След големия шум за проблемите с киберсигурността на държавната администрация се появи новина за млад хакер, който е бил извършителят на атаката, свързана с НАП. Едно от решенията за случая е да се направи цялостен одит на IT сигурността на институцията. Изпълнителният директор на SoCyber Красимир Коцев е експерт по киберсигурност и сподели как се прави одит и какво е новото в технологиите за сигурност.

Фото кредит: Симеона Герджикова

Имат ли място младите програмисти и стартъпите в държавната администрация?

Младите програмисти не представляват проблем по никакъв начин и смятам, че те трябва да са там, както там е една по-зряла компания. В определени аспекти младата компания може да даде по-свежи идеи и по-добри методи за реализация на даден проблем. Това, че дадена компания е стартъп, според мен, категорично не означава, че тя не може да си свърши работата или да не може да направи читав софтуер. По-скоро не трябва да сравняваме компаниите дали са млади или стари, а смятам, че е важно какви практики имат. Може да имаме на пазара компания от 20 години с програмисти, които имат изключително сериозен опит, но да допусне много сериозни пропуски, свързани със сигурността, а от друга страна може да имаме млада компания, която да се справи с разработката на този софтуер и от функционална и от security гледна точка. Причината за това ще бъде, че компанията е по-модерна. И разбира се, обратното, от друга страна годините опис си казват думата. Смятам, че комбинацията от двете е добра.

На какво се дължи това, че са застарели технологиите в държавната администрация? Какви са причините, според теб финансови ли са или са организационни? 

Според мен причините са на доста по-високо ниво, отколкото ние предполагаме. Донякъде са финансови, но от друга страна смятам, че голяма част от финансите не отиват при правилните направления. Според мен е по-скоро липсата на осведоменост и липсата на желание да се мисли за сигурност. Разсъждаваме по традиционния начин, че на нас няма да ни се случи. Всички финанси отиват за разработка на функционален и бърз софтуер и много малко се влага в сигурността. До последните години се смяташе, че сигурността е нещо, което не е нужно. През последните няколко години компаниите започнаха да разработват софтуер с ясната идея, че той трябва да е много сигурен. Поне в България. При държавните администрации проблемът е освен финансов, от друга страна модернизирането на софтуера или на която и да е уеб апликация, мобилно приложение, или някаква мрежа от системи. Това модернизиране е свързано с модернизирането на доста други неща. Давам за пример един счетоводен софтуер, който в повечето държавни администрации не е съвместим с модерните операционни системи. Или уеб приложенията, които се използват, са толкова остарели, че те не могат да се обновят или да се подобри тяхната функционалност. Необходимо ще е да се пренапишат изцяло, а тук навлизаме в сериозна инвестиция. Непосредствено, ако се наложи да се направи ъпдейт на всички системи, тъй като съм виждал в държавни администрации все още да се използват  Windows XP и Windows 7, за които е известно, че имат десетки уязвимости. Един потенциален ъпдейт към последна версия на Windows 10 или към друга операционна система означава, че всеки един софтуер, било то счетоводен, софтуер за човешки ресурси, CRM, ERP и т.н., ще трябва да се обнови или да се закупи нов такъв, който да е съвместим с новите операционни системи.

Могат ли отворените технологии да решат този проблем? Какво ти е мнението за Linux и неговите дистрибуции? 

Аз лично като експерт, ако трябва да реша технологичен проблем, ползвам единствено Linux машини. Windows използвам само за ежедневната си работа, като потребител. Иначе за технологично решение винаги залагам на Linux, особено за сървърна среда. Това налага много промени да се имплементира в държавна институция. В повечето държавни институция преобладават Windows сървъри. Съответно, има наети Windows експерти, които са системни администратори в тази област. Евентуално преквалифициране или подмяна на персонала отново би представлявало голяма промяна. Аз бих имплементирал доста отворени технологии и смятам, че в доста голяма част от случаите тези системи са по-добри от техните платени алтернативи, поради това че има много голяма и активна общност, която допринася тези системи да се развиват, а от друга страна отвореният софтуер е ограничен до разработчиците, работещи в съответната компания. Двата подхода имат съответните плюсове и минуси.

Едно от решенията след случая с НАП е да си направи одит на IT сигурността. Как се прави такъв одит по учебник и как би го направил ти?

Фото кредит: Симеона Герджикова

По повод на одитите в една организация или как да протече одит в НАП например. На първо място трябва да се направи оценка на риска. Прави се оценка на потенциалните рискове, които има за тази организация. Прави се Threat Model (модел на заплахите) и на базата на това се разбира какви биха били заплахите за съответната организация. В случай, че системите са публично достъпни, то в Threat Model-а ще бъдат заложени атаки от външен произход. В случай, че в организацията се крият ключови системи или сървъри, съдържащи важна информация, към Threat Model-a трябва да се добавят атаки от вътрешен произход, атаки, които са произлезли от неосведомеността на потребителите и много други. На база на този модел на заплахите и на базата на това какво въздействие биха имали тези заплахи, като например база данни и SQL Injection заплаха, т.е. какво въздействие ще има това върху организацията. Ако базата данни е добре защитена, дори и да има такава уязвимост налична в системите, тя няма да има голямо въздействие, защото базата данни е защитена и криптирана, дори и да изтече, тя няма да може да се прочете. А ако не е достатъчно добре защитена – без парола и криптиращ механизъм следва, че въздействието от такава потенциална атака върху самата организация ще бъде огромна. Това, разбира се, е само един от примерите за заплахи. На база вероятност за дадена атака да се случи върху определена организация, колко пъти годишно може да се случи, колко е лесна за експлоатиране и т.н. по определени формули се изчислява т.нар. оценка на риска и се прави цялостен анализ. На база на тази оценка на риска се изготвят превантивни мерки или такива, които да отстранят проблемите. Понякога е възможно и да приемем риска. Превантивните мерки могат да включват подсилване на сървърната сигурност, подсилване на мрежовата сигурност, извършване на тестове на сигурността, с които да се направи допълнителен анализ и проверка, подобряване на програмния код и начина на неговото съхранение и много други. Валидна мярка е и обучение на служителите на организацията. Всички тези неща се залагат в програмата по сигурност на базата на оценката на риска, която е направена. Впоследствие една оценка за сигурност на такава организация би наложила извършването на няколко неща. Първото е цялостен IT одит на системите, което включва одит на методите за достъп до системите; одит на методите, с които се съхванява информацията; какви са правата на всеки един потребител върху системата; има ли достатъчно добър запис на логове върху системата; има ли резервни копия; къде на тази система се намира информация в чист вид и т.н. Това представлява IT Systems Security одит (различно от Information Security Audit).

Въпросният одит, който се извършва от гледната точка на администратор, който има достъп до всяка една система, може да открие също мрежови проблеми, може да открие проблеми с неправилно разделение на мрежата или неправилно сегментиране на чувствителна информация. На базата на този одит се правят препоръки какво трябва да се подобри в сигурността на системите. Оттам нататък следва всяка една компания да извърши някакъв външен тест за проверка на сигурността. Било то vulnerability scanning, ако нивото на информация не е особено критично или пък цялостен penetration test на всички уеб приложения, мобилни приложения, на компютърните мрежи и системи като този тест вече ще покаже пропуските и уязвимостите от гледната точка на външен за компанията хакер. Както стана изключително популярен в последните дни терминът “бели хакери”. Според тези тестове се проверява цялостната IT сигурност и отново се изготвя доклад с мерки за отстраняване на проблемите и съответната оценка на риска и въздействието на компанията. На база на този доклад се разпределят задачи към дивелъпмънт екипа на компанията – към системните администратори, към мрежовите администратори като всеки има своя роля и трябва да запуши уязвимостите, които са открити на неговата част от инфраструктурата. След тези тестове се решават тези проблеми. Друго, което смятам, че трябва да се направи, то е заложено и в Закона за киберсигурност на критични доставчици на услуги, е да се направи обучение на служителите. Всеки един служител трябва да е минал, макар и базово обучение по сигурност, да е запознат със заплахите, да разпознава фалшив сайт, както и фишинг имейли и въобще как да съхранява чувствителната информация и др. Проверката на осведомеността на служителите също спада към частта с одитите. Впоследствие в зависимост от нуждите на съответната компания се организират нещата по различен начин. При определени стандарти компанията трябва да има цялостна програма за реакция при инциденти. Тогава този анализ или одит ще включва проверката и на тези реакции. Симулира се инцидент в компанията и се проследяват действията на служителите, логовете, системите за сигурност, които проверяват кой е осведомен в случай на атака.

Фото кредит: Симеона Герджикова

Освен чисто технологичния одит всяка една компания трябва да направи проверка на политиките и процедурите, които са налични. Защото компанията може да има перфектна сигурност от техническа гледна точка, но ако това не е подкрепено със съответните политики и процедури или насоки за защита на системите, тогава може да има правни последици. В един цялостен одит би трябвало да се включват следните неща – анализ на политики и процедури; анализ на IT системите от гледната точка на администратор; проверка на сигурността; задължителен penetration testing, като обикновено това се извършва от външна компания или от вътрешен екип, след съответното разделение на отговорности чрез политики, за да се избегне конфликт на интереси. Това е цялостният процес на одит в една компания от точка “А” до “Я”.

Ако трябва да се промени начина, по който държавата работи с данни и да трябва да сменим личната карта, какви ще са алтернативите на подобна технологична промяна?

До голяма степен вече го имаме. Разполагаме с биометричните данни, електронен подпис и други техники, с които може да се обвърже идентичността на даден човек с конкретен електронен запис. Така или иначе данните ще съществуват в традиционния ни познат вид поне в следващите 50 години някъде, дори да е на хартия. Има доста законови изисквания в тази насока. Дори те да имат дигитална алтернатива. Смятам, че няма да видим скоро такъв тип промяна на данни или алтернативи на дигитализирани такива. Много трябва да учим още. Трябва да минат няколко поколения, за да се промени мисленето на човешкия вид и да се прибегне до такава стъпка.

Посещавал си много конференции и конгреси за киберсигурност. Какво е новото в тези технологии?

Изключително много се набляга на AI или на практика т.нар. Machine Learning. Дори компаниите за сигурност масово наблягат на решения, които да не използват традиционните мерки за засичане на атаки на базата на сигнатури, а се набляга на аномалиите в поведението на дадено приложение или аномалия в самия трафик. Това е едно от основните неща. Вторият най-сериозен тренд в момента е създаването на 5G мрежи и изграждането на тяхната сигурност, въпреки че там нещата са горе-долу ясни и няма какво толкова да се обърка. Нещата се решават на ниво протокол, което прави доста по-лесно осигуряването на защитата. При мрежата за разлика от уеб приложенията нямаме тази възможност да създаваме безброй много свои решения и да използваме външни библиотеки. Обикновено при мрежите нещата функционират по стандартен начин. Доста по-рядко се откриват уязвимости. Третият тренд, който наблюдаваме напоследък, са умни градове и интернет на нещата. Като в момента в много европейски градове започват да текат инициативи към много сериозно модернизиране на градовете и смятам, че това ще е гореща тема в следващите няколко години. Също така се набляга на разработката на роботи с някаква форма на изкуствен интелект.

Приемаме ли факта, че киберсигурността е част от ежедневието ни?

Смятам, че всеки един от нас трябва да разбере, че живеем в киберепоха. Киберсигурността е част от ежедневието ни. Така че всеки един човек трябва да се запознае как се съхранява своята информация, а в случай, че той е от другата страна и е човек, който взима решения, следва да вземе съответните мерки за сигурност в компанията си, за да предотврати кражба на данни.

Интервюто проведе Атанас Нейчев