Киберсигурна работа

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия. Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“ Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарали да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там. Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско. В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“ Системите са уязвими по две причини. Първата е, че по принцип е трудно да

Continue reading

Накратко за киберсигурността

През уикенда се проведе събитие в рамките на „Български манифест за Европа“ на тема „Европейски съюз за отбрана и сигурност и неговите черноморски измерения“ Тъй като не успях да присъствам, записах кратко видео, с което да обясня какво е и какво не е киберсигурност. Разбира се, 5-минутно видео няма как да обхване сложната тема, но все пак целта беше да дам базова представа. Основната ми теза е, че киберсигурността не е просто активна отбранителна дейност – тя е набор от много мерки, които в голямата си част са пасивни – добри практики, политики за сигурност, квалифициран персонал и то както в публичния, така и в частния сектор. Защото кибератаките не са само атаки по държавните системи (напр. изборни системи, публични регистри, уебсайтове на институции и др.) а и атаки по ключови частни компании – банки, мобилни оператори. Например преди няколко години БОРИКА имаше технически проблем, който доведе до пълно спиране на работа на банкомати и ПОС-терминали в цялата страна. И докато банкоматите не са чак толкова критична инфраструктура, то например електропреносната мрежа е. В случай, че нейни части, управлявани от софтуер, биват „ударени“, това може да значи спиране на електричеството (както предупреждава, например, Washington Post). Да не говорим за оборудване, използване в ядрената енергетика, което може да бъде увредено от вирус (като известният вирус Stuxnet, забавил значително иранската ядрена програма). Но дори да няма реални щети, атаките могат да имат сериозен имиджов ефект. Например при атаките срещу уебсайтове на институции (вкл. ЦИК) преди няколко години реално нямаше нанесени щети – просто сайтовете не бяха достъпни. Но самият факт, че институции бяха атакувани в деня на референдума за електронно гласуване пося (или поля) семето на несигурността от технологиите в изборния процес. И защитата от всички тези атаки изобщо не е тривиална. „Дупки“ в сигурността на най-различни системи се появяват постоянно (а

Continue reading