Между 25-и и сутринта на 29 март сайтът на Националния статистически институт бе недостъпен. Хиляди юридически и физически лица в страната, примерни собственици на електронен подпис и изрядни данъкоплатци, се оказаха застрашени от глоби заради невъзможността да подадат навреме годишните си отчети.
Причината, според НСИ: хакерска DoS атака. Тези неща са обичайни у нас. Бяхме информирани, че е информиран Националният център за действие при инциденти в информационната сигурност (CERT Bulgaria) и сега се очаква всичко да утихне.
Аз обаче ще вметна: CERT идва от „computer emergency response team“ – „компютърна група за реагиране на извънредни ситуации“. CERT Bulgaria е част от европейската мрежа от национални CERT-ове (EGC), а партньор им е наднационалната Европейска агенция за мрежова и информационна сигурност (ENISA). Тя е средище на висока експертиза, макар и никой да не знае с какво точно се занимава извън издаването на шарени буклети и организирането на уъркшопове.
„DoS атака“ пък идва от английското „denial-of-service“ и значи „отказ от услуга“, тоест, представлява опит даден ресурс да бъде блокиран чрез претоварване с трафик или злоупотреба с някой бъг.
Защитата от DoS атаки най-често е филтриране на трафика на ниво рутери и суичове или с помощта на специални устройства, блокиращи всичко, което счетат за необичайна мрежова активност, не отговаряща на „шаблона“.
Тези, които трябва първи да реагират при атака, да я ограничат и да окажат първа помощ, са CERT. Тези, които действат постфактум с анализ на атаката, са одитните органи. По средата е мишената и това, което може сама да направи, е малко. Може да разчита донякъде на подсилване на ресурсите си – повече оперативна и физическа памет, по-мощен процесор никога не са излишни. Полезни са и дублиращите системи – те ще продължат да работят, докато някои елементи са извън строя. Пълна защита от DoS атаки обаче няма, защото винаги има някой по-мощен, някой извън „шаблона“ или просто някой калпав системен администратор, който да конфигурира лошо рутера и да го превърне в мишена.
Колкото до нашия НСИ… За да добием донякъде представа за отговорния за неговата сигурност, добре е да погледнем в регистъра за обществените поръчки и да видим кой е изпълнявал задания, свързани със сигурността на институцията.
Ще изредя по номера на преписките това, което открих в регистъра на АОП, след като проверих абсолютно всички поръчки, спускани от НСИ за 11-те години, откакто регистърът съществува (забележете, че поръчките са от последните 3 години):
00403-2016-0002 – „Доставка, монтаж, конфигурация и интеграция на комуникационно оборудване към съществуващата ИТ инфраструктура на НСИ“. Изпълнител – ТЕЛЕЛИНК.
00403-2016-0003 – „Строително-монтажни работи и дейности по модернизация на сървърните помещения на Национален статистически институт”. Това включва и инсталиране на системи за контрол на достъпа и видеонаблюдение. Изпълнител – ТЕЛЕЛИНК.
00403-2017-0002 – „Привеждане на информационните активи на НСИ в съответствие с изискванията на Евростат и миграция към хибриден частен облак“. Това включва доставка, монтаж, пускане и обслужване на сървъри, дискови масиви; създаване и управление на резервни копия; на мрежови устройства плюс система за мрежова сигурност и управление на достъпа… Пак изпълнител е ТЕЛЕЛИНК.
00403-2017-0008 – „Доставка и гаранционно обслужване на комуникационно оборудване“. Това са десетки суичове и рутери плюс конфигурирането на един комплект от тях за работа с наличното в НСИ. Пак – ТЕЛЕЛИНК.
Може би е крайно време държавата да смени пасивния подход за защита чрез презапасяване с железа и софтуер с по-активен, включващ и организационно-правни средства. Защото, както казва експертът Брус Шнайер, само атаките на аматьори са насочени към машините. Атаките на професионалистите са насочени към хората.