Киберсигурност на стратегически обекти

Вчера изпратих въпрос до ДАНС относно видеокамери и валидатори в столичния градски транспорт В малка част от реакциите и медийни публикации, това беше иронизирано като „Божанов се притесни, че руснаци и китайци ще ни следят в градския транспорт“. Разбирам тази интерпретация, тъй като ако човек няма целия контекст на киберсигурността и националната сигурност, всяко такова притеснение изглежда параноично. Затова ще си позволя малко по-дълго и техническо обяснение защо съществува риск и той трябва да бъде изследван. Не казвам, че „руснаци и китайци ще ни следят“, обаче. Казвам, че чрез китайски и руски технологии, които са потенциално компрометирани, може да се въздейства негативно на стратегическата дейност – обществен транспорт в столицата. По отношение на камерите – китайските (и не само) камери с известни уязвимости се използват по много начини от всякакви хакерски групи – и „частни“ и такива, които са свързани с чужди служби. Ако „хакването“ на тези камери е лесно (а то е, при някои модели), това допуска отдалечен контрол на тези устройства. Камерите едва ли са свързани директно с интернет, така че рискът е по-малък, но в зависимост от това как е сегментирана и защитена мрежата, пробив в една част може да доведе до достъп до камерите и извеждането на стрийм към трета страна. Заради дългогодишни проблеми с евтини и незащитени устройства, Европейската комисия предлага „Регламент относно хоризонтални изисквания за киберсигурност за продукти с цифрови елементи и за изменение на Регламент (ЕС) 2019/1020“, с което да въведе изисквания към такъв тип устройства, вкл. за регулярни обновления, за докладване на уязвимости и др. Т.е. този проблем е доста масов и Европейската комисия е предприел законодателна инициатива. Относно валидаторите, произведени в Русия – валидаторите имат задължително връзка с интернет (едва ли директно, но през вътрешна мрежа, която „излиза“ навън) защото трябва да извършва картови транзакции. Това означава, че са идеален обект на т.нар.

Continue reading

Състоянието на киберсигурността в администрацията и пътят напред

През седмицата темата с киберсигурността получи фокус покрай детайлите около атаката срещу пощите. В няколко интервюта описах общата картина, но ми се иска да направя малко по-пълно описание на това какво сме имали, какво сме направили за тези месеци и какво предстои. Започвам със забележката, че ще използвам „киберсигурност“, макар че правилният термин в повечето случаи е „мрежова и информационна сигурност“. Правомощията на министъра на електронното управление са именно за „мрежова и информационна сигурност“ и то само в администрацията и част от операторите на съществени услуги. Български пощи не е в този обхват към момента. Защитата на мрежовата и информационна сигурност е комплекс от технически и организационни мерки, които изискват добро планиране, приоритизиране, изпълнение и контрол в мащаба на държавната администрация (и в по-широк смисъл – на целия обществен сектор). Действаме с бързи стъпки, доколкото ни позволява наличният човешки ресурс. 1. Какво намерихме? Към началото на мандата състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) беше силно незадоволително. Липсва адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години, напр. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това го докладвах на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси. Преди 4 години от Демократична България публикувахме план за действие след срива на Търговския регистър. Половината от мерките са изпълнени, но със спорно качество – напр. регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавни облак му липсват важни процедури

Continue reading

За скандала с Pegasus и следенето на журналисти

Тази сутрин по БНР обсъдихме шпионския софтуер Pegasus, използван за следене на журналисти и опозиционери в режими по света, в т.ч. в Унгария. Ето накратко: софтуерът влиза през отваряне на злонамерен линк или през компрометирано приложение и получава пълен достъп до телефона, благодарение на уязвимости на операционните системи оправданието винаги е „борба с тероризма“. Обаче никога няма данни за реално предотвратени атентати. само „добрите“ правителства ще имат достъп е наивен аргумент и не работи. Всяко правителство може да се изкуши, а може и от некадърност да „изпусне“ софтуера в по-лоши ръце NSO (компанията, която разработва и продава Pegasus) казват, че не знаят как клиентите им го ползват. Но някак знаят, че се ползва за борба с тероризма. Последно? наличието на обобщен списък от следени номера може да значи, че компанията всъщност знае кои са следените с нейния софтуер. Това е още по-голям проблем. имам призив към ИТ сектора: имаме лукса да отчитаме етичните аспекти на предлаганата ни работа, защото добре платена работа има много. Нека не избираме да създаваме кибероръжия. Това във връзка с факта, че NSO има българска дъщерна компания – Circles, в която (вероятно) се работи по продуктите им. много е важен демократичният (парламентарен и не само) контрол върху службите. Засега няма индикации България да е ползвала този софтуер, но следва съответната парламентарна комисия да провери имало ли е транзакции към NSO или нейни свързани дружества. трябва да се помисли за забрана на търговията с уязвимости и произтичащ от тях софтуер – от това се възползват репресивни режими и чужди служби и няма легитимна пазарна стойност. Всеки път трябва да си припомняме, че няма как да гарантираме, че само „добрите“ имат достъп до дадена технология. Както при дебатите около отслабване на криптирането, така и при използването на spyware.

Continue reading

Киберсигурна работа

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия. Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“ Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарали да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там. Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско. В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“ Системите са уязвими по две причини. Първата е, че по принцип е трудно да

Continue reading

Накратко за киберсигурността

През уикенда се проведе събитие в рамките на „Български манифест за Европа“ на тема „Европейски съюз за отбрана и сигурност и неговите черноморски измерения“ Тъй като не успях да присъствам, записах кратко видео, с което да обясня какво е и какво не е киберсигурност. Разбира се, 5-минутно видео няма как да обхване сложната тема, но все пак целта беше да дам базова представа. Основната ми теза е, че киберсигурността не е просто активна отбранителна дейност – тя е набор от много мерки, които в голямата си част са пасивни – добри практики, политики за сигурност, квалифициран персонал и то както в публичния, така и в частния сектор. Защото кибератаките не са само атаки по държавните системи (напр. изборни системи, публични регистри, уебсайтове на институции и др.) а и атаки по ключови частни компании – банки, мобилни оператори. Например преди няколко години БОРИКА имаше технически проблем, който доведе до пълно спиране на работа на банкомати и ПОС-терминали в цялата страна. И докато банкоматите не са чак толкова критична инфраструктура, то например електропреносната мрежа е. В случай, че нейни части, управлявани от софтуер, биват „ударени“, това може да значи спиране на електричеството (както предупреждава, например, Washington Post). Да не говорим за оборудване, използване в ядрената енергетика, което може да бъде увредено от вирус (като известният вирус Stuxnet, забавил значително иранската ядрена програма). Но дори да няма реални щети, атаките могат да имат сериозен имиджов ефект. Например при атаките срещу уебсайтове на институции (вкл. ЦИК) преди няколко години реално нямаше нанесени щети – просто сайтовете не бяха достъпни. Но самият факт, че институции бяха атакувани в деня на референдума за електронно гласуване пося (или поля) семето на несигурността от технологиите в изборния процес. И защитата от всички тези атаки изобщо не е тривиална. „Дупки“ в сигурността на най-различни системи се появяват постоянно (а

Continue reading