Не дай боже някой да хакне критична инфраструктура - енергетика и транспорт
Хакерът на НАП иска да покаже на всички колко е велик
Хакери проникнаха и в ЦРУ, и в Пентагона, и в американското правителство - няма достъпна интернет базирана система, която да не може да се хакне
Предлагам всички държавни услуги, базирани на потребителско име и парола, да изпращат временна парола на телефона на клиента, както това правят банките. И най-гениалният хакер няма как да има в джоба си вашия мобилен телефон
- 10 000 гигабайта лични данни от НАП се реят свободно в интернет и няма шанс да бъдат изтрити оттам. Твърди се, че до момента са ги копирали около 300 хиляди потребители на интернет. Чия е отговорността за това, проф. Константинов?
- Най-общо казано, отговорността е на държавата, а персонално на кого - не мога да знам. Държавата обаче е длъжна да си пази данните. От друга страна, хакерството е наказуемо и според Наказателния кодекс онзи, който неправомерно се сдобива с и разпространява чувствителни данни, е заплашен със затвор до 6 години.
Факт е, че тези данни няма как да изчезнат от интернет. Като се изпусне духът от бутилката, той си пътува из пространството... Става дума обаче за
хаотични
данни, 20%
от които са
за умрели хора Т.е. от данните за 5 млн. души, 1 млн. са починали хора. Какво ще направиш с ЕГН-то на един умрял човек.
- Ако данните за останалите 4 млн. българи попаднат в злонамерени ръце, какво може да се случи с тях?
- Може да смятаме, че те вече са попаднали, но аз лично не мисля, че с тях може да се случи нещо кой знае какво.
- Защо?
- Вече е банално да го повтарям, но нали нашите ЕГН-та с години бяха официално достъпни. След като подписахме съответните европейски документи, започнахме да си пазим личните данни по-добре. Аз самият не виждам какво страшно може да се случи, ако едни ЕГН-та са публично известни. Моето ЕГН е също достъпно, но нищо лошо не ми се е случило.
- Не са само ЕГН-тата обаче. Нали не е случайно, че всички тези данни - от ЕГН, през име, адрес, доходи, данъчни декларации, са наречени чувствителни?
- Да, така е. И за някои хора това е неприятно. Виждате, че има няколко хиляди души от ръководството на държавата, за които държим тези данни да бъдат оповестявани и публикувани. Е, какво страшно се случи, като току-що видяхме данните на висшите български мъже и жени, сред които има и милионери? Нищо! И какво, да затворим държавата ли?
- Има страхове, че с данните за средностатистическия българин може да се теглят кредити, да бъде изнудван, подвеждан от телефонни измамници...
- По принцип всичко е възможно. Телефонни измами стават и сега, изнудвания - също. Но аз лично не мисля, че нещо катастрофално се е случило. Да, хакването на данните от НАП е неприятно, даже много, но не е катастрофално.
- Как да се защитят хората?
- Всеки на място може да провери какви данни са изтекли за него и да вземе някакви мерки за защита, ако смята, че е необходимо.
- Какви да са тези мерки?
- Ако иска, може да съди държавата, но според мен обикновеният човек не е застрашен. Освен ЕГН-то ми, за мен е публично достъпна информацитая откъде съм получавал хонорари и какви, също - какви данъци и къде съм плащал. Прочетох го, и какво от това?
Аз лично предлагам всички държавни услуги, базирани на потребителско име и парола да изпращат временна парола на телефона на клиента. Тогава и най-гениалният хакер няма как да има в джоба си вашият мобилен телефон. Тази практика впрочем използват всички банки.
- Впрочем съпричастно ли е “Информационно обслужване”АД към защитата на данните на НАП?
- Не, към тези данни “Информационно обслужване” АД е абсолютно несъпричастно. Ние отговаряме за архива на НАП, а това, което се изнесе, не е архив на НАП.
- А какво е?
- Това са данни върху някакъв сървър. При това нямат структура на архив. Все едно да бръкна във вашия диск в компютъра, да си извадя каквото си искам и после да кажа - това е от архива на “24 часа”. Но това не е архивът.
- Казахте по една телевизия, че масивът на НАП е хакнат левашки. Защо мислите така?
- Доколкото знам, масивът е хакнат със стандартна техника, която, разбира се, точно за това се използва - за хакване. Но важното в случая е, че
хакерът си
е оставил
следите
- Намеквате ли, че хакерът е 20-годишният Кристиян, който впрочем беше пуснат от ареста?
- Нищо не намеквам. Но следвам логиката, че ако един престъпник не оставя следи, нямаше да има нито един бандит в затвора. И най-съвършените крадци и убийци оставят някакви следи, по които ги хващат. Има разследване, има български съд - те ще кажат кой е прав, кой е крив.
- Каква е психологията на хакера в този случай?
- Иска да докаже колко е велик - това е основният мотив. Иска и малко пари да вземе.
- От кого пари?
- Не говоря за този конкретен хакер, говоря за общия случай. Но най-важното за хакера е неговото величие. Опитва се да докаже, че е най-велик сред своите колеги. Или ако може да изнуди някого и за това да вземе малко пари - още по-добре.
- Как обяснявате високата подкрепа за 20-годишния “вълшебник” Кристиян в мрежата?
- Поначало бунтарите винаги са симпатични. Особено младите. Но който и да е хакерът, извършеното от него е престъпление.
- Има и други версии за хакера - Нова тв получи имейл, чийто автор се представя за руснак, женен за българка, и заявява, че той е хакнал системата на НАП. От НАП пък допуснаха, че хакерът може да е вътрешен човек. Има и версии, че е по-възрастен човек, също че може да е група от хакери. Кое е вярното?
- В писмото до Нова тв авторът му често споменава
датата
10 ноември,
която
непрекъснато
се посочва
в хакнатите
материали
Но има следствие в момента, аз и да знам нещо, няма как да ви го кажа. Темите в това разследване може да са най-неочаквани. Нашите специалисти каквото ги попитаха, отговориха. Ние нашата работа сме си я свършили.
Но като цяло е очевидно, че някъде е проявена немарливост.
- Да, твърди се, че заради пробив в електронна услуга за връщане на ДДС от чужбина, НАП е била хакната. Но се твърди също, че това се е случвало и преди, но не се е разбрало.
- Вижте, заради услуга, разработена през 2012 г., се оказва, че с помощта на SQL инжекция, което е типично хакерско оръжие, може да се направи пробив и да се влиза в незащитени бази данни.
Но да ви кажа - хакери проникнаха и в ЦРУ, и в Пентагона, и в американското правителство. Вчера пробиха и руското разузнаване. Така че няма достъпна интернет базирана система, която да не може да се хакне.
Обикновено силно защитени са военните системи, които работят по вътрешни канали, т.е. които си имат собствена система за комуникация. Тях е трудно да ги хакнеш. Но онези, които предлагат обществени услуги, са уязвими. И ако човек иска да не му хакнат много важни данни, трябва да ги запише на изолиран компютър. Или пък да работи със записки на ръка или на пишеща машина.
Според мен едно държавно ръководство не може да използва интернет, защото, ако го е използвало, са го прочели всички. Освен това нали знаете, че всички интернет комуникации минават през американски сървъри?
Ако искате
американците
да ви четат данните,
използвайте интернет!
- Всички обаче се питат защо в НАП не са криптирали тази информация, защо се е оказала незащитена?
- Не питайте мен! Нито аз, нито дружеството, което представлявам, имаме отношение към този въпрос.
- Кой всъщност е правил тази система?
- Нямам представа. Не знам дали е фирма, или група служители. Питайте НАП.
Но те са искали да направят и са направили още една интернет услуга. За жалост, тя се оказва пробита. Това е истината.
- Питам ви неслучайно - защото “Информационно обслужване” ще прави одит на системата на НАП. В какво ще се състои този одит?
- Ако ви кажа в какво ще се състои този одит, ще улесним хакерите... Най-общо казано - ще проверяваме всички системи за уязвимост. И понеже всичко може да се хакне, нашата работа е да намалим вероятността това да се случи.
- Не беше ли блокиран от хакер сайтът на ЦИК и този на МВР на местните избори през 2015 г.?
- Имаше серия атаки, които блокираха редица държавни сайтове, но те не бяха хакерски, а DDOS - атаки със заявки.
- Не обвиниха ли за това руска хакерска група ? Въпросът е защо точно нашите държавни сайтове атакуваха?
- Хакерите понякога се и забавляват - на тях това им е животът.
- Не опорочава ли хакерската атака срещу НАП проекта за електронно правителство, в който наливаме, доколкото разбрах, по 5 млн. лв. годишно?
- Не съм участвал в създаването на тази система. Да, в изграждането й България изостава. И тази хакерска атака показва колко трябва да бъдем внимателни. На всичко трябва да се обръща внимание и цялата работа трябва да се изпипва. Случват се такива неща. Както се случват и катастрофи.
- Не ни върви и с опцията за машинно гласуване, която парламентът наскоро отмени за следващите местни и парламентарни избори. Знам, че сте голям противник на машинното гласуване...
- И това е грешка. Противник съм на машинното гласуване в този му вид. И по една проста причина - защото цяла Европа го отмени. С изключение на половин Белгия, в която това машинно гласуване го има, но в друг вид. И ние се набутахме там. Аз лично смятам, че
не трябва да правим
нещо, от което Европа
се е отказала,
и освен това и да го въвеждаме масово.
В сегашния Изборен кодекс е предвидено догодина да има само машинно гласуване. Това е престъпен текст! Такъв е, защото поне 20-30 процента от българските избиратели не могат да гласуват по този начин. И ако догодина по закон оставите само този начин на гласуване, лишавате 1 млн. души от право на глас.
- Сред аргументите “за” машинно гласуване беше и този, че младите избиратели го предпочитат. И съответно отмяната му ще отблъсне от урните тъкмо дефицитните млади, не мислите ли?
- Да повторя ли, че в Европа също има млади избиратели, но там машинно гласуване просто няма, а където имаше, го махнаха. В Германия го имаше - махнаха го. В Холандия го имаше - махнаха го. В Ирландия го имаше - махнаха го. Читателите на “24 часа” са интелигентни хора - да бръкнат в интернет и да прочетат там защо е махнато машинното гласуване в тези страни.
- Как ще обобщите опита на българина с електронните услуги и гласуването с машини - май не ни върви особено в тази област?
- За съжаление, този опит и българската практика не се разви по най-добрия начин. Да се надяваме, че нещата постепенно ще се оправят.
- Чу се, че ще търсим съдействие от европейските органи по киберсигурност.
- Мисля, че на този етап
България има сили
да се справи сама
Ако ви кажа какви пробиви е имало в западните електронни системи, ще ви се изправят косите.
Но чрез вашия вестник - “24 часа”, който много се чете, искам да кажа на властите ни, че трябва да проверят други системи - тези, в които е критичната инфраструктура на България. Това например са транспортът и енергетиката. Спре ли енергетиката заради хакерски удар, да не дава господ - тогава ще разберем!
Източник: https:www.24chasa.bg
