Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години

Скрийншот от разговора с Андрю Дженкинсън.

© Дневник

Скрийншот от разговора с Андрю Дженкинсън.



След фалстарта с онлайн преброяването на населението в България се свързахме с британския експерт по киберсигурност Андрю Дженкинсън - изпълнителен директор на Cybersec Innovation Partners - с молба да сподели какво вижда за състоянието на сайтовете на Националния статистически институт. Тревожните му заключения, които той сподели с нас в края на миналата седмица, бяха потвърдени във вторник на парламентарната комисия по дигитализация в София.


Според Божидар Божанов, който е присъствал на заседанието, потвърдено е, че е имало DDoS атака и НСИ имат доказателства от своя доставчик. (Официалната позиция на комисията може да прочетете в прикачения към статията документ.) Освен това НСИ не са преценили, че останалата част от инфраструктурата им е вектор на атака и не са я защитили. Тази инфраструктурата е част от държавния облак, но изглежда там DDoS защитата не е сработила и след преместването на друга инфраструктура системата не прекъсва. Инцидентът е потвърдил слабата подготовка на национално ниво и е само пример от обща тендецния, допълва Божанов.


Някой в България просто се е занимавал с фокуси, вместо да свърши работа, бе краткият коментар на Дженкисън снощи за изводите в парламента.




Г-н Дженкинсън, разкажете първо за вашата компания. С какво се занимавате?


- Започнахме преди около 3 години и половина с цел да анализираме цялостната публична инфраструктура, в която се идентифицират устройствата и потребителите. Казано по-просто, когато споделяте информация, тя не се разпръсква навсякъде и към всички, а се движи от едни човек към друг, от една компания до друга.


Преди 20-ина години интернет бе превърнат в оръжие, компаниите не разбираха сигурността, къде и как се свързват в интернет, към сайт, сървър, адрес на електронна поща... Това е мястото, където някой се възползва от тази слабост и ние опитваме да разкриваме и посочваме тези слаби места.


Сайтът на преброяването на населението в България изглеждаше блокиран от атака за отказ на достъп. Колко сложно може да е организирането на една такава атака? Как и кога би трябвало ИТ специалистите да се подготвят за защита?


- В момента се случват доста интересни неща, които най-вероятно не са ви известни. Един от най-големите, ако не и най-големият, сървър в света - в Русия за нуждите на техния доставчик Яндекс - е обект на такава мощна атака. Изпращат им 22 милиона запитвани за достъп в секунда, а това наистина е мащабна атака.

Ще опитам да обясня простичко какво означава това. Представете си, че карате из вашия град и попадате на задръстване, дълго 10 км - трафик, който няма как да заобиколите. Това са DDoS атаките в света на компютрите - няма как да пробиеш до сайта заради вече натрупаният на конкретно място трафик.


Въпросът е как да не се позволява такава ситуация, свързана с незащитен достъп до мрежа, типично минаващ през интернет сайт или сървър. Атакуващите могат да го превземат чрез DDoS или Command and control атака и реално да манипулират всяко от компрометираните устройства. Поемат контрол над компютър, телефон и т.н., инсталират зловреден софтуер в него и започват да го използват за непрекъснато изпращане на запитвания за достъп. Това е моментът, в който системата се претоварва и не може да отговаря на запитванията за достъп, включително защото не разпознава дали те са автентични или са атака. Бройката им е огромна.


Бихте ли посочили конкретен пример?


- Миналата година помогнахме на ФБР в много сходна ситуация. Системата за гласуване на САЩ бе блокирана чрез DNS (атака за отказ на услуга) и персоналната идентификационна информация на 300 милиона американци можеше потенциално да бъде изпратена в Корея. Никой не знаеше за това.


Има различни термини за определени атаки и общото между тях е, че хакерите се опитват да получат достъп. А такъв достъп става през незащитени сайтове и сървъри.


Защитата обаче не започва седмица преди някой да атакува, нали?


- Става дума за т.нар. киберхигиена. На 7 септември 2021 г. проверихме сайтовете на статистическия ви институт и на преброяването и установихме, че техният cyber rated index е F, т.е. много лош. Каквото и да се е случило след това - чувам, че се е вдигнал шум около цялата история - на 9 септември установихме, че са положени големи усилия за защита на сайта на националната статистика и тя се е подобрила от F на С. Все още не е перфектното състояние, но е стъпка в правилната посока. На 10 септември прегледах историята на сигурността на сайта на НСИ и този на преброяването. Резултатът е, че и двата сайта са поддържали ниво от F през последните години.


Поправянето на пропуските не може да се навакса за една седмица и да си кажеш, че всичко ще е ОК.



Може да имате заложен зловреден софтуер преди години, да кажем, преди 5 години, подготвен точно за събитие като сегашното, да манипулират една компрометирана система, да съберат данни, да ги извлекат. И заложилите това да си кажат "Никой не знаеше, че сме вътре, защото никой не проверяваше".

Не може да си кажеш, че си работил много по защитата в продължение на 6 месеца и вече си спокоен. В света на технологиите, ако пренебрегваш сигурността на своите мрежи, сайтове и сървъри, на първо място очаквай сериозни проблеми. Трябва непрекъснато да се проверява какво става там, да се "чисти" от неща, способни да причинят щети, а те може да са стояли там в изчакване години и години наред.


Организаторите на преброяването обясняват, че персоналните данни се разделят от конкретната информация, така че да не може да се свързва тя с конкретно лице и адрес в България. Наистина ли е възможно подобно "анонимизиране"? Колко важно е това да се прави в подходящия момент и данните да се държат на подходящото място?


- Много важен въпрос. За съжаление, на базата на установеното не бих могъл, на първо място, да имам професионално доверие, че която и да е част от тази информация няма да бъде компрометирана.


Второ, вероятно знаете, че просто като влезете в интернет сайт неговите "бисквитки" събират информация от вас. Той споделя информация с други сайтове, с които също събира данни. Платили сте сметката си за вода на един сайт, а на друг - тази за телефон, те си споделят информация за вашия адрес, кой сте, кога сте роден, номера на кредитната ви карта...


Достъчно е само един от тези сайтове да не е защитен, за да компометира цялата верига.



Това, което видях за 3 дни, ме кара да не се доверявам на това споделяне на информация с други източници.


Помните фразата, която се роди преди десетина години в Силициевата долина - "Данните са новото злато". Те имат стойност, стока са. Хората я продават и купуват. На който от споменатите сайтове да отида сега, сигурно има "бисквитки" от "Гугъл", "Майкрософт"... Няма никакво значение, че си платил водата си там, въпросът е, че те събират твоите данни без съгласието ти. А и обикновено хората не изчитат дългите описания при запитване за позволение и натискат бутона "Съгласен съм".


Затова отговорността за подобно споделяне без съгласие от един защитен сайт пада върху собственика на му. Вероятно засилената активност на сайта на преброяването и НСИ след 7 септември показва, че те възприемат ситуацията съвсем сериозно. Но дори да обясняват за анонимизиране на личните данни, това вероятно не се случва реално, защото сайтът е бил компрометиран преди години. Това са факти, които повечето хора не желаят да чуват.


Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години


И какво е решението, тогава? Да се върнем към аналоговите времена? Да попълваме хартиени въпросници? Нали събраното от тях после някой пак ще въведе в системата?


- В САЩ обмисляха завръщане към хартиените бюлетини за гласуване на избори. Всъщност хората трябва да се върнат към базови неща - непрекъснато поддържане на киберхигиена и сигурност.


Аз лично бих препоръчал да се направи един експеримент - няма нужда да го разгласявате предварително - в по-малък мащаб. Примерно, да сравните гласуване в два града, едното електронно, другото с бюлетини. Правителството ви би могло да провери колко аналогова и цифрова информация е "издърпана" и да сравни резултатите. За да имате резултат в контролирана среда.


Толкова скъпа ли е киберсигурността, че да си мислим, че е само за богатите държави и общества, които могат да си я позволят?


- Не, не е скъпо. Говорим по-скоро за недостатъчно образованост, а не за недостиг на ресурси. Ще ви дам един пример.


Между 2014 и 2018 година всички големи доставчици на интернет се събраха и заявиха още преди 7 години, че наблюдават увеличение на кибератаките и използване слабите места на сайтовете за промъкване до данните на компаниите. Затова решиха да сменят протокола за пренос на хипертекст (Hypertext Transfer Protocol, HTTP) на HTTPS, в което S означава "сигурен". И това бе направено преди 3 години.


Проблемът е, че много компании и институции не направиха тази промяна.


Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години

© Reuters


А какво установихте при бързата проверка на сайтовете на българския НСИ и преброяването?


- Тази седмица проверихме и видяхме, че и НСИ се е забавил (бел.ред. - в момента сайтовете на статистическия институт и на преброяването се изписват със сигурен протокол https://nsi.bg/bg и https://census2021.bg). При изписването на сайтовете може да виждате HTTPS, но заради неправилно конфигуриране да няма сигурност - или защото пренасочването не е от HTTP към HTTPS, или защото отпраща към друг HTTP, т.е. някой може като един вид "посредник" да си изтегли информация, преди тя да е достигнала крайния HTTPS.


Това е незащитена позиция, резултат от лоши практики или неправилно конфигуриране.


Тази сутрин (петък, 10 септември - бел.ред.) видях как сайтът на преброяването - макар изписването да е едно и също - премина от несигурен в сигурен протокол. Според мен това означава, че между 7 и 9 септември хората в България са осъзнали грешките си и веднага са се заели с поправянето им. Ако трябва да го кажа доста откровено, някой е открил [проблема] твърде късно, но в момента се е задействал.


Сайтът за преброяването например беше недостъпен и несигурен, после стана сигурен, но все още беше недостъпен, т.е. искам да кажа, че някой работи по него непрекъснато. И имайте предвид, че НСИ и преброяването имат десетки подсайтове, домейни, субдомейни и т.н.


Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години


Много ми се иска този разговор да не се превръща в плашене на хората, че данните им не са защитени и те да се откажат от участие в преброяването. Има ли начин да ги успокоим?


- Разбирам, че българите са притеснени за личните си данни, но от скромното ми наблюдение на въпросните български сайтове твърдя, че те са незащитени от години. Някой в България трябва да понесе отговорност за това.

Нужно е постоянство. Ако отидете фитнес веднъж, нали след това не казвате "О, вече ъ във форма до края на живота си"? Трябва да се върнете още и още. Това е процес.


За ситуацията със сайтовете на статистиката и преброяването в България има два отговора - политически коректен и отразяващият реалността. Първият е, че се работи по въпроса и ще има повече сигурност. Вторият е, че данните ви не са защитени. Съжалявам, но е така.


На какво основание правите всички тревожни твърдения досега? Какво приложихте?


- Преди около 15 години група хора решиха, че заради умножаващите се кибератаки трябва да се помогне на организациите и системните инженери да правят двойна проверка на свързаността на сайтовете им с интернет. Ще го опиша така - представете си интернет като тротоар, а сайтовете като входове на сгради. Така се появи Open source intelligence (OSI) - решение, свободно достъпно за всички (за определени дейности) и разработено за компаниите, за да могат да са сигурни, че са защитени.


Прилаганата от нас Whitethorn Shield "улавя" всички OSI технологии от всички интернет доставчици по света в една амалгама така, че да се проверяват не само кодирането на информацията, сертификатите и срока на тяхната годност. Ние преглеждаме конфигурирането, "бисквитките", способностите на кръстосаните скриптове (Cross-Site Scripting)... Оглеждаме всичко.


Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години

© Дневник


Как получавате потвърждение за установеното?


- Да вземем OWASP, описващи 10-те водещи слабости (те непрекъснато се променят) или HackerOne - друга организация с глобален авторитет. Нашата оценка, рейтингът, който даваме, е директно свързан с тях. Миналата година помогнахме на CWA - друга поддържаща рейтинги организация, подпомагана и частично финансирана от Министерството за вътрешна сигурност на САЩ - когато се усъмниха в сигурността на сайтовете, които сертифицират.


Това са лидери в тази сфера и с нашите решения помагаме на широк кръг, включително правителствени служби, на министерството на финансите на САЩ, на вътрешната сигурност, на ООН (когато нeотдавна имаха пробив) и здравни центрове.

Ключовото е, че информацията, която им подаваме, не е субективна, не е нечие лично мнение. Тя е неоспорим факт. Затова силната позиция е да вземеш такъв факт и да потърсиш решение на това, което е установено в него. Тази информация показва определени действия за предприемане вместо просто да си седиш мълчеливо, да страдаш и да си незащитен.


OSI техтологията може да се използва и от престъпни хакери за откриване на слабо защитени организации. И тъжната истина е, че те справят по-добре от хората, които ни защитават. Мотивацията им е силна и няма последици за престъпленията им, никой не влиза в затвора.

Тази година заради киберпрестъпления ще бъдат изгубени 6 трилиона долара. Представяте ли си - ако говорехме за БВП, това ще е третата по големина икономика в света.


И какво трябва да се направи? Подозирате ли и роля на корупцията?


- Това, което би трябвало агенциите за защита да правят, е да обясняват, че организирането на една солидна кибер атака струва около 5 млн. долара, а добрата защита изисква 100 хиляди долара годишно. Но като чуят такава сума, почти всички си казват, че по-скоро няма да ги вложат и ще поемат риска.


Обслужвахме компания за киберзастраховки, която сама не знаеше собственото си състояние. След проверката им дадохме препоръки, не ги изпълниха, останаха незащитени и ги пробиха. В това няма логика. Застрахователи като CNA и AXA бяха успешно атакувани през последните месеци.


Налице е неразбиране за това как всъщност изглежда добрата защита.



Да не говорим, че има хора, които изкарват добри пари като поддържат ситуации да се търси такава сигурност с решения, често включващи корупция.

В момента разследвам случай в Ирландия, където през март имаше голям пробив в базите данни на здравната система HSE. Изпълнителният директор на тази институция Пол Рийд заяви, че щетите възлизат на най-малко 100 милиона евро. Общата цена ще стигне 500 милиона евро - с такава сума може да се плати на доста хора да си мълчат, ако допуснем, че не става дума за небрежност и безотговорност, а за съучастие. Не знам кое ще се окаже накрая, но това просто трябва да се прекрати. Иначе всички ще останем без пари, компании ще рухнат, правителства ще падат, ако скоро не сторим нещо.


Проблемът очевидно е световен и случващото се в България е само едно от местата?


- Бързо наближаваме ситуация, в която няма да имаме контрол над цифровите комуникации. Вижте влиянието от определени държави, на гиганти като "Фейсбук", "Инстаграм" и "Туитър", манипулирането на тези сайтове, фалшивите профили в тях, фалшивите новини...


Тази информация би трябвало да може да се балансира. Трябва да си върнем част от контрола и то в голям мащаб, а не да опитваме да защитим тясна група хора, които ужасно забогатяха от тези манипулации. Няма да посочвам държави, но някои от тях създадоха мултимилиардери, като им позволиха да манипулират информацията, която се върти около нас. Това трябва да спре.

Ако се върнем в самото начало, всичко започна след 11 септември преди 20 години. В разузнавателната общност на САЩ бяха изненадани, докато дремят. Тогава с основателни причини се реши да бъде контролирано дигиталното пространство в името на сигурността и предотвратяването на нападения. Проблемът е, че при администрацията на Джордж У. Буш това се разрасна до събирането на комуникации и данни за всеки мъж, жена и дете на планетата. Стигна се дотам, че продуктите на швейцарски компании, продаващи криптиращи устройства на 120 правителства, са били с тайно вградени възможности за следене от ЦРУ.


По-важното е да се разбере защо се случи това. Основните причини са две. От една страна, някой иска да влияе и да определя кой побеждава на избори - може да са хора от различни кръгове, печелещи държавни награди, поръчки и търгове. От друга, личните данни на всички избиратели се превръща в стока и има своята цена. С това се търгува в невидимата част от интернет.


В САЩ днес правителството плаща милиони долари на хора, които реално не съществуват, но са създадени с открадната и манипулирана информация. Или в други части на света има случаи на кражба на самоличността на починали хора, за да продължи да се работи от тяхно име, да се взимат кредити и т.н. Това е голям бизнес и той се случва, защото компаниите не защитават достатъчно данните си.

Ключови думи към статията:

Коментари (10)
  1. Подредба: Сортирай
  1. 1 Профил на julius
    julius
    Рейтинг: 351 Весело

    Те всички чиновници са фокусници бе, човек! :))
    По цял ден се фокусират в пасианси, фейсчета...
    Само не и в това, което трябва да свършат.

  2. 2 Профил на Аз съм българче обичам наште планини зелени
    Аз съм българче обичам наште планини зелени
    Рейтинг: 2415 Неутрално

    ,,Инцидентът е потвърдил слабата подготовка на национално ниво и е само пример от обща тендецния, допълва Божанов.”

    Има ли един институт, една система и един регистър който да ни е в ред?
    Изобщо не се знае кой за какво си получава заплатата..
    Ейййййработите с лични данни бе серсеми

  3. 3 Профил на konservator.bg
    konservator.bg
    Рейтинг: 1218 Неутрално

    В България всеки, който краде иска е скрит за "някой", сиреч никой и така да си харчи крадените от нас пари вече както НЯКОЙ!

  4. 4 Профил на Wornoxmaniak vs Кирчо и Кокорчо
    Wornoxmaniak vs Кирчо и Кокорчо
    Рейтинг: 1141 Неутрално

    Радев е начело на държавата и всичко е в разпад и разруха. Като ви дойдат сметките за ноември и декември ще виете от злоба всичките протестъри краде го подкрепяхте.

    Жалка история.

    Wornoxmaniak Най-подискан, репресиран и цензуриран коментатор във форума на Дневник за всички времена. Навсякъде гонен, всякъде приет.
  5. 5 Профил на antikvarno
    antikvarno
    Рейтинг: 702 Гневно

    Не фокусници, а каклинки!!!

  6. 6 Профил на antikvarno
    antikvarno
    Рейтинг: 702 Гневно

    Радев е начело на държавата и всичко е в разпад и разруха. Като ви дойдат сметките за ноември и декември ще виете от злоба всичките протестъри краде го подкрепяхте.Жалка история.
    —цитат от коментар 4 на Wornoxmaniak


    Жалък си ти, че пишеш за стотонки....

  7. 7 Профил на 001
    001
    Рейтинг: 395 Весело

    А този сподели ли , че през 2010 година в България са се преброили електронно 42% , а през 2021 досега са се преброли 8% , а срока за преброяване изтича в неделя.

  8. 8 Профил на Никола Николов
    Никола Николов
    Рейтинг: 501 Неутрално
  9. 9 Профил на Lilith
    Lilith
    Рейтинг: 1423 Любопитно

    "Андрю Дженкинсън: Сигурността на онлайн преброяването се подобрява, но са пропуснати години..."

    Интересно, ние никакви експерти по темата ли нямаме в тази държава?
    Убедена съм, че господинът е ерудит по темата, но все си мислех, че имаме и достатъчно грамотни българи, които да могат да дадат мнение.

  10. 10 Профил на pet_fire
    pet_fire
    Рейтинг: 5647 Неутрално

    "Някой в България просто се е занимавал с фокуси, вместо да свърши работа,..."

    По указание на ББ





За да коментирате, е нужно да влезете в профила си или да се регистрирате.
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK