Предизвестена киберпародия: Епизод пореден

Няма и година след безпрецедентния срив на Търговския регистър на 10 август 2018 г., друга критична база данни на държавната администрация даде фира. Системата на Националната агенция по приходите (НАП) бе компрометирана от хакери и в интернет изтече огромен обем чувствителна информация за милиони граждани и фирми. Проблемът е друг, но големият въпрос е същият – в състояние ли е държавата да осигури достатъчна защита на регистрите и електронните си услуги. 

Вчера анонимни хакери, по техни думи базирани в Русия, публикуваха в онлайн огромни масиви от данни за общо над 5 млн. български и чуждестранни граждани и фирми. Сред масивите, събрани в 57 папки с размер от близо 11 GB, има чувствителна информация, включително ЕГН-та. Хакерите твърдят, че разполагат с още толкова като количество данни, но не споменават естеството им. 

Новината вдигна на крака службите и днес вече е ясно, че неоторизираният достъп до базата данни на НАП е станал възможен благодарение на уязвимост в една от електронните услуги на НАП – за възстановяване на ДДС, платено в чужбина. 

Как действат хакерите 

Мнозина се запитаха защо България е влязла в полезрението на руски хакери, като в публичното пространство се появиха и спекулации за политически контекст. Външният министър Младен Маринов насочи вниманието към това, че информацията за киберпробива излиза в същия ден, в който правителството гласува актуализацията на бюджета, свързана с покупката на американски самолети F-16. 

„Името на Русия се намесва редовно в подобен тип дейности. Може и така да е, но може и да не е. Изисква се сериозен анализ, за да се установи произходът на атаката. Това е трудно да бъде направено по принцип, а още повече на този ранен етап от разкриването“, коментира пред Economic.bg Борис Гончаров, главен експерт по киберсигурност в Аматас. Той дава пример със САЩ, които от години сочат Русия като извор на хакерски атаки, но така и не успяват да предоставят достатъчно убедителни данни, че това 100% се случва там. 

„В повечето случаи хакерите не набелязват целите си конкретно, а по-скоро използват автоматични инструменти, с които да открият публично достъпни системи, които са уязвими“, обяснява от своя страна Красимир Коцев, основател на компанията за „бели хакери“ SoCyber. Що се отнася конкретно до държавните институции, те са особено интересни за хакерите заради това, че съхраняват голям брой лични данни, информацията за правителствени проекти, финансирания и пр. 

Борис Гончаров обръща внимание, че „няма система, независимо на коя точка на планетата се намирате, която да е напълни защитена от такъв тип атаки“. По негови думи, налице ли необходимият ресурс и фокус от страна на дадена хакерска група и има ли тя достатъчно умения, атака може винаги да бъде извършена. 

Как се случват пробивите

Проникванията, според Красимир Коцев, могат да се случат по няколко начина, като най-често това се случва чрез уязвимости по самото уеб приложение, чрез което потребителите достъпват услугите, докато в мрежите на ниво системи и инфраструктура пробойни се откриват много рядко.

В случая най-вероятният сценарий, без да имам информация какво точно се е случило, е извършване на успешна „SQL injection“ атака, с която потребителят успява да манипулира базата данни, така че тя да върне собственото си съдържание, понякога в чист вид или без наличието на добро криптиране“, обяснява той.

Това не е единственият възможен сценарии обаче, тъй като изтичането би могло и да е вследствие на атаки, насочени към Автентикацията, Управлението на потребителските сесии, уязвимости, позволяващи неоторизиран достъп до ресурси на приложението или изтичане на информация от приложението, съдържаща потребителското име и паролата за достъп до сървъра и до самата база данни.

Този вид пробиви отнемат различно време – от няколко минути и часове, до няколко дни и седмици, според сложността на приложението. На въпроса могат ли IT системите и отговарящите за тях специалисти да засекат извършването на неоторизиран пробив, Красимир Коцев отбелязва, че това е напълно възможно. Това важи с пълна сила особено за държавните администрации. „Те би следвало да имат системи, които, от една страна, да предотвратяват такъв тип атаки и, от друга – при всеки опит за компрометиране и източване на информация да задействат аларма, на която системният администратор да обърне внимание“, обяснява експертът. 

Коцев обръща внимание и на изисквания според Закона за киберсигурност, който казва, че всички критични доставчици на услуги трябва да имат системи за реакция при инцидент и за следене на опити за атака, т.н. SIEM решение. „Предполага се, че държавните институции като такива, които държат чувствителна информация и лични данни, би следвало да имат системи, които да засичат атаките в реално време и да ги предотвратяват“, посочва още той. 

Уви, българските явно се затрудняват. „Този теч се случва от 11 години насам“, написа човекът, представящ себе си като отговорен за хакерската атака „Данните са хаквани и през 2012 г. Тогава никой не разбра, че сме успели да инфилтрираме 30 GB информация”, посочва той в писмо до bTV, Nova и в-к „Капитал“. 

„Глупавите ви правораздавателни органи няма да открият нищо. Просто ще прикрият истината. Ако това се случи, аз лично ще кача информацията в руски и български торент тракери, така че всеки ще може да я свали свободно“, пише още мъжът. 

Да повярваш на държавата... 

... и да се опариш. От известно време насам държавата се е заела да случи заветния план за електронно правителство и НАП впрочем е една от институциите, напреднали най-много в тази посока. Ето, че сега данните на милиони хора са изтекли тъкмо от базите на приходната агенция. Случаят едва ли ще повиши и без това ниското доверие към електронните услуги в страната.   

„Естествено, че създава недоверие, тъй като в такива случаи вие като потребител няма какво да направите. Нещата са извън вашия контрол и на 100% разчитате на институцията да защити личните ви данни“, коментира Борис Гончаров, подчертавайки още веднъж, че все пак всяка система е податлива на пробиви. 

Под въпрос ли е националната сигурност

„Този масив е изключително голям като записи и тепърва ще трябва да се анализира в неговата пълнота, но разбира се, че трябва да говорим за национална сигурност. Тук става дума за една от основните системи в държавата, обработващи лични данни“, смята Борис Гончаров. Той дава пример с изтичането на лични данни на милиони хора от американската  кредитно-рейтингова компания Equifaq, но отбелязва, че там става дума за частна фирма. 

Според комисар Явор Колев, който иначе отказа да коментира разследването, казусът за националната сигурност е „въпрос на установяване на извършителите“. „Не бих казал, че е застрашена националната сигурност“, каза той за Economic.bg. 

Какви ще са последиците 

Не виждам кой знае какви последици“, каза още Явор Колев, началникът на отдел "Киберсигурност" към ГДБОП. 

По принцип обаче винаги е възможно да има злоупотреба и проблемът в този случай е, че личните данни от този тип са статични – ЕГН-то, например, не се променя с времето. В този ред на мисли злоупотреби са възможни. „Когато има такова изтичане, това е сценарий, който винаги трябва да бъде взет предвид“, смята Борис Гончаров. 

„Последствията може да са много дългосрочни и да имат множество разклонения във времето, които никой не може да предвиди. Към текущия момент може да се използват за едно нещо, след десет години за друго. Един път изтекли такива лични данни, проблемът е, че се губи контрол върху тях. Само времето ще покаже как могат да бъдат използвани за неправомерни цели. Те не се променят“, обяснява още киберекспертът.  

На въпроса каква роля ще изиграе GDPR в този случай, Гончаров коментира, че казусът е много добър пример за това защо всъщност е създаден регламентът. Според него последиците може да са в много посоки и тепърва в този процес ще бъде мобилизирана Комисията за защита на личните данни. Ако за компаниите обаче са предвидени финансови санкции, в случая с НАП евентуалното наказание ще е под някаква административна форма, тъй като в противен случай парите би следвало да се вземат от джоба на данъкоплатеца. 

Това е доста голям масив, засегнати са доста хора, така че тук влизаме в хипотеза на сериозно нарушение на сигурността на данните. Въпросът е да се прецени доколко това е свързано с липсата на защита или със слаби мерки“. 

Последиците предстоят. Междувременно остава да отекват думите на хакерите: „Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно“.