News

Отмина времето, когато можеше да се направи компромис с техническата неграмотност на служителите в дадена администрация, твърди проф. д-р Румен Трифоноф от ВУЗФ.

Сериозният инцидент в информационната система на Търговския регистър, експлоатирана от Агенцията по вписванията, за пореден път убедително показва, че информационната сигурност далеч не се ограничава с мерките срещу злонамерени действия и атаки, а представлява комплекс от проблеми от нормативно, организационно, технологично и пр. естество. Това пише в свой анализ проф. д-р Румен Трифонов, преподавател по информатика във Висшето училище по застраховане и финанси (ВУЗФ).
В случая с Търговския регистър е нарушена достъпността, т.е. възможността системата да обслужва своите потребители. Защо? Както се вижда от оскъдната информация, която е достояние на обществеността, причините за инцидента са вътрешни. Само че, става дума не за т.н. “Insider Threats” от гледна точка на кибер-заплахите, а за недостатъчен професионализъм.

Нека все пак да посочим два главни извода относно тази ситуация, от гледна точка на международно утвърдените постулати и правила на мрежовата и информационна сигурност. Те не са особено положителни, но са важни, за да можем да направим цялостна равносметка какво е състоянието на информационната инфраструктура в администрацията и как да я подобрим.

Първо и от изключителна важност е, че прави впечатление пълното неглижиране от страна на държавната администрация на препоръките, свързани със защитата на т.н. „критична информационна инфраструктура“. В съответствие с Директива 2008/114/ЕО и последвалото я комюнике СОМ (2009) 149 на Европейската комисия относно защитата на критичната информационна инфраструктура (КИИ), озаглавено “Защита на Европа от широкомащабни кибернетични атаки и смущения: повишаване на готовността, сигурността и устойчивостта”, следваше правителството със свой нормативен акт да определи кръга от системи, влизащи в тази инфраструктура (т.е. системи, прекратяването на работата, на които би било критично за функционирането на държавата – при това не само държавни системи, но и частни). Същият нормативен акт би трябвало да определи задължителните мерки, които собственикът на системата трябва да предприеме, за да гарантира устойчивост (Resilience), непрекъсваемост на работните процеси (Workflow Continuity) и възстановяване след бедствия (Disaster Recovery).

А защо да не споменем и утвърдените в световната практика методи за репликация на данните в географско разделени центрове, огледално копиране, Load-balancing и пр. Предполагам и се надявам, че в Агенцията по вписванията са използвани някои от тези подходи за запазване на данните, и информацията в Търговския регистър ще бъде възстановена. Трябва само да се отбележи, че тези възможности за резервиране на данните нараснаха с появата на значително количество „облачни центрове“.
Всички организации, експлоатиращи информационни системи, влизащи в кръга на „критичната информационна инфраструктура“, задължително би трябвало да изградят и сертифицират „системи за управление на информационна сигурност“ по смисъла на стандарта БДС EN ISO/IEC 27001:2017.
Другият аспект, който също е изключително важен, е моментът на т.н. „отработване на инциденти“ (Incident Handling). Независимо от източника и причината за инцидента (природни, технологични, злонамерени или случайни действия), процедурите и последователностите на действията по отстраняване причините за инцидента и ликвидиране на неговите последствия са идентични и са подробно регламентирани в различни международни документи (в т.ч. стандарти и препоръки). Заслужава да се отбележат Препоръката (де-факто, стандарт) на NIST (National Institute for Standardization and Technology) SP.800 – 61 “Computer Security Incident Handling Guide” и на ENISA (European Network and Information Security Agency) “Good Practice Guide for Incident Management”.

За интензифициране работата по отстраняване на инцидентите, както и за обмяна на опит по това отстраняване са приети в международен план унифицирани етапи на жизнения цикъл на отработването на инцидента, таксономии на инцидентите, формализирани езици за тяхното описание, унифицирани документи, като т.н. „Trouble Ticket” (или доклад за авария), специфициран с Препоръката RFC 1297 на Internet Engineering Task Force и т.н. Последният документ е аналогичен на „пациентската карта“ в болница, където се отразяват всички анализи, диагностики, процедури и лечения.
За съжаление, по всичко личи, че тази практика не е приложена в случая на инцидента в Агенцията по вписванията. Тук също участие в справянето със ситуацията трябва да вземе и т.н. „Правителствен CERT (Computer Emergency Response Team)“ към Държавната агенция за електронно управление, чиято функция е именно тази: подпомагане на органите на администрацията при отработването на компютърни инциденти. Препоръките може да са направени, приети, но изпълнението им остава под въпрос, от което губим всички.
Трябва да вземем предвид и още нещо важно, което не всеки знае. Преди две години, когато бяха направени измененията на Закона за електронното управление, се създаде Държавно предприятие „Единен системен оператор“. Би трябвало да се очаква, че това държавно предприятие ще поеме поддръжката на системи от типа на Търговския регистър, използвайки най-добри световни практики. Но, уви…

И последно: съществуват сериозни проблеми в намирането на квалифицирани ИТ специалисти в много административни единици, вероятно и в Агенцията по вписванията. Това е много тъжно наблюдение, защото точно те ще стават все по-необходими. Така, че от името на всички, които използват под някаква форма Търговския регистър, ви моля – инвестирайте и развивайте ИТ специалистите си. Те трябва да бъдат стимулирани, особено тези в администрацията, защото те работят за опазване на нашите данни. Изключително важна е и ролята на главен информатик (CIO – Chief Information Officer) на държавната администрация, който трябва да е много добре подготвен професионалист за да провежда необходимите политики, да подпомага методически, а също и да контролира ИТ дейностите в администрацията. Разберете, това е гръбнакът на системите, от които зависят много дейности. Отмина времето, когато можеше да се направи компромис с техническата неграмотност на служителите в дадена компания или административно звено. Живеем в свят, в който отварянето на съмнителен еmail може да доведе до изтриване на цяла база данни, опази Боже, тя да е публична база с данни.
И ако мислите, че не можем да направим паралел между недомисленото отваряне на хакерски email и срива на Търговския регистър – грешите. Лоша поддръжка на системите е сред причините, които се спрягат за краха на Регистъра. Вицепремиерът Томислав Дончев оскъдно загатна, че става въпрос за дефектирали дискове, т.е. гръмнали. Да, може и да се случи такъв технически проблем. Но правилно номер 1 в такива ситуации е да пуснеш в действие план Б. Разбира се, първо трябва да имаш такъв. Така че, нека това послужи за урок за всички и нека започнем с изграждането на план Б. Пък дано наистина успеят да възстановят всички данни от Търговския регистър.

Проф. д-р Румен Трифонов e преподавател по информатика във Висшето училище по застраховане и финанси (ВУЗФ) както и директор на направление „Информационни и комуникационни технологии“ към Лабораторията за научно-приложни изследвания на ВУЗФ, която предстои да бъде открита официално през есента. Неговите основни изследователски интереси покриват областите на информационни системи, информационна сигурност, електронно управление, електронна търговия, изкуствен интелект, машинно обучение.