В последния месец български институции са били обект на серия от кибератаки, които дават индикации, че са проведени от хакерски групи, свързани с Русия. Блокирането на „Български пощи“, е осъщестено умишлено около дата, на която се раздават пенсиите и великденските надбавки за българските пенсионери, което показва координация и добър план.
Това заяви в Студио България на Свободна Европа министърът на електронното управление Божидар Божанов. Той коментира, че още преди началото на войната в Украйна държавата е започнала да подобрява киберсигурността на институциите, която през годините е била неглижирана.
По тази линия България се опитва да провокира въвеждането на промени, които да ограничат разпространяването на фалшива и невярна информация в социалните мрежи на европейско ниво.
Божанов каза още, че до месец се очаква да стане реалност въвеждането на българска кирилица в шрифтовете, които се използват от държавни институции с руска кирилица.
По думите му „Демократична България“, чийто представител е той в правителството, ще положи всички усилия да запази управляващата коалиция. Божанов обаче призна, че са необходими промени в начина, по който тя функционира.
Можете да слушате Студио България и в Spotify.
Ето пълния текст на интервюто:
–Какво се случи с „Български пощи“ и защо се подозира руска намеса зад атаката?
-Хронологията на инцидента започва от това, че премиерът обяви даването на великденски надбавки в началото на април или края на март. На 4 април е инсталиран вирусът на сървъра на „Български пощи“. След това седмица-две на практика той е стоял без да бъде активиран до момента, в който ще направи най-много щети, а именно, когато започнат да се раздават пенсии и великденските надбавки. Това е един от индикаторите, че това е координирана, целенасочена атака, а не че някой е намерил случайно нещо уязвимо и е изсипал криптовирус.
Другият индикатор е, че софтуерът проверява настройките на операционната система и ако те са в Русия или някоя бивша съветска република, не се активира. Това не е достатъчно, за да сме на 100% сигурни, че източникът е непременно свързан с руски служби или руски хакерски групи, но навежда сериозно в тази посока.
Предвид че и в последните седмици кибератаките срещу доста от държавите от ЕС по границата с Русия и Беларус зачестяват, можем да насочим погледи натам.
-Възможно ли е по някакъв начин да се стигне по-далеч в това, да не го наричаме разследване, но опит да се разбере дали атаките идват от територията на Русия, или дали имат пряка връзка с държавни институции тези хакерски групи?
-Това е трудно, а и много често невъзможно, тъй като хакерите използват редица компрометирани сървъри в други държави. Дали ще използват VPN, а от VPN-а да използват междинен сървър, така или иначе проследимостта става на практика невъзможна, за да достигнеш реално до този, който го е извършил. И дори да достигнеш той може да бъде руски гражданин на територията на Венецуела и тогава нямаш отново гаранция към коя хакерска група принадлежи, тя пък как се финансира. Тоест, дори да идентифицираш хакерска група, то нейното финансиране от руската държава и руските служби, или служби на други държави, няма как да го докажеш. Това е цялостно международно разследване, което в случая нямаме нито ресурс, нито достатъчно доказателства, за да започнем изобщо да го правим.
-Понеже казахте, че всичко е започнало на 4 април, а самата атака на 16-и, Васил Величков от екипа на министър Калина Константинова каза, че „бавно и комфортно“ са действали хакерите. Правена ли е проверка дали има помощ от хора вътре в пощите и било ли е необходимо предвид нивото на защита?
-По-скоро не е било необходимо, защото нивото на защита на „Български пощи“ е било трагично. Така че няма нужда някой да ти помага отвътре, тъй като той вече е помогнал с това, че е оставил вратите широко отворени. Без да иска, това е така от години и е следствие не непременно на грешка на един или друг човек. Те, разбира се, са налице. По-скоро системно недофинансиране, системно неглижиране на темата за сигурността, а и на доста други управленски теми в „Български пощи“, поради което и вицепремиерът Константинова уволни на практика цялото ръководство. Така че да поемат отговорност и за това, но и за редица други управленски грешки, които са допуснати.
-А вярно ли е, че в началото от „Български пощи“ са отказали помощ от ДАНС, когато е установено, че има някаква атака и защо?
-Как са се развили разговорите не знам. Но е факт, че „Български пощи“ реагираха много, много бавно, дори когато знаеха, че има вирус на техния сървър, което пък доведе до това, че и резервните копия бяха криптирани.
-А може ли сега пак да бъдат ударени „Български пощи“? Пак ли ще се случи същото?
-В момента нещата са на малко по-високо ниво за тези изминали дни. Освен, че временно инфраструктурата им е в държавния облак, също така в момента подготвяме изменения в Закона за киберсигурност, така че те да станат всъщност в обхвата на Министерство на електронното управление. Другата причина те да бъдат в такова състояние е, че на практика не са били контролирани от никого. Нито от Държавна агенция „Електронно управление“, съответно от министерството, нито от ДАНС. Поправяме тези грешки и с Постановление на Министерския съвет (ПМС) 181 и със Закона за киберсигурност, така че най-малкото да имам правомощия аз да изпратя хора там, за да проверя какво е състоянието.
-ПМС 181 е?
-За стратегическите обекти, за които ДАНС е отговорно пряко.
-Това, че пощите не са попадали под опеката на ДАНС, нито на вашето министерство, както се оказа, че също се случва и с БНБ, това по-скоро пропуск или неглижиране ли е, или през експерти, или през служби има, да не казваме пробив, но влияние?
-Не бих спекулирал за влияние или умисъл. Със сигурност недостатъчно добра оценка на риска и липса на пълната картина кои са рискови обекти и кои не са. Ние направихме такава, извадихме всички публични предприятия, защото с администрацията е лесно. Тя по подразбиране попада под обхвата на Закона за киберсигурност и министъра на електронното управление има правомощия. Но публичните предприятия – „Български пощи“ и не само, са извън това. И там се гледа какъв е секторът, в който те действат. Сектор „Енергетика“ попада под силата на една директива, съответно в Закона за киберсигурност. Но пощенски услуги, доставки на храни или управление на отпадъци и други такива потенциално рискови дейности са извън този обхват. Така че в момента предварително транспонираме все още неприета директива, частично, която предвижда попадането на тези сектори към Закона на киберсигурност. Ще предложим бързо изменение, за да можем бързо да вкараме пощите, бързо да влезем, да проверим, да направим предписанията, а това да бъде съгласувано с проекта по Плана за възстановяване, където да бъде инвестирано в хардуер, включително и за киберсигурност. Така че координирано с Плана за възстановяване и нашите проверки да повишим нивото.
-А кога ще може да има някакъв реален резултат в тази посока? Кога ще се случи?
-В следващите месеци. Законът ще мине сравнително бързо, надявам се, през парламента. По Плана за възстановяване проектите вече започват да се действат. Това не означава, че в момента пощите са на нивото, на което са били. Базовите неща, които са били пропуснати, като антивирусна програма, като определени администраторски пароли на грешни места оставени, тези неща за изчистени.
-Казахте, че е имало стандартната „бележка“, която присъства при всяко криптиране при такъв тип атака за искане на откуп. Имало ли е някакъв контакт досега с извършителите, потърсили ли са този откуп по някакъв начин?
-Не са опитвали да направят контакт с нас, просто бележката си седи там и чака някой да се свърже.
-Какви са последствията за пощите и възстановени ли са вече всички услуги, които те предлагат?
-Доколкото ми е известно тази седмица се възстановяват останалите неработещи услуги и би трябвало до петък всичко да е възстановено както е било преди атаката.
-Стана ясно, че освен „Български пощи“ е имало и други институции, които са били под атака. Една от тях е Агенцията за бежанците. Можете ли да кажете кои са другите и какви са последствията от тези атаки?
-На този етап не мога да кажа кои са, но последствията не са толкова мащабни, очевидно, както при „Български пощи“, благодарение на бързата реакция. Да, има засегнати сървъри, но това не е спряло работата на тези институции, тъй като са реагирали бързо. Имат и резервни копия, имат други системи, по-важни, които не са засегнати. Така че и заради бързата реакция, по-доброто сегментиране на мрежата и малко по-високите вътрешни мерки за сигурност, резултатът е, че тези институции продължават работата си.
-А същият ли е почеркът на атаката т.е. пак ли изглежда, че е извършена от руски хакерски групи?
-Така изглежда. Вирусът е друг, но те вариациите на вирусите не са толкова издайни затова дали е същият човек. Един и същи човек може да си направи две-три вариации на един и същи вирус или пък една хакерска група. Целите по-скоро показват, че това е мислено, координирано. Държавна агенция за бежанците очевидно в момента е много натоварена с темата за украинските бежанци. Ясно е, че тази атака не е случайна. Тя не е [предприета от някого, който] е намерил пробив и е решил да го експлоатира, за да си вземе 1000-2000 долара откуп. Очевидно това е целенасочена атака.
-Какво е нивото на киберсигурност и на държавната администрация, и на публичните дружества?
-Има институции, които са много зле. Има и такива, които са на сравнително високо ниво в зависимост от това какъв е рискът и така е редно. Ако няма риск, ако е администрация, която не работи с чувствителни данни, спирането на работата й няма да се отрази толкова тежко върху гражданския и търговския оборот. Не, че е добре, но е разбираемо да няма чак толкова инвестиция в киберсигурност там. Докато в Агенция по вписванията, НАП, Министерство на финансите, Министерство на електронното управление – това трябва да бъде на доста по-високо ниво. Това, което на мен ми се иска, разбира се, е да бъде на доста по-високо ниво от това, на което е в момента, за което и сме взели мерки. Но не е, с извинение за разговорния израз, толкова пробито, колкото е в пощите.
-Понеже сте взели мерки, ще може ли да се вдигне това ниво и в какви срокове?
-То вече се вдига. Ние още преди войната изпратихме редица писма, които са в обхвата ни, „Български пощи“ не попадаха там. С тях им казвахме – „изпълнете си нормативните изисквания“, „запушете този и този порт“, „настройте, ако имате този и този файъруол, ако имате такъв тип уязвимости“. Тоест, добавихме доста конкретика за неща, които би следвало да са били свършени, но по ред причини не са били.
Например, най-очевидно нещо е т.нар. remote desktop – отдалечена връзка към „Уиндоус“ сървър. При първоначално сканиране, още през февруари, открихме около 60 отворени за достъп отвън. Това означава, че трябва да имаш потребителско име и парола, за да влезеш, но потребителските име и парола изтичат. Хора стават жертви на фишинг атаки или ги въвеждат на места, където не би трябвало. Някои от паролите са прости, можеш да влезеш просто с налучкване. Така че тези отворени портове са голям риск, те са забранени и съгласно нормативната уредба. Казахме им да ги затворят. Два месеца по-късно са останали 10 незатворени. Така че започваме със санкции, каквито министърът на електронното управление има правомощия да налага.
Със същото нещо и по редица други портове, конфигурации, настройки, които звучат дребни неща, но са ниско висящи плодове за „лошите“. Като видят отворен RDP порт (за отдалечена връзка към „Уиндоус“ сървър бел. ред.) те се фокусират там, защото най-лесният начин да влезеш е оттам.
-Как изглеждат нещата с обектите, които са от национално значение, например АЕЦ „Козлодуй“, „Марица-Изток“, оръжейните заводи. При тях какво е нивото на защита и има ли опити за атаки срещу тях?
-Не ми е известно. В ПМС 181 всички тези обекти, които изброихте, присъстват. Колегата Величков, когото споменахте, спомена, че аз и други компетентни институции сме посетили АЕЦ „Козлодуй“, за да проверим нивото на киберсигурност. Направихме съответните препоръки, но по-скоро сме спокойни, че няма атаки в последните месеци и няма сериозен риск някаква кибератака да се отрази на дейността на централата.
-Хакерските атаки очевидно са зачестили, но какво става с останалата част от хибридната война. С атаките от фалшиви новини. През март вие казахте, че по линия на европейските институции се води диалог и с компанията майка на Фейсбук – „Мета“, за да не позволяват техните алгоритми разпространение на фалшива информация, която е свързана и с руската пропаганда. Какво се случва по този въпрос и кога може да има някакъв реален резултат?
-Другата седмица имам среща с комисаря по вътрешен пазар Тиери Бретон, който директно отговаря за този регламент, който ще уреди как платформите Фейсбук и други, препоръчват съдържание. Разбира се, този регламент урежда много други теми, но това е една от тях. Всъщност ще препотвърдя нашите предложения към акта, чийто финален текст вече е приет, но той отваря достатъчно много вратата на Европейската комисия с подзаконови актове да доуреди някои неща, които не са съвсем уредени в акта.
Тоест, да наложи някакви стандарти към алгоритмите, които представляват системен риск. Това е терминология, използвана в проекта за Акт за цифровите услуги. Когато нещо представлява системен риск, то съвместно между комисията и компанията трябва да прецизират неговата работа. В случая за Фейсбук те твърдят, че предоставят съдържание, което просто е генерирано от техните потребители. Всъщност обаче те не са страна без участие в разпространението на това съдържание. Техният алгоритъм преценява кое да покаже на повече хора и кое да не покаже на повече хора. И всъщност с този техен избор, макар и да не е избор на хора в компанията, това е избор на хора, които са направили дизайна на алгоритмите, промотират съдържание, което генерира повече кликове. Тоест, повече сензация, повече фалшиви новини, повече заглавия, които създават по-силни емоции у читателите. Което е супер за техния бизнес модел – те получават повече импресии, повече плащания от рекламодатели, но пък е в конфликт с интересите на нашето общество.
-А ще се случи ли нещо по повод това, че видяхме много блокирани профили, които говорят нещо против войната на Путин, но заради множеството сигнали срещу тях, са блокирани, докато профилите на някои политически лидери остават активни?
-За съжаление комуникацията с Фейсбук, която опитахме да проведем по тази тема, не беше много продуктивна. Ние няколко пъти им казвахме, че има такъв проблем. Че валидни, легитимни гласове срещу войната в Украйна, срещу руската агресия са заглушавани. Дали от армии от тролове, дали от координирано поведение на истински хора, но не за неща, които реално нарушават техните правила. Имаше един или два случая, в които те реагираха и отблокираха даден профил, но системният проблем остана.
Същата трудна комуникация имахме и по линия именно на алгоритмите за препоръчване. Като най-неприятният пример [беше], когато с детайлни технически въпроси ги попитахме как адресират проблема с координирано неавтентично поведение, както те го наричат, което можем да кажем, че са тролските фабрики или тролските ферми. Те изпратиха доклада си за януари, в който се казваше, че в рамките на целия свят са свалили три руски профила, които генерират съдържание. Това, очевидно, е несериозно, но самата идея, че те в официален отговор към официално лице от държава членка изпращат такъв доклад, значи, че темата им е по-скоро от по-маловажните. Именно затова единственото решение е регулаторно.
-Казахте за тролските фабрики, има ли някакви разследвания или данни, дали има такива фабрики в България и институциите могат ли да извършат някаква дейност срещу тях?
-Дали компетентните органи за наказателно преследване извършват или не извършват, не мога да кажа. Управляването на тролска фабрика или това да бъдеш трол не е престъпление. Престъпление е да оправдаваш война, да подстрекаваш към война, има такива състави в Наказателния кодекс. Дали срещу неизвестен извършител, защото тези профили са фалшиви, може да бъде повдигнато такова обвинение, не знам. Но това, така или иначе, е ходене след събитията. Ние дори да идентифицираме 10-15 профила, да ги разследваме, накрая да открием, че те са свързани с някаква тролска фабрика, всъщност тя през цялото това време ще функционира и ще си е свършила работата. Това, което предприехме с европейското законодателство, наистина е по-бавният подход, но в дългосрочен план, би решил системния проблем. Иначе ходим след събитията.
-На държавно ниво обявихте създаване на звено, което да се бори с дезинформацията. Дадохте като пример всичко, което се свърши покрай тази фалшива информация за повишаване на цените на горивото. Кога можем да очакваме това нещо да заработи и ако можете накратко да обясните как би изглеждало.
-Устройственият правилник на министерството, в който ще бъде разписана и политика за хибридни атаки, ще бъде приет в четвъртък на Министерски съвет. След това вече ще можем да изпълняваме действия по тази тема. Идеята е в никакъв случай това да не е звено, което да казва кое е вярно и кое не е вярно в интернет, макар че имаше такива спекулации. Държа да ги оборя, то няма да казва и няма да казва на Фейсбук кое да сваля. Нито има такива правомощия, нито това е добра идея, защото това е кутията на Пандора. Днес ние сме тук и смятаме, че знаем кое е правилно и кое е грешно. След това идва някой друг, който смята, че това, което аз смятам, е грешно. Затова тази кутия на Пандора не искаме в никакъв случай да я отваряме.
Това, което ще прави това звено, е да анализира тенденции. Да информира съответните министерства, че в рамките на техните теми нещо бълбука в публичното пространство. Това е функционалност и дейност, която всяка една голяма компания има. Големи частни компании следят какво се случва в социалните мрежи, какво се говори за тях, какво се говори по техните по-широки теми. Например една компания за напитки следи изобщо по темата напитки какво се случва. Така че ние няма да открием топлата вода, няма да следим нещо извън стандартните практики. Ще следим какво се случва, за да знаем кога и как да реагираме.
-Ако можем да преминем извън дигиталната сигурност, един от приоритетите на правителството беше подобряване на услугите, които предлага администрацията. Какво постигнахте за тези близо 6 месеца, в които управлявате?
-При електронното управление най-важният, отключващ фактор е електронната идентификация. Без нея гражданите трябва да имат квалифицирани електронни подписи (КЕП) или несигурните персонални идентификационни кодове (ПИК), за да могат да заявяват услуги. Всъщност това, което задвижихме приоритетно, беше национална система за електронна идентификация. Мобилно приложение, с което да се идентифицираме на практика пред всяка институция, за да можем да заявяваме услуги.
-Кога ще го имаме?
-До края на годината е заложено в решение на Министерски съвет да представя резултата. Надявам се малко по-рано да можем да пилотираме системата. Отделно от това сме подготвили промени в Закона за електронно управление, с които да поправим редица пропуски, които спъват въвеждането на истинско електронно управление. Тоест, които изискват администрацията да събира удостоверения. Тоест, да ви кара да пренесете едно удостоверение от едно гише или от другия края на държавата, за да си проверят те, че, да, вие сте женен, имате наследници, нямате наследници и т.н.
Единият от факторите, които пречат на това нещо, той не е единствен и не е водещ, но е интересен като аспект за това колко широко се простира тази тема, е Законът за публичните финанси и финансирането на общините. Общините изкарват немалка част от своя бюджет от такси за административно обслужване. И те издават повечето удостоверения, които искаме да отпаднат.
Ако направим така, че те отпаднат, ще лишим общините от бюджет. Има общ текст от Закона за публичните финанси, който казва, че общините се компенсират, ако държавна политика налага намаляване на някакви приходи. Това, което добавяме е, че те се компенсират пропорционално на това колко удостоверения биха издали, ако нямаше електронно управление. Така че общините да не са против въвеждането на тези промени. Един малък щрих, но редица такива изменения, които може би звучат несвързано едно с друго, но които ще ни позволят отпадането на тези удостоверения и обслужването на тези граждани.
–Готови ли са секторите? В началото на май трябваше да влезе електронната рецепта, тя може би не попада точно във вашата сфера, но от Българския лекарски съюз (БЛС) казаха, че и лекари, и пациенти не са готови за промяната. Готово ли е изобщо обществото, пък и институциите за тези промени.
-Електронна рецепта има. Бялата рецепта, тоест, нещата, които не са по Здравна каса се отлага и то не защото някой не е готов, а защото има конкретни гранични случаи, които трябва да бъдат прецизирани. Примерите, които дават от БЛС, са абсолютно валидни. Примерно, когато лекар преглежда по хотели на морето или на домашно посещение, няма необходимия софтуер, за да издаде електронната рецепта, как това се урежда.
Това са малък процент от случаите, но ако ние наложим с нормативна уредба във всички случаи да бъдат лекарите задължени да издават такава рецепта, ще ги затрудним. Затова в този период на отлагане ще прецизираме изключенията, които са малко, но могат да спънат процеса. Така че всички са готови, просто имаме още малко работа как в реалния свят да не спънем някой процес.
-Едно друго нещо, което предприехте, беше въвеждането на българската кирилица, която да замени руската поне в сайтовете на държавни институции. Как върви този процес и кога може да бъде приключен?
-На практика може да бъде приключен и този месец. Общественото обсъждане мина, там отразихме коментарите в проекта за инструкция. Въпрос е на моя заповед да бъде прието. Остава още малко експертна дискусия да се случи. Колеги в министерствата в момента провеждат срещи по темата, за да сме сигурни, че са създадени правилните шрифтове, че включително защитата на личните данни е налице. Знам, че звучи странно шрифтове да са свързани със защита на личните данни, но предвид че някои от шрифтовете се предлагат като услуга да бъдат заредени от браузъра, то бисквитките ни отиват към Гугъл, когато заявим шрифт. Така че такъв тип аспекти доизчистваме и няма друг тип пречки да въведем този вариант на шрифта.
-Накрая един въпрос, свързан с политиката. В края на миналата седмица съпредседателят на „Демократична България“ Христо Иванов каза, че начинът, по който функционира коалицията, вече не може да продължава така. Вие сте част от „Демократична България“. Да очакваме ли евентуално излизане на обединението от управлението?
-Действително проблеми има в работата на коалицията. Ние не сме и очаквали друго. Четворна коалиция в тази среда при толкова кризи, неразбирателства и проблеми няма как да няма. Да очакваме бързо излизане преди да сме направили усилия да поправим тези грешки, по-скоро не бих казал. Ген. [Атанас] Атанасов в последващо интервю заяви, че в никакъв случай целта ни не е да бутаме управлението, особено в този момент. Така че нека да опитаме с политическите средства на преговори, разговори да поправим дефицитите на коалицията.