Доц. д-р Георги Павлов, УНСС: В днешно време, когато става дума за онлайн транзакции, всеки ден трябва да се тества сигурността, необходим е и сериозен мениджмънт

3% процента от общата база данни на НАП беше засегната от хакерска атака. За новината научихме в началото на седмицата, действията са извършени в края на миналия месец. След като премиерът Бойко Борисов свика извънредно заседание на Съвета за сигурност към Министерски съвет. Стана ясно, че се предприемат всички мерки за минимизиране на щетите. Защо България беше атакувана от хакери? Темата коментираме в сутрешния блок „Добро утро, България“ на Радио „Фокус“ с доц. д-р Георги Павлов от Катедрата по „Национална и регионална сигурност“ към Университета за национално и световно стопанство в София

Водещ: Доц. Павлов, как гледате на тази хакерска атака вие и съответно на реакцията на държавата ни?

Георги Павлов: Реакцията на държавата е правилна. Такива атаки са очаквани. Тоест може да се каже, че в рамките на моите усилия да преподавам защита на информацията, които датират от 2000 г. насам, с много студенти и с работещи хора и т.н. ние непрекъснато сме се опитвали да обясним, че трябва да се вземат мерки, най-вече на мениджърско ниво, и те да бъдат превантивни. Докато в момента наблюдаваме неща, които са постфактум. И колкото и да са правилни, те не могат да предотвратят щетата, която се е случила.

Водещ:  Нещо интересно обаче. Вчера Нова телевизия е получила съобщение, че от 11 години изтичат данни, именно от руския хакер, информирал за мащабната атака. Как коментирате това?

Георги Павлов: Още през 2010 г. ние се опитахме и от името на университета и на нашия следдипломен център да предложим програма, която да обучи цялата администрация в България как да се управлява процесът по защита на информацията. Тъй като тогава действаше и беше в сила наредба, която ги задължаваше до края на 2009 г. да се справят с този проблем. Обяснението беше, че няма пари, и не се проведе това обучение и сега не мога да ви кажа в момента какво е състоянието на нещата, въпреки че сме задължени да изградим тези системи и да управляваме сигурността на информацията по стандартите, прието по света. Това би предотвратило толкова дългото изтичане. Тъй като при тези системи се извършва много по-често, отколкото тук става въпрос вече за седем години все едно не е правен одит. Не са проверявали какво се случва.

Водещ: Да, точно. Как може държавата да не разбере, че има теч на данни?

Георги Павлов: Представете си, че аз съм бил одитор, отивам във фирмата, тя всичко е направила както трябва, обаче в следващия момент занемарява и забравя за какво става въпрос. От гледна точка на Международната организация по сертификация на тази фирма й се отнема правото да ползва тази информация. А в държавата нещата не стоят така, тъй като тя принципно си има агенция, която с това се занимава, и би трябвало тази агенция да сертифицира всички държавни организации. Сега мога да кажа, че някои от общините в България, примерно Габрово, те са сертифицирани, аз не съм чул оттам да има сериозни изтичания. Но следващата стъпка е, че тези одити са задължителни поне веднъж годишно, едно време, а пък в днешно време, когато става дума за онлайн транзакции, всеки ден трябва да се прави съответното тестване за сигурност. Тоест има си методи, има си фирми, които могат да подпомогнат тази дейност. Но очевидно това не се прави в нужната степен.

Водещ:  Дадохте пример с Габрово, че там няма сериозни изтичания, а къде има, доц. Павлов?

Георги Павлов: Там, където не са внедрени тези системи. Вие непрекъснато сте чували дори и  по света това не е само наш проблем. Спомняте си скоро на „Бритиш Еърлайнс“ данните бяха изтеглени. Там дори не може да става въпрос и за пари. Тоест ако мениджмънтът на съответната компания или организация не се организира да приеме сериозно този проблем, тъй като в системите за управление към националната сигурност има процедури, които трябва да се изпълняват. И някой трябва да следи за тяхното изпълнение. Ако те се изпълняват непрекъснато и хората са обучени да го правят, вероятността за случващото се в момента би се намалила до голяма степен. Тя не може да се изключи на 100 %. Аз няма да се уморя да повтарям, че проблемът не е само технически. Тъй като голяма част от експертите сега говорят технически проблем, технически проблем. Да, техниката винаги греши, обаче ако нямаме сериозен мениджмънт, който да следи процесите, да ги одитира, да ги проверява. Има си всякакви методи, чрез които да се тества доколко системата е добра.

Водещ: Първият български Закон за киберсигурност е приет в края на 2018 г. С него се поставиха тогава основите за създаване на една ефективна система за превенция и борба с кибератаките, за ограничаване на мащаба, честотата и въздействието на инцидентите в киберпространството. Вчера казахте обаче, че платформите, на които е информацията, са стари. Кой е виновен за течът на данни и къде са пропуските в закона?

Георги Павлов: Преди закона имаше стратегия за киберсигурност и една наша докторантка в катедрата месеци преди да се приеме стратегията беше защитила докторска дисертация на тема „Стратегия за киберсигурност“. Никой не я погледна тая стратегия. Сега и законът не знам в каква степен може да се изпълни толкова бързо. Тъй като имали сме закони, ще ви дам пример със Закона за управление при кризи, които се приемат и на шестата година се отменят. Сега се надявам този да не бъде променен. Но само с добри нормативни документи не можем да се справим с проблема. А в случая по-скоро става въпрос за регламента за защита на лични данни, който влезе в сила от 25 май миналата година, европейският. И по него също всички тези неща, които се случват, не би трябвало да се случват, ако са изпълнени изискванията на закона. Ако все пак са се случили, значи имаме пропуски в изграждането на системите. Дали е платформа, дали е, но ще ви кажа като пример, че имах в магистратурата, защити една колежка, която ми доказа, че една много стара платформа по никакъв начин не може да бъде атакувана, тъй като платформата не може да е само тя проблемът.

Водещ: Да, тоест остарялата платформа, която казват, няма как да бъде само тя проблемът, а има и нещо друго.

Георги Павлов: Не, това с платформата води към идеята дайте пари, за да го направим наново. Мениджмънтът трябва да реши трябва ли му нова платформа, не му ли трябва, или трябва да засили. Човешкият фактор е за мен най-големият проблем. Тъй като те не са хванали, че има изтичане, ако наистина го е имало.

Водещ: Ами потвърдиха, че го е имало вече.

Георги Павлов:  Не знам, тия потвърждения, не, то го е имало, но дали толкова дълго време го е имало.

Водещ:  Да, това тепърва ще стане ясно. Доц. Павлов, допускате ли, че е възможно съдействие отвътре за осъществяването на хакерската атака? Въпреки данните до момента, според които атаката е бил осъществена извън територията на България.

Георги Павлов: Аз вчера в друго интервю обясних, че анализите, които се правят в световен мащаб, показват, че 80% от подобни изтичания са със съдействие на вътрешно лице. Но това не означава, че трябва всички да са виновни. А когато се правят тези одити, ако има такъв проблем, той ще бъде също хванат. Но виждате как сега се стартира мащабен одит, ще се говори за него две седмици, след което пак няма да правим всеки ден проверки. Тоест затова трябва въпросът да се приеме сериозно и ръководството да следи дали се поддържа системата. Тя е добре да бъде отворена към гражданите, това е много хубаво, че сме го направили, трябва да продължим в тая посока. Но да имаме контрола, който да бъде сериозен.

Водещ: Така е, контрол и необходимият мениджмънт, както вие казахте, е необходим. Защото именно днешното богатство е скрито в данните. УНСС стартира програма „Управление на киберсигурност“. Разкажете ни малко повече за тази програма.

Георги Павлов: Именно в тая посока, след като видяхме, че в много университети в страната има програми по киберсигурност и имайки предвид нашата подготовка по тези въпроси, привлякохме технически експерти в тази програма, които да покажат как се решават проблемите, но заедно с това в нея включихме сериозни въпроси, свързани с мениджмънта при кризи, с мениджмънта на системите, защото се почва от анализ на риска. Какви са рисковете, какви средства ще струва? Това са все въпроси, които са свързани с икономиката и управлението на процесите, а не само с техническите решения, които се предлагат, разбира се, и от много фирми. Другият важен проблем, който не знам защо в България не можем да го решим, е, че когато в държавната администрация, което е в целия свят, няма достатъчен капацитет, те с публично-частно партньорство привличат фирми, които имат този капацитет и биха могли да правят както проверка за сигурност, така и самата сигурност на системите.

Водещ:  Доц. Павлов, ако можем да обобщим с вас сега за финал какви ресурси са необходими на страната ни, за да се справи с подобни хакерски атаки?

Георги Павлов: Въпросът с ресурсите трябва да се изясни от специалисти, които ще направят сега анализ на ситуацията. Разбира се, аз мога да за пример системата за граждански отчет на населението ЕСГРАОН, която всъщност е добре защитена. Защото вътре са използвани картографски методи, които гарантират по-голяма сигурност. Но тази система тя не е достъпна за цялото население, а само за определени хора, които влизат вътре с електронен подпис. Подобно нещо се разработва и в Национална агенция за приходите. Знаете, че като се подават декларациите, се реализира един такъв комуникационен канал, в който вие си давате нещо като електронен подпис. Така че просто трябва тези системи да се анализират, преди да се вземе решение какви средства са необходими. Защото виждате, че ние лесно даваме средства за техника, но като го нямаме мениджмънта тази техника тя е мъртва. Нещо подобно сега ми се струва сега, че ще се случи със суперкомпютъра. Ние трябва предварително да знаем за какво ще го използваме, и след това да го купуваме, така да се каже.

Йоланда ПЕЛОВА