Божидар Божанов: Кибератаките зачестяват, но все още не може да се каже, че сме в кибервойна
ВизиткаБожидар Божанов е министър на електронното ръководство на България от декември 2021 година насам. Като подобен той е най-високопоставеният отговорник за киберсигурността на страната. Преди това е бил изпълнителен шеф на компанията за киберсигурност LogSentinel. Разговорът с него бе извършен от сцената на конференцията Digitalk. В началото на май направихте нещо покрай апел за готовност в областта на киберсигурността. В кибервойна ли е България?
- " Кибервойна " е термин, който се дебатира необятно, и нямам желанието да влизам в този научен спор сега. Накратко обаче, той допуска, че дейностите в киберпространството водят до опустошения във физическия свят. До този миг това не се е случило, за благополучие. Така че не, не сме във война, само че сме във фаза на засилена киберактивност.
През последната година имаше офанзиви против обществени и частни институции в България. Повечето от тях бяхаDDoS офанзиви (отказ от услуга - бел. авт.). Виждате ли смяна във типа на офанзивите?
- Има офанзиви с ransomware (вирус, изискващ заплащане - бел. авт.), като тази против пощата. Имаше и други, които бяха по-слаби и по-неуспешни. Виждаме и нарастване в потенциала на DDoS офанзивите, както и засилена интензивност в други насоки. Това не значи, че такива офанзиви не е имало и преди - значи единствено, че в този момент са по-интензивни и фокусирани, по-добре ориентирани по отношение на съответни институции, с цел да доведат до последици в същинския живот, като прекъсването на разплащането на пенсиите.
Реклама Сега, откакто имаме структурирано министерство, което дава отговор за киберсигурността, прави ли ни това по-добре предпазени?
- Не автоматизирано. Новото министерство не значи нищо единствено по себе си, само че позитивната страна е, че това към този момент е тематика на масата на Министерския съвет. Преди това киберсигурността беше някъде встрани - нещо, което министрите не гледаха, единствено понякога, когато имаше нещо доста огромно. Сега тези диалози се водят на най-високото допустимо равнище, което е доста значимо. Всички останали ограничения, които взимаме, като сканиране на инфраструктурата ни, проби за пенетрация, подобряването на софтуера и наемането на нови хора не биха били вероятни, в случай че нямаше утвърждение от високо.
Забелязвате ли покачване в броя на офанзивите от началото на войната в Украйна насам и в случай че да, това ли е повода? Виждате ли корелация сред интензивния политически живот в България и по света и това, което се случва в киберпространството?
- Първоначално не виждахме сходно покачване в киберактивността. Не бих нарекъл офанзиви опитите за пробив и инспекциите дали не сме оставили някоя " врата " отключена. Кибератаката е нещо на доста равнища, не става дума за натискане на копче. Така че първоначално не виждахме нещо сходно, само че в последните седмици ситуацията се промени. Не единствено при нас, само че и измежду останалите на " източния фронт ", в случай че мога да употребявам тази изразителност. Всички виждаме повече DDoS офанзиви, ransomware офанзиви, както и потреблението на други принадлежности от хакерския боеприпас. Така че да, виждаме покачване и е доста евентуално то да е обвързвано с войната в Украйна. Източникът също е мощно евентуално да е или Руската федерация, или съветски хакерски групи. Поставянето на знак за тъждество сред двете не е наложително вярно, само че нямаме задоволително информация, с цел да ги разграничаваме в подробност. Това води до някои изключителни ограничения от държавните управления в Източна Европа.
Знаем ли с акуратност от кое място идва този злотворен трафик?
- Начинът, по който работи интернет, не ни разрешава да кажем с високо равнище на сигурност от кое място идва трафикът. Самият той може да идва от всякъде - ревизираме IP адреси, имаме развой по сигнализиране към Екипа за реагиране при произшествия в компютърната сигурност (CERT), какъвто има и в други страни. Така че в случай че забележим 15 американски IP адреса, прехвърляме към тамошния CERT и те ревизират техните снабдители на интернет и в случай че би трябвало, ги изключват от мрежата. Взимаме тези ограничения, само че компрометираните сървъри и крайни точки, от време на време и устройства, като рутери да вземем за пример, са по целия свят. Те споделят с командния център, само че самият той не би трябвало да бъде наложително в Русия, с цел да се ръководи от руснаци. За да знаем сигурно кой е зад дадена офанзива, би трябвало да можем да достъпим този команден център и да забележим от кое място някой се е логнал, само че даже това не ни дава 100-процентов отговор. Казано в резюме, има висока възможност, че този трафик идва от Русия, само че няма по какъв начин да сме 100% сигурни.
Ако вземем офанзивата против " Български пощи " като образец, какво се случи и по какъв начин реагира държавното управление?
- Атаката против пощите беше ransomware, който криптира сървърите с данни и по-късно поради доста бавната реакция на чиновниците криптира и бекъп сървърите. Данните бяха изгубени и по тази причина ни лиши толкоз доста време. Защо се случи по този начин? Причините са доста, само че главната е неналичието на каквото и да било внимание към киберсигурността. Не би било пресилено да кажем, че в сдружението това занятие е било изоставено и е оставило отворени вратите за пробив. Множество неприятни практики като слаби администраторски пароли, липса на антивирусен програмен продукт на сървърите и други са били налице. Било е доста елементарно за влизане в системата и криптирането на системата. Защо обаче се е случило от политическа позиция - пощите бяха отвън всякаква регулация и надзор на киберсигурността, отвън закона за киберсигурност и отвън компетенциите на ДАНС. Сега предлагаме това да се промени. Иначе картината остава същата - пощата няма ресурса да се отбрани сама.
Реклама Казвате, че става дума за злотворен код, който изисква откуп за декриптирането на файловете. Ще заплати ли подобен българското държавно управление?
- Не. Това е неприятна концепция, тъй като даже да платиш, нямаш гаранция, че файловете ще бъдат декриптирани. И да, ransomware е, само че това е чадърен термин. Идеята е, че криптира данни и оставя записка за разплащане, само че никой не ни потърси интензивно да изиска пари, тъй че може би е просто по-обща офанзива " в случай че ни платите, благодарим ".
Има ли чувствителни данни, които са били криптирани?
- Системите се връщат назад онлайн. За момента разчитаме на хартията, с цел да може да има допустимо минимум проблеми при изплащането на пенсиите в страната. Тази офанзива има своите последици, тъй като хората няма да си получат пенсиите, в случай че не живеят физически там, където са регистрирани. Колкото до писмата - иронично или не, всички сме виждали тетрадките в пощенските клонове и тъкмо поради тях разнасянето на писма работи. За други данни в пощите се употребяват обособени снабдители на услуги, а и имаме останал работещ бекъп на към две седмици, тъй че нещата не са толкоз зле и работим по връщането на всичко в естествен режим даже до момента в който си приказваме сега.
Много от проблемите, които се случват и ще се случват в бъдеще, се дължат на остарелия програмен продукт, който употребяват чиновниците в администрацията, изключително в дребните обитаеми места. Как може държавното управление да се оправи с този проблем?
- Конкретно при пощите има огромен бюджет, записан в Плана за възобновяване и резистентност, който към този момент се извършва. В по-голямата картина за жалост не знаем къде има остарели компютри. Трябваше да знаем, тъй като има централизирана база данни, само че тя не е била попълвана правилно. Така че имаме някаква концепция, само че има потребност от доста ровене, с цел да стигнем до потребна информация. Това може да звучи като техническа детайлност, само че незнанието на държавното управление какво има и къде го има е проблем за тези политики. Така че първата ни работа е да вкараме базите данни в ред, да ги проучваме и да прибавим още данни. Тогава към този момент ще си създадем сметката да махнем компютри на над 7-8-годишна възраст през идващия бюджет.
Преди да станете министър, бяхте изпълнителен шеф на компания за киберсигурност. Помага ли този опит или държавната киберсигурност е друга работа?
- За страдание да, оказва помощ. Да бъдеш министър е на първо място организационна задача. Да се грижиш за такава огромна конструкция като държавното управление, би трябвало да бъде организационна работа, само че за жалост ние нямаме нужните институции, с цел да ползват съответно политиките, тъй че се постанова аз да се въвличам персонално. Надявам се, че след мандата ни това към този момент няма да бъде по този начин, само че към този момент ситуацията е такова и оказва помощ, че знам всеки подробност в киберзащитата.
Четено Коментирано Препоръчвано 1 Коментари и разбори 2 Войната в Украйна 3 Транспорт 1 Войната в Украйна 2 Свят 3 Транспорт 1 Коментари и разбори 2 Войната в Украйна 3 Политика Реклама Каква е веригата на връзка при една офанзива? Кой дава отговор пръв?
- Първо би трябвало CERT да получи сигнал от засегнатата институция и по-късно да координира с другите съответстващи за случая институции. Имаме координационна група, която на процедура е общ чат с хора от националната сигурност, министерствата с сериозно значима инфраструктура, други организации и така нататък Всички знаят какво се случва и се координираме. Но CERT е институцията, която поема в началото, и планираме да разтеглим нейните пълномощия, с цел да може да действа дейно.
Работа единствено на страната ли е да пази българската киберсигурност?
- Държавата не може да се оправи сама с киберсигурността - нито в този момент, нито след година, евентуално изобщо в никакъв случай. Част от инфраструктурата е частна и не можем да се месим там. Частният бранш ни оказва помощ, в това число и в тази ситуация с пощите. Помага ни и посредством тестване на предпочитани системи на администрацията от доброволци. Това, което желаеме ние от частния бранш, е освен да ни оказват помощ, само че и да наблюдават дали тази помощ се употребява вярно - дали услугите и продуктите са конфигурирани вярно в дадена администрация. И те го вършат.
Имате ли деен контакт с българските компании за киберсигурност?
- Да и това е доста значимо. Едно е да знаеш детайлите от първоизточника, друго е от написан отчет. Това е значимо за мен, с цел да схвана какво тъкмо се случва или се е случило, да схвана какъв брой е сериозна обстановката и да вземем верните ограничения.
Интервюто взе Йоан Запрянов
Бюлетин Вечерни вести
Най-важното от деня. Всяка делнична вечер в 18 ч.
Вашият email Записване
- " Кибервойна " е термин, който се дебатира необятно, и нямам желанието да влизам в този научен спор сега. Накратко обаче, той допуска, че дейностите в киберпространството водят до опустошения във физическия свят. До този миг това не се е случило, за благополучие. Така че не, не сме във война, само че сме във фаза на засилена киберактивност.
През последната година имаше офанзиви против обществени и частни институции в България. Повечето от тях бяхаDDoS офанзиви (отказ от услуга - бел. авт.). Виждате ли смяна във типа на офанзивите?
- Има офанзиви с ransomware (вирус, изискващ заплащане - бел. авт.), като тази против пощата. Имаше и други, които бяха по-слаби и по-неуспешни. Виждаме и нарастване в потенциала на DDoS офанзивите, както и засилена интензивност в други насоки. Това не значи, че такива офанзиви не е имало и преди - значи единствено, че в този момент са по-интензивни и фокусирани, по-добре ориентирани по отношение на съответни институции, с цел да доведат до последици в същинския живот, като прекъсването на разплащането на пенсиите.
Реклама Сега, откакто имаме структурирано министерство, което дава отговор за киберсигурността, прави ли ни това по-добре предпазени?
- Не автоматизирано. Новото министерство не значи нищо единствено по себе си, само че позитивната страна е, че това към този момент е тематика на масата на Министерския съвет. Преди това киберсигурността беше някъде встрани - нещо, което министрите не гледаха, единствено понякога, когато имаше нещо доста огромно. Сега тези диалози се водят на най-високото допустимо равнище, което е доста значимо. Всички останали ограничения, които взимаме, като сканиране на инфраструктурата ни, проби за пенетрация, подобряването на софтуера и наемането на нови хора не биха били вероятни, в случай че нямаше утвърждение от високо.
Забелязвате ли покачване в броя на офанзивите от началото на войната в Украйна насам и в случай че да, това ли е повода? Виждате ли корелация сред интензивния политически живот в България и по света и това, което се случва в киберпространството?
- Първоначално не виждахме сходно покачване в киберактивността. Не бих нарекъл офанзиви опитите за пробив и инспекциите дали не сме оставили някоя " врата " отключена. Кибератаката е нещо на доста равнища, не става дума за натискане на копче. Така че първоначално не виждахме нещо сходно, само че в последните седмици ситуацията се промени. Не единствено при нас, само че и измежду останалите на " източния фронт ", в случай че мога да употребявам тази изразителност. Всички виждаме повече DDoS офанзиви, ransomware офанзиви, както и потреблението на други принадлежности от хакерския боеприпас. Така че да, виждаме покачване и е доста евентуално то да е обвързвано с войната в Украйна. Източникът също е мощно евентуално да е или Руската федерация, или съветски хакерски групи. Поставянето на знак за тъждество сред двете не е наложително вярно, само че нямаме задоволително информация, с цел да ги разграничаваме в подробност. Това води до някои изключителни ограничения от държавните управления в Източна Европа.
Знаем ли с акуратност от кое място идва този злотворен трафик?
- Начинът, по който работи интернет, не ни разрешава да кажем с високо равнище на сигурност от кое място идва трафикът. Самият той може да идва от всякъде - ревизираме IP адреси, имаме развой по сигнализиране към Екипа за реагиране при произшествия в компютърната сигурност (CERT), какъвто има и в други страни. Така че в случай че забележим 15 американски IP адреса, прехвърляме към тамошния CERT и те ревизират техните снабдители на интернет и в случай че би трябвало, ги изключват от мрежата. Взимаме тези ограничения, само че компрометираните сървъри и крайни точки, от време на време и устройства, като рутери да вземем за пример, са по целия свят. Те споделят с командния център, само че самият той не би трябвало да бъде наложително в Русия, с цел да се ръководи от руснаци. За да знаем сигурно кой е зад дадена офанзива, би трябвало да можем да достъпим този команден център и да забележим от кое място някой се е логнал, само че даже това не ни дава 100-процентов отговор. Казано в резюме, има висока възможност, че този трафик идва от Русия, само че няма по какъв начин да сме 100% сигурни.
Ако вземем офанзивата против " Български пощи " като образец, какво се случи и по какъв начин реагира държавното управление?
- Атаката против пощите беше ransomware, който криптира сървърите с данни и по-късно поради доста бавната реакция на чиновниците криптира и бекъп сървърите. Данните бяха изгубени и по тази причина ни лиши толкоз доста време. Защо се случи по този начин? Причините са доста, само че главната е неналичието на каквото и да било внимание към киберсигурността. Не би било пресилено да кажем, че в сдружението това занятие е било изоставено и е оставило отворени вратите за пробив. Множество неприятни практики като слаби администраторски пароли, липса на антивирусен програмен продукт на сървърите и други са били налице. Било е доста елементарно за влизане в системата и криптирането на системата. Защо обаче се е случило от политическа позиция - пощите бяха отвън всякаква регулация и надзор на киберсигурността, отвън закона за киберсигурност и отвън компетенциите на ДАНС. Сега предлагаме това да се промени. Иначе картината остава същата - пощата няма ресурса да се отбрани сама.
Реклама Казвате, че става дума за злотворен код, който изисква откуп за декриптирането на файловете. Ще заплати ли подобен българското държавно управление?
- Не. Това е неприятна концепция, тъй като даже да платиш, нямаш гаранция, че файловете ще бъдат декриптирани. И да, ransomware е, само че това е чадърен термин. Идеята е, че криптира данни и оставя записка за разплащане, само че никой не ни потърси интензивно да изиска пари, тъй че може би е просто по-обща офанзива " в случай че ни платите, благодарим ".
Има ли чувствителни данни, които са били криптирани?
- Системите се връщат назад онлайн. За момента разчитаме на хартията, с цел да може да има допустимо минимум проблеми при изплащането на пенсиите в страната. Тази офанзива има своите последици, тъй като хората няма да си получат пенсиите, в случай че не живеят физически там, където са регистрирани. Колкото до писмата - иронично или не, всички сме виждали тетрадките в пощенските клонове и тъкмо поради тях разнасянето на писма работи. За други данни в пощите се употребяват обособени снабдители на услуги, а и имаме останал работещ бекъп на към две седмици, тъй че нещата не са толкоз зле и работим по връщането на всичко в естествен режим даже до момента в който си приказваме сега.
Много от проблемите, които се случват и ще се случват в бъдеще, се дължат на остарелия програмен продукт, който употребяват чиновниците в администрацията, изключително в дребните обитаеми места. Как може държавното управление да се оправи с този проблем?
- Конкретно при пощите има огромен бюджет, записан в Плана за възобновяване и резистентност, който към този момент се извършва. В по-голямата картина за жалост не знаем къде има остарели компютри. Трябваше да знаем, тъй като има централизирана база данни, само че тя не е била попълвана правилно. Така че имаме някаква концепция, само че има потребност от доста ровене, с цел да стигнем до потребна информация. Това може да звучи като техническа детайлност, само че незнанието на държавното управление какво има и къде го има е проблем за тези политики. Така че първата ни работа е да вкараме базите данни в ред, да ги проучваме и да прибавим още данни. Тогава към този момент ще си създадем сметката да махнем компютри на над 7-8-годишна възраст през идващия бюджет.
Преди да станете министър, бяхте изпълнителен шеф на компания за киберсигурност. Помага ли този опит или държавната киберсигурност е друга работа?
- За страдание да, оказва помощ. Да бъдеш министър е на първо място организационна задача. Да се грижиш за такава огромна конструкция като държавното управление, би трябвало да бъде организационна работа, само че за жалост ние нямаме нужните институции, с цел да ползват съответно политиките, тъй че се постанова аз да се въвличам персонално. Надявам се, че след мандата ни това към този момент няма да бъде по този начин, само че към този момент ситуацията е такова и оказва помощ, че знам всеки подробност в киберзащитата.
Четено Коментирано Препоръчвано 1 Коментари и разбори 2 Войната в Украйна 3 Транспорт 1 Войната в Украйна 2 Свят 3 Транспорт 1 Коментари и разбори 2 Войната в Украйна 3 Политика Реклама Каква е веригата на връзка при една офанзива? Кой дава отговор пръв?
- Първо би трябвало CERT да получи сигнал от засегнатата институция и по-късно да координира с другите съответстващи за случая институции. Имаме координационна група, която на процедура е общ чат с хора от националната сигурност, министерствата с сериозно значима инфраструктура, други организации и така нататък Всички знаят какво се случва и се координираме. Но CERT е институцията, която поема в началото, и планираме да разтеглим нейните пълномощия, с цел да може да действа дейно.
Работа единствено на страната ли е да пази българската киберсигурност?
- Държавата не може да се оправи сама с киберсигурността - нито в този момент, нито след година, евентуално изобщо в никакъв случай. Част от инфраструктурата е частна и не можем да се месим там. Частният бранш ни оказва помощ, в това число и в тази ситуация с пощите. Помага ни и посредством тестване на предпочитани системи на администрацията от доброволци. Това, което желаеме ние от частния бранш, е освен да ни оказват помощ, само че и да наблюдават дали тази помощ се употребява вярно - дали услугите и продуктите са конфигурирани вярно в дадена администрация. И те го вършат.
Имате ли деен контакт с българските компании за киберсигурност?
- Да и това е доста значимо. Едно е да знаеш детайлите от първоизточника, друго е от написан отчет. Това е значимо за мен, с цел да схвана какво тъкмо се случва или се е случило, да схвана какъв брой е сериозна обстановката и да вземем верните ограничения.
Интервюто взе Йоан Запрянов
Бюлетин Вечерни вести
Най-важното от деня. Всяка делнична вечер в 18 ч.
Вашият email Записване
Източник: capital.bg
КОМЕНТАРИ