Актуално

За тревожно нарастване на кибератаките в света – 600 милиона дневно, алармира годишният доклад на Microsoft за периода от юли 2023 г. до юли 2024 г. Друго проучване сочи, че почти две трети от българските компании са били подложени на кибератаки през последните две-три години, като при половината от тях това се е случило повече от един път.

Експерти сигнализират, че местните власти са особено податливи на кибератаки главно поради огромното количество чувствителни данни, които притежават и поддържат – за инфраструктура и жители, имуществени данъци, избирателни списъци и др. Те обикновено разполагат с ограничен бюджет за надграждане на мрежи и системи за сигурност и често използват остарели технологии.

На 3 и 4 декември НСОРБ, съвместно с Министерството на електронното управление, организира онлайн среща във връзка с прилагането на Закона за киберсигурността, в която участваха 165 представители на общини - секретари, IT специалисти и експерти от общински и районни администрации. Те бяха запознати с основните изисквания на нормативната уредба при изграждането на сигурни мрежи и системи за обработка на информация от националния координатор по киберсигурност Симеон Кърцелянски и Бисерка Радева, началник-отдел „Анализи и развитие на киберсигурността“ в МЕУ.

В България има добра нормативна база на основата на европейските регулации – Закон за киберсигурност от 2018 година и Наредба за минималните изисквания за мрежова и информационна сигурност от 2019 година.

На 14 декември бе приета Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета на Европа (Директива МИС2), която автоматично влезе в сила на 17 октомври т.г,. и се отнася до 100 000 фирми и организации в Европа. Бе изготвен ЗИД на Закона за киберсигурност, представен за обществено обсъждане през юли т.г. (вижте становището на НСОРБ до НС ТУК). Той въвежда подобрените европейски изисквания във връзка с оценката на риска, докладването на инциденти, тестването, повишаването на осведомеността и осъзнатостта на факта, че киберинцидентите и липсата на адекватен отговор могат да застрашат стабилността както на публичните, така и на частните субекти.

Киберсигурността ляга на три стълба – мрежова информационна сигурност, правоприлагане и отбрана, обясни Бисерка Радева. Новата директива определя публичната администрация като сектор с висока степен на критичност и я включва към минималните изисквания за киберсигурност.

Радева обърна внимание на една от промените в новия регламент – разширяване на обхвата на задължените субекти, с което се цели високо ниво на киберсигурност и в други икономически сектори. Другата промяна е въвеждането на лична отговорност на ръководствата на организациите за пропуски в киберсигурността.

Общините са квалифицирани като „съществени субекти“, което касае интензитета на мерките, които следва да имплементират с оглед нормативно съответствие, както и размера на потенциалните санкции при неизпълнение.

Въвеждат се по-строги правила за контрол и санкции, като глобите за нарушаване на киберсигурността са значителни. Общините ще подлежат на проверки и санкции при неспазване на изискванията, включително за неправилно управление на киберрисковете.

Предвидена е и нова процедура по докладване за настъпили киберинциденти пред Националния екип за реагиране при инциденти с компютърната сигурност (НЕРИКС), създаден към Министерството на електронното управление, в конкретно определени срокове.

Докладвайте за инциденти, информацията ще се използва само за превантивни мерки. Идеята е да предпазим от евентуални заплахи други административни органи, които ползват подобни системи, призова Бисерка Радева.

Министерството на електронното управление отчете 27 590 сигнали до края на септември, обработени от Националния екип за реагиране при инциденти с компютърната сигурност.

Повечето изисквания са разписани още в Закон за киберсигурност от 2018 година и Наредбата за минималните изисквания за мрежова и информационна сигурност от 2019 година. Администрациите имаха достатъчно време да ги въведат в практиката си, казват от МЕУ.

Националният координатор по киберсигурност Симеон Кърцелянски постави акцент върху възприемането на киберсигурността като основен управленски приоритет. Голяма част от управленското тяло не е запознато с различните видове риск и не приема идеята за киберзащита, каза Кърцелянски. Затова и отговорностите на ръководствата на задължените субекти са формулирани в три направления: подобряване на мерките за киберсигурност, обучение по киберсигурност и предлагане на подобно обучение на служителите.

Другата слабост е подценяване на потенциалната заплаха за киберсигурността във веригата на доставки, когато партньори и доставчици могат по невнимание да станат канали за киберзаплахи, каза още националният координатор. Необходима е оценка на качеството на практиките им за киберсигурност – решенията за съхранение на данни, услугите за обработка и за сигурност.

Насърчава се по-тясно сътрудничество между страните членки на ЕС за по-добра координация и споделяне на информация за киберзаплахи и инциденти, макар и поставено на доброволна основа, обърна внимание Симеон Кърцелански.

Сдружението обмисля създаване на общинска мрежа от IT специалисти за обмен на информация и очаква от общините да преценят дали ще бъде целесъобразна и полезна, както и в какъв формат да съществува.

По време на обучението бе обърнато внимание на необходимостта от поддържане на архиви на няколко места, вкл. офлайн, криптиране на данни, постоянно разработване на процедури и политики за оценка на риска и сигурността на информационните системи.

Представителите на общините задаваха конкретни въпроси, свързани с обмена на информация, извършване на вътрешни одити, обучението на служителите, рисковете при ползване на лични имейли и др.

През втория ден от обучението бяха коментирани технически мерки за сигурност на мрежите в общинските администрации. В него се включи Иван Гойчев, зам.-кмет "Дигитализация, иновации и икономическо развитие" в Столична община и зам.-председател на Постоянната комисия по дигитална и иновативна администрация към НСОРБ. „Имаме да свършим доста работа по осигуряване на киберсигурност и внедряване на технически и организационни мерки. Искам в перспектива да има устойчиво развитие и да не говорим само за киберсигурност, а за цялостна сигурност. Защото от IT процесите зависят всички системи – управление на трафик, здравеопазване, образование и т.н. Всяко действие, което разбие киберсигурността, ще се отрази на реалния живот“, каза Иван Гойчев.

Националният координатор по киберсигурност Симеон Кърцелянски продължи презентацията си с посочване на реални примери за злонамерена активност, която цели да открадне чувствителна информация чрез имейли, сайтове, текстови съобщения или други форми на електронна комуникация. Сред най-разпространените причини за пробиви в сигурността в ЕС са заплахи срещу данни, зловреден софтуер, невярна информация, заплахи във вериги доставки, мейли за сплашване, софтуер за изнудване.

Освен гарантиране на добро ниво на защита, важна мярка е обучението на служителите как да разпознават и да реагират при получаване на спам съобщения, да ползват само сигурни пароли, да не отварят имейли и документи, които не очакват и т.н.

Иван Гойчев сподели за хакерска атака срещу Столична община, когато са влезли в системите през ненадеждните пароли от типа „1234“. След този случай Общината е въвела автоматично генериране на пароли със 16 символа и Password Manager. Преди две години в Столична община е внедрен интегриран набор от технологии за защита на крайните устройства, управление на събития и инциденти, свързани със сигурността, проследяване на уязвимостите, разследване и разузнаване на заплахите, контрол на привилигирования достъп.

Много важно е осигуряване на сигурност при разработване и придобиване на информационни и комуникационни системи, напомниха от МЕУ. Необходимо е да се уговорят клаузи за мрежова и информационна сигурност още на етапа на разработка и внедряване, да се правят тестове за доказване на защитата на информацията.

Дигитализацията е много хубаво нещо, но трябва да се прави по правилен начин, обобщи Симеон Кърцелянски и напомни изискванията за осигуряване на сигурност на информационните и комуникационните системи: разделяне и изолиране, филтриране на трафика, специална защита на профилите с административни права, ясно дефинирани политики за ползване на лични технически устройства и преносими записващи устройства, криптиране на информацията, управлението на достъпа, защита на хардуерните устройства, защита на софтуер и фърмуер, мерки за защита от проникване и справяне със зловреден софтуер, мерки за защита на уеб сървърите и на DNS, физическа сигурност и наблюдение.

Необходими са вътрешни правила, регламентиращи дейностите по управлението на инциденти – кой, как и кого уведомява за инцидент, кой и как го проверява и класифицира и т.н.

Трябва да има планове за непрекъсваемост на дейността/услугата в случаи на форсмажорни обстоятелства, които да се проиграват периодично и се съхраняват най-малко на две места.

Бисерка Радева заяви, че Министерството ще продължи да оказва подкрепа на администрациите. Тя информира, че примерните процедури за разрешаване на типове инциденти и реакции при видове фишинг, разработени от МЕУ преди няколко години, ще бъдат прегледани, актуализирани и изпратени до НСОРБ. По искане на участващите в обучението, от МЕУ ще предоставят и таблица с примерни софтуери, хардуери и линкове.

Нели Стайкова, секретар на Постоянната комисия по дигитална и иновативна администрация към НСОРБ, увери представителите на общините, че Сдружението продължава да настоява за увеличаване на стандартите за общинска администрация, които да гарантират, че общините ще станат атрактивни и за т.нар. дефицитни длъжности, както и търсене на механизъм за осигуряване на средства за обновяване на хардуери и софтуери. Ще продължат и регулярните срещи с МЕУ, а след приемането на ЗИД на Закона за киберсигурност ще бъде организирано ново обучение за коментиране на промените, касаещи дейността на общините.

Полезни сайтове:

Европейска агенция за киберсигурност, ENISA, създадена през 2004 г.: https://www.enisa.europa.eu/.

Платформа за сигурно споделяне Mattermost | Collaboration for Your Mission-Critical Work – дава възможност за обмен на информация и сътрудничество на техническите и оперативните екипи.

На заседанието на 4 декември Министерският съвет взе решение да предложи на Народното събрание проект на Закон  за изменение и допълнение на Закона за киберсигурност (ЗКС).

НСОРБ благодари на МЕУ за готовността да подпомогне местните администрации в прилагането на нормативните изисквания за осигуряване на киберсигурност, което изисква многопластов подход, съчетаващ хора, процеси и технологии.

/МБ/