Пробитата уязвимост

  Нека временно успокоим топката по отношение на пробива в киберсигурността ни.
  Разбира се, можем като в русская деревня да нададем боен вик: Наших бьют! И да скочим най-патриотично в защита на нашето управление, жертва на международното положение.
  Можем, разбира се, да се изпъчим най-опозиционно и да започнем не принципно, а по принцип да ругаем нашето управление, без значение от конкретния повод, просто защото ни е паднало за едно страшно воле.
  
  Аз, обаче, ще кажа следното в 4 длъжки изречения.
  1. Ние сме вече в Рисковото общество, в Обществото на рисковете, в което вече и превенцията не работи ефективно, а е нужно ранно сигнализиране; това ще рече, че трябва да изградим система, която да „прослушва“ процесите с цел предвиждане на т.нар. Черни лебеди, т.е. неизвестните неизвестни; да,те са по принцип неуловими, но така ще могат да се хванат поне Сивите лебеди, т.е. известните неизвестни и Сребристите лебеди, т.е. неизвестните известни, а който не е изградил такава система, не е пренастроил националната си сигурност на вълна Третото десетилетие от Третото хилядолетие, и не е способен да дири Черни лебеди и да се готви за тяхното противодействие и минимизиране на последиците от тях, е обречен да бъде хващан много често по бели гащи.
  2. Ние бяхме на няколко пъти предупреждавани за уязвимостта на киберсигурността ни със сривове на различни сайтове и изтичане на поверителна информация, но не се взеха никакви високо професионални мерки; а това бе покана за още по-сериозни удари. Както казваше моята баба, стара-майка, Който не разбира светкавицата, го треска гърмът!
  3. Темата за непрофесионализма не е опорна точка, не е формален източник на критично вдъхновение - това е проблемът на проблемите и всеки, който може сравнително обективно да оцени професионализма в администрациите на всички нива, ще ви каже, че нивото на професионализъм е паднало опасно ниско и това е не само защото се уреждат свои хора на всички постове, а и защото не се разбират съвременните процеси, съвременните тенденции в управлението и съвременните подходи в мениджмънта, а се парадира с пропагандни трикове, с убеждението, че нещата се решават по телефона и с устни заповеди Я виж там поправи нещата!, вместо със залагане на децентрализацията и координацията за сметка на централизацията и командването, даже командоренето.
  4. Никой не одитира, не контролира, не изследва, не анализира критичната инфраструктура, не се спазват норми и стандарти, липсва реална представа за нивото на уязвимостите в държавата, това ще рече, че се управлява слепешката, на принципа Проба – грешка – пак проба – пак грешка; мениджират се сложни процеси с елементарни решения, хвалби и търчи лъжи и не само без науката, но против науката и дори напук на науката, а самата наука е натикана в мазето н държавността.
  
  Ето защо не е важно дали международното положение е ударило вчера киберсигурността ни; не е важно и кой е за и кой против конкретната власт.
  Важното е, че е имало уязвимост и тя бе пробита.
  
  Както сочи науката, рисковете се хранят с уязвимости, те експлоатират уязвимостите, те ни пробиват през уязвимостите. Затова трябва да се управляват, а не да се подтичва след тях.
  Ето защо най-важният извод от случилия се пробив на киберсигурността ни е, че трябва да започнем да минимизираме уязвимостите си и да управляваме рисковете си.
  Това ще рече, че трябва да имаме друго отношение към управлението на държавата.
  Което значи, че държавата ни трябва да бъде управлявана по качествено нов начин. Така, както тя се управлява напоследък, повече не бива да бъде управлявана.
  
  
  
  
  
  
  За да не се смята, че който бие камбаната откъм Науката, само теоретизира, ето едно мнение и откъм Практиката.
  Дано то помогне да се разбере, че некомпетентността на властта не е опорна точка на нейните критици, а стратегически риск за националната сигурност.
  И последствията от този зле управляван риск ще се взривяват като мини под краката на държавата постоянно, въпросът не е Дали? това ще се случва, а Кога? И то не някога, а сега и все по-сега.
  Обикновеният човек си няма представа каква отровна доза некомпетентност дава метастази по всички нива на управлението във всички управлявани процеси. Но тези, които са информирани и могат да анализират и оценят тази информация нямат друг избор и изход, освен да назовават нещата с истинските им имена и да бият камбаната, та и глухите да чуят за кого бие тя!
  
  Eто този текст:
  Stanislav Georgiev:
  Рядко си позволявам да ръся мъдрости тука, но в конкретния случай не мога да се сдържа. Българското правителство с безпрецедентната си и упорито продължаваща арогантна некомпетентност, завоалирана под надуто, новобогаташко и безвкусно самочувствие, досадно изтъркани "номерца" за извинения и с шефче, което се възприема за нещо средно между месия, бай Тошо и богоравен, успя (да, това си е тяхно постижение) да ми изнесе личните данни на тепсия, наравно със заплатите ми, адресите ми и т.н.. Заради откровена немърливост, непознаване на концепцията за носене на отговорност и надменно безразличие, сравними само с виновниците за Чернобил. Самите разпространители на източената информация (не ги наричам хакери, защото не знам колко истински хакерски умения са им трябвали, за да я източат) са дали много ясна и конкретна диагноза - "Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно".
  Преди 19 години аз лично и още няколко човека, с които все още сме верни приятели, изградихме тогава новата система на НОИ за БУЛСТАТ, осигуровки и пенсии. Писахме я две години в рамките на проект на Световната банка и под ръководството на австралийски екип с впечатляващ опит и визия. Чужденци от буквално другия край на Света, на които им пукаше за България и нейното бъдеще и бяха модел за почтеност, достойнство и чувство за мисия. Един от тях беше бивш техен социален министър, друг беше заместник директор (а сега ръководи) австралийския аналог на Информационно обслужване. Сигурността и защитата на данните беше библейски приоритет. Нека кажем, че след този проект, когато започнах работа в М-тел, заварих сигурност на много по-ниско ниво. За кратко разбира се.
  Но... но това май беше последният проект изпълняван от външен изпълнител. След това нещата се поеха от фиксиран набор от 3-4 български фирми - чухте ги покрай срива на ТР. Фирми, които нито един път не успяха да спечелят проект в М-тел, докато поне аз бях там. Нали се досещате... А фирмите, които ние наемахме пък някак си все не успяваха да се пласират в държавните поръчки. И така вече почти две десетилетия в България се държи двоен стандарт - набор от фирми и техните "специалисти" обслужват държавните поръчки и други си работят с частния сектор и чужбина и надменно се присмиват на компетентността на първите... ама сега май на всички ни изтекоха данните. Който се се смял, смял.
  Това беше малко "вентинг"... Сега чисто практически, когато шефчето се чуди дали да наказва, дали да събира оставки и недай Боже дали той носи някаква отговорност за този пълен провал, без да ми го е искал, мога да му дам следния ъкъл:
  1. Да попита защо "хакерите" не пробиват Райфайзен, Виваком, Булбанк или А1, където има горе долу подобни масиви от данни.
  2. Да вдигне телефона, да звънне примерно на Алекс Димитров от А1 и да го попита колко му е бюджета за ИТ на година. Да го сравни с този на НАП. Разликата ще е в пъти. Резултатите също са различни в пъти, но в другата посока.
  3. Да вдигне телефона и да пита Ивайло Главчовски от Уникредит Булбанк защо не е дал нито един проект никога на фирмите, които обслужват НАП, Агенцията по вписванията, винетната система и т.н.
  4. Да попита защо данните не са криптирани в базата данни на НАП.
  5. Да попита кога последно е правен тест за сигурността на системите. Ние сме ползвали израелски експертни фирми (да, най-добрите са) всяка година да тестват за пробиваемост системите ни. Срещу 20-ина хиляди евро. Смешни пари, нали?
  6. Да се запита не дали това е политическа атака, а защо такива атаки толкова лесно успяват. Ама много лесно.
  7. В чия трудова характеристика пише, че е отговорен за сигурността на тези данни. А ако никъде не го пише, защо? А ако го пише, и какво от това?
  Мърляви, нагли и безотговорни хора отговарят за нашия живот, сигурност и за бъдещето на децата ни. А ти какво смяташ да направиш?
  
  15-16.07.2019 г.

Отговор

Съдържанието на това поле е поверително и няма да бъде показвано публично.
CAPTCHA
Този въпрос се изисква за спам превенция.
  ____     ___   __  __  ____          
| _ \ / _ \ \ \/ / / ___| _ _
| | | | | (_) | \ / \___ \ | | | |
| |_| | \__, | / \ ___) | | |_| |
|____/ /_/ /_/\_\ |____/ \__, |
|___/
Въведете показаните ASCII символи с цифри и малки или големи букви на латиница.