. В първата разпоредба са разказани няколко вероятни закани, за които би трябвало да е готова държавната администрация, и една от тях е точно методът, по който в този момент беше пробита базата данни на Национална агенция за приходите. Тоест правила има, казусът в тази ситуация е, че не са спазени.
Дали държавните институции извършват уговорките си би трябвало да следи организация " Електронно ръководство ", която има даже пълномощия да глоби тези, които не го вършат.
Че тази система за надзор не работи, се видя освен около теча в Национална агенция за приходите, а и предходната година, когато се срина Търговският указател и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази опасност също е разказана в наредбата, в това число има оферти какво би трябвало да се прави, с цел да се предотвратят сходни обстановки.
След срутва на регистъра през 2018 година държавното управление разпореди цялостен одит на осведомителните системи в страната, който трябваше да бъде изпълнен от организацията. Подобни поръчки имаше и след офанзивите по време на локалните избори през 2015 година
До публицистичното привършване на броя от институцията не дадоха отговор на въпроса какво е открил одитът през 2018 година във връзка с Национална агенция за приходите и дали институцията е спазила отговорностите си по наредбата за осведомителната сигурност.
Нямаме пари
Едно от обясненията на финансовия министър Владислав Горанов беше, че страната не може да разчита на отбрана, тъй като не може да си разреши да наеме скъпоплатени ИТ експерти.
Първо - тестването на системите за пробиви от вида на SQL injection е на процедура гратис - има задоволително стратегии с отворен код, които могат да бъдат употребявани от вътрешните IT експерти за тест.
Второ - от 2013 до 2015 година Национална агенция за приходите извършва план за над 609 хиляди лева, финансиран по оперативна стратегия " Административен потенциал " с предмет " Повишаване на равнището на осведомителна сигурност и отбрана на данните в Национална агенция за приходите ". От " Интегрити консулт " - компанията, одитирала системите на приходната организация, оповестиха, че са изготвили извънредно изчерпателен и изострен отчет, който е съдържал рекомендации. Системата, през която е станал пробивът, е съществувала все още на одита, т.е. би трябвало да е била обхваната от него, а той да е разкрил пропуските в сигурността ѝ. Това с уточнението, че проби за надеждност би трябвало да се вършат относително регулярно, а от 2015 година, когато е завършил планът, е минало доста време.
Трето - цялостната промяна в електронното ръководство, почнала през 2015 година, предвиждаше основаването на предприятието " Единен систематичен оператор ", което на процедура да сплоти всички ИТ експерти в администрацията и да се занимава с интеграция на осведомителни системи и електронни административни услуги в държавната администрация, тяхната отбрана, поддръжка и ръководство и така нататък Идеята беше то да генерира лични доходи, като държавните компании му заплащат разноските, които имат за ИТ поддръжка. Тази промяна обаче беше блокирана след това.
В последна сметка промяната беше изоставена, а електронното ръководство стана задача, която никой не желае и по която никой не работи. Кой е виновен
Пряко - хакерът. Неговите дейности съставляват закононарушение. Разкриването на чувствителни данни за милиони хора до необятен кръг хора сигурно предизвиква повече вреди, в сравнение с изгоди. Обикновено, в случай че хакери желаят да работят и наподобяват виновни, в сходни случаи избират да изтекат данните единствено към една или няколко определени медии и да разчитат на журналистическия морал, тъй че да се извлече единствено публично значима информация. Избраният от него метод повече наподобява на мятане на бомба в търсене на оптимални вреди.
Оперативно - Национална агенция за приходите. На база на обществената информация за дейностите на хакера множеството специалисти правят оценка пробива по-скоро като небрежност. А хакерската офанзива се прави оценка не като комплицирана интервенция, а по-скоро като нещо, което даже и някой със относително базови знания би могъл да направи. Национална агенция за приходите работи с големи масиви данни за на практика всички жители и съществена грижа би трябвало да е опазването им.
Политически - Владислав Горанов. Той е министърът, на чието послушание е Национална агенция за приходите и който назначава управлението й. От досегашните му изявления той по-скоро приема позиция да се извинява на пострадалите от теча, само че да омаловажава казуса с изявления, че такива неща се случват непрекъснато и че след Wikileaks не е имало оставки във ФБР.
Финансово - страната. След проблема могат да последват каузи за породени вреди и/или групови искове. На този стадий е рано да се предвижда какъв брой би могло да коства това.
Концептуално - организация " Електронно ръководство ". Това е институцията, която би трябвало да следи дали другите държавни органи съблюдават стандартите за осведомителна сигурност.
© Юлия Лазарова Част от тематиката #НАПЛийкс
Тече, всичко тече
Най-интересните моменти от файловете на Национална агенция за приходите
Национална агенция за приходите: нищо персонално
Най-големият теч на данни в България визира на практика цялото стопански интензивно население на страната
Държавата с най-отворените данни в света
Как България несъзнателно настигна скандинавските страни по гласност на приходите
" Имаме отличници като Национална агенция за приходите, където услугите са тотално електронизирани. Така че изказванието, че нямаме електронно държавно управление, е в огромна степен погрешно. Остават ни две огромни неща, които би трябвало да се случат тази година " - по този начин вицепремиерът Томислав Дончев разяснява готовността на страната да премине в електронно ръководство. Интервюто, което евентуално е взето преди " НАПЛийкс ", излезе в " 24 часа " в деня след теча.
От изявлението обаче не излиза наяве, че няколко седмици по-рано Томислав Дончев е изоставил един сектор, който очевидно беше прегърнал - електронното ръководство. То е поето от неособено известната Мариана Николова, която стана вицепремиер след оставката на Валери Симеонов.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики. В дните след " НAПЛийкс " никой не чу нито Дончев, нито Николова да разяснява тематиката.
Какви са претекстовете зад това решение по този начин и не стана ясно, само че то е показателно за отношението на страната към тематиката.
Исторически видяно, ползата към ИТ в държавната администрация е предизвикан от два съществени фактора - корупционният заряд на публичните поръчки в бранша и опциите за надзор над информацията. На този декор някъде обратно остават грижите за ефикасни електронни услуги или осведомителна сигурност.
Бърз взор върху известните обстоятелства по случая демонстрира, че течът в Национална агенция за приходите в никакъв случай нямаше да се случи, в случай че страната беше припознала киберсигурността като сериозен приоритет. Или най-малко спазваше законовите си отговорности.
Елементарно, Уотсън
От известните до този миг обстоятелства излиза наяве, че офанзивата е извънредно базова, а отбраната против нея - обикновена. " От 11-и клас знам какво е SQL injection и от този момент не съм се допускал такава в собствен програмен продукт. " Вероятно, в случай че се занимавах с това в 10-и клас, щях да имам проблеми ", разяснява шеговито Божидар Божанов - IT експерт, който от 2014 до 2015 година оказва помощ на държавното управление да построи стратегически скелет за развиването на електронното ръководство и киберсигурността.
Той прибавя, че отбрана от сходна офанзива е елементарна - " задоволително е да се съобразиш с 10 базови неща ".
" Причината е композиция от мощна офанзива и слаба отбрана. Системата не е добре предпазена. Проблемът не е единствено в тази институция, а в цялата страна, изключително в общините, където хората, разбираемо, са с по-ниско равнище на компетентност ", е обобщението на Светлин Наков от SoftUni.
В случая не става дума за съобразителност, а за вземане предвид със законови отговорности. От няколко години съществува закон за киберсигурността, разпоредба за общите условия към осведомителната сигурност. Последната вкарва базови стандарти за сигурност, които всяка държавна институция би трябвало да съблюдава.
" По скалата от 0 до 10 по всичко наподобява, че киберсигурността за страната като приоритет е сред 0 и 1. Въпрос на предпочитание и цели е нещо да се промени ", разяснява Валентин Черноземски от екипа по уеб сигурност на SiteGround.
В опит да изясни аргументите за пробива министър Владислав Горанов изясни, че течът е станал вероятен, тъй като Национална агенция за приходите предложила голям брой електронни услуги (това е все едно да обясниш жертвите по пътищата с измислянето на мотора с вътрешно горене).
Всъщност държавната администрация има правила, които би трябвало да защищават от сходни обстановки.
Текстовете от наредбата за стандартите за мрежова и осведомителна сигурност и тази за общите условия към осведомителните системи, регистрите и електронните административни услуги вкарват отговорности към администрацията - минимални стандарти на отбрана, съобразени с интернационалните постижения и криптиране на сензитивните бази данни. В първата разпоредба са разказани няколко вероятни закани, за които би трябвало да е готова държавната администрация, и една от тях е точно методът, по който в този момент беше пробита базата данни на Национална агенция за приходите. Тоест правила има, казусът в тази ситуация е, че не са спазени.
Дали държавните институции извършват уговорките си би трябвало да следи организация " Електронно ръководство ", която има даже пълномощия да глоби тези, които не го вършат.
Че тази система за надзор не работи, се видя освен около теча в Национална агенция за приходите, а и предходната година, когато се срина Търговският указател и в продължение на няколко седмици стопанският оборот в страната беше блокиран. Тази опасност също е разказана в наредбата, в това число има оферти какво би трябвало да се прави, с цел да се предотвратят сходни обстановки.
След срутва на регистъра през 2018 година държавното управление разпореди цялостен одит на осведомителните системи в страната, който трябваше да бъде изпълнен от организацията. Подобни поръчки имаше и след офанзивите по време на локалните избори през 2015 година
До публицистичното привършване на броя от институцията не дадоха отговор на въпроса какво е открил одитът през 2018 година във връзка с Национална агенция за приходите и дали институцията е спазила отговорностите си по наредбата за осведомителната сигурност.
Нямаме пари
Едно от обясненията на финансовия министър Владислав Горанов беше, че страната не може да разчита на отбрана, тъй като не може да си разреши да наеме скъпоплатени ИТ експерти.
Първо - тестването на системите за пробиви от вида на SQL injection е на процедура гратис - има задоволително стратегии с отворен код, които могат да бъдат употребявани от вътрешните IT експерти за тест.
Второ - от 2013 до 2015 година Национална агенция за приходите извършва план за над 609 хиляди лева, финансиран по оперативна стратегия " Административен потенциал " с предмет " Повишаване на равнището на осведомителна сигурност и отбрана на данните в Национална агенция за приходите ". От " Интегрити консулт " - компанията, одитирала системите на приходната организация, оповестиха, че са изготвили извънредно изчерпателен и изострен отчет, който е съдържал рекомендации. Системата, през която е станал пробивът, е съществувала все още на одита, т.е. би трябвало да е била обхваната от него, а той да е разкрил пропуските в сигурността ѝ. Това с уточнението, че проби за надеждност би трябвало да се вършат относително регулярно, а от 2015 година, когато е завършил планът, е минало доста време.
Трето - цялостната промяна в електронното ръководство, почнала през 2015 година, предвиждаше основаването на предприятието " Единен систематичен оператор ", което на процедура да сплоти всички ИТ експерти в администрацията и да се занимава с интеграция на осведомителни системи и електронни административни услуги в държавната администрация, тяхната отбрана, поддръжка и ръководство и така нататък Идеята беше то да генерира лични доходи, като държавните компании му заплащат разноските, които имат за ИТ поддръжка. Тази промяна обаче беше блокирана след това.
В последна сметка промяната беше изоставена, а електронното ръководство стана задача, която никой не желае и по която никой не работи. Кой е виновен
Пряко - хакерът. Неговите дейности съставляват закононарушение. Разкриването на чувствителни данни за милиони хора до необятен кръг хора сигурно предизвиква повече вреди, в сравнение с изгоди. Обикновено, в случай че хакери желаят да работят и наподобяват виновни, в сходни случаи избират да изтекат данните единствено към една или няколко определени медии и да разчитат на журналистическия морал, тъй че да се извлече единствено публично значима информация. Избраният от него метод повече наподобява на мятане на бомба в търсене на оптимални вреди.
Оперативно - Национална агенция за приходите. На база на обществената информация за дейностите на хакера множеството специалисти правят оценка пробива по-скоро като небрежност. А хакерската офанзива се прави оценка не като комплицирана интервенция, а по-скоро като нещо, което даже и някой със относително базови знания би могъл да направи. Национална агенция за приходите работи с големи масиви данни за на практика всички жители и съществена грижа би трябвало да е опазването им.
Политически - Владислав Горанов. Той е министърът, на чието послушание е Национална агенция за приходите и който назначава управлението й. От досегашните му изявления той по-скоро приема позиция да се извинява на пострадалите от теча, само че да омаловажава казуса с изявления, че такива неща се случват непрекъснато и че след Wikileaks не е имало оставки във ФБР.
Финансово - страната. След проблема могат да последват каузи за породени вреди и/или групови искове. На този стадий е рано да се предвижда какъв брой би могло да коства това.
Концептуално - организация " Електронно ръководство ". Това е институцията, която би трябвало да следи дали другите държавни органи съблюдават стандартите за осведомителна сигурност.
Източник: capital.bg
КОМЕНТАРИ