Во изминатиот период, веб-страниците на државни институции беа мета на хакерски напади. Најсвежи се случаите со „IKnow“ системот за електронска поддршка на најголемиот државен универзитет во државата „Св. Кирил и Методиј“, кој не функционираше со денови, а повеќе од две недели, надвор од целосна употреба беше веб-страницата на Министерството за образование и наука. Во септември, Министерството за земјоделство, шумарство и водостопанство, беше цел на тежок хакерски напад на руската група BlackByte, што ја парализираше работата на институцијата, а поради тоа, сите системи беа ставени надвор од употреба.
Има ли начин да се зголемат отпорноста и безбедноста на сервисите и веб-страниците на државните институции? Како да се спречат нападите, „паѓањата“ и блокадите, со оглед на фактот дека тие се лицето на државата, па согласно тоа, треба соодветно да се заштитени? На оваа тема, Мета.мк поразговара со Владислав Бидиков, ИТ експерт од Факултетот за информатички науки и компјутерско инженество (ФИНКИ), како и со проф. д-р Александра Милева од Факултетот за информатика на штипскиот универзитет „Гоце Делчев“.
Да се зголеми отпорноста
Отпорноста на веб-страниците на држаните институции треба да се базира на добрите безбедносни пракси во однос на користењето на модерни технологии и креирање на продукти врз начелото на „безбедност по дизајн“, смета Бидиков. Според него, станува збор за процес на креирање на веб решенија согласно потребите на институцијата, а потоа, преку имплементација на соодветно техничко решение кое ги исполнува општо прифатените добри пракси за модерност и скалабилност и постојан процес на одржување, оптимизации и наградби, ќе ги исполни барањата.
„Пристапот кон ваквите безбедносни предизвици и во околните земји и општо во светот е во насокзголемување на отпорноста (resilience) и во насока на проактивно следење на случувањата. Битен фактор во овој процес е постојаното одржување на системите во тек со најдобрите пракси од областа на сајбер безбедноста“, смета Бидиков.
Во случајот на државните институции, смета Бидиков, овој предизвик е дополнително оптеретен со одредени теми поврзани од областа на јавните набавки и ограничувањата во таквите процеси согласно концептите на баланс на однос цена-квалитет или најниска можна цена, без притоа да се има долготрајни планови во однос на модуларност и издржливост на решенијата.
„Ова особено е проблематично бидејќи дел од размислувањата кај институциите е дека наместо да се користат добро познати софтверски решенија (без разлика дали се слободен софтвер или комерцијални решенија), веб-страниците треба да се прават „од нула“, што е предизвик сам по себе, поради фатот што државните институции најчесто немаат доволно ИТ кадар. Крајното решение од ваквите тези, најчесто потоа прави повеќе штета во однос на неговата искорисливост одошто вистински бенефит“, смета Бидиков.
Како што тој објаснува, како добра пракса од другите земји може да се земе пристапот на т.н. реупотроба на добрите ИТ решенија помеѓу институциите, што покрај финансиски бенефити, најчесто дозволува фокусирање на знаење и искуство кај локалниот ИТ кадар во рамките на институциите кои делат слично технолошко решение.
Нема магично решение за одбрана од DDOЅ напади
Бидиков е на став дека за дел од предизвиците во областа на безбедноста, како на пример, зголемените и зачестените дистрибуирани напади на достапност (DDOS напади), не постои магично речение за одбрана и ваквите настани треба да се решаваат по принципот на безрезервна соработка во рамките на заедницата.
„Одредени државни институции кои беа предмет на вакви DDOS напади, беа соодветно митигирани. Но, комплетно спротивно, за одредени други видови на сајбер напади поврзани со безбедноста и интегритетот на податоците, постојат веќе добро прифатени концепти и оперативни процедури кои е потребно да се применуваат (на пример правилен и функционален принцип на резервни копии – бекап) и кои гарантираат брзо и гарантирано враќање на системите во случај на проблеми“, појаснува Бидиков.
Применливоста на овие концепти во државните институции е предизвик, заради тоа што им недостигаат човечки ресурси, стандарди, процедри и бизнис процеси, додава Бидиков.
„Првиот чекор секогаш треба да биде анализа и акциски план за зголемување на сајбер безбедноста и сајбер отпорноста, кои треба да се реални на потребите на институцијата и кои преку неколку јасно предвидени чекори во одреден временски период ќе овозможат подобрување на состојбите. Овој процес треба да биде цикличен и во него да се вклучени добрите и лошите искуства на другите институции со цел да се научи од грешките и за да се стремиме кон подобрувања“, завршува Бидиков.
Односот кон сајбер безбедноста е непроменет
Професорката Александра Милева од штипскиот Факултет за информатика, поточно од катедрата за компјутерски технологии и интелигентни системи, вели дека нашите државни институции многу малку внимание обрнуваат на безбедноста на нивните веб-страници, на компјутерските системи и на мрежите.
„Нападите што се случија во септември оваа година, како нападот врз веб-страницата на МОН и нападот врз информацискиот систем на Министерството за земјоделство, само покажуваат дека односот на овие институции кон сајбер безбедноста и хакерските напади воопшто не е променет, и покрај лошото искуство од претходните години. Доволно е да се потсетиме на јули 2020, кога жртви на хакерски напади беа веб-страниците на МОН, Министерството за здравство, Министерството за внатрешни работи“, потсетува Милева.
Таа додава дека хакерите успеваат во своите напади затоа што најчесто искористуваат постоечки познати или непознати ранливости кај системите, мрежната инфраструктура и софтверот, или пак користат напади на социјално инженерство и доаѓаат до сакани информации од вработени во институциите.
Според Милева, заштитата треба да оди во три насоки, а првата е – постојано скенирање на безбедноста на мрежата и сите компјутерски системи со специјални алатки за таа намена и повремено изведување на пенетрациско тестирање.
„Резултатите од овие тестирања и скенирања вклучуваат откриени ранливости и погрешни конфигурации, кои потоа ИТ вработените треба да ги елиминираат. За дел од овие ранливости, доволно е да се инсталираат најновите ажурирања или закрпи од производителите на софтвер, бидејќи истите најчесто вклучуваат и елиминирања на пронајдени ранливости. За оваа насока, потребни се луѓе со знаења од сајбербезбедноста и соодветни алатки, од кои подобрите се комерцијални и доста скапи“, појаснува професорката.
Таа вели дека и покрај тоа што МКД-ЦИРТ, кој функционира во рамките на Агенцијата за електронски комуникации, нуди бесплатно скенирање на веб страните на сите државни институции, за жалм, само мал дел од државните институции ја користат оваа услуга.
„Втората насока вклучува инсталирање на анти-вирусни програми, системи за детекција и/или превенција на упади, заштитни ѕидови, кои доколку правилно се конфигурирани и ажурирани, исто така придонесуваат за поголема безбедност. Сепак овие системи не се магично решение, бидејќи на пример, анти-вирусните програми нудат заштита од злонамерен софтвер кој веќе е познат и се користел во минатото, а не и од најновите злонамерни кодови кои моментално се користат“, објаснува Милева.
Нападите одат преку вработените во институциите
Честопати, нападите одат преку вработените во институциите, кои не се доволно свесни како со своите постапки ја нарушуваат безбедноста на нивната институција или системите што ги користат. На пример, отворање на атачмент на електронска пошта или посета на злонамерни веб страници може да доведе до инсталирање на злонамерен код на компјутерот од работа, што може понатаму да ја загрози дури и безбедноста на другите системи од институцијата.
„Кликнување на лажен линк од фишинг електронска пошта и внесување на сопствените акредитиви, значи можност за хакерите да се здобијат со корисничко име и лозинка од одреден вработен. Се случува и намерно таргетирање на одредени вработени (spear phishing) во некоја институција. Затоа, третата насока опфаќа тренинзи за подигање на свеста на вработените за сајбер безбедноста и за можните последици од нивното однесување на Интернет, како и креирање на соодветни безбедносни политики со кои ќе се намали ефектот од нападите доколку истите се случат“, смета професорката Милева.
Она што сите треба да го разберат, според неа, е дека обезбедувањето на имотот и ресурсите е процес кој постојано треба да се одвива во една организација, без разлика дали е приватна компанија, невладина организација или државна институција.
„Не може да се направи едно скенирање да се откријат некои ранливости, истите да се елиминираат и да се мисли дека со тоа сме ја обезбедиле организацијата. Постојано се откриваат нови ранливости, постојано се прават грешки во конфигурациите, и постојано некое ново лице станува жртва на социјално инженерство. Безбедноста е процес, и тоа скап процес. Сепак веб-страниците на нашите институции се нивното лице и лицето на нашата држава, и затоа треба соодветно да ги заштитиме“, потенцира Милева.
Професорката потсетува дека Факултетот за информатика при УГД нуди специјална програма на втор циклус за Компјутерска безбедност и дигитална форензика, а во рамките на УГД функционира и Лабораторија за компјутерска безбедност и дигитална форензика која стои на располагање на сите ентитети за консултантски услуги и организирање на соодветни тренинзи и обуки. Освен тоа, постојат и меѓународно признати програми и сертификати кои се однесуваат на обука на експерти за сајбер безбедност.
Извор: meta.mk
