Държава-мишена | K-24-2019

Между 25-и и сутринта на 29 март сайтът на Националния статистически институт бе недостъпен. Хиляди юридически и физически лица в страната, примерни собственици на електронен подпис и изрядни данъкоплатци, се оказаха застрашени от глоби заради невъзможността да подадат навреме годишните си отчети.

Причината, според НСИ: хакерска DoS атака. Тези неща са обичайни у нас. Бяхме информирани, че е информиран Националният център за действие при инциденти в информационната сигурност (CERT Bulgaria) и сега се очаква всичко да утихне.

Аз обаче ще вметна: CERT идва от „computer emergency response team“ – „компютърна група за реагиране на извънредни ситуации“. CERT Bulgaria е част от европейската мрежа от национални CERT-ове (EGC), а партньор им е наднационалната Европейска агенция за мрежова и информационна сигурност (ENISA). Тя е средище на висока експертиза, макар и никой да не знае с какво точно се занимава извън издаването на шарени буклети и организирането на уъркшопове.

„DoS атака“ пък идва от английското „denial-of-service“ и значи „отказ от услуга“, тоест, представлява опит даден ресурс да бъде блокиран чрез претоварване с трафик или злоупотреба с някой бъг.

Защитата от DoS атаки най-често е филтриране на трафика на ниво рутери и суичове или с помощта на специални устройства, блокиращи всичко, което счетат за необичайна мрежова активност, не отговаряща на „шаблона“.

Тези, които трябва първи да реагират при атака, да я ограничат и да окажат първа помощ, са CERT. Тези, които действат постфактум с анализ на атаката, са одитните органи. По средата е мишената и това, което може сама да направи, е малко. Може да разчита донякъде на подсилване на ресурсите си – повече оперативна и физическа памет, по-мощен процесор никога не са излишни. Полезни са и дублиращите системи – те ще продължат да работят, докато някои елементи са извън строя. Пълна защита от DoS атаки обаче няма, защото винаги има някой по-мощен, някой извън „шаблона“ или просто някой калпав системен администратор, който да конфигурира лошо рутера и да го превърне в мишена.

Колкото до нашия НСИ… За да добием донякъде представа за отговорния за неговата сигурност, добре е да погледнем в регистъра за обществените поръчки и да видим кой е изпълнявал задания, свързани със сигурността на институцията.

Ще изредя по номера на преписките това, което открих в регистъра на АОП, след като проверих абсолютно всички поръчки, спускани от НСИ за 11-те години, откакто регистърът съществува (забележете, че поръчките са от последните 3 години):

00403-2016-0002 – „Доставка, монтаж, конфигурация и интеграция на комуникационно оборудване към съществуващата ИТ инфраструктура на НСИ“. Изпълнител – ТЕЛЕЛИНК.

00403-2016-0003 – „Строително-монтажни работи и дейности по модернизация на сървърните помещения на Национален статистически институт”. Това включва и инсталиране на системи за контрол на достъпа и видеонаблюдение. Изпълнител – ТЕЛЕЛИНК.

00403-2017-0002 – „Привеждане на информационните активи на НСИ в съответствие с изискванията на Евростат и миграция към хибриден частен облак“. Това включва доставка, монтаж, пускане и обслужване на сървъри, дискови масиви; създаване и управление на резервни копия; на мрежови устройства плюс система за мрежова сигурност и управление на достъпа… Пак изпълнител е ТЕЛЕЛИНК.

00403-2017-0008 – „Доставка и гаранционно обслужване на комуникационно оборудване“. Това са десетки суичове и рутери плюс конфигурирането на един комплект от тях за работа с наличното в НСИ. Пак – ТЕЛЕЛИНК.

Може би е крайно време държавата да смени пасивния подход за защита чрез презапасяване с железа и софтуер с по-активен, включващ и организационно-правни средства. Защото, както казва експертът Брус Шнайер, само атаките на аматьори са насочени към машините. Атаките на професионалистите са насочени към хората.

 

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *