Приходната агенция пренебрегнала сигурността на данните заради онлайн услугите

Председателят на КЗЛД Венцислав Караджов представи пред депутатите от анкетната комисия доклад с констатациите от проверката в НАП.

© Анелия Николова

Председателят на КЗЛД Венцислав Караджов представи пред депутатите от анкетната комисия доклад с констатациите от проверката в НАП.



Националната агенция за приходите (НАП) е създала условия за случилото се източване на данни от базите им, приоритизирайки стратегически функциите за електронно обслужване на гражданите за сметка на защита на личните им данни. Това заяви председателят на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов пред депутатите от временната анкетна комисия, която трябва да установи фактите около източването на данни от НАП.


Караджов обясни, че е направена цялостна проверка на администратора и са установени пропуски преди хакерската атака, но и адекватна реакция след това. В приходната агенция не е било достатъчно ясно разписано как се извършва обменът на информация между отделните потребители в системата. Системата е била дебалансирана, като тежестта е била изместена в полза на електронните услуги за потребителите за сметка на защитата.


Операционната система на НАП е от 2008 г., "кърпили" я с ъпдейти


Вътрешните правила са прекалено общи и няма разработени правила за обработка на данните. Било е възможно лесно да се пробие защитата на базата данни. Нарушен е основният принцип на отчетност – няма информация кой потребител влиза в системата, какво прави в нея и с какви данни борави, обясни Караджов.




Освен това не е имало внедрена система за управление и анализ на събитията, за да се следят в реално време сигналите за сигурност. Това пък е позволило да не се подава информация, когато хакрът е влязъл, дали е теглил малко или много информация, каква и от кои бази данни, обясни още председателят на комисията пред депутатите. Липсва методика за управление на риска – идентификация на заплахите и на самия риск, както и последваща периодична оценка на този риск. При проверката от НАП не са предоставили доказателства да са извършвали анализ на риска.


"Липсват документирани правила и процедури за оценка на въздействието при стартиране на нови информационни системи и приложения. Липсват процедури за управление на риска при промяна на вече съществуващи електронни услуги или при въвеждане на нови такива. Операционната система в момента е от 2008 г. Срокът на поддръжката й в световен мащаб изтича през януари 2020 г. Трябвало е много по-рано да се обмисли как тази система да бъде защитена", заяви още Караджов. По думите му всеки допълнителен ъпдейт на системата допълнително излагал на риск сигурността.


Сред пропуските той посочи, че няма паралелен сървър, който "да може да вдигне системата" и тя да заработи при евентуален срив. Установено е, че има бекъп сървър, но това според доклада на комисията не решава проблема.


"Липсват политики за повторно използване на данните, за унищожаване или архивиране на данните, които се използват еднократно, и няма правила за това. По този начин може да се добие изключително много информация", добави Караджов и подчерта, че от две години от комисията препоръчват да се провежда периодично обучение на служителите, които боравят с лични данни.


Всички констатации на комисията са обобщени в доклад от над 20 страници, който днес бе представен пред депутатите от анкетната комисия.


Според Румен Гечев над 60% от служителите били "калинки"


В отдела, който работи за опазване на личните данни в НАП, 60% от служителите са "калинки". "Там работят специалист по спортна стрелба, по технология на металите, по механика и физика, по аграрикономика, технология на хранително-вкусовата промишленост, по транспортна енергетика, по картография, околна среда и води и други". Констатацията направи Румен Гечев от БСП, който е зам.-председател на анкетната комисия.


Венцислав Караджов обясни, че при проверката подчинените му не са се сблъскали с некомпетентност, и добави, че комисията няма правомощия да търси персонална отговорност на служителите, които работят в приходната агенция.


"Не сме констатирали липса на компетентност от страна на тези служители. Предоставили сме им въпросници, от които можем да съдим, че имат добри познания върху това как работи системата и какви проблеми има в нея. Голяма част от проблемите са били констатирани от самите служители на НАП през последните 5 години", обясни Караджов.


Той добави, че няма изискване за образователен ценз при обработване на лични данни, и посочи, че всеки служител би трябвало да бъде обучаван. Караджов посочи, че комисията отдавна е предложила да се създаде обучителен център, тъй като подобни проблеми вече се забелязват както в частния, така и в публичния сектор.


На следващото заседание депутатите от анкетната комисия решиха да поканят уволнените служители на НАП, които са отговаряли за информационните технологии.

© Георги Кожухаров

На следващото заседание депутатите от анкетната комисия решиха да поканят уволнените служители на НАП, които са отговаряли за информационните технологии.


В отговор на въпроси от комисията обясниха, че правят проверки, но те са секторни – в здравеопазването, образованието, фирмите за бързи кредити, телекомуникационните оператори.


"Тези проверки се правят въз основа на сигнали, подадени до комисията. За НАП нямаше такива индикации, нито пък подадени голям брой жалби и сигнали, за да се наложи да направим цялостна проверка. А и нашият проверяващ екип е от около 15 души", подчерта Караджов.


"Проблемът на НАП е, че направиха така, че да не си губиш времето, да не чакаш по опашки, а да можеш да използваш електронни услуги. Отвориха системите така, че да са максимално достъпни. Този проблем съществува и в други институции. Дори сайтът на парламента беше атакуван", коментира Емил Димитров и подчерта, че всички мерки, които трябва да се вземат, струват много.


В края на заседанието бе решено следващия път да бъдат поканени двамата уволнени служители по информационни технологии, както и представители на Държавната агенция по електронно управление и служители на НАП.


Миналата седмица КЗЛД обяви, че ще глоби данъчната администрация с 5,1 млн. лв. заради източените лични данни на над 6 млн. души.


Дни след като избухна скандалът, изпълнителният директор на Националната агенция за приходите Галя Димитрова уволни ръководителите на звената за информационните системи и за информационна сигурност на приходната администрация. Самата тя тогава заяви, че няма намерение да подава оставка.

Всичко по темата за източените лични данни от приходната агенция, обвиненията срещу служители в "ТАД Груп" и разследването - тук.


Всичко, което трябва да знаете за:
Коментари (60)
  1. Подредба: Сортирай
  1. 1 Профил на Халдип Исйолов
    Халдип Исйолов
    Рейтинг: 1974 Неутрално

    Специалист по кибер сигурност със заплата 680 лв е като водолаз у вана. Стига глупости.

    Не си заслужава да се напрягаш безплатно.
  2. 2 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    От както се обърне колата , пътища много.

    SHADOWS of SOFIA
  3. 3 Профил на Darulio
    Darulio
    Рейтинг: 2016 Весело

    Казват "операционната система е от 2008 г.", все едно на дупки в сигурността на Windows 2008 (R2) се държи течът, а не на тъпо конфигурирана база данни? Дрън-дрън

    Да бехме малко подпийнали, да им ебеме майката.
  4. 4 Профил на pafka
    pafka
    Рейтинг: 302 Неутрално

    Проблемът е, че във всички агенции, министерства, комитети са калинка до калинка. Затова такива, дори и още по-големи неудачи и пропуски ще има перманентно. Шуробаджанащината и "мой човек" са дори по-големи от онова време.

  5. 5 Профил на boevbisser
    boevbisser
    Рейтинг: 1568 Разстроено

    И след такива убийствени коментари шефът на нап не подава оставка. Мъка.

  6. 6 Профил на Norman Granz
    Norman Granz
    Рейтинг: 3946 Неутрално

    Кой ще изгори, е въпросът. Кой тулуп на бюджетна заплата ще влезе в затвора? Кой ресорен министър ще подаде оставка? Кои IT "фирми" ще бъдат осъдени на десетки милиони, задето оставиха личните данни на 5 милиона души да се веят като пране на тел?

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  7. 7 Профил на Norman Granz
    Norman Granz
    Рейтинг: 3946 Неутрално

    До коментар [#4] от "pafka":

    "...във всички агенции, министерства, комитети са калинка до калинка."

    С дипломи от фирма "Никанор" или някоя подобна.

    Невежество и мърлящина, облечени във власт. Так-так-так-так, фъш-фъш и Пунта Мара.

    Пфу.

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  8. 8 Профил на Darth Plagueis
    Darth Plagueis
    Рейтинг: 3917 Неутрално

    Тва може и да звучи смислено в главата на тъп милиционер, но в реалността е нонсенс.

    Евродепутати от ГЕРБ, БСП и ДПС искат отпадане на мониторинга от ЕК
  9. 9 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    Проблемът е, че във всички агенции, министерства, комитети са калинка до калинка. Затова такива, дори и още по-големи неудачи и пропуски ще има перманентно. Шуробаджанащината и "мой човек" са дори по-големи от онова време.
    —цитат от коментар 4 на pafka


    Може и да е така но ако ги махнат , тези които дойдат , какви ще бъдат?

    SHADOWS of SOFIA
  10. 10 Профил на nikidimi
    nikidimi
    Рейтинг: 766 Неутрално

    Щом не могат да се справят с това да предоставят онлайн услуги с подобаващо ниво на сигурност явно не са достатъчно компетентни за постовете си през 2019 година

  11. 11 Профил на today
    today
    Рейтинг: 1097 Неутрално

    Гумен Речев и той се обади "експертно", чакаме мнението и на Гошо Тъпото.

    Борбата с корупцията в България е като риболова по Discovery. Хващат ги, показват ги, и ги пускат!
  12. 12 Профил на Митко Палаузофф
    Митко Палаузофф
    Рейтинг: 558 Неутрално

    Интернет е виновен!!! Не ни трябва тая гяволия - кой порядъчен човек ползва интернет?! Само престъпници и наркомани и соросоидите!

  13. 13 Профил на Norman Granz
    Norman Granz
    Рейтинг: 3946 Неутрално

    До коментар [#9] от "К2":

    "Може и да е така но ако ги махнат , тези които дойдат , какви ще бъдат?"

    Ами едва ли ще са много по-добри, след като Библиотекардкият, УНСС, Нов Български, Мишиционерската "академия" и пр. произвеждат главно брак...

    НЯМАМ ВРЕМЕ ДА ОТГОВАРЯМ НА ВСЕКИ ИДИОТ.
  14. 14 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    До коментар [#9] от "К2":"Може и да е така но ако ги махнат , тези които дойдат , какви ще бъдат?"Ами едва ли ще са много по-добри, след като Библиотекардкият, УНСС, Нов Български, Мишиционерската "академия" и пр. произвеждат главно брак...
    —цитат от коментар 13 на Norman Granz


    Така е.

    SHADOWS of SOFIA
  15. 15 Профил на realguru
    realguru
    Рейтинг: 2925 Неутрално

    Няма как.

    Ако искаш онлайн услуги, винаги има риск от хакване на системите.

  16. 16 Профил на blondofil
    blondofil
    Рейтинг: 1911 Неутрално

    Видяхте ли бе мрънкала за ваше добро е, не щото толкова им е акъла

  17. 17 Профил на mara71
    mara71
    Рейтинг: 964 Неутрално

    Не се казва и дума за съмнителните папки - "Яне Янев", папката само с имена егенета на политици, папката с данни на подбрани лица от 2005г. и папката с с играчи на хазарт.
    Този "колекционер" сигурно е важна особа.
    Не разбрах, задължени ли сме все още да пускаме данни към НАП?

  18. 18 Профил на pafka
    pafka
    Рейтинг: 302 Неутрално

    До коментар [#9] от "К2":

    Затова се изисква и тотална смяна на системата. Двете най-големи едва ли ще предприемат това. Затова казвам, принципите ни са сбъркани. Все още се лутаме и не виждаме правилния път и правилните хора. Старите и новите комунисти ги видяхме.

  19. 19 Профил на Ще върнем България в Европа
    Ще върнем България в Европа
    Рейтинг: 2322 Неутрално

    Поредните герберски простотии. Заради онлайн услигите и боравенето с данни на хората и още повече, че няма избор на друга НАП, сигурността трябва да е преди всико друго.

  20. 20 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    До коментар [#9] от "К2":Затова се изисква и тотална смяна на системата. Двете най-големи едва ли ще предприемат това. Затова казвам, принципите ни са сбъркани. Все още се лутаме и не виждаме правилния път и правилните хора. Старите и новите комунисти ги видяхме.
    —цитат от коментар 18 на pafka


    Ифандиев казваше "Рапсодия в тъжно"
    Политическия картел едва ли ще се предаде лесно.

    SHADOWS of SOFIA
  21. 21 Профил на bat_plamen
    bat_plamen
    Рейтинг: 4278 Неутрално

    За пореден път се убеждавам каква тотална аматьорщина цари в държаваната администрация!

  22. 22 Профил на Халдип Исйолов
    Халдип Исйолов
    Рейтинг: 1974 Неутрално

    До коментар [#4] от "pafka":

    Калинките са на високо. Тия IT специалисти и кибер сигурност работят на некви 600-700 лв. по държавните институции. Те толкова и разбират, за 600-700 лв. Средно ниво IT под 3000 нето няма да стане от леглото сутрин.

    Не си заслужава да се напрягаш безплатно.
  23. 23 Профил на Роси
    Роси
    Рейтинг: 8528 Неутрално

    Защо държави, където данните са много по-защитени нямат ли електронни услуги. Продължават да ни правят на идиоти.

  24. 24 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    Защо държави, където данните са много по-защитени нямат ли електронни услуги. Продължават да ни правят на идиоти.
    —цитат от коментар 23 на Роси


    Хи хи . Ако сме шарани , на бастун ще ни хващат.

    SHADOWS of SOFIA
  25. 25 Профил на pinoccio
    pinoccio
    Рейтинг: 736 Гневно

    Те чиновниците, че са малоумни, малоумни са.

    Но интересно защо си мислят, че и ние сме?

    Може би, защото ги търпим да наглеят, да крадат и да ни се смеят в лицата? Или защото са недосегаеми, за милиони няма закони?

  26. 26 Профил на karatista
    karatista
    Рейтинг: 1610 Неутрално

    И какво казва любезния чичо? Да затваряме амазон, тогава? Понеже Безос много иска да продава онлайн, ама е много опасно! Само си пазят задниците един на друг и хвърлят меринджейски лафове на публиката, за да изглеждат компетентни

  27. 27 Профил на mitko11
    mitko11
    Рейтинг: 1985 Весело

    Статията показва пълната и абсолютна некомпетентност на Венцислав Караджов и екипа, който е писал доклада.
    1. Тези хора си нямат абсолютно никакво понятие от Windiows server 2008 R2, но се опитват да дават компетентно мнение.
    2. Бъркат сървърна операционна система със СУБД/Система за управление на бази данни/.
    3. Дебалансиране има при куршумите с изместен център на тежестта. При цифровата техника се употребяват съвсем други понятия.
    4.Освен правилното конфигуриране на политиките за сигурност и организацията на достъпа на ОС голямо значение има работата скорпоративната антивирусна програма, за която явно тук не са чували.
    5. Ако имат само един спуснат отнякъде системен администратор, който да се занимава с администриране на системата, антивирусна защита, хардуерна поддръжка, обучение на персонала как да си включи компютъра и докато си почива - оправя презентациите на шефовете....жална им майка.
    6. АКО СА ТОЛКОВА НЕКАДЪРНИ, ЧЕ ДАЖЕ НЕ МОГАТ ДА РАЗБЕРАТ КОЛКО СА ЗЛЕ, ДА ПОИСКАТ ПОМОЩ ОТ ТЕЛЕНОР ИЛИ А1.....
    7.КОГА ЩЕ ИМА ОСТАВКИ НА МИНИСТРИ, АРЕСТУВАНИ И СЪДЕНИ ОТ НАП?

    Генерал Сандокан с двата МИГ-а
  28. 28 Профил на samoedin
    samoedin
    Рейтинг: 3961 Весело

    " Вътрешните правила са прекалено общи и няма разработени правила за обработка на данните. Било е възможно лесно да се пробие защитата на базата данни. Нарушен е основният принцип на отчетност – няма информация кой потребител влиза в системата, какво прави в нея и с какви данни борави, обясни Караджов."

    То излиза, че в кварталния супермаркет има далеч повече механизми на защита отколкото в НАП ! При това в НАП говорим за многомилионни интереси, а не за кварталната бакалия....Тия калинки за какво изобщо са взимали заплати ?

  29. 29 Профил на karatista
    karatista
    Рейтинг: 1610 Неутрално

    Гумен Речев и той се обади "експертно", чакаме мнението и на Гошо Тъпото.
    —цитат от коментар 11 на today


    Изглежда строг др Гечев хахаха. За другия път, освен уволнените служители да поканят и Христо Стоичков за още тежест. Гарантирано ще оправят нещата

  30. 30 Профил на Quo Vadis?
    Quo Vadis?
    Рейтинг: 959 Неутрално

    До коментар [#28] от "samoedin":

    Ми колкото са им заплатите толкова и работата ....
    Обаче за разлика от ИТ-ата даначните инспектори има от къде да компенсират доходите ...

  31. 31 Профил на b_52_strato
    b_52_strato
    Рейтинг: 981 Неутрално

    До коментар [#20] от "К2":

    Твоя Ифандиев по комунистическо не беше само спортен журналист.

    Основното му занимание бе да доносничи на комунистическата милиция.

    Ако това не ти пречи - вярвай на антикомунизмите му...

    Забранявам на бокулизачи и комуняги да четат постингите ми!
  32. 32 Профил на samoedin
    samoedin
    Рейтинг: 3961 Весело

    До коментар [#6] от "Norman Granz":

    " Кой ще изгори, е въпросът. Кой тулуп на бюджетна заплата ще влезе в затвора? Кой ресорен министър ще подаде оставка? Кои IT "фирми" ще бъдат осъдени на десетки милиони, задето оставиха личните данни на 5 милиона души да се веят като пране на тел?"

    При тия лирични оправдания тип : (НАП) е създала условия за случилото се източване на данни от базите им, приоритизирайки стратегически функциите за електронно обслужване на гражданите за сметка на защита на личните им данни

    дали изобщо ще изгори някой, или май ще ги изкарат герои в полза на обществото и неговото " електронно обслужване" ? Силно ме съмнява ! Да му мислят от ТАД груп ! Там ще е концентриран огъня на цялата държавна машина ! На администрацията - по един медал за граброст и да си гледат отпуските, щото нищо кой знае какво не се е случило.....

  33. 33 Профил на Влакчо
    Влакчо
    Рейтинг: 392 Неутрално

    Ако беше Костов финансов министър никога,ама никога нямаше да има проблеми в НАП!
    Това го знае всеки демократ в България...

  34. 34 Профил на К2
    К2
    Рейтинг: 3105 Неутрално

    До коментар [#20] от "К2":Твоя Ифандиев по комунистическо не беше само спортен журналист.Основното му занимание бе да доносничи на комунистическата милиция.Ако това не ти пречи - вярвай на антикомунизмите му...
    —цитат от коментар 31 на b_52_strato


    Не моят. Той си е личност сам по себе си.
    Що не напишеш какво е доносничел и на кого.Или ни замеряш с клевети за да оправдаваш провала на това управление. Или ще обясниш защо беше толкова неудобен когато канеше пострадали от комунистическия режим та смени толкова ТВ

    SHADOWS of SOFIA
  35. 35 Профил на Voiko
    Voiko
    Рейтинг: 2523 Неутрално

    Безспорен факт е, че приходната агенция има вина за сравнително лесния достъп на недоброжелатели до информационните и масиви. Вярно, наложена е глоба на агенцията, но къде е персоналната отговорност?

  36. 36 Профил на Дедо Лойко
    Дедо Лойко
    Рейтинг: 1079 Неутрално

    Статията показва пълната и абсолютна некомпетентност на Венцислав Караджов и екипа, който е писал доклада.
    1. Тези хора си нямат абсолютно никакво понятие от Windiows server 2008 R2, но се опитват да дават компетентно мнение.
    —цитат от коментар 27 на mitko11


    щом в името пише 2008 треа да е 2008 годината я :D за незапознатите 2008 е от 2008 па 2008R2 е сървърната версия на седмицата и излиза след нея, края на 2009 или началото на 2010

    + и за всичко останало де

    Vernam Cipher
  37. 37 Профил на rossen4i4o
    rossen4i4o
    Рейтинг: 422 Неутрално

    абе , може данните от нап да са изтекли , но за сметка на това всички дебнещи , записващи , следящи програми работят , или сектор ; уше ; не е от тая държава или си има подплатени служители

  38. 38 Профил на ali_ibn_isa
    ali_ibn_isa
    Рейтинг: 900 Разстроено

    След такива дебилни обяснения няма как да има светлина в тунела.
    Да твърдиш, че онлайн услугите(то па едни услуги!) са прична за пробитата им сигурност е абсурдно!
    То е все едно да твърдиш, че наличието на гишета в банката е прична за обир?!
    Само заради подобно изказване въпросните тараби требе доживот да не помиришат държавна службица!
    Това показва наглост и некадърност.
    -----
    Пародия на държавност! Сбор от политически назначения. Любовници, шуреи и баджанаци!

  39. 39 Профил на Дедо Лойко
    Дедо Лойко
    Рейтинг: 1079 Неутрално

    голямо значение има работата скорпоративната антивирусна програма
    —цитат от коментар 27 на mitko11


    ау, ау, по-полечка с теа антивирусни Простотий

    Vernam Cipher
  40. 40 Профил на не на безразличието
    не на безразличието
    Рейтинг: 1301 Весело

    шефката на НАП с мнпгп 'мъка' даже не си прекъсна отпуската ..вие оставка искате...може да е по важна и от пацо ла тераса...

    'Българите сме малък но много прост народ.' М Вешим
  41. 41 Профил на b_52_strato
    b_52_strato
    Рейтинг: 981 Неутрално

    До коментар [#34] от "К2":

    Теб пуснаха ли те на меден месец в Англия?

    Обаче него го пуснаха!

    На българите комунишката държава не позволяваше да видят Трън, тоя спортен спецЯлист, обаче, стигна чак до Лондон!

    Забранявам на бокулизачи и комуняги да четат постингите ми!
  42. 42 Профил на не на безразличието
    не на безразличието
    Рейтинг: 1301 Неутрално

    До коментар [#21] от "bat_plamen":

    човек завършил харвард с две висшета работи като детски учител по френски(висше по френска филология) в цял свят такива ги взимат от дома им с коли....ама у нас шуробаджанащината е издигната в култ...даже и в частните фирми...

    'Българите сме малък но много прост народ.' М Вешим
  43. 43 Профил на султана глаушева
    султана глаушева
    Рейтинг: 3360 Неутрално

    Точно при онлайн услуги сигурността трябва да е завишена. Тези наопаки.

    Мърфи е оптимист!
  44. 44 Профил на не на безразличието
    не на безразличието
    Рейтинг: 1301 Неутрално

    най-много ме е яд когато видя накой прекалено интелигентен (без значение от пола) да работи като преводач ,в копирен център, учител и прочие а да ни дават акъл разни полу-идиоти...които в нормална среда и за арматуристи няма да стават понеже и там се иска акъл...

    'Българите сме малък но много прост народ.' М Вешим
  45. 45 Профил на Chung Kuo
    Chung Kuo
    Рейтинг: 1015 Неутрално

    На калпавата ракета - космоса й виновен. Едната държавна бухалка покрива другата - в края на краищата и двете са израстъци на едно и също корпулентно, калинково, безхаберно, разлагащо се тяло, наречено “държавна администрация”.

  46. 46 Профил на john_law
    john_law
    Рейтинг: 534 Неутрално

    До коментар [#27] от "mitko11":

    Колега (всъщност не знам дали сте такъв), мърляво е да вържеш една и съща база данни (различни инстанции, предполагам) към онлайн услуги и вътрешно ползване. Къде задълбахте към антивирусни (в случая нямат общо) и ОС. В казуса е все тая върху каква ОС е била базата и уеб сървъра. Някой се е добрал до админ потребител и е докопал всички инстанции и таблици - това е страшното - не е хакнал ОС, а потребител на базата.

  47. 47 Профил на john_law
    john_law
    Рейтинг: 534 Неутрално

    До коментар [#36] от "Дедо Лойко":

    Факт, ако не ме лъже паметта 2008R2 излезе към 2010. Ама какво общо има ОС с пробива на базата ? Върху каквото и да я бяха търкаляли тази база, при това конфигуриране, ефекта щеше да е същият.

  48. 48 Профил на Peni Nikol
    Peni Nikol
    Рейтинг: 9174 Неутрално

    Тоя защо още е шеф на НАП, защо не го уволнят.

  49. 49 Профил на Храбър
    Храбър
    Рейтинг: 4412 Гневно

    Абе пак хората са виновни.
    Те в НАП заради хората бе.
    От зор да ги облужат по-добре.
    Ай сиктир бе!
    Онази за да ни обслужи по-добре ли не пожела да си прекъсне отпуската!
    Де дърво неокастрено де!

    "Безнаказаността на похищенията и произволното разполагане с притежанията на повалените стари имуществени прослойки след 9-ти септември има като пряко следствие създадената и поддържана политическа обстановка за корупция"
  50. 50 Профил на One Hour
    One Hour
    Рейтинг: 1237 Неутрално

    Тук-там се хваща идеята, че системата е гола вода с данни в насипно състояние, къде ли не.

    Това обаче "изместване в полза на електронните услуги за потребителите за сметка на защитата" е витиевато усукване около истината -некадърност и непукизъм на най-висше ниво от 2008.
    Може ли сметката за "скърпването" на системата дето е плащана редовно 10г?

  51. 51 Профил на Таралеж
    Таралеж
    Рейтинг: 2514 Неутрално

    В страната на шуро-баджинащината и връзкарството е така, няма как държавен чиновник да е компетентен и/или да си върши работата. Куриозното е че същите тия човечета които се уреждат на държавна служба или уреждат някого на държавната хранилка също страдат от неможещи и неискащи чиновници. Омагьосан кръг, в който всички се лъжете, и всички страдате.

  52. 52 Профил на Captain Shakespeare
    Captain Shakespeare
    Рейтинг: 824 Неутрално

    До коментар [#23] от "Роси":

    Не пиши глупости!

    Правильно говорил Гоголь "В России две беды — дураки и дороги" причём первых ну очень много!!
  53. 53 Профил на атанас
    атанас
    Рейтинг: 982 Неутрално

    До коментар [#27] от "mitko11":

    Някак си съвсем грешно и ти, и комисията, сте описали проблемите. СУБД, ОС и антивирус, както всъщност и firewall, системи за следене на трафик, администриране на мрежите, риск анализ и всичко останало са важни, но решават 0% от проблема на НАП.

    Когато услугите са ок, вече всичко друго за сигурността е важно, за да е 99% непробиваемо, а и да се анализира и предвижда какво още да се прави по защитата. Но и стар ОС от 2001ва с 0 ъпдейти и проста сапунерка за 30лв ще дадат 100% защита при добре разписана уеб услуга. Отваряш на сапунерката само порт 80 да сочи към сървъра на услугата на 80, всичко друго режеш, и... Ако няма опция за injection в кода, какво ще видят отвън? Как ще изтеглят файл?

    Вече малко по-подробно... Пробивът е в софтуера на системата за услугите. Всички видове защити пазят да няма достъп до друго освен услугата. Тя самата не работи правилно, а няма как да бъде и тя затворена за достъп(все пак е онлайн). Дупка в нея значи 0 защита, каквото и друго да се прави. Важният въпрос е кой и защо е писал софтуера с дупки, които няма фреймуърк от 10г насам да не ги оправя автоматично, а всеки дев знае и на ниво език с 2 метода да ги реши( sql injection иска просто sprintf, escape метод или prepared statement вместо чисто лепене на текст за изготвяне на заявката). Защо никой не поставя изисквания да няма дупки и не тества системите е важното.

    Каквито и софтуери за защита, хардуери, ОСи, ъпдейти и администратори-богове за по 100000 на месец да сложат, пак системите ще са тотално пробити. Калинките не са само в администрацията, а и по фирми като ИО и подобни, които са разработчици. Не че в частна фирма назначават лесно да имаш работа за 500лв. Просто искат с евтини хора за минимум заплата да мине проект, а няма контрол какво излиза от "специалистите". Одит лог кой какво пипа в базата не се прави в базата, а в услугата. На ниво база какво да следят? Терабайти дъмпове на sql заявки, дето с ORM може да са няколко хиляди на request? Просто базата се прави с достъп само от ip на машината, услугата пише правилен и лесен за анализ лог спрямо самата услуга(въвел документ Х, видял справка У...). Може и лесно да има ниво машината за web да вика апи, да не пипа сама базата, това апи да е затворено отвън освен за нея, то да следи достъпа, външно достъпната машина да няма достъп до нищо друго в мрежата...

    Иначе изводът за стария ОС кърти мивки. Реално ъпдейти много от гигантите банки, хостинги и т.н. не правят с години на машини(каквото работи що да се чупи?). Просто се затваря достъп да има само до услугата и нейния порт отвън, тя само има достъп до базата и т.н. Но се иска услугата да е добре написана. Реално постоянен ъпдейт най-често значи чупения от промени на средата, пренастройвания и пренаписвания и от там- потенциални проблеми нататък. Затова и нещо работещо не е добре да се пипа освен в краен случай. А и ОСът е още в подръжка до 2020та...

  54. 54 Профил на атанас
    атанас
    Рейтинг: 982 Неутрално

    Сетих се да предложа на експертите по сигурност следния екперимент. Слагат точно 2 сапунерки от най-евтините и 2 сървъра. Отвън отварят порт за http/https само и на двата рутера. Слагат ги каскадно и на първата машина правят проста форма на какъвто и да е език, 1 справка с филтър. Тя вика на другата през втория рутер апи, което достъпва база. В кода на втората най-просто и без фреймуърк даже примерно на php слагат нещо като

    $sql= sprintf('select * from tbl where col1=%d and col2=%s',
    $userId,
    mysql_real_escape_string($filter)
    );
    $res= mysql_query($sql);

    Ако това чудо с 0 фреймуърк, код за защити, библиотеки, файъруоли, антивирусни, ъпдейти, администриране и т.н. някой успее да го пробие от интернет(достъп през първия рутер), ще има каса уиски. А решението струва тъкмо 0 спрямо всички разходи, които някой би направил за киберсигурност и решения за нея.

    Разбира се, примерът е опростен много, просто илюстрира проблема като цяло. В реална среда софтуерът си изисква куп проверки за потребител и достъпи, контроли и т.н. Но тук говорим за какъвто и да е достъп освен до ясно зададени форми и справки с техните филтри дали ще е наличен и дали някой ще може да направи каквото и да е с конзола, достъп до база и теглене от нея, теглене на файлове, заразяване с вируси, достъп до мрежови ресурси и т.н.

  55. 55 Профил на arcanum
    arcanum
    Рейтинг: 2829 Неутрално

    Министър оставка няма да подаде точно преди местните избори, че ГЕРБ се клати като сламка. Те напуснаха едно 30-40%, но толкова си могат. Ще шитнат някой клетник-калинка

  56. 56 Профил на rincewind
    rincewind
    Рейтинг: 946 Неутрално

    Безхаберие. То и няма как да е иначе. Като дадеш някой друг милион на м$ и някоя фирма и си мислиш, че си ти - така се получава!

  57. 57 Профил на rincewind
    rincewind
    Рейтинг: 946 Неутрално

    До коментар [#54] от "атанас":

    +++++++
    Наскоро ми се наложи да докосвам подобно нещо. Пак за ДА. Безхаберници!

  58. 58 Профил на атанас
    атанас
    Рейтинг: 982 Неутрално

    До коментар [#57] от "rincewind":

    Не знам дали съм бил ясен, че описаното е всъщност елемент от архитектура на мрежа със системите й(т.е. максимално опростена част с максимално улеснена подръжка), който е непробиваем, защото просто:

    - е прост и неизискващ нищо друго, за да работи, а е и като зъбчатка в голям механизъм- лесно се снажда

    - е непробиваем като защита- киберсигурността гони ограничаване на достъпа до всичко освен нужното за потребителя. Тук извън интерфейса нищо не е достъпно.

    - не изисква нищо допълнително за защита- дава 100% защита откъм мрежа, а за другото самото приложение се грижи

    - стъпката с АПИ е просто презастраховане- машината с нет няма достъп грам до база, не знае пароли, няма мрежа за фаълове и т.н., а вторият рутер би искал заявките да са от нея/мрежата й и би трябвало физическо присъствие на човек в мрежата на първия сървър или на него самия, за да пусне даже апи заявки

    - проста тактика за escape на sql предпазва от инжекции и т.н. Тук се показва защо и как сигурно написаната услуга става непробиваема. Иди при параметър, че се лепи число(%d) сложи текст за инжекция, примерно "' and true". Ще ти стане 0 и си дотам. Escape на стринга прави просто да се търси текст с кавичката от инжекцията, защото тя става \' .

    - ако вътрешни потребители ползват същата база и пак са с апи и 0 достъп в мрежата му до сървър за база данни и т.н., то пак кой ще може да се логне от работна станция на сървъра и да точи? Ама що да не е сетъп всяко рс да работи директно с базата често с админ акаунт, както масово се прави? Сега ще мислим ние подмрежи и услуги и как да ги отделяме...

    - всичко друго в секюрити точно при този модул от система е ненужно- парола "123" няма къде да може да я въведеш, та да я правиш сигурна, вирус как да мине, как да теглиш файл без съответния протокол и т.н.

    Ако услугата не прави escape, а директно лепи филтрите, то ясно- инжекцията става и поне таблицата ще се изтегли цялата, а не само позволените данни. Но пусто я има...

    Та... Ако не харчеха сляпо само за ъпдейти, антивируси, софтуери за сигурност, консултации на експерти, семинари и т.н., а се просто имаха идея какво се отваря(не всичко да зее навън) от мрежата и софтуерът на услугите да е изпипан, то щеше всичко да е ок. И с 50лв става сигурно, а не с милиони за софтуери, които няма да затворят грам дупките. Всичко е до хора, които знаят и искат да направят нещата читаво. Другото е лаладжийство на "знаещи" и усвояване на средства. Инвестициите в системи за сигурност са важни. Важно е да ВСЯКА ЧАСТ ОТ ИНФРАСТРУКТУРАТА да е защитена, особено самите софтуери да са написани без пробиви.

  59. 59 Профил на john_law
    john_law
    Рейтинг: 534 Неутрално

    До коментар [#58] от "атанас":

    Съгласен съм с повечето от написаното, с уточнението, че "сапунерките" няма да издържат на натоварването, но там решения бол. Администрацията няма за цел да прави нещата просто и ефективни - трябва да се пишат доклади, процедури и да се ходи по скъпи семинари. Също така трябва да се харчат (усвояват) бюджети и комисионни. Не се гони ефективност, защото ако спестят догодина ще им орежат бюджета. Друго си е да напазаруваме Cisco за стотици хиляди и да ги сложим в мазето или пуснем ей така да има, без много мисъл. Че що да не сложим Cisco switch за 10 000 лв, нищо че може да минем с друг за няма и 1000 лв. От 1000 лв няма далавера. Същото се случва и по големи компании с големи бюджети - принципа не е ефективност, а усвояване. С очите си съм виждал как се слага Cisco switch за 8000 лв и се ползва като прост такъв за 500 лв. Ама се обяснява, че такава е политиката и другите не са сигурни.

  60. 60 Профил на атанас
    атанас
    Рейтинг: 982 Неутрално

    До коментар [#59] от "john_law":

    Това за натоварването е ясно. Все пак описвам опростено идеалния случай в киберсигурността, към който всяко друго решение се стреми. И ясно се вижда, че и при 100% непробиваема система с милиони за софтуер и супер администратори дупка в софтуера на услугатахе достатъчна защитата да стане 0. Това е целта на упражнението. Всички го удариха на идеи за консултации, хардуер, софтуер и т.н. ч, но никой не пита важните въпроси за услугата за възстановяване на ДДС, която е пробита:
    - кой и защо я е поръчал без изискване да е написана сигурна, което се вижда колко е елементарно за sql injection в примера(а беше хакната с такъв)
    - защо фирмата-разработчик прави нещата с 0 качествен контрол и 0 идея как се пише качествено код(sql injection от началото на интернет е известен и навсякъде се описва да се гледа за него и как да се пише кода)
    - кой как и защо е приел системата и не я е тествал явно, а е подписал формално протокол, че работи всичко. Тук е хлъзгаво- комисията може да одобрява само по задание на поръчката и изготвена за нея техническа спецификация. А то още в поръчката сигурно няма такива точки.
    - 7 години с пробив кой е администрирал и подържал. Защо не е видян пробивът от него, а е бил известен навън? Ако е знаел, защо си е траел?
    - одити на сигурността има ли правени? Ако няма, защо? Ако има, защо не са констатирали проблем и не са изискали оправяне?
    - фирмата-изпълнител ще връне ли пари за некачествено изпълнение, ще влезе ли в черен списък на изпълнители, за да не дъни нови поръчки?
    - ще има ли правила и процедури поръчките да изискват сигурност и да се тества тя от тук нататък поне?
    - ще има ли наказани за умишлено неспазване на задълженията си чиновници? Или поне уволнени за некомпетентност по всички нива, които управляват процесите и звената в НАП?

    Тия въпроси ми се ще да почнат хората да си ги задават. Примерът ми показва просто колко безхаберно е всичко досега и защо новите идеи са само поредно харчене на пари. И да купят супер софтуери за милиард, ще стигнат под нивото на затварянето на всичко освен порт 80 като сигурност, а частта оправяне на боклука софтуер за услугите ще я пропуснат и пак ще си е пробито отвсякъде. Т.е. пари за вятър и да отчетем, че взимаме мерки, само.





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK