Лоша киберзащита и забавена реакция около хакването са довели до мащабните щети за „Български пощи“

Възстановяването на някои услуги може да отнеме още седмици, ДАНС иска пощите да станат обект на националната сигурност

България
3E news
1082
article picture alt description

Източник: БТА

Няколко са основните причини за срива на системите на „Български пощи“ след кибератаката. От една страна, въпреки модерната в някои отношения система на държавното дружество, в някои отношения тя е била слабо защитена срещу хакерски атаки. От друга страна е имало и прекалено голям период от време, през който киберпрестъпниците са имали достъп до сървърите. Между началото на атаката им и моментът, когато сървърите са били изключени, а връзката на системата с интернет е била прекъсната, са изминали 6 часа. През това време хакерите са имали достъп до цялата база данни и са успели да криптират или заличат дори архивите. Това стана ясно по време на съвместна пресконференция на вицепремиера по ефективно управление Калина Константинова, IT експерта и съветник към кабинета на Константинова Васил Величков и председателя на ДАНС Пламен Тончев. Последният открои и друг проблем, косвено подпомогнал кибератаката срещу „Български пощи“ - това, че дружеството не е включено в списъка на стратегическите обекти, които са част от националната сигурност. Поради което от ДАНС не са могли нито превантивно да работят с него за предотвратяване на подобни ситуации, нито да се намесят по време на самата атака. В тази връзка Тончев призова пощите да бъдат включени в този списък, определян от Министерски съвет.

Възстановяването на дейностите и услугите на „Български пощи“ вече е в ход и някои от тях работят. При други обаче ще има забавяне на възстановяването, обясни Васил Величков. Той посочи, че сред възстановените са изплащането на пенсии и международните пратки. В същото време обаче все още е невъзможно плащането на сметки в пощенските станции. Причината е, че всички компютри във всички клонове ще трябва да бъдат преинсталирани, за да няма никакво съмнение, че дори част от зловредния софтуер, използван при кибератаката, не е останала в някой от тях. „В противен случай само за ден можем да се върнем в изходна позиция“, каза Величков. И предупреди, че за някои от 26-те услуги на „Български пощи“ възстановяването може да отнеме 2-3 дори 5 седмици. И не се ангажира със срок.

От утре пощите ще бъдат с ново временно ръководство, съобщи Калина Константинова. Екипът е съставен от млади хора с високи познания в управлението на големи компании с много служители и тежки процеси, с богат международен опит и опит в дигитализацията, включително с фокус в киберсигурността. От думите й стана ясно, че кибератаката е само част от причините, поради което се освобождава изпълнителният директор и целият Съвет на директорите на държавното дружество.

От думите на Величков и Тончев стана ясно също, че подготовката за кибератаката срещу „Български пощи“ е започнала по-рано от реализацията й. Самата атаката е засечена на 16 април, но след първоначалния анализ и изследването на всички следи, е установено проникване, зловреден код и т.н. още на 4 април, обясни Величков. Той допълни, че хакерите много внимателно са сканирани отвътре цялата мрежа, всички сървъри и са инсталирани допълнителни инструменти, с които да се улесни разпространението на зловреден код, който да стигне до максимален брой части от инфраструктурата. На 5 април са извършени тестове, за да се провери дали всичко, въведено от хакерите, работи. След това не е имало дейност от тяхна страна и никакъв контакт с т.нар. сървъри за командване и контрол. Това е продължило до 16 април. „Изчакано е да е почивен ден и същевременно да предстои изплащането на добавките на пенсионерите за Великден. Тогава е започнало криптирането на данни. В целия процес съществува и риск за изтичане на данни, за което засега няма следи. Незабавно е уведомена Комисията за защита на личните данни“, обясни още Величков.

Пламен Тончев от своя страна отбеляза, че ДАНС е била официално уведомена за кибератаката от служители на „Български пощи“ на 16 април. Агенцията е разполагала с тази информация 10-12 часа по-рано, за което е информирала пощите, но самото дружество в началото е отказало помощ с мотива, че ще се справи само. След това, съвместно с Министерството на електронното управление (МЕУ) и МВР от ДАНС са предприели действия по максимално бързо възстановяване на основните функции на „Български пощи“ и изясняване на причините, довели до инцидента. „Усилията на служителите на ДАНС са насочени основно към намаляване на негативния ефект за обществото и превенция на развитието на негативни социални процеси“, отбеляза Тончев.

Той информира още, че вече са идентифицирани част от причините, довели до инцидента, като те могат да бъдат дефинирани като външни и вътрешни. Външните са несигурната международна среда с ясно изразени конфронтационни настроения. От началото на ескалацията на войната в Украйна голямо количество инструменти за кибератаки се предоставят свободно във форуми и платформи заедно с инструкции за използването им. „Те се използват и това ще продължи, както от поддръжниците на двете страни в конфликта, така и от криминални елементи“, каза председателят на ДАНС.

Вътрешните причини, според думите му, са забавянията при въвеждане на съвременни механизми за киберсигурност и мониторинг в инфраструктурата на „Български пощи“. Установени са множество отклонения в добрите практики в областта на киберсигурността. Формираната среда е създала слаба предвидимост и управляемост на процесите. Всички изброени пропуски водят и до забавяне възстановяването на услугите на дружеството.

Тончев каза също, че има данни за кибератаки и към други държавни институции у нас, но те не са били успешни. Въпреки това обаче той не може да даде повече информация.

Забавена реакция е имало и след като кибератаката е започнала в същинската си част на 16 април, отбеляза още Величков. 6 часа са минали от момента на атаката до спирането на сървърите и изключването им от интернет. Поради това забавяне атакуващите са имали възможност да криптират и архивираните по-рано данни. Вследствие на което т.нар. криптовирус е успял да нанесе много сериозни щети. Голяма част от данните най-вероятно са безвъзвратно загубени, смята Величков.

Експертът опроверга разпространяващата се сред обществото информация, че от страна на хакерите е поискан откуп, за да възстановят системите и да върнат контрола на дигиталната инфраструктура на „Български пощи“. Също така подчерта, че дори и да е бил поискан такъв, правителството „няма да преговаря с терористи“. Обясни и че плащането на откупи на хакери до голяма степен не води до възстановяване на атакуваните системи. Според статистиката, за м.г. 36% от организациите, пострадали от криптовируси, са се съгласили да платят откуп, което означава хиляди и по цял свят. Но само 8% от платилите откуп са получили ключ, с който да си възстановят данните. Също така в половината от тези случаи ключът не е сработвал.

Величков обясни също така, че има много голяма вероятност кибератаката да е свързана с Русия. Според думите му е твърде вероятно в кибератаката да има руска връзка, макар това да не е 100% сигурно. Той обясни, че зловредният софтуер има автоматична блокировка, за да не се пуска, ако е вкаран в системи от Руската федерация или бившите съветски републики. Също така всички инструменти, използвани за заобикаляне на антивируски защити, за проникване в сървъри, които са инсталирани след първоначалния пробив на системите на „Български пощи“, са разработвани и компилирани с доста стар технологично софтуер, който в 99% се използва към днешна дата от потребители, които са концентрирани в Руската федерация. Величков подчерта обаче, че това в никакъв случай не означава, че непременно в хакерската атака са намесени руски служби. Но съпоставяйки тези данни с информацията, която се обменя с партньорските държави и техните служби, нещата сочат натам. Експертът добави, че последните два месеца подобни кибератаки е имало също към гръцките и нидерландските пощи, както и други организации. Също така атаките са организирани в моменти, които ще причинят максимален обществен отзвук. Почеркът е един и същ и всичко това подсказва за руска връзка.

Оздравяването, модернизирането и развитието на „Български пощи“ е приоритет на настоящото управление на държавата още от самото начало, каза Калина Константинова. В тази връзка е подготвен и проект по Плана за възстановяване и устойчивост за малко над 101 млн. лв., който вече е одобрен. Малко над 68 млн. лв. от тях или две трети, е планирано да бъда за дигитална трансформация, включително и киберзащита, допълни вицепремиерът.  

Тя отбеляза още, че преди настоящото правителство никой не е включвал „Български пощи“ в Плана за възстановяване. “Компанията е безценен държавен капитал и на много места е единсвтеното лице на държавата за хората. Навсякъде в развитите държави и икономики подобна държавна мрежа и изградена инфраструктура е богатство, което се ползва и развива, а не се разрушава и погубва, което целенасочено се е случвало“, каза Константинова.

Според думите й компанията получава държавно финансиране от 80 млн. лв. за основните си дейности – изплащане на пенсии, универсална пощенска услуга и разпространение на печат. Но все пак е търговско дружество и е изпълнявало и пазарни услуги – куриерските. Въпреки огромната си мрежа от 2973 станции в над 2300 населени места и 9000 служители пазарният дял на „Български пощи“ в куриерските услуги е под 2%, въпреки че този пазар расте с 30% на година. А в същото време „Български пощи“ имат 6 пъти по-голяма клонова мрежа от лидера в този сегмент, отбеляза още Константинова.

На журналистически въпрос как ще коментира фактът, че свързаната с министъра на транспорта и съобщенията Николай Събев куриерска фирма е удължила работното си време и е увеличила дейността си на фона на кибератаката срещу „Български пощи“, вицепремиерът отговори, че правенето на подобни връзки е нелепо. Още повече, че в куриерските услуги пазарният дял на „Български пощи“ е под 2%, което дори е в рамките на статистическата грешка.

Ключови думи към статията:

Коментари

Още от България:

Предишна
Следваща