Реформа в службите: електронен обмен на класифицирана информация

„Реформа в службите“ е интуитивно ясно какво цели – службите да спрат да се занимават с компромати и активни мероприятия, а да се фокусират върху разузнаване, контраразузнаване и национална сигурност. Но немалко хора, с право, питат за конкретика. Та ето една от многото теми, по които трябва реформа: електронен обмен на класифицирана информация и съответната криптографската сигурност. Класифицирана информация (държавните тайни и информацията, чието изтичане би застрашило сигурността на страната) има три нива: поверително, секретно, строго секрерно. Информация с ниво „секретно“ и „строго секретно“ в България се обменя само на хартия (освен ако не е с партньори в ЕС и НАТО, за които има електронна система). От много отдавна трябва да има електронен обмен, но това не се случва. ДАНС разполага със система за обмен на класифицирана информация до ниво „поверително“, но липсват т.нар. криптори, които ДАНС да сертифицира за по-високи нива. Какъв е проблемът да се обменя на хартия (с т.нар. секретни куриери). На първо място удобството за работа. Което пряко влияе на ефективността. Наскоро, напр., приехме поправка: искания за СРС да се издават от регионални началници в МВР, защото иначе едни куфари с класифицирани документи пътуват до София за подпис). Но също така: ограничаване на рисковете в работата на разузнавачите зад граница, които са поставени в невъзможност да си вършат работата сигурно и законосъобразно; ограничаване на рисковете при преноса от куриери; възможности за предаване на класифицирана информация в почти реално време, когато времето е важно. За да стане това има две опции: разработване на криптори в България и адаптиране на криптори на европейски производители. Крипторите са устройства, които се слагат в двата края на комуникационния канал („кабела“ най-грубо казано), които криптират комуникацията и я правят нечетима за всички извън тези, които имат сертифициран криптор с правилните ключове. Да направим български такива е скъпо – държавата трябва да възложи

Continue reading

За скандала с Pegasus и следенето на журналисти

Тази сутрин по БНР обсъдихме шпионския софтуер Pegasus, използван за следене на журналисти и опозиционери в режими по света, в т.ч. в Унгария. Ето накратко: софтуерът влиза през отваряне на злонамерен линк или през компрометирано приложение и получава пълен достъп до телефона, благодарение на уязвимости на операционните системи оправданието винаги е „борба с тероризма“. Обаче никога няма данни за реално предотвратени атентати. само „добрите“ правителства ще имат достъп е наивен аргумент и не работи. Всяко правителство може да се изкуши, а може и от некадърност да „изпусне“ софтуера в по-лоши ръце NSO (компанията, която разработва и продава Pegasus) казват, че не знаят как клиентите им го ползват. Но някак знаят, че се ползва за борба с тероризма. Последно? наличието на обобщен списък от следени номера може да значи, че компанията всъщност знае кои са следените с нейния софтуер. Това е още по-голям проблем. имам призив към ИТ сектора: имаме лукса да отчитаме етичните аспекти на предлаганата ни работа, защото добре платена работа има много. Нека не избираме да създаваме кибероръжия. Това във връзка с факта, че NSO има българска дъщерна компания – Circles, в която (вероятно) се работи по продуктите им. много е важен демократичният (парламентарен и не само) контрол върху службите. Засега няма индикации България да е ползвала този софтуер, но следва съответната парламентарна комисия да провери имало ли е транзакции към NSO или нейни свързани дружества. трябва да се помисли за забрана на търговията с уязвимости и произтичащ от тях софтуер – от това се възползват репресивни режими и чужди служби и няма легитимна пазарна стойност. Всеки път трябва да си припомняме, че няма как да гарантираме, че само „добрите“ имат достъп до дадена технология. Както при дебатите около отслабване на криптирането, така и при използването на spyware.

Continue reading