Киберсигурност ли? Дори комисията за личните данни се оказа без "броня"
В понеделник България бе разтърсена от новината за гигантско приключване на бази данни, свързани с данъчно-осигурителна информация. Медии получиха на е-пощите си линк към въпросните данни с милиони файлове, съдържащи ЕГН-та, имена, данъчни отговорности, вноски и така нататък И с предизвестие от анонимните хакери: " Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно ". ДАНС, Министерство на вътрешните работи и Национална агенция за приходите незабавно започнаха инспекция на сигнала. Това е най-големият теч на персонални данни у нас. Но не е никаква изненада, тъй като страната от години безконтролно подценява и настойчиво подценява по този начин значимата тематика за киберсигурността. Примери доста, само че ето единствено два, разказани в последните седмици в блога Duncheva.bg. Случките демонстрират, че даже КЗЛД - комисията, основана да пази персоналните данни на българските жители, е лесна за " продупчване " и " бавноразвиваща се " - в случай че използваме определението, обещано нагоре от анонимните хакери за държавното управление.
На 12 юли КЗЛД разгласява на сайта си следния текст, с който изрича признателност за подаден сигнал по отношение на осведомителната сигурност:
„ По подадена от Bivol.bg (Биволъ) информация и след осъществяване на съответна проверка се откри, че съществува техническа опция за достъп до информация, която е подавана до комисията под формата на тъжби, сигнали и запитвания. КЗЛД благодари на Bivol.bg за сигнала, вследствие на който комисията извърши одит на осведомителната сигурност на уеб страницата. КЗЛД ще предприеме всички нужни ограничения за гарантиране на сигурността на информацията, която жителите ѝ дават, и се извинява за възможните усложнения, които ще изпитат краткотрайно по отношение на подаването на тъжби, сигнали и въпроси до институцията.
До цялостното и гарантирано възобновяване на сигурността на подаваната през уеб страницата информация тъжби, сигнали и запитвания могат да бъдат подавани по някой от следните способи: персонално, на книжен притежател – в деловодството на КЗЛД.
А ето защо е сигналът, подаден от Биволъ:
Бял хакер три години моли КЗЛД да спре теч на персонални данни от нейния уебсайт, който е уязвим и дава достъп до персоналните данни на над 14 000 лица, изпращали тъжби или въпроси до комисията по разнообразни мотиви. Експертът е алармирал КЗЛД за казуса два пъти - през личната ѝ система за сигнали и тъжби, още през 2016 година Там са завели преписки с входящи номера, само че не са подхванали нищо, с цел да запушат пробойните. В последна сметка " белият хакер " се обръща към медиите, защото не вижда подпомагане от страна на институциите.
В публикацията се слага и въпросът по какъв начин и до кого да се подава сигнал за проблем, обвързван с киберсигурността. Например, в случай че при посещаване в държавната Информационна система за ръководство и наблюдаване на средствата от Европейски Съюз в България (ИСУН 2020) на компютъра ти се лепне " троянски кон " - както се случи с мен на 16 юни.
В момента няма връзка с този номер
На 5 юли на уеб страницата на Комисията за отбрана на персоналните данни се появи известие, с което комисията се извинява за технически проблеми с връзките в предните дни. В известието се споделя буквално: „ Комисията се извинява на всички, които са открили неявяване на връзка с институцията в работните дни от 1 до 4 юли. Стационарните телефони, електронната поща, институционалният уебсайт и предоставяните онлайн електронни услуги бяха прекратени до 16:30 ч. на 4 юли 2019 година заради независещи от КЗЛД механически аргументи “.
Първо, уеб сайтът не работеше още на 30 юни. Второ, по този начин и не се разбра какво е внесло ужас в връзките. Трето, при поднасянето на неприятните вести би трябвало да се съблюдават някои правила. На уеб страницата на Microsoft има публикация по въпроса, а в компютрите, ползващи програмен продукт на компанията – презентация. В рубриката " Съвети за дребния бизнес " със заглавие " Как да съобщите неприятни вести на клиент " Манаса Реддигари написа: " Уверете се, че го чуват от вас – едно от най-лошите неща, които могат да се случат при съобщаването на неприятни вести, е да научите, че вашият клиент heard about it through the grapevine " (поздравявам всички PR експерти с тази песен).
А институциите у нас не наподобяват изключително загрижени
по тези въпроси. Да забележим от началото на юни какъв брой европейски събития, свързани с киберсигурността, са минали без българско присъединяване:
На 2-3 юли Агенцията на Европейски Съюз за киберсигурност, Европейската комисия и 23 страни членки се събират за първи път на високо равнище в Париж за Blue OLEx 2019. Участват ръководителите на националните органи за киберсигурност на страните – членки на Европейски Съюз, няма данни за българско наличие.
От 24 юни до 5 юли се провежда CONNECT University Summer School 2019. Български преподавател няма.
На 6 юни ENISA разгласява листата на участниците в Европейското предизвикателство за киберсигурност, България няма тим.
На 27 юни влезе в действие Регламент 2019/881 по отношение на ENISA (Агенцията на Европейския съюз за киберсигурност) и узаконяването на киберсигурността на осведомителните и информационните технологии, както и за анулация на Регламент (ЕС) № 526/2013 (Акт за киберсигурността). Нито един държавен сайт не осведоми за това.
На 12 юли КЗЛД разгласява на сайта си следния текст, с който изрича признателност за подаден сигнал по отношение на осведомителната сигурност:
„ По подадена от Bivol.bg (Биволъ) информация и след осъществяване на съответна проверка се откри, че съществува техническа опция за достъп до информация, която е подавана до комисията под формата на тъжби, сигнали и запитвания. КЗЛД благодари на Bivol.bg за сигнала, вследствие на който комисията извърши одит на осведомителната сигурност на уеб страницата. КЗЛД ще предприеме всички нужни ограничения за гарантиране на сигурността на информацията, която жителите ѝ дават, и се извинява за възможните усложнения, които ще изпитат краткотрайно по отношение на подаването на тъжби, сигнали и въпроси до институцията.
До цялостното и гарантирано възобновяване на сигурността на подаваната през уеб страницата информация тъжби, сигнали и запитвания могат да бъдат подавани по някой от следните способи: персонално, на книжен притежател – в деловодството на КЗЛД.
А ето защо е сигналът, подаден от Биволъ:
Бял хакер три години моли КЗЛД да спре теч на персонални данни от нейния уебсайт, който е уязвим и дава достъп до персоналните данни на над 14 000 лица, изпращали тъжби или въпроси до комисията по разнообразни мотиви. Експертът е алармирал КЗЛД за казуса два пъти - през личната ѝ система за сигнали и тъжби, още през 2016 година Там са завели преписки с входящи номера, само че не са подхванали нищо, с цел да запушат пробойните. В последна сметка " белият хакер " се обръща към медиите, защото не вижда подпомагане от страна на институциите.
В публикацията се слага и въпросът по какъв начин и до кого да се подава сигнал за проблем, обвързван с киберсигурността. Например, в случай че при посещаване в държавната Информационна система за ръководство и наблюдаване на средствата от Европейски Съюз в България (ИСУН 2020) на компютъра ти се лепне " троянски кон " - както се случи с мен на 16 юни.
В момента няма връзка с този номер
На 5 юли на уеб страницата на Комисията за отбрана на персоналните данни се появи известие, с което комисията се извинява за технически проблеми с връзките в предните дни. В известието се споделя буквално: „ Комисията се извинява на всички, които са открили неявяване на връзка с институцията в работните дни от 1 до 4 юли. Стационарните телефони, електронната поща, институционалният уебсайт и предоставяните онлайн електронни услуги бяха прекратени до 16:30 ч. на 4 юли 2019 година заради независещи от КЗЛД механически аргументи “.
Първо, уеб сайтът не работеше още на 30 юни. Второ, по този начин и не се разбра какво е внесло ужас в връзките. Трето, при поднасянето на неприятните вести би трябвало да се съблюдават някои правила. На уеб страницата на Microsoft има публикация по въпроса, а в компютрите, ползващи програмен продукт на компанията – презентация. В рубриката " Съвети за дребния бизнес " със заглавие " Как да съобщите неприятни вести на клиент " Манаса Реддигари написа: " Уверете се, че го чуват от вас – едно от най-лошите неща, които могат да се случат при съобщаването на неприятни вести, е да научите, че вашият клиент heard about it through the grapevine " (поздравявам всички PR експерти с тази песен).
А институциите у нас не наподобяват изключително загрижени
по тези въпроси. Да забележим от началото на юни какъв брой европейски събития, свързани с киберсигурността, са минали без българско присъединяване:
На 2-3 юли Агенцията на Европейски Съюз за киберсигурност, Европейската комисия и 23 страни членки се събират за първи път на високо равнище в Париж за Blue OLEx 2019. Участват ръководителите на националните органи за киберсигурност на страните – членки на Европейски Съюз, няма данни за българско наличие.
От 24 юни до 5 юли се провежда CONNECT University Summer School 2019. Български преподавател няма.
На 6 юни ENISA разгласява листата на участниците в Европейското предизвикателство за киберсигурност, България няма тим.
На 27 юни влезе в действие Регламент 2019/881 по отношение на ENISA (Агенцията на Европейския съюз за киберсигурност) и узаконяването на киберсигурността на осведомителните и информационните технологии, както и за анулация на Регламент (ЕС) № 526/2013 (Акт за киберсигурността). Нито един държавен сайт не осведоми за това.
Източник: segabg.com
КОМЕНТАРИ