Лоша киберзащита и забавена реакция около хакването са довели до мащабните щети за „Български пощи“

Няколко са основните причини за срива на системите на „Български пощи“ след кибератаката. От една страна, въпреки модерната в някои отношения система на държавното дружество, в някои отношения тя е била слабо защитена срещу хакерски атаки. От друга страна е имало и прекалено голям период от време, през който киберпрестъпниците са имали достъп до сървърите. Между началото на атаката им и моментът, когато сървърите са били изключени, а връзката на системата с интернет е била прекъсната, са изминали 6 часа. През това време хакерите са имали достъп до цялата база данни и са успели да криптират или заличат дори архивите. Това стана ясно по време на съвместна пресконференция на вицепремиера по ефективно управление Калина Константинова, IT експерта и съветник към кабинета на Константинова Васил Величков и председателя на ДАНС Пламен Тончев. Последният открои и друг проблем, косвено подпомогнал кибератаката срещу „Български пощи“ - това, че дружеството не е включено в списъка на стратегическите обекти, които са част от националната сигурност. Поради което от ДАНС не са могли нито превантивно да работят с него за предотвратяване на подобни ситуации, нито да се намесят по време на самата атака. В тази връзка Тончев призова пощите да бъдат включени в този списък, определян от Министерски съвет.

Възстановяването на дейностите и услугите на „Български пощи“ вече е в ход и някои от тях работят. При други обаче ще има забавяне на възстановяването, обясни Васил Величков. Той посочи, че сред възстановените са изплащането на пенсии и международните пратки. В същото време обаче все още е невъзможно плащането на сметки в пощенските станции. Причината е, че всички компютри във всички клонове ще трябва да бъдат преинсталирани, за да няма никакво съмнение, че дори част от зловредния софтуер, използван при кибератаката, не е останала в някой от тях. „В противен случай само за ден можем да се върнем в изходна позиция“, каза Величков. И предупреди, че за някои от 26-те услуги на „Български пощи“ възстановяването може да отнеме 2-3 дори 5 седмици. И не се ангажира със срок.

От утре пощите ще бъдат с ново временно ръководство, съобщи Калина Константинова. Екипът е съставен от млади хора с високи познания в управлението на големи компании с много служители и тежки процеси, с богат международен опит и опит в дигитализацията, включително с фокус в киберсигурността. От думите й стана ясно, че кибератаката е само част от причините, поради което се освобождава изпълнителният директор и целият Съвет на директорите на държавното дружество.

От думите на Величков и Тончев стана ясно също, че подготовката за кибератаката срещу „Български пощи“ е започнала по-рано от реализацията й. Самата атаката е засечена на 16 април, но след първоначалния анализ и изследването на всички следи, е установено проникване, зловреден код и т.н. още на 4 април, обясни Величков. Той допълни, че хакерите много внимателно са сканирани отвътре цялата мрежа, всички сървъри и са инсталирани допълнителни инструменти, с които да се улесни разпространението на зловреден код, който да стигне до максимален брой части от инфраструктурата. На 5 април са извършени тестове, за да се провери дали всичко, въведено от хакерите, работи. След това не е имало дейност от тяхна страна и никакъв контакт с т.нар. сървъри за командване и контрол. Това е продължило до 16 април. „Изчакано е да е почивен ден и същевременно да предстои изплащането на добавките на пенсионерите за Великден. Тогава е започнало криптирането на данни. В целия процес съществува и риск за изтичане на данни, за което засега няма следи. Незабавно е уведомена Комисията за защита на личните данни“, обясни още Величков.

Пламен Тончев от своя страна отбеляза, че ДАНС е била официално уведомена за кибератаката от служители на „Български пощи“ на 16 април. Агенцията е разполагала с тази информация 10-12 часа по-рано, за което е информирала пощите, но самото дружество в началото е отказало помощ с мотива, че ще се справи само. След това, съвместно с Министерството на електронното управление (МЕУ) и МВР от ДАНС са предприели действия по максимално бързо възстановяване на основните функции на „Български пощи“ и изясняване на причините, довели до инцидента. „Усилията на служителите на ДАНС са насочени основно към намаляване на негативния ефект за обществото и превенция на развитието на негативни социални процеси“, отбеляза Тончев.

Той информира още, че вече са идентифицирани част от причините, довели до инцидента, като те могат да бъдат дефинирани като външни и вътрешни. Външните са несигурната международна среда с ясно изразени конфронтационни настроения. От началото на ескалацията на войната в Украйна голямо количество инструменти за кибератаки се предоставят свободно във форуми и платформи заедно с инструкции за използването им. „Те се използват и това ще продължи, както от поддръжниците на двете страни в конфликта, така и от криминални елементи“, каза председателят на ДАНС.

Вътрешните причини, според думите му, са забавянията при въвеждане на съвременни механизми за киберсигурност и мониторинг в инфраструктурата на „Български пощи“. Установени са множество отклонения в добрите практики в областта на киберсигурността. Формираната среда е създала слаба предвидимост и управляемост на процесите. Всички изброени пропуски водят и до забавяне възстановяването на услугите на дружеството.

Тончев каза също, че има данни за кибератаки и към други държавни институции у нас, но те не са били успешни. Въпреки това обаче той не може да даде повече информация.

Забавена реакция е имало и след като кибератаката е започнала в същинската си част на 16 април, отбеляза още Величков. 6 часа са минали от момента на атаката до спирането на сървърите и изключването им от интернет. Поради това забавяне атакуващите са имали възможност да криптират и архивираните по-рано данни. Вследствие на което т.нар. криптовирус е успял да нанесе много сериозни щети. Голяма част от данните най-вероятно са безвъзвратно загубени, смята Величков.

Експертът опроверга разпространяващата се сред обществото информация, че от страна на хакерите е поискан откуп, за да възстановят системите и да върнат контрола на дигиталната инфраструктура на „Български пощи“. Също така подчерта, че дори и да е бил поискан такъв, правителството „няма да преговаря с терористи“. Обясни и че плащането на откупи на хакери до голяма степен не води до възстановяване на атакуваните системи. Според статистиката, за м.г. 36% от организациите, пострадали от криптовируси, са се съгласили да платят откуп, което означава хиляди и по цял свят. Но само 8% от платилите откуп са получили ключ, с който да си възстановят данните. Също така в половината от тези случаи ключът не е сработвал.

Величков обясни също така, че има много голяма вероятност кибератаката да е свързана с Русия. Според думите му е твърде вероятно в кибератаката да има руска връзка, макар това да не е 100% сигурно. Той обясни, че зловредният софтуер има автоматична блокировка, за да не се пуска, ако е вкаран в системи от Руската федерация или бившите съветски републики. Също така всички инструменти, използвани за заобикаляне на антивируски защити, за проникване в сървъри, които са инсталирани след първоначалния пробив на системите на „Български пощи“, са разработвани и компилирани с доста стар технологично софтуер, който в 99% се използва към днешна дата от потребители, които са концентрирани в Руската федерация. Величков подчерта обаче, че това в никакъв случай не означава, че непременно в хакерската атака са намесени руски служби. Но съпоставяйки тези данни с информацията, която се обменя с партньорските държави и техните служби, нещата сочат натам. Експертът добави, че последните два месеца подобни кибератаки е имало също към гръцките и нидерландските пощи, както и други организации. Също така атаките са организирани в моменти, които ще причинят максимален обществен отзвук. Почеркът е един и същ и всичко това подсказва за руска връзка.

Оздравяването, модернизирането и развитието на „Български пощи“ е приоритет на настоящото управление на държавата още от самото начало, каза Калина Константинова. В тази връзка е подготвен и проект по Плана за възстановяване и устойчивост за малко над 101 млн. лв., който вече е одобрен. Малко над 68 млн. лв. от тях или две трети, е планирано да бъда за дигитална трансформация, включително и киберзащита, допълни вицепремиерът.  

Тя отбеляза още, че преди настоящото правителство никой не е включвал „Български пощи“ в Плана за възстановяване. “Компанията е безценен държавен капитал и на много места е единсвтеното лице на държавата за хората. Навсякъде в развитите държави и икономики подобна държавна мрежа и изградена инфраструктура е богатство, което се ползва и развива, а не се разрушава и погубва, което целенасочено се е случвало“, каза Константинова.

Според думите й компанията получава държавно финансиране от 80 млн. лв. за основните си дейности – изплащане на пенсии, универсална пощенска услуга и разпространение на печат. Но все пак е търговско дружество и е изпълнявало и пазарни услуги – куриерските. Въпреки огромната си мрежа от 2973 станции в над 2300 населени места и 9000 служители пазарният дял на „Български пощи“ в куриерските услуги е под 2%, въпреки че този пазар расте с 30% на година. А в същото време „Български пощи“ имат 6 пъти по-голяма клонова мрежа от лидера в този сегмент, отбеляза още Константинова.

На журналистически въпрос как ще коментира фактът, че свързаната с министъра на транспорта и съобщенията Николай Събев куриерска фирма е удължила работното си време и е увеличила дейността си на фона на кибератаката срещу „Български пощи“, вицепремиерът отговори, че правенето на подобни връзки е нелепо. Още повече, че в куриерските услуги пазарният дял на „Български пощи“ е под 2%, което дори е в рамките на статистическата грешка.