fbpx

Сајбер безбедноста на институциите ни се базира на застарени софтвери, неажурирани заштитни програми и ниска свест

Сајбер безбедноста на институциите ни се базира на застарени софтвери, неажурирани заштитни програми и ниска свест
  • Сајбер безбедноста не е тема која на дневно ниво ја засега јавноста сè додека не се случи хакерски напад како оној на Фондот за здравство кога хакери ги блокираа системите на оваа инстутција што направи колапс во здравствениот систем.
  • Хакерските напади се постојани и се секаде во светот, а клучно е системот да има капацитет навреме да ги препознае и да ги одбие.
  • Државните институции кај нас имаат застарени софтвери, неажурирани заштитни програми и немаат ниту безбедносни мерки кои се неопходни за безбедноста на податоците на граѓаните како и за да не може да се наруши функционалноста.
  • Најголемиот дел од причините за пропустите е ниското ниво на свесност на релевантните раководители, но и со тоа на целокупниот дел од администрацијата.
  • Јавниот сектор поради ниските плати не може да му парира на приватниот сектор и на странските компании, поради што ретко кој сака да работи во држвните институции.

Кога во февруари лани, во медиумите се појави информацијата дека е хакирана веб-страницата на Фондот за здравство, на почетокот сите помислија дека е обид на некоја група аматери да стане популарна во јавноста. Но, како што одминуваа часовите, а потоа и деновите, стана јасно дека нападот не е ниту наивен ниту безопасен. Цел месец траеше голготата на институциите да го вратат системот кој ги содржи податоците на сите граѓани во Македонија. И сето тоа се случуваше под превезот на тајноста – од ФЗО за цело време ја користеа фразата дека експертите деноноќно работат да го отстранат проблемот, одбиваа да кажат за каков напад се работи, дали податоците се безбедни, дали се можни посериозни штети... По еден месец беше објавено дека проблемот е решен, но и по поминати една ипол година, сè уште остана отворено прашањето што се случи?  И најважно, дали ова може повторно да ни се случи?

Факт е дека ова не е ниту прв, а според експертите со кои разговаравме, нема да биде ниту последен случај на хакерски напади на вака чувствителни системи – години наназад хакерски напади имаше и на веб страниците на МОН, на Министерството за финансии, на Јавното обвинителство, Министерството за информатичко општество и администрација, МАРНЕТ и е-трговија. Решението е како тие да се пресретнат.

Од 2015 година до денес повеќе институции се соочија со хакерски напади на нивните веб-страници

Да почнеме со лоцирање на слабостите.

Во државната администрација во земјава нема доволно ниво на свест за важноста на сајбер безбедноста, во јавните институции многу тешко се одвојуваат пари за да се подобри овој сегмент, бидејќи тоа е неопиплива работа, па на оние што одлучуваат им изгледа дека парите се фрлаат во бунар, многу малку институции, пред сè оние што веќе имале проблеми прават подобрувања во сајбер безбедноста, државните институции не можат ниту да ги платат стручњачите за оваа сфера бидејќи платите во администрацијата се далеку пониски од она што на ИТК инженерите им го нуди прватниот, реалниот сектор.

Ова се заклучоците на експертите со кои разговараше „Само прашај“ за тоа зошто безбедноста односно отпорноста од хакерски напади на државните институции е ниско. Тие исто така посочуваат и дека инстутуциите немаат единствен систем на заштита и се оставени секоја со своја политика на ова поле. Државата засега нема единствен протокол на заштита за минимум безбедност според кој би требало да работат институциите за да се одбранат од хакерски напади и блокади.

Една ипол година нема официјлнаа информација што се случи со системот на Фондот за здравствено осигурување

Државните институции имаат застарени софтвери, неажурирани заштитни програми и немаат ниту безбедносни мерки кои се неопходни за безбедноста на податоците на граѓаните како и за да не може да се наруши функционалноста што потоа има далекусежни последици.

„Сајбер безбедноста е на незавидно ниво, да не кажам исклучително ниска. Најголемиот дел од причините за пропустите е ниското ниво на свесност на релевантните раководители, но и со тоа на целокупниот дел од администрацијата. Во Македонија нема тимови за брз одговор на инциденти. И таму каде ги има се десеткувани. Проблемот е многу длабок и е резултат на немањето сенс за тоа каде и како треба да се третира сајбер безбедноста. Во голем број институции тоа е препуштено на оние кои на тактичко ниво или оперативно ниво треба да се борат со сајбер заканите да решаваат стратешки работи. И тоа не чини многу. Што значи тоа тоа значи дека ИТ експертите доминираат со сајбер безбедноста онаму каде ги има. За жал кај нас на факулетоте за ИТ не се учи стратегија, не се учи политика, не се учи оперативно планирање и не се учат операции. Во ред е да се учат криптирања, алгоритми и така натаму, ама тоа е само 50 % од сајбер безбедноста. Од друга страна, ниското ниво на свест за сајбер безбедноста кај раководството влијае на тоа да ИТ секторот не е соодветно награден со примања плати-како на пазарот и не е до крај вклучен во планирањето на политиките на институцијата, буџетирањето и слично. Пари се трошат несмасно многу откако ќе се случи инцидент. Видете само колку плаќаат сега на фирми и колку пари се одвоени и од страна на изборната комисија и од сите други интитуции кои немаат органски капацитет за сајбер безбедност“, објаснува  професорот на Воената академија „Генерал Михаило Апостолски“ Методи Хаџи Јанев.

За проблемот се зборува додека е актуелен

Сајбер безбедноста не е тема која на дневно ниво ја засега јавноста сè додека не се случи хакерски напад како оној на Фондот за здравство кога хакери ги блокираа системите на оваа инстутција што направи колапс во здравствениот систем. Не можеше да се издаваат рецепти, да се закажуваат прегледи, да се исплаќаат породилните и другите трансфери што следуваат од здравствената и социјална заштита. Дури во ваква ситуација, во поголема мерка се зборува за сајбер безбедноста и хакерските напади. Но, тоа само додека не се реши проблемот, потоа сите како да забораваат, сè се враќа на старо, па малку институции суштински и реално влегуваат во решавање на овој проблем.

Дури кога ќе се случи ова, институциите тргнуваат во потрага по решенија, вели експертот за сајбер безбедност Филип Сименов.

„Има значителни движења во одредени институции коишто се веројатно посвесни, особено институциите коишто се сретнале, кои виделе каков стрес е тоа, кои виделе што може да се случи и дека нивната работа е блокирана, дека институцијата е буквално блокирана и притисокот од новинарите, притисокот од јавноста е преголем за да си дозволат повторно тоа да се случи и затоа влегуваат во побрз ритам за покривање на сите тие нивоа и за воспоставување на онаа одбрана во длабочина за навремено да се откријат тие напади доколку бидат успешни. На крајот на краиштата, всушност е битно дека ние напади ќе имаме, 100 отсто безбедност никогаш нема, но секогаш мораме да го откриеме навремено нападот, односно институцијата да го открие навремено нападот. Тоа е најбитното нешто што треба да го постигнат сите институции. Знам дека е тешко, ќе речат, немаме ресурси, еден администратор, еден е за сè, но секогаш затоа постојат аутсорс компании кои можат да помагаат“, вели Симеонов.

Покрај Фондот за здравство, хакерски напади имаше и на серија други институции: МЕПСО, АРМ, МВР, Собранието, а пред извесен период падна и сајтот на Владата. За овој краток прекин немаше потврда дека се работи за напад, но од Владата рекоа дека се постојана мета на хакери.

„Не само што се случувале, туку и повторно ќе се случуваат напади доколку не се преземат мерки. Но тие не треба да бидат успешни, да не успеат да пробијат во системите. Напади има постојано, постојано следиме, гледаме, не само тука, туку низ целиот свет. Она што треба да се спречи е да биде нападот успешен. Нема напади само во државните институции, има и во приватни компании кои се хакирани, пробиени и слично. Проблемот е во тоа што работата на сајбер безбедноста се смета како голем трошок затоа што секогаш не се гледа дека има некаков фидбек. Тоа е некако како да фрламе пари, како буре без дно. Но, сепак мислам дека инвестициите се најголема добивка, и во ресурси и во технологија“, вели Симеонов, кој работи во приватниот сектор.

И деканот на Факултетот за информатички науки и компјутерско инженерство Боро Јакимовски се согласува дека хакерските напади се постојани и се секаде во светот, а клучно е системот да има капацитет навреме да ги препознае и да ги одбие. За тоа неопходна е заштитата, не само да се постави, туку и константно да се надградува, со оглед дека хакерите се секогаш еден чекор пред системот.

„Државните институции беа погодени како и повеќето во целиот свет, особено тие каде што ранливостите се достапни, а тоа најчесто се застарени софтверски системи, неажурирани соодветно на последните безбедносни закрпи, а секако и немањето доволно заштитни механизми, заштитни мерки, опрема којашто може да ги штити системите. За жал, сајбер безбедноста е доста скапа и вложувањето во неа барува поголеми финансиски издвојувања и од тие причини, нашите институции се недоволно заштитени. Вториот аспект е дека сите институции настапуваат индивидуално и тоа доведува до многу големи трошоци, а за иста работа на повеќе локации во градот Скопје. Може и надвор од градот, но концентрацијата на сите системи се поставени тука во градот, така што навистина има, не сум запознаен, но знам дека одредени институции кои можат тоа да си го дозволат, имплементираат такви механизми. Добри механизми се имплементираат во ‘клауд провајдерите’ коишто секако имплементираат некакви стандарди и воведуваат генерална заштита на сите системи, иако може и таму да се случи секако напад. Меѓутоа  барем системите се присутни и имаат каква-таква заштита од напади“, објаснува Јакимовски.

Во Владата, обврската да воведе стандарди кои ќе им овозможат базична заштита и отпорност на државните институции од хакерски напади е кај новото Министерство за дигитална трансформација. Министерот Стефан Андоновски ги признава сите слабости и пропусти кои ги посочуваат експертите. Тој најавува нова национална стратегија  за сајбер безбедност која треба да биде клучен документ кој ќе ја трасира патеката за зајакнување на капацитетите во оваа област.

„За жал, бидејќи имало дифузен пристап досега, нивото на заштита е различно кај секоја институција поединечно. Некои институции имаат посериозно ниво на заштита коешто гарантира нивна безбедност од напади. Одредени институции, пак и јавноста беше сведок дека беа под напад на некои заинтересирани хакери, така што наредниот период мора да работиме на стандардизација на овој процес. Да се знае дека секоја институција има соодветно ниво на заштита коешто е по некој стандард кој е утврден во државата и кај нашите меѓународни партнери. Она што би било приоритет во наредниот период е таа заштита да се поткрева, знаејќи дека во светот сите држави се под неко вид на напад, но тоа не значи дека ние не треба сè повеќе да ја градиме таа сајбер структура. Прво е многу важно да ги поставиме стандардите на заштита, а потоа да видме кој од нашите партнери во приватниот сектор, во меѓународните институции се заинтересирани да ни помогнат во тој процес. Секако сме отворени за соработка во тој процес со било кој друг кој е пријател на државата или сака да помогне“, вели Андоновски.

Кога ги користиме електронските услуги на државните институции како граѓани ги оставаме сите наши податици при регистрација или при пополнување на потребните апликации за да дојдеме до она што ни е потребно. Од таму тргнува стравот на граѓаните за тоа што се случува со нивните податоци кога има хакерски напади на институциите. Податоците на граѓаните се небезбедни и за тоа мора да има одговорност, смета Хаџи Јанев.

„Нападите на фондот за здравство и низа други напади кои таргетираа институции богати со податоци апсолутно се сериозен проблем и ризница на лиферување на податоците на граѓаните. За жал досегашната пракса на силен централизам и лошо управување се покажа како кобна бидејќи органите кои треба да бидат независни и контролори  и чувари на нашите податоци и приватноста немаат автономија туку се зависни од политичките елити. Ако тие се искрени и кажат колку пропусти се направени, тогаш некој треба да одговара. Бидејќи тој некој вообичаено е човекот кој лепи плакати или послушник на политичката елита која е на власт нормално е дека нема санкција. И така наместо одоговорност си делиме медали“, категоричен е професорот Хаџи Јанев.

Најчесто податоците не се цел, туку начин за финансиска добивка

Сепак, според дел од експертите, личните податоци кои ги содржат системите на државните институции, не секогаш се цел на хакерите. Тие всушност го прават упадот за финансиска добивка. Го блокираат системот, а потоа бараат пари за институцијата да може повторно да почне да работи. Симеонов кој бил вклучен во интервенирањето при неколку хакерски напади на државни инстутуции вели дека податоци на граѓаните не биле излеани.

„Не секогаш хакерите ги таргетираат податоците, не секогаш хакерите сакаат да извадат и да уценат за податоци, зависи дали е нападот таргетиран или дали е нападот од откриена некаква слабост. Доколку е таргетиран, да треба да се плашиме за тоа дали некои податоци се извадени надвор и дали можат да бидат злоупотребени, но од искуство како што гледаме на хакерите им се важни повеќе парите, изнудата отколку податоците коишто можеби ништо нема да им служат, податоците на Филип, или вашите податоци. Досега успешно се завршени сите тие напади. Можам да гарантирам дека податоци не се излеани затоа што бевме вклучени како мониторинг, за да видиме дали се излеани податоци надвор, и не беа. Но, на крајот сè доаѓа до тоа на враќање на системите и податоците во функција“, вели тој.

Унифицирање или воведување единствен систем на заштита на сите државни институции и привлекување на ИТ кадри во државната администрација со тоа што ќе мора да им се поднудат конкурентни плати кои би му парирале на приватниот сектор –се решенијата со кои се согласни сите наши соговoрници.

„Побарувачката за ИТ кадар во приватниот сектор и од странство е многу голема тоа значи дека за нив се плаќаат навистина високи плати што е за почит и не радува како институција. Но, тоа создава проблем за државните институции коишто заради постоечката законска регулатива не можат да плаќаат повисоки плати за овој кадар. Ќе работиме на две паралелни решенија. Едното е да овозможиме за дефицитарните професии во државните институции поголеми надоместоци, а вториот аспект е да привлечеме млад ИТ кадар којшто своето прво искуство ќе го стекне во државниот сектор, знаејќи дека дел од нив потоа ќе заминат во приватниот сектор за подобри плати. Но сепак привлекувајќи нови и нови млади луѓе кои ќе се приклучат во институциите кои градејќи се низ институциите ќе го создадат своето искуство и можеби дел од нив ќе останат, затоа што ќе се почувствуваат прифатени и ќе работат на големи национални проекти и ќе ја имаат онаа сигурност којашто колку-толку ја дава државниот или јавниот сектор додека приватниот ќе биде подинамечен сектор за кој ние можеби ќе создаваме кадар со искуство“, вели Јакимовски.

Во однос на платите, тој појаснува дека се свесни оти во јавниот сектор има одредено ограничување и тие не можат да го следат пазарот на трудот којшто е во реалниот сектор. А секој својата иднина ја гледа онаму каде што би бил повеќе платен. Но, и за тоа, вели, постојат решенија. Таков беше обидот, за жал неуспешен, со законот за формирање агенција за дигитална трансформација и безбедносни мрежи и трансформациски системи, пред крајот на претходната влада. Во рамки на таа агенција беа предвидени различен начин на плаќање и наградување на вработените кој требаше да го следи трендот на приватниот сектор со што би се обезбедила некаква стабилност во задржување на ИКТ кадрите во јавниот сектор. Но, Јакимовски вели дека тоа решение сè уште е на маса. Второто решение е централизација на системите, односно, ИКТ инженерите да не бидат во секоја институција, бидејќи таа агенција би можела да даде соодветна надокнада само за вработените во таа агенција, но не да важи и за вработените во генерално сите институции. Сепак, и неговиот заклучок е дека доколку не се зголемат платите, сето ова ќе биде неконкурентно.

Друго решение е голем дел од овие услуги да се аутсорсираат, меѓутоа треба да се има предвид дека се работи за институции со национално значење и тоа е малку чувствителна материја кон која што треба доста внимателно да се пристапи.

Симеонов пак, го посочува примерот на Албанија, каде е формирана Агенција за сајбер безбедност како единствено тело кое работи на заштитата на целата државна администрација.

„Албанија отиде многу напред. Тие тие имаа многу сериозни напади, државата им беше нападната, но тоа им беше една голема поука, па сега имаат преголеми инвестиции, капацитети. Сега кога бев во посета на нивната Агенција за сајбер безбедност, тие замислете имаат 53 луѓе само во Агенцијата за сајбер безбедност што работат стриктно на сајбер безбедност. Планираат до крајот на годината да бидат 80 луѓе. Постојано се со обуки, со тренинзи, со натпревари и слично. Постојано ги обучуваат, ги растат нивните знаења и начини како да се справуваат доколку се случи нешто. Сигурно некое законско решение каде што ќе се реагира на платите и таа фамозна Агенција која што е за сајбер безбедност која гледаме дека во другите држави функционира интересно. Мислам дека тоа малку ќе ги привлече барем младиве коишто имаат некаков интерес за сајбер безбедност да отидат прво во Агенцијата, да направат некакво искуство, да помогнат колку можат, да се обучат и потоа да помогнат исто на државата. мислам дека платите, обуките, тоа се моделите и бенефициите коишто младите во моментов ги сакаат. Но и некој да ги насочува, да има менторство“, смета Симеонов.

Еден од чекорите во обезбедувањето сајбер безбедност е програмата за минимум сајбер-безбедносни стандарди која треба да биде задолжителна за сите државни институции, а  која како тест проект се спроведува од септември до декември годинава. Проектот е дел од “Регионална сајбер безбедност во Западен Балкан – интервенции за Република Македонија” финансиран од Обединетото Кралство. Идејата е токму она што го посочуваат и експертите - унифицирање на системот за сите институции. Со оглед на важноста и ургентноста за имплементација на овие минимум сајбер безбедносни стандарди за Министерството за дигитална трансформација, Министерството за надворешни работи и надворешна трговија и Министерството за одбрана ќе бидат првите каде што ќе биде тестирани овие стандарди. Тест-приодот треба да укаже на евентуалните слабости, за потоа коригираната верзија да се имплементира во владините институции како минимум стандарди кои ќе треба да се надградуваат паралелно и во чекор со движењата на дигиталниот свет.

Оваа содржина ја изработи Институтот за комуникациски студии.

Новинарка: Катерина Ѓуровски

Снимател: Наке Батев

Монтажа: Фани Гошевска Живковиќ