Банкеръ Daily

Управление и бизнес

ДАНС да проверява Български пощи и БНБ, ще предложи кабинетът

Министърът на електронното управление Божидар Божанов

Министърът на електронното управление Божидар Божанов обяви, че Министерският съвет ще предложи БНБ и Български пощи да бъдат включени в списъка със стратегически обекти, които ДАНС да проверява. След кибератаката, която блокира работата на пощите, темата с киберсигурността е на фокус, посочва Божанов. 

Правомощията на министъра на електронното управление са за "мрежова и информационна сигурност" и то само в администрацията и част от доставчиците на съществени услуги (напр. в сектор енергетика). Български пощи не е в този обхват към момента, уточнява министърът. 

Към началото на мандата на министерството състоянието на информационните ресурси (т.е. хардуер, софтуер, мрежово оборудване, лицензи) е било силно незадоволително. Липсвала е адекватна, централизирана картина къде какво има, на какъв етап е от своя технологичен живот и какви са политиките по неговото подновяване. Има администрации с компютри на по 10 години. Има системи без поддръжка (заради неплащани лицензи или по други причини). Всичко това са проблеми и за киберсигурността – в стари и излезли от поддръжка от производителите системи често има уязвимости. Всичко това Божанов е докладвал на Министерския съвет преди месец в рамките на годишния доклад за състоянието на информационните ресурси.

Регистърът на информационните ресурси е почти безполезен, резервните копия се правят централизирано от твърде малко администрации (с бавна скорост и липса на някои ключови функционалности), а на държавния облак му липсват важни процедури за присъединяване, вградени услуги за киберсигурност.

Базови добри практики във връзка с киберсигурността също не са се прилагали. Прости пароли, липса на двуфакторна автентикация, публично видими портове за отдалечен достъп (RDP), за портове за администрация на защитни стени и друг защитен софтуер – всичко това е вектор за атака. На много места липсва оперативно наблюдение на системите във връзка с оглед идентифициране на опити за първоначално проникване. Дори на местата, където има такова, не са свързани достатъчно много източници на информация, така че картината е непълна. Има и фрапиращи случаи, като една администрация, в която всички потребители са били администратори – за по-лесно. В пощите е имало не по-малко фрапиращи лоши практики.

Дирекцията за мрежова и информационна сигурност в Държавна агенция „Електронно управление“ е 16 души. Това е крайно недостатъчно за да покрие правомощията на агенцията (а вече – на министерството) по линия на киберсигурността. Капацитетът по останалите администрации в момента се установява в детайли, но общата картина не е розова – ИТ експертите в администрацията не са добре платени и правят всичко – от смяна на принтери, до конфигуриране на инструменти за киберсигурност, обяснява ресорният министър.

За краткото време, в което е била преструктурирана една държавна агенция в две структури -  министерство и изпълнителна агенция, по линия на киберсигурността, Божанов изброява, че е било свършено следното:


  • Изпратени са писма до всички институции да подобрят настройките на системите си, свързани с изпращане на имейли (т.е. потенциални фишинг атаки от тяхно име)

  • Сканирани са (вкл. с продължаващ абонамент за сканиране) всички администрации за публично достъпни системи, които не следва да бъдат достъпни. Напр. RDP (отдалечен достъп) – от около 60 отворени в началото, вече има само 10, като за тях предстоят санкции за ръководителите, тъй като това е нарушение на наредбата към Закона за киберсигурност

  • България стана 30-тата държава в света с абонамент за Have I Been Pwned – безплатна услуга, която ни дава информация за изтекли пароли за имейли на държавната администрация. Изтеклите пароли са от външни сайтове, но тъй като потребителите често използват една и съща парола, при информация за изтекла парола, трябва да бъдат принуждаване да сменят настоящата си

  • Блокирани са 48 хиляди IP адреса, свързани със злонамерена активност от Русия и Беларус (с първо писмо до интернет доставчиците – 45 хиляди и още 3 хиляди с последващо писмо)

  • Сбран е списък с доброволци и и са подготвени договори за тестове за проникване (penetration tests) – първите такива тестове вече са започнали

  • Мигрирани са почти всички администрации към Защитения интернет възел на държавната администрация

  • В началото на войната спешно са проверени някои от най-критичните обекти и и са отправени препоръки за повишаване на сигурността

  • Институтът за публична администрация, координирано с МЕУ, е подготвил информационен курс за защита от фишинг атаки

  • Подготвено е изменение на Закона за киберсигурност, за да се включи вътре Български пощи и други публични предприятия, които в момента не се контролират от никоя институция по линия на мрежовата и информационна сигурност

  • Подготвени са изменения на Постановление на Министерския съвет за включване на Български пощи и БНБ в списъка със стратегически обекти, които обследва ДАНС

  • Увеличен е броят на местата за специалисти по киберсигурност в структурата на министерството (т.е. дирекцията няма да е вече само 16 души)

 Какво предстои тази година

Немалка част от конкретните мерките, които предстои да вземе Министерството на електронното управление, ще бъдат класифицирана информация, тъй като пряко засягат националната сигурност. Но общите политики за повишаване на нивото на мрежова и информационна сигурност са:


  • Приемане на всички подготвени нормативни изменения – в Закона за киберсигурност (за включване на пощите), в постановлението на Министерския съвет за стратегическите обекти

  • Приемане на Решение на Министерския съвет с правила за отговор на инциденти – най-важното при много от типовете атаки е бързата и адекватна реакция. Затова от най-високо ниво ще „спуснат“ какви да са стъпките, които всяка администрация да следва при инцидент.

  • Изменение на класификатора на длъжностите в администрацията и свързаните с него нормативни актове с цел повишаване на нивата на заплащане на специалисти по киберсигурност. Въвеждане и на позиция „стажант по киберсигурност“, така че да привличаме незавършили студенти с прилични заплати – тяхната експертиза вече е на достатъчно ниво, за да могат да бъдат полезни.

  • Подготовка и приемане на нова стратегия за киберсигурност

  • Структуриране на отношенията с частния сектор. Държавата няма достатъчно капацитет за оперативни наблюдения, триаж и отговор и трябва да бъде подпомагана от частния сектор. Трябва обаче да бъде направено по структуриран и адекватен начин, а не „всяка администрация сама да си преценя“ какво точно ѝ трябва и как да го получи, смята Божанов

  • Транспониране на втората директива за мрежова и информационна сигурност веднага след като бъде приета на ниво Европейски съюз

  • Използване на максималните възможности на наличните системи за киберзащита (в момента много от тях не са адекватно настроени) и закупуване и инсталиране на нови

  • Обновяване на регистъра на информационните ресурси и поддържането му актуален, така че да могат да се правят реални политики за информационните ресурси (обновяване, спиране от експлоатация, управление, бюджетиране)

  • Регламентиране на централизирано закупуване на шаблонизирани решения за киберсигурност (няма смисъл всяка администрация да „открива топлата вода“)

  • Повишаване на нивото на киберсигурност в частния сектор в рамките на Програмата за научни изследвания, иновации и дигитализация за интелигентна трансформация

  • Засилване на ефективните проверки по Закона за киберсигурност – администрациите трябва да спазват поне действащата нормативна уредба, в която има немалко добри практики

  • Развиване на експертния капацитет на служителите в администрацията чрез обучения, съвместно с Института за публична администрация

  • Изграждане на център за оперативно наблюдение на мрежовата и информационна сигурност (Security operations center – SOC) в структурата на Министерство на електронното управление

  • Създаване на Националния компетеностен център по киберсигурност с цел стимулиране на екосистемата от експерти и организации – бизнес, университети, държава, неправителствен сектор

  • Засилен обмен на данни с партньорски държави, в т.ч. т.нар. индикатори на компрометиране (indicators of compromise). Т.е. когато един IP адрес опита да проникне в инфраструктура напр. в Естония, след неговото установяване в България да знаем за него и да го блокираме автоматично, преди изобщо да е опитал да „атакува“ и нас.

Facebook logo
Бъдете с нас и във