Щеше да е невъзможно да се случи теч на информация в НАП, ако беше спазен GDPR
Интервю със софтуерния инженер и предприемач д-р Светлин Наков за седмичното обществено-политическо предаване на Радио „Фокус“ „Метроном“.
Водещ: Акцент от седмицата бе хакнатата система на НАП. Свикан бе извънреден съвет на службите в Министерски съвет. Тогава стана ясно, че атаката е засегнала 3 % от общата база данни на НАП. В хода на разследващите действия бе установено, че файлът, който е изпратен до медиите и съществува в интернет пространството, съдържа данни за над 5 милиона български и чужди граждани, търговски дружества, а в това число и три имена, ЕГН, имена на ЕИК на търговци, данъчна и осигурителна информация по дадена годишна декларация, получени в НАП от други институции в България, по международен обмен на информация. Това бе определено като най-голямото изтичане на лични данни у нас. Каква е сигурността на данните ни в държавните институции и работят ли в синхрон държавата и частният сектор? Това питаме Светлин Наков – софтуерен инженер, предприемач, преподавател и какво ли още не.
Светлин Наков:Краткият ми коментар какво е положението с държавните системи и сигурността – слабичка е навсякъде. Tова e oт години и се знае. Най-интересното е, че не е новост. Просто беше въпрос на време според мен да стане една или друга изцепка и доказателство за това е тази с Търговския регистър миналата година. Сега и този теч, който е направен, доколкото се разбра, с доста проста атака, такава, която съществува от години, атака, на която се учи на курсове за деца, на курс за начинаещи етични хакери. Така че наистина лошо говори за състоянието на системата на всички държавни институции, общини. Сигурно е въпрос на време да бъде проникнато и в други системи. Друг е въпросът дали това ще произведе теч на информация, защото до мен е достигнала информация, че не само тази система е слабичка, знам и за други. Смятам, че политиците и хората, които се изказаха по този случай, като че ли нямат отговорна позиция. Общо взето се реагира реактивно, нещо се счупило, чакай сега да намерим виновника, да направим одит и приключваме. Според мене не е това начинът. Мерките трябва да са много по-дълбоки, систематични, сигурността не е само просто да направим един одит. Това е един елемент. Сигурността включва превенция на хората, които работят с тези данни, правилен инженеринг на системите. Да кажем, че са хакнали един регистъра, защо в него има данни за друг регистър? Това не е правилно. Ако са хакнали системата за подаване на данъчни декларации, защо има информация за хазарт вътре? Няма връзка това нещо. Тоест някой в една и съща база данни съхранява разнородна информация, което не е правилно.
Водещ: Добре, не е ли идеята това на този суперкомпютър и събирането на данни?
Светлин Наков: Не, суперкомпютърът е за научни изследвания. Той няма връзка. Ползва се за тотално различни задачи. Ако говорим за този суперкомпютър, който в БАН щяха да го правят, той е за научни изследвания. Там ще се симулират някакви физични процеси, както в Европа адронният колайдер прави някакви такива изследвания. Така че не трябва да смесваме тези теми. Оказва се, че нито министри, нито държавните институции са много в течение. Не мога да кажа, че напълно не са. Във всяка една институция има по някой, който е в час, но масовото ниво не е много високо по всякакви причини: и организационни, и това, че не е елитно да работиш в такава държавна агенция или структура, че са ниски заплатите. Разбира се, това може би е първият случай. И всичко това води до небрежност към данните, особено за тези с национално значение. Сега стана дума за НАП. Има и други. Какво ще стане, ако хакнат например Кадастъра, ако хакнат Имотния регистър или КАТ?
Водещ:Излезе информация, че са правени опити за други държавни институции – на МОН преди известно време, на Външните работи.
Светлин Наков: Системите са много. Опити винаги ще се правят и те понякога се правят несъзнателно. Имам предвид, че има автоматизирани инструменти, които пробват на случаен принцип. Това обикновено е от чужбина. Така че такива неща постоянно ще се случват, докато не се затегнат тези системи. Знам, че струва пари, но не е само тях. Това са цялостни политики към това как се изграждат системи, например някакви задължения за информационен одит, за информационна сигурност и така нататък, защото държавата наложи на бизнеса да спазва GDPR (бел.ред: регламент за защита на личните данни), но тя самата категорично по никакъв начин не го спазва. По никакъв начин. Ако беше спазен GDPR, този теч е невъзможно да се случи. Просто е невъзможно. Защото GDPR задължава тази лична информация да е криптирана. Тоест ако някой беше извадил просто ей така данните от базата, нямаше да успее да ги разкодира. Не казвам, че е невъзможно по някакви други начини, но казвам, че държавата винаги има двойни стандарти. Когато имаме едно частно училище, то трябва да има асансьор за инвалиди, когато имаме едно държавно, то не трябва да има асансьор за инвалиди. Когато имаме една частна банка, тя трябва да има най-висока ниво на сигурност, одит и какво ли не, за да опазва данните и спестяванията на хората, а когато имаме държавна институция, тя не го спазва. Разбирате ли за какво говоря? Това е доста репресивно, нечестно и неправилно. Не казвам, че е лошо частните фирми да имат добро ниво на пазене на данните. Разбира се, че трябва, но трябва и държавата да спазва собствените си правила. На мен ми е интересно дали държавата ще глоби себе си заради GDPR, защото по закон е длъжна.
Водещ:Работят ли в синхрон държавата и частният сектор? Всъщност нали частният сектор обучава кадри на ГДБОП например и лица от държавните институции.
Светлин Наков: Това е добра практика, нормално е. Дори и за това разследване вярвам, че са ползвали външни консултанти, защото ако ГДБОП не могат да си позволят да имат скъпоплатени хора на заплата, имайте предвид, че добрите специалисти по информационната сигурност не са много и са скъпоплатени като цяло, защото те могат да работят за целия свят. Нормално е да ползват външни консултанти и фирми. Всъщност всички тези държавни системи, за които говорим, ако щете Кадастър, Здравната каса, Имотния регистър, Търговския регистър и така нататък – в голямата си част са изградени от частни фирми. Обикновено затова се прави търг и той се печели от някоя фирма, която е с по-големи връзки и позиции, тя го дава на по-малката фирма, като задържа половината пари, които вероятно отиват в рушвети. Това са слухове, разбира се, много трудно може човек да го хване това нещо, но ако беше, щеше да има и хора в затвора, а е факт, че няма. Но общо взето така се случват нещата. Трябва да се прави една поръчка. Да речем държавна и да кажем да се изгради Регистър на дипломите за научните степени. Заделят се 2 милиона лева за задача, която с 200 000 лева ще се направи изключително добре и качествено. От тези 2 милиона лева се пуска търг, спечелват ги нашите хора. Търгът се прави по подходящ начин, за да не могат всички да участват на пазарен принцип. След това голямата фирма, която е спечелила, която и да е или консорциум, го дават на по-малки, защото понякога те самите нямат капацитета да го изпълнят. Малките го изпълняват и си тръгват. Голямата фирма трябва да го поддържа, но невинаги има възможността. Понякога поддръжката се прехвърля вътре в това и така. Дадох един порочен пример. За щастие не всички са такива. Надявам се, че тук-таме има и честни търгове, тук-таме се работи наистина добре, но това сме го виждали. И самите факт, че асоциации и фирмите помежду си често оспорват търговете и се съдят, означава, че има проблем. Тоест с две думи не работи твърде добре връзката бизнес-държава, но не знам как може да се подобри. Просто такова ни е нивото.
Водещ: Финансирането достатъчна причина ли е?
Светлин Наков: Да, има връзка. Ясно е, че без пари няма какво да направим. Нормално е. Представете си, че ние сме да кажем БАН. Някой някога ни е направил една система да си качваме дипломите. И ние какво правим? Качваме си дипломите за научните степени. Как може БАН да отдели средства за одит, за информационна сигурност, да си обучи служителите и така нататък? Очевидно знаем точно какво е финансовото положение. Хич не е добро. В този смисъл е трудно, финансовият проблем е наистина една от причините и с това съм абсолютно съгласен. Но не е единствената, защото за да опазиш една информационна система, не са само финансите. Представете си един недобре обучен служител, който си разпечатва паролата и си я лепва на стената в стаята, за да му е по-лесно. Само давам глупав пример какво може да се случи. Тоест необходимо е тези служители, които работят с чувствителна информация, да бъдат добре обучени за предпазване от атаки тип социално инженерство. Неща от сорта на идва един с гащеризон на телекомуникационна компания и казва: Трябва да ви видим телефонните линии“. И те го пускат в сървърното помещение. Измислям си, може да е някоя компания, която доставя интернет. Информация трябва да има на всички нива – от подготовка на служителите до инструменти за защита, инструменти за мониторинг, тоест разни системи, които казват има ли опит за атака, изпращат имейли, следят за необичайни операции. Това е една сериозна работа.
Водещ: Г-н Наков, ние предаваме, че това е атака, но всъщност се чуха различни определения за случилото се. Един от събеседниците в нашето предаване го определи като кражба на данни. Преди дни бе определено, че няма проникване в архивите на НАП, има пробив. Какво в крайна сметка се случи? Накъде водят следите?
Светлин Наков: Със сигурност се е случило изтичане на информация. Те може да се случи с външен човек или чрез външна атака. По-вероятното от това, което аз съм чувал от колеги, а и от официалната информация, наистина става дума за външна атака. Ако е това, което казват, звучи правдоподобно, тъй наречената пропаст в сигурността. Накратко това се прави от некадърни програмисти. Така най-кратко мога да обясня причината, ако това е атаката. Ние не можем да се предпазим. Не може всичките ни програмисти да са кадърни. Няма как да се случи това нещо. Но този проблем е можело да се хване чрез някакъв одит на информационната сигурност. Кой го е направил също е много спорен въпрос. Появиха се различни тези. Дали въпросният Кристиян, който беше арестуван, е замесен и до каква степен, ако е, е спорно. Дали той е източил данните и примерна хипотеза – ги е дал на някой друг, а този някой друг ги е разпространил? Дали пък не е той? Просто не знаем. Дали Кристиян е влизал там, но не е бил само той, също не знаем. Има вариант той да няма нищо общо и да е набеден, защото е малко странно как човек, който си е покрил следите, защото има белези за това във въпросния изтекъл файл, не си ги е прикрил напълно. Обяснявам. Датата на всички файлове във въпросния zip архив с таблиците от НАП е сменена на 10 ноември 1989 година. Тоест някой е правил изрични насочени усилия. И този същият човек е забравил да изтрие едно файлче, в което пише username, и че е използвал Windows. Това за мен е дълбоко съмнително. Като не го изключвам нито едното, нито другото. Смятам, че тази ситуация кой точно го е хакнал и как, ще си остане в сферата на загадките, както остана в сферата на загадките и случая с Търговския регистър от миналата година. Общо взето така и не се стигне до цялата истина по категоричен начин.
Предполагам, че ще е така. Причината е, че нали имаме изпратен анонимен имейл, не е заловен изпращачът на имейла, няма доказателства, нито улики за него. Защото аз допускам да са различни хора, които са източили данните или са ги откраднали, ако е вътрешен човек, и хората, които са ги разпространили. Сега вече мотивите могат да са най-разнообразни – от някой хлапак, 15-гоздишен, който казва: „Чакай сега, да им покажа колко съм готин“, но той щеше да се похвали какво е направил, а това не се е случвало. Второто нещо – протест: „Абе аз от години им казвам, че има проблем със сигурността, никой не реагира, чакай сега да източа на цялата държава данните, да видим дали и този път никой няма да реагира“. Ако това е била целта, може би донякъде е постигната. Вече всеки знае, че имаме проблем в националната сигурност на държавно ниво, всеки знае, че данните му в държавата не са сигурни, ако това е била целта на атакуващия. Да, въпреки че той може да публикува само част от данните, а не на всички граждани, защото практически 5 млн. души – това е икономически активното население. Там ги няма вероятно децата, бабите и малцинствата и онези, които не са подавали данъчна декларация, но практически на всички останали. Стана дума, че било 3% от всички данни на НАП – да, най-вероятно е вярно, че са толкова, но големия процент, може би 60, 70, 80% от данните на българите.
Водещ:Голям процент, всъщност голяма бройка – 5 млн. български, чуждестранни граждани, търговски фирми. Притеснително е само по себе си това, което се случи, но още по-притеснително може би е това, че базата данни на НАП, която изтече в интернет, се споделя свободно в хакерски сайтове, за това докладва и например онлайн изданието „Zero Daily News“, позовавайки се на свои източници от разузнавателни общности. Как може да бъде спряно това, ако се окаже факт?
Светлин Наков: Не може. Това е все едно някой да публикува гола снимка в интернет на някой интересен човек и да помолим всички, които я имат, да я изтрият. Невъзможно е. Да, те могат официално да твърдят, че са я изтрили, и можем дори закон да вкараме, че нямаш и право да го притежаваш, но пълното махане на тази информация, според мен, десетки хиляди хора я имат вече, не мисля, че е възможно. Плюс това, в момента до колкото аз знам, притежанието на този файл не е незаконно, доколкото разбирам, незаконно е разпространението.
Водещ:Притежанието не, но разпространението е?
Светлин Наков: Малко като с наркотиците. Можеш да си пушиш трева, ама нямаш право да продаваш, нещо такова. На ръба е. Не съм юрист, но не мисля, че технически няма решение да се спре, говоря технически. Законово, ами знаем как работят законите. Ако има по-строги закони, това нещо ще се намали, но все някой ще ги спира. Ако има по-строги закони да не караме с превишена скорост, по-рядко ще нарушаваме, но няма да се спре това напълно, нали ме разбирате.
Така че не мисля, че можем да ги изтрием някъде, но честно казано, значимостта на щетите малко се преекспонира, защото това, че на някой му има ЕГН-то, че то не е тайна. ЕГН-то се състои от 6 цифри, от които първите 6 са ден, месец, година на раждане. Следващите три цифри са поредният номер на родения в даден регион. Тоест, да кажем, във Велико Търново са от 140 до 220, четните са момчета, нечетните са момичета. Ако е 141, това е първото момиче, което е родено в този регион. Така, и последната цифра е контролна, която се смята от предходните. Тоест можете да си представите, че ние ако знаем датата на раждане на един човек, и му знаем името, можем да му намерим ЕГН-то.
Водещ:А и знаем къде е роден.
Светлин Наков:Да, знаем къде е роден, но това обикновено е публична информация, която я има дори във Фейсбук. Повечето хора си я споделят, или от познати се знае. Дето се вика, нали човекът празнува рожден ден, хората го поздравяват. Тоест без да сме близки с дадения човек и му знаем името, можем да му намерим предполагаеми ЕГН-та. Тези предполагаеми ЕГН-та, отиваме на касата за парични преводи и услуги и казваме: „Оф, искам да платя на леля, на стринка ми данъка“, например. Казваме ЕГН-то и те ми казват: „О, май сте сбъркали това ЕГН.“ „А, добре, извинявам се, май съм го сбъркал, ще проверя“. Отиваме на друга каса и отново пробваме. Сега, не искам да набеждавам някого. Всички такива платежни системи, с които си плащаш данъка, обикновено искат само ЕГН. И това означава, и това е извън държавата. Тя е дала достъп по един или друг начин на трети фирми, които могат да изнесат тази информация. И така, намираме ЕГН-то на човека, оттам нататък и от другата информация можем да намерим. Ако човекът има фирма, какво правим – отиваме в търговския регистър, виждаме му фирмата, изтегляме му учредителния акт, там му има ЕГН-то, има личната карта, нещо повече – там му има собственоръчния подпис.
Водещ: Мисля, че вече тази информация не за всички е достъпна. Да не даваме идеи.
Светлин Наков: Вярно е, частично е достъпна. За по-старите регистрирани фирми, когато законът не беше влязъл в сила, ги има, за по-новите – сега, доколкото разбирам, човек може изрично да отиде и да каже: „Изтрийте тази информация“, но това си е разправия юридическа. Сега, откъде другаде могат да изтекат – най-различни места. Общо взето големият проблем сега е, че са изтекли накуп огромно количество. Тоест един по един някой може да си събере тези данни, малко или много част от тях поне. Къде живее човек – питайте Гугъл, той много добре ги знае тези работи.
Водещ:Данните могат да се съберат по различни линии. Факт е, че изтичат от държавна институция. Могат ли да се привлекат можещите, гениите в IT сектора, да работят за държавата, а не срещу нея, не за частния сектор? И по какъв начин?
Светлин Наков: Според мен може. Един от инструментите да се случи това е с така наречените програми за докладване на бъгове, на грешки, на пропуски в сигурността. Такива има в редица европейски страни, например в UK – там, ако откриеш проблем в държавна система, можеш да го докладваш, и не само че няма да те съдят, а най-вероятно ще те наградят, дори и парично. Във Фейсбук има такава програма. Всички големи технологични компании имат такава програма. Тоест да насърчиш т.нар. хакерчета, като намерят проблем, да го докладват по най-бързия начин, за да си вземат наградата, да не ги изпревари някой друг, който ще го докладва преди тях. Сега, въпросът е след като се докладва, да се реагира. Защото моята информация е, че ако към днешна дата примерно пишеш имейл на МОН: „Знаете ли, че имате проблем в тази система и всеки може да си влезе както си поиска?“, най-вероятната реакция ще е нулева или ще ти кажат: „Благодарим“ и няма да се оправят. Защо? Ами защото нямат бюджет за тази работа, защото нямат хора.
Водещ:Това мотив ли е за злоупотреби?
Светлин Наков: Не е мотив да се злоупотреби, и повечето хора, които намират такива проблеми, не злоупотребяват. Най-вероятно този проблем, от който е станал течът на данни, е бил години наред добре известен сред средите, само предполагам. Те си имат някакви форумчета, имат си някакви дискусионни групи, но това са предимно хлапаци. Аз не вярвам, че информационната сигурност на държавата трябва да се е сложила в ръцете на хлапаци, защото предимно хората, които се занимават с такива неща, са петнайсет-двайсетгодишни младежи, по простата причина, че имат време. Другите работят и нямат време да се занимават с глупости.
Водещ: Не, говорихме за тези, които могат, които са определяни като гении, уникални в своята сфера, как могат да бъдат привлечени и задържани да работят за държавата, за държавните структури?
Светлин Наков:Ами по начина, по който го правят частните фирми. Дори ако се върнем към въпросния Кристиян, той е проявявал такива способности от малък. Знаем, беше прониквал в сайта на МОН и беше докладвал, поне това е официална информация. Доколкото съм чел из форумите, той е откривал и други такива проблеми в сигурността. И една българска фирма за информационна сигурност го кани и му предлага работа. Ето, по същия начин, една държавна агенция може да го покани на работа, но аз лично смятам, че това е малко маркетинг. Това, че някой тръби, че някой показва нещата, не означава че е чак толкова добър. Тези хакерчета се специализират в определен вид конкретни атаки. Да кажем атаки на уеб приложения или атаки на мрежово ниво, и те са гола вода на тема всичко останало. Защо се получава така? Защото, за да опазиш една система, изисква драстично повече умения и ресурси, отколкото да я атакуваш. Давам прост пример – ако трябва да си опазите някой да не ви счупи прозорците на къщата на село, това изисква денонощна охрана, хора – струва ужасно скъпо, а един хлапак може да отиде, да хвърли един камък и да я счупи, без да го хванете. Ако е още по-готин, може да го направи с далекобойна прашка и от 300 метра да направи същото. Нали разбирате колко е сериозен проблемът в тази асиметрична война? Както и при тероризма – да се опазим от тероризма струва много по-скъпо и изисква много повече усилия от това някой да направи атака. Същото е при хакерските неща. Така че аз не съм голям привърженик тези, да ги наречем генийчета, които са намерили пропуск в сигурността, да ги привлечем. Сега, и ще ви дам друг пример. Защо не намериха проблеми в банките и не източиха на половин милион души банковите сметки? Ще ви отговоря – защото банките имат много по-сериозно отношение към информационната сигурност и разни такива 15-годишни хакерчета нямат никакъв шанс.
Водещ:И имат по-сигурни системи?
Светлин Наков:Да, по-сигурни. Категорично. Финансовият сектор, където има регулация, закони, а също отговорност на самите собственици на тези фирми, системите са по-добри, факт.
Водещ: Добре. Много ви благодарим за участието в „Метроном“.
Светлин Наков: Благодарности, и дано държавата си вземе поука от цялата история и нещо конкретно се промени и подобри.
Водещ: Ние ще следим за това, благодарим ви. Дано.
Милослава Ангелова, Фокус