Доц. Златогор Минчев: Пробивът в НАП би бил невъзможен без вътрешни хора – умишлено или неволно
Специално изявление за Tribune.bg с доцент Златогор Минчев от Института по осведомителни и информационни технологии при Българска академия на науките и началник на секция „ Информационни технологии в сигурността “
Какви последици може да има хакерската офанзива против Национална агенция за приходите за хората и бизнеса, за всички лица, които са наранени?
За хората, най-общо казано, това е много противен акт. За бизнеса е по-притеснително, тъй като знаете, че съществуването на бизнес информация дава опция за влияние върху правенето на самите покупко-продажби. За мен по-скоро това деяние цели да покаже две неща. Едното е, че системите на Национална агенция за приходите са уязвими, макар че този размер информация, който е изминал, това не може да стане без вътрешни хора, които да приготвят процеса.
Другото е да се покаже, че Европейската регулация - GDPR (ОБЩ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) на процедура може да засегне безусловно всеки. Понеже тя работи от юли месец, това основава доста забавен юридически проблем – до каква степен някой ще глоби Национална агенция за приходите, защото действително приходната организация е позволила приключване на персонална информация и според тази регулация предстои на санкция даже. Нещата стоят много сложно.
Какви ограничения би трябвало да се подхващат оттук насетне?
Един от огромните проблеми на нашата администрация е, че техниката, с която тя разполага не е задоволително обновявана и би трябвало да се създадат съответните вложения, с цел да се обезпечи осведомително масива с данни. Миналата година знаете, че имаше проблем с Търговския указател. Тази година с Национална агенция за приходите. Това са единствено още едни знаци, че от една страна технологиите би трябвало да се закупуват, въпреки това обаче би трябвало да се влага и в човешки капацитет, който да обезпечава тази сигурност.
Не става единствено с техника. Не на последно място, огромна част от нещата, които се обезпечават като услуги в България не минават по този начин нар. „ стрес проби “, изключително що се отнася до новите системи, защото те са скъпи. Съответно пораждат и такива обстановки. Принципно не виждам нещо толкоз ужасно, с изключение на моралната страна на казуса, която в действителност не е приятна за никого.
Казвате, че офанзивата няма по какъв начин да се случи без вътрешни хора?
Реализирането на сходен вид офанзиви като размер, върху подобен масив от данни, не може да стане с елементарна офанзива от разстояние. По-скоро имаме комплициран вид офанзива, която включва както инсайдъри (вътрешни хора), по този начин и външни участници, като тези инсайдъри могат да бъдат с несъзнателно и с волно присъединяване. Защото, в случай че някой е отворил имейл, който по-нататък е заразил компютър и след това е пренесъл информация на сървър, без да знае, че по този метод го прави уязвим, е допустимо и по този метод да е станало присъединяване на вътрешния човек, без той да има предумисъл. Но е допустимо и той да взе участие съзнателно, тъй като друга версия пък разяснява обстоятелството, че по този метод могат да бъдат манипулирани данни на някои търговски предприятия, които биха представлявали интерес.
До каква степен тази офанзива има и политически темперамент? Във въпросния мейл се приканва за оставката на финансовия министър и освобождението на Джулиан Асандж.
Що се отнася до финансовия министър, считам, че по тази причина министър председателят Бойко Борисов свика Съвета за сигурност към Министерски съвет. Надали финансовият министър има отношение по този въпрос и има визия защо в действителност става дума, защото Национална агенция за приходите официално е подчинена на Финансовото министерство, само че действително софтуерното администриране се прави от самата приходна организация. Относно Асандж, аз си мисля, че по-скоро български хакери са забъркани тук.
Не мисля, че има директно отношение, тъй като мотивацията за хакерство толкоз отдалеко, малко необичайно би седяла в взаимен вид. Доста скалъпено седят нещата – съветски имейл, популяризиран до медиите, необразовано написан текст. Доста неиздържана стои тази версия. По-скоро евентуално български хакери са направили някакви нерегламентирани сваляния на информация, в това число и с присъединяване на вътрешни хора и в този момент тези неща излизат в общественото пространство. Защото публично беше оповестено, че тези данни са свалени преди месец, т.е. в този момент стават притежание на обществеността.
Не са нови като обстоятелства. По-скоро върху това би трябвало да се поразсъждава с политическите коментатори – кой и за какво сега би имал полза от политически подтекст в такава посока. Иначе софтуерно, нещата очевидно не могат да се извършат единствено от разстояние.
Какви са изводите от тази обстановка, в която страната ни се намира?
Чисто законодателно би трябвало да помислим върху това, че с изключение на законодателни рамки, тактики, политици, би трябвало да има и действителни дейности, които за момента страната би трябвало да прави – вложения в развиването на човешкия капацитет, който да пази технологиите. Трябва да се натъртва и в тази част, тъй като единствено с технологии без човешки фактор няма да стане. Това е значим миг. /tribune.bg
Какви последици може да има хакерската офанзива против Национална агенция за приходите за хората и бизнеса, за всички лица, които са наранени?
За хората, най-общо казано, това е много противен акт. За бизнеса е по-притеснително, тъй като знаете, че съществуването на бизнес информация дава опция за влияние върху правенето на самите покупко-продажби. За мен по-скоро това деяние цели да покаже две неща. Едното е, че системите на Национална агенция за приходите са уязвими, макар че този размер информация, който е изминал, това не може да стане без вътрешни хора, които да приготвят процеса.
Другото е да се покаже, че Европейската регулация - GDPR (ОБЩ РЕГЛАМЕНТ ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ) на процедура може да засегне безусловно всеки. Понеже тя работи от юли месец, това основава доста забавен юридически проблем – до каква степен някой ще глоби Национална агенция за приходите, защото действително приходната организация е позволила приключване на персонална информация и според тази регулация предстои на санкция даже. Нещата стоят много сложно.
Какви ограничения би трябвало да се подхващат оттук насетне?
Един от огромните проблеми на нашата администрация е, че техниката, с която тя разполага не е задоволително обновявана и би трябвало да се създадат съответните вложения, с цел да се обезпечи осведомително масива с данни. Миналата година знаете, че имаше проблем с Търговския указател. Тази година с Национална агенция за приходите. Това са единствено още едни знаци, че от една страна технологиите би трябвало да се закупуват, въпреки това обаче би трябвало да се влага и в човешки капацитет, който да обезпечава тази сигурност.
Не става единствено с техника. Не на последно място, огромна част от нещата, които се обезпечават като услуги в България не минават по този начин нар. „ стрес проби “, изключително що се отнася до новите системи, защото те са скъпи. Съответно пораждат и такива обстановки. Принципно не виждам нещо толкоз ужасно, с изключение на моралната страна на казуса, която в действителност не е приятна за никого.
Казвате, че офанзивата няма по какъв начин да се случи без вътрешни хора?
Реализирането на сходен вид офанзиви като размер, върху подобен масив от данни, не може да стане с елементарна офанзива от разстояние. По-скоро имаме комплициран вид офанзива, която включва както инсайдъри (вътрешни хора), по този начин и външни участници, като тези инсайдъри могат да бъдат с несъзнателно и с волно присъединяване. Защото, в случай че някой е отворил имейл, който по-нататък е заразил компютър и след това е пренесъл информация на сървър, без да знае, че по този метод го прави уязвим, е допустимо и по този метод да е станало присъединяване на вътрешния човек, без той да има предумисъл. Но е допустимо и той да взе участие съзнателно, тъй като друга версия пък разяснява обстоятелството, че по този метод могат да бъдат манипулирани данни на някои търговски предприятия, които биха представлявали интерес.
До каква степен тази офанзива има и политически темперамент? Във въпросния мейл се приканва за оставката на финансовия министър и освобождението на Джулиан Асандж.
Що се отнася до финансовия министър, считам, че по тази причина министър председателят Бойко Борисов свика Съвета за сигурност към Министерски съвет. Надали финансовият министър има отношение по този въпрос и има визия защо в действителност става дума, защото Национална агенция за приходите официално е подчинена на Финансовото министерство, само че действително софтуерното администриране се прави от самата приходна организация. Относно Асандж, аз си мисля, че по-скоро български хакери са забъркани тук.
Не мисля, че има директно отношение, тъй като мотивацията за хакерство толкоз отдалеко, малко необичайно би седяла в взаимен вид. Доста скалъпено седят нещата – съветски имейл, популяризиран до медиите, необразовано написан текст. Доста неиздържана стои тази версия. По-скоро евентуално български хакери са направили някакви нерегламентирани сваляния на информация, в това число и с присъединяване на вътрешни хора и в този момент тези неща излизат в общественото пространство. Защото публично беше оповестено, че тези данни са свалени преди месец, т.е. в този момент стават притежание на обществеността.
Не са нови като обстоятелства. По-скоро върху това би трябвало да се поразсъждава с политическите коментатори – кой и за какво сега би имал полза от политически подтекст в такава посока. Иначе софтуерно, нещата очевидно не могат да се извършат единствено от разстояние.
Какви са изводите от тази обстановка, в която страната ни се намира?
Чисто законодателно би трябвало да помислим върху това, че с изключение на законодателни рамки, тактики, политици, би трябвало да има и действителни дейности, които за момента страната би трябвало да прави – вложения в развиването на човешкия капацитет, който да пази технологиите. Трябва да се натъртва и в тази част, тъй като единствено с технологии без човешки фактор няма да стане. Това е значим миг. /tribune.bg
Източник: dnesplus.bg
КОМЕНТАРИ