С Божо, или както е известен през последните няколко месеца – Божидар Божанов – министър на електронното управление, се познаваме още от времето, в което бе cool да имаш блог, а неговият https://blog.bozho.net/ бе един от най-смислените в българското уеб пространство. Имам подозрение, че сме се срещали и в „Супата“ – онова култово място от 90-те, в което се събираха програмистите и mIRC общността в София. Срещали сме се и на Open Fest събитията, по протести, докато събираше подписи на „Славейков“, бил е гост и на подкаста ни HiCast. Днес се срещаме в кабинета му на „Гурко“ 6, където той, вече в ролята на министър, е готов да отговори на въпросите ми за киберсигурността на България и докъде сме стигнали с електронното управление. Виждала съм снимки на политици, които след няколко години в офиса изглеждат състарени, и се опасявам, че турбулентното време, в което встъпи в длъжност, може да му се е отразило. Вместо това Божо ме посреща с усмивка и с онзи свеж младежки вид, който помня, и аз искрено се надявам, че до края на мандата нищо няма да го помрачи.
Да започнем от самото начало ‒ каква е дефиницията за киберсигурност на една държава?
Ако погледнем формалните дефиниции, киберсигурността на една държава покрива информационната сигурност на администрацията, киберотбраната в случай на война, както и сигурността на стратегическите и критичните обекти на държавата. С една дума – да не ни „хакнат“. Какво стои зад това обаче, е сериозна, дългогодишна работа и насочена политика. Министерството на електронното управление отговаря за мрежовата и информационна сигурност на администрацията. За останалите неща отговарят други институции – ДАНС, Министерство на отбраната и т.н.
Какви са политиките Ви в тази посока?
В киберпространството е сложно. Има много технология върху технология и да се защитим от всеки възможен пробив е всъщност диспропорционално усилие. Винаги е по-лесно на атакуващите, отколкото на защитаващите се по отношение на киберсигурността. И затова всъщност политиката на киберсигурност е значително намаляване на риска от това някоя важна система или дори второстепенна система да бъде пробита. „Пробита“ значи да бъдат неправомерно изтеглени данни или да бъдат подменени, без никой да разбере. Или данните направо да липсват – тоест държавата да разчита на тях, а да ги няма или да бъдат унищожени. Нашата цел е да се защитим от тези възможни сценарии. Постигаме го чрез инструменти и процеси. Ясно е какви са процесите: има международни стандарти за това, директиви, наша нормативна уредба. Инструментите също са ясни – на пазара има достатъчно продукти, които са стандартни: защитни стени (Firewall), защита за имейли (Email Security Gateway), системи за мониторинг и откриване на заплахи (Point Detection and Response, Security Information Event Management). Те адресират различни аспекти на киберсигурността и са инструменти, които всяка голяма организация притежава. В държавната администрация обаче проблемът е наличието на хора, които да знаят как да използват и да прилагат тези инструменти и процеси.
Значи имате стандартния проблем в бранша ‒ че няма хора?
Точно така. Няма подготвени кадри дори за частния сектор в тази сфера – тенденция, която се наблюдава не само в България. По целия свят това е един от секторите, в които има най-голям недостиг на хора. В държавната администрация е аналогично и дори по-тежко.
Как смятате да се справите с тази липса на квалифицирани професионалисти и ниските заплати в държавната администрация?
Има два аспекта при решаването на този проблем. Единият е самите заплати в администрацията (за конкретни длъжности, за които знаем, че са високоплатени на пазара в Класификатора на длъжности в администрацията) да дадем възможност за максимални нива на заплащане. Максималните нива на заплащане в администрацията не са високи спрямо пазарните. Но и няма как някой държавен служител да има по-висока заплата от премиера. Само че премиерът взема колкото програмист с 4 години опит (данните са публични – бел. ред.). Така че в администрацията трудно могат да се дават заплати за реално техническите специалисти. Затова подходът, който смятаме да приложим, е да използваме „Информационно обслужване“ като държавно дружество, което обаче не е ограничено от Класификатора на длъжности в администрацията – то не е администрация, а е ИТ фирма. Като ИТ фирма в „Информационно обслужване“ могат да бъдат давани пазарни заплати. Разчитаме на техния капацитет, който трябва да доразвием, за да може да бъде обслужвана администрацията. Трябва да бъде прозрачно, трябва да бъде съобразено с капацитета им, трябва и да е на незавишени цени – т.е. да извършва услугите почти по себестойност. Разбира се, това ще изисква законодателно изменение.
Не знам дали влиза в ресора на Вашето министерство, но искам да Ви попитам за аутсорсинг компаниите, които работят тук, в България. Предвиждате ли някакви политики относно тях?
За щастие технологичният сектор няма нужда от подкрепа от държавата. По-скоро има нужда държавата да не му пречи. От тази гледна точка не смятаме да се опитваме да помагаме на ИТ сектора по какъвто и да било друг начин. Освен с осигуряване на повече талант, който те да използват и за премахване на някои бюрократични пречки, които има пред тях. Това е задължението на държавата – да осигури хора, които да захранят частния сектор и да се премахне бюрокрацията. Относно финансиране на стартъпи и местни продуктови компании – това е политика на министър Лорер, който управлява инвестициите в тази сфера.
Да се върнем към киберсигурността ‒ правихте ли вътрешен одит на държавната администрация и възможните пробойни?
Първото, което направихме, беше с вътрешния ресурс на Министерството на електронното управление да направим базов одит. Не бих го нарекъл истински одит, защото не изисква толкова време и усилия. Но чрез него се установяват основни липси и пропуски, които могат да бъдат отстранени своевременно. Комуникирахме с всички останали администрации в посока какво трябва да направят приоритетно, за да не са жертва или да не станат потребителите им жертва на злонамерени атаки заради невнимание. Един такъв пример са фишинг имейлите, на които, от една страна, администрацията може да стане жертва, но, от друга страна, от името на администрацията може да бъде изпратен фишинг имейл към някой гражданин или група граждани и те, виждайки, че идва от дадена институция, да приемат, че той е легитимен. Това е проблем на институцията, тъй като има конкретни настройки, които увеличават възможността такива фалшиви писма да бъдат хванати от спам филтрите, ако бъдат направени правилно. Но ако не бъдат настроени правилно, зловредните писма ще влязат в пощенските кутии на потребителите. Така че ние трябва да предотвратим злоупотреба с домейните на институцията.
На мен ми прави впечатление, че хората, които се занимават с фишинг, са се усъвършенствали през последните години…
Да, така е. В момента работим за провеждане на обучения на всички държавни служители за идентифициране и справяне с фишинг. Тези обучения не може да са еднократни, трябва да са регулярни, тъй като хората забравят каквото са научили и след една година вероятността да натиснат линк във фишинг имейл се увеличава. Пряко, тоест през грешни действия на един човек, може да се направи първоначалният пробив. А косвено – с това, че хората допускат различни грешки при настройване на инструментите, които държавата е закупила, но всъщност не използва съвсем по предназначение.
Как се работи с толкова мащабна система?
Започва се с базовите неща – да затворим портове, през които може някой да влезе с потребителско име и парола, изтекли някъде. Да проверим за кои имейли на държавната администрация има известни изтекли пароли. Затова и преди няколко седмици се абонирахме за една безплатна услуга, която ни дава достъп до пароли, изтекли в Darknet-a, които са свързани с всичките правителствени и общински сайтове.
В България изтичат ли пароли към Darknet?
На практика те изтичат от всевъзможни сайтове, където хората се регистрират със служебния си имейл. И тъй като най-често използват една и съща парола за служебния имейл и за там, където са се регистрирали с него, вероятността някой да вземе изтеклите пароли от сайт за запознанства, форум или каквото и да било друго и да ги приложи във VPN-a на държавната администрация и това да сработи е голяма. Затова трябва да знаем максимално бързо, ако има изтекли пароли, които са свързани с тези имейли – хората в администрацията да ги сменят.
Има ли много злонамерени атаки срещу държавната администрация и кой ги извършва?
Всяка кибератака започва със стадий на проучване от страна на атакуващия. Никой не започва с това да източи директно базата данни. Започвайки с проучването там, където имаме видимост какво се случва, можем да реагираме още на фаза проучване и преди да се е случило изтичане на информация. Всички блокирани по този начин IP адреси са свързани с фазата на проучване. Те съдържат списък с всички опитвали да проверят дали може да се намери пробойна в дадена система или адрес.
Промени ли войната в Украйна по някакъв начин действията Ви в посока киберсигурността на държавата?
Работата ни по киберсигурността е приоритет още от първия ни ден, но, разбира се, към момента е със засилващ се интензитет в контекста на войната в Украйна. Това се случва заради очакванията, че след като Русия постави България в списъка на вражеските държави, то тя може да обърне интересите си и към нас, правейки опити за дестабилизация чрез кибератаки.
Нека поговорим за информационната война?
Водеща при информационната война е медийната грамотност. И това е дългосрочна политика. Тя не е политика на нашето министерство, защото ние се фокусираме основно върху киберсигурността. Но този тип война бе и причина да блокираме около 45 000 IP адреса, от които имаше злонамерена активност към сървъри на администрацията, заливани с фалшиви новини, дезинформация, тролове и всички тези аспекти на информационната война. За жалост правомощия, установени със закон по тази тема, на практика няма никой. Тоест, разполагаме с меки мерки, които могат да се прилагат. Но след доста анализи установихме, че най-правилният подход е да използваме процеса на европейско законодателство, за да предложим повече технически детайли за това, как социалните мрежи имат задължение да обработват това съдържание – да откриват координирани групи от фалшиви профили, които коментират или споделят дадена информация, без правителството или социалната мрежа да прави непременно оценка на самото съдържание какво има – самото поведение на споделяне, ако е достатъчно съмнително, тя трябва да го идентифицира.
Гражданите на Естония могат да използват над 2600 административни услуги благодарение на целенасочената политика на държавата за развитие на електронното управление. Следвате ли примера им и добрите практики, приложени там?
Наблюдаваме Естония във всеки един аспект, тъй като те са добрият пример в повечето случаи. Не във всички, разбира се, защото и те имат области, в които има какво да се желае, но като цяло.
Да разберем за това, което не е работело там – защо не е? И съответно нещо, което е сработило там, да го пречупим през местната призма и да си дадем сметка дали ще сработи тук? Ясно е, че нещо, което е проработило в Естония, не непременно ще се случи и тук, тъй като електронното управление не съществува в изолация. Целта не е да създадем едни системи и изведнъж да се появи електронно управление. То е последователен процес и сложна администрация, свързани с обществото, дигиталната грамотност. Всички тези аспекти са нужни, за да достигнем до успеха или… неуспеха на електронното управление.
Споделете някои добри практики от други държави, които сте имплементирали в държавната администрация?
Ролята на Министерството на електронното управление е да приложи на практика изискванията на закона. Подходите в различните държави не са фундаментално различни. Например законът за електронното управление казва същото, което казва и съответният закон в Естония – че администрацията няма право да изисква данни, които може да събере по служебен път, че тези данни трябва да са в електронни регистри, които трябва да си комуникират автоматизирано, и др. А дали това се спазва на практика, е отделен въпрос.
Със Северна Македония подписахте документ за партньорството. В каква посока ще работите с тяхното правителство?
Това, което подписахме, беше за взаимно признаване на електронни подписи и други електронни удостоверителни услуги. То ще позволи на бизнесите от двете страни на границата да могат да общуват електронно. Да могат да подписват договори електронно, да могат да си връчват документи един на друг електронно и това да има правна стойност. Това беше обектът на договора, който подписахме. Отделно от това по линия на киберсигурността имаме партньорство, в рамките на което обменяме информация за кибератаки.
Какви са приоритетите Ви в обозримо бъдеще?
Имаме приоритет да създадем и приложим електронна идентификация, така че всеки гражданин, който желае да ползва електронни услуги, да може бързо и лесно през телефона си да се идентифицира пред държавата или пред някоя система на държавата, за да получи съответната услуга, без да трябва да ходи физически нито за заявлението, нито за получаването, нито за плащането някъде на някое гише. Това е най-скорошният ни приоритет. Планираме до края на годината да има налице такова мобилно приложение, с което да могат да се ползват голяма част от наличните услуги. Друг нещо е спестяването на удостоверенията. Или иначе казано, гражданите да не са куриер на държавата. В момента има техническа възможност да се случи за някои удостоверения. Но липсват два аспекта – технологичен и нормативен. Дори да има технологична възможност администрацията по служебен път да прави справки в друг регистър – това, което връща другият регистър, няма правна стойност, то е един ред на един екран. Трябва да добавим електронни печати, така че тази информация да има правна стойност. Другото предизвикателство е, че на места в закони и подзаконови актове изрично е записано, че гражданинът предоставя това удостоверение, когато му трябва една или друга услуга. Трябва да е ясно навсякъде и еднозначно, че гражданинът може и да го предостави, но всъщност администрацията трябва да го обработи служебно.
Снимки: HiСomm