Изграждането на държавен дейта център е хвърляне на пари на вятъра
Човешкият фактор винаги е най-слабата брънка във веригите за сигурност
Невен Дилков, изпълнителен директор на Neterra:
Снимка: Neterra
~ 6 мин.
Мирела Вавова На 9 срещу 10 август блокира една от най-важните бази данни в държавата - Търговският регистър. Основната причина по думите на вицепремиера Томислав Дончев е била изгарянето на няколко диска. Според експерти възстановяването на информацията при наличието на добре поддържани резервни копия (back up) на отделни сървъри би отнело по-малко от ден. Възстановяването на нормалната работа на Търговския регистър обаче продължи 18 дни.
Безпрецедентният казус повдигна множество въпроси за методите на опазване на информация от национална сигурност и потенциалните щети от нейното погубване и подмяна. На фона на всичко това бе лансирана и идеята за създаването на национален дейта център, в който на едно място да се съхраняват резервните копия от всички държавни бази данни. За да обсъдим тази идея, потърсихме мнението на Невен Дилков, основател и изпълнителен директор на Neterra, под чиято шапка е Sofia Data Center.
– Г-н Дилков, покрай срива на Търговския регистър, чието възстановяване отне 18 дни, усилено се лансира идеята за създаването на единен национален дейта център, в който да се съхраняват резервните копия от всички държавни бази данни. Как намирате тази идея?
– Колкото по-ценна е една информация, толкова повече се засилва интересът тя да бъде открадната или видоизменена. В тази връзка централизирането на всички ценни масиви от данни на едно място със сигурност не прави тази база данни много безинтересна. Точно обратното – прави я най-ценната в България. Това автоматично означава, че се качва и нивото на сигурност, което трябва да се покрие, а методите за опазване се усложняват многократно. Защитата на данните започва да става много тежка задача.
– Колко би коствало на държавата да изгради такава инфраструктура според Вас?
– Не мога да кажа колко, но със сигурност ще са безсмислено похарчени пари. Няма никаква логика държавата да изгражда собствен дейта център. Това е хвърляне на пари на вятъра.
– Бихте ли обяснили защо?
– Държавата няма достатъчно висока техническа експертиза. Големите специалисти не работят в администрацията, а в индустрията. Функцията на държавата е да задава принципите, да възлага и контролира изпълнението. Както и при пътищата – тя не е строител, а наема фирми, които да ги правят. Принципът и тук е същият. Изграждането на нещо държавно не го прави по-добро, а напротив. А ако нещо се обърка, няма „план Б” – ако си премиер и твоята държавна агенция не се справи, ти какво трябва да направиш, нова държавна агенция ли? Не, нали. Докато фирмата винаги можеш да я смениш, ако се провали.
Водещите американски комуникационни компании са станали големи, защото техният най-голям клиент е американското правителство. Никой в Америка не си строи собствен дейта център, а използва тези на Verizon, AT&T и другите. И те стават големи фирми, затова защото държавата ги подкрепя. Това е една от критиките ми към българската политика по отношение на цифровизацията – че твърде често тук се харчат пари за създаване на инфраструктура, вместо да се харчат за обучение на експерти, които да могат да възлагат и контролират изпълнението на важните функции в държавата.
– Ако се върнем на казуса с Търговския регистър, как трябва да бъде пазена информацията в него?
– Информацията в Търговския регистър е публична и основният риск при нея не е от открадване, а от нейното потенциално видоизменяне или загубване. Прост back up напълно решава този проблем, само че работещ, а не такъв, който да не може да се възстанови три седмици. С две думи необходимо е надеждно резервно копие, локирано на различни места и криптирано по съответния начин, като тук фокусът на криптирането не е да не се чете, а да не се видоизменя. За целта се прави система, която всеки ден да сравнява информацията с тази от предишните дни и да следи за промени. Всяка операция се подписва по електронен път от физическо лице, така че при нужда да се търси персонална отговорност. Това са неща, които са много по-лесни за изпълнение.
– А какъв е подходът при опазването като цяло на информация от национална сигурност?
– Добре е резервните копия да са повече, за да може ако се случи нещо с едното, да се защитиш с друго. Това няма голяма допълнителна тежест – можеш и 5 копия да си направиш, защото един back up на практика не струва почти нищо. Хубаво е да са в различни дейта центрове. И тук е красотата на това нещо, защото ако си си организирал добре нещата и си криптирал информацията си с хардуерно устройство с публичен и частен ключ на него, после няма нужда да се притесняваш, че си я сложил някъде, където друг може да я открадне. (Става дума за асиметрична схема, базирана на два вида ключове: публичен, който криптира информацията, и частен, който я декриптира. Само притежателят на съответния частен ключ може да дешифрира написаното, бел.р.). Така дори информацията да бъде открадната, с нея не може да бъде направено нищо. В тази връзка хипотетично може да се използва и най-евтиният дейта център. Всъщност всичко опира до правилна организация и до няколко основни принципа при опазването на данни.
– Какви са тези принципи?
– Те се базират на разбирането за това какво е информацията. Тя например може да се притежава, но няма материално изражение. Ако ви откраднат колата, ще разберете веднага, но ако ви откраднат информацията, може изобщо да не разберете. Също така нея може да я възпроизведеш в 100% идеално копие, а размножаването ѝ е близко до безплатно (за разлика от това на колата) и на практика много лесно.
Така възниква въпросът как тя да бъде защитена и отговорът не е чрез бетонни стени, ключове и каси. Информацията трябва да е едновременно защитена, но и използваема. Това се постига чрез криптиране. То помага на човек да шифрова данните си, така че само той да може да ги разбира, а ако му бъдат откраднати, да не могат да бъдат използвани. Криптирането всъщност обезсмисля създаването на държавен интернет или каквато и да друга скъпа инфраструктура, защото физическото отделяне на данните само по себе си не е защита. Докато криптирането намалява цената за опазване на информацията и позволява да се използва вече съществуващата инфраструктура.
– Колко сигурно обаче е криптирането, предвид че всеки ден чуваме за хакери, които пробиват базите данни на големи корпорации и правителства?
– Методите на криптиране са на практика неразбиваеми. Естествено, ако се ангажират всички суперкомпютри на Земята и те работят в продължение на пет години, накрая ще разкодират някое съобщение изпратено в WhatsApp например. Но е очевидно, че от практическа гледна точка в това няма смисъл.
– Как тогава стават пробивите?
– Една верига е толкова силна, колкото е силна най-слабата ѝ брънка. Всяка дейност, която извършваме на компютъра, е свързана с много други, а криптирането е само една от брънките. Така ако някой например е инсталирал вирус, който следи какво пишете на клавиатурата, той ще ви подслуша паролата, с която разкодирате вашата силно криптиранa информация и ще може да я декриптира. Да не говорим, ако сте си записали паролата на листче и някой мине и я препише. Начините са множество и затова усилията на съвременните експерти и организации, които защитават данни, не са в това да я криптират много сигурно, защото то е елементарна задача. Фокусът е върху организационните и другите технически мерки, които да подсигурят, че няма други дупки в сигурността, от които да изтича некриптирана информация. Защото може дори и по невнимание някой да е дал достъп до нещо или да го е откраднал и да го е дал другиму.
– Тоест опираме до човешкия фактор?
– Човешкият фактор винаги е най-слабата брънка във веригите за сигурност. Това обаче не означава, че всеки човек трябва да разбира непременно от криптиране или да е много навътре с техническите подробности. Достатъчно е да е наясно с основните принципи за опазване на данни – че информацията е лесно да бъде копирана, че съществува силно криптиране, на което може да се разчита, но и че криптирането не решава всичко, а са необходими и други методи. Ако има познание за всичко това, после ще може да изисква от хората, от които действително зависи сигурността, правилата да се спазват. В основата на всичко е това компанията или държавната администрация да е така организирана, че нещата да се случват без големи рискове за никого. Опазването на данните минава през няколко нива и първото е образованието и разбирането на тяхната същност.
