Изграждането на държавен дейта център е хвърляне на пари на вятъра

– Колкото по-ценна е една информация, толкова повече се засилва интересът тя да бъде открадната или видоизменена. В тази връзка централизирането на всички ценни масиви от данни на едно място със сигурност не прави тази база данни много безинтересна. Точно обратното – прави я най-ценната в България. Това автоматично означава, че се качва и нивото на сигурност, което трябва да се покрие, а методите за опазване се усложняват многократно. Защитата на данните започва да става много тежка задача. 

– Не мога да кажа колко, но със сигурност ще са безсмислено похарчени пари. Няма никаква логика държавата да изгражда собствен дейта център. Това е хвърляне на пари на вятъра. 

– Държавата няма достатъчно висока техническа експертиза. Големите специалисти не работят в администрацията, а в индустрията. Функцията на държавата е да задава принципите, да възлага и контролира изпълнението. Както и при пътищата – тя не е строител, а наема фирми, които да ги правят. Принципът и тук е същият. Изграждането на нещо държавно не го прави по-добро, а напротив.  А ако нещо се обърка, няма „план Б” –  ако си премиер и твоята държавна агенция не се справи, ти какво трябва да направиш, нова държавна агенция ли? Не, нали. Докато фирмата винаги можеш да я смениш, ако се провали. 

Водещите американски комуникационни компании са станали големи, защото техният най-голям клиент е американското правителство. Никой в Америка не си строи собствен дейта център, а използва тези на Verizon, AT&T и другите. И те стават големи фирми, затова защото държавата ги подкрепя. Това е една от критиките ми към българската политика по отношение на цифровизацията – че твърде често тук се харчат пари за създаване на инфраструктура, вместо да се харчат за обучение на експерти, които да могат да възлагат и контролират изпълнението на важните функции в държавата. 

– Информацията в Търговския регистър е публична и основният риск при нея не е от открадване, а от нейното потенциално видоизменяне или загубване. Прост back up напълно решава този проблем, само че работещ, а не такъв, който да не може да се възстанови три седмици. С две думи необходимо е надеждно резервно копие, локирано на различни места и криптирано по съответния начин, като тук фокусът на криптирането не е да не се чете, а да не се видоизменя. За целта се прави система, която всеки ден да сравнява информацията с тази от предишните дни и да следи за промени. Всяка операция се подписва по електронен път от физическо лице, така че при нужда да се търси персонална отговорност. Това са неща, които са много по-лесни за изпълнение.

– Добре е резервните копия да са повече, за да може ако се случи нещо с едното, да се защитиш с друго. Това няма голяма допълнителна тежест – можеш и 5 копия да си направиш, защото един back up на практика не струва почти нищо. Хубаво е да са в различни дейта центрове. И тук е красотата на това нещо, защото ако си си организирал добре нещата и си криптирал информацията си с хардуерно устройство с публичен и частен ключ на него, после няма нужда да се притесняваш, че си я сложил някъде, където друг може да я открадне. (Става дума за асиметрична схема, базирана на два вида ключове: публичен, който криптира информацията, и частен, който я декриптира. Само притежателят на съответния частен ключ може да дешифрира написаното, бел.р.). Така дори информацията да бъде открадната, с нея не може да бъде направено нищо. В тази връзка хипотетично може да се използва и най-евтиният дейта център. Всъщност всичко опира до правилна организация и до няколко основни принципа при опазването на данни. 

– Те се базират на разбирането за това какво е информацията. Тя например може да се притежава, но няма материално изражение. Ако ви откраднат колата, ще разберете веднага, но ако ви откраднат информацията, може изобщо да не разберете. Също така нея може да я възпроизведеш в 100% идеално копие, а размножаването ѝ е близко до безплатно (за разлика от това на колата) и на практика много лесно. 

Така възниква въпросът как тя да бъде защитена и отговорът не е чрез бетонни стени, ключове и каси. Информацията трябва да е едновременно защитена, но и използваема. Това се постига чрез криптиране. То помага на човек да шифрова данните си, така че само той да може да ги разбира, а ако му бъдат откраднати, да не могат да бъдат използвани. Криптирането всъщност обезсмисля създаването на държавен интернет или каквато и да друга скъпа инфраструктура, защото физическото отделяне на данните само по себе си не е защита. Докато криптирането намалява цената за опазване на информацията и позволява да се използва вече съществуващата инфраструктура. 

– Методите на криптиране са на практика неразбиваеми. Естествено, ако се ангажират всички суперкомпютри на Земята и те работят в продължение на пет години, накрая ще разкодират някое съобщение изпратено в WhatsApp например. Но е очевидно, че от практическа гледна точка в това няма смисъл. 

– Една верига е толкова силна, колкото е силна най-слабата ѝ брънка. Всяка дейност, която извършваме на компютъра, е свързана с много други, а криптирането е само една от брънките. Така ако някой например е инсталирал вирус, който следи какво пишете на клавиатурата, той ще ви подслуша паролата, с която разкодирате вашата силно криптиранa информация и ще може да я декриптира. Да не говорим, ако сте си записали паролата на листче и някой мине и я препише. Начините са множество и затова усилията на съвременните експерти и организации, които защитават данни, не са в това да я криптират много сигурно, защото то е елементарна задача. Фокусът е върху организационните и другите технически мерки, които да подсигурят, че няма други дупки в сигурността, от които да изтича некриптирана информация. Защото може дори и по невнимание някой да е дал достъп до нещо или да го е откраднал и да го е дал другиму.

– Човешкият фактор винаги е най-слабата брънка във веригите за сигурност. Това обаче не означава, че всеки човек трябва да разбира непременно от криптиране или да е много навътре с техническите подробности. Достатъчно е да е наясно с основните принципи за опазване на данни – че информацията е лесно да бъде копирана, че съществува силно криптиране, на което може да се разчита, но и че криптирането не решава всичко, а са необходими и други методи. Ако има познание за всичко това, после ще може да изисква от хората, от които действително зависи сигурността, правилата да се спазват. В основата на всичко е това компанията или държавната администрация да е така организирана, че нещата да се случват без големи рискове за никого. Опазването на данните минава през няколко нива и първото е образованието и разбирането на тяхната същност.