Анализи

Сајбер-безбедност на институциите: Податоците на извол’те

Прво беља, па санирање

За безбедноста на државните сајтови и податоците што ги содржат се говори само кога тие се хакирани. А тоа во последно време и не е толку ретко. Хакирани или надвор од употреба беа Фондот за здравство, Државната изборна комисија, Е-дневникот, Бирото за јавни набавки, министерствата за земјоделство, за образование и последно за животна средина. Списокот е долг.

Голем дел од веб-сајтовите на државните и јавни институции го немаат ниту основниот безбедносен сертификат. Многу веб-сервиси работат преку застарени апликации и платформи. Истовремено од граѓаните се бара да им веруваат на институциите дека конекцијата е сигурна, а податоците што се оставаат на нив се заштитени.

А колку се заштитени говори и последниот случај што го отвори Државната комисија за спречување корупција, поврзан со дигитализацијата на матичните книги. Никој не контролирал кој сѐ има пристап до податоците за сите умрени, родени или венчани во земјава, додека документите се шетале низ институцијата, скенирале и се внесувале во дигиталната база.

Впрочем, како што ќе забележи инженерот за компјутерска безбедност, Божидар Спировски, граѓаните и немаат друг избор, освен да ги даваат своите податоци и да ги користат апликациите и сајтовите што ги нуди државата, независно од нивната безбедност. Затоа што тие живеат во оваа држава и мора да имаат контакт со системот.

„Ние едноставно немаме каде да одиме. Што ќе направиме, ќе кажеме – извинете вие не сте безбедни и затоа нема да ви платиме данок? Па, ние ќе завршиме во затвор, а тие ќе велат – што ми е гајле“, објаснува тој.

Девиза – снајди се

На пребарувачот Гугл сајтот на Владата се појавува и како место за онлајн продажба | Фото: БИРН

Грижата за веб-сајтовите на институциите, за нивните апликации, а со тоа и нивната безбедност се оставени на самите институции. Некои имаат вработени што се грижат за нив, но кубурат со ИТ кадар, затоа што државниот сектор не е атрактивен за овие професионалци.

И самата грижа за сајбер-безбедноста, на државно ниво, е раштркана по повеќе институции. Затоа секој се снаоѓа како знае и умее. За тоа сведочат податоците од Бирото за јавни набавки, каде што изминатата деценија разни институции, од министерства и агенции, па сѐ до јавни претпријатија и државни клиники се обидувале да најдат фирми за дизајн и одржување сајтови и апликации.

Пред пет години  беше најавено дека одржувањето на владините сајтови ќе се унифицира за поголема прегледност, но и безбедност. Периодот се поклопи и со носењето на првата национална стратегија за сајбер-безбедност.

Три години подоцна, на тендер, беше избрана фирма што за 160 илјади евра, во една година ќе го реализира овој проект. Договорот, како што е наведено на веб-страницата на Бирото за јавни набавки, бил делумно реализиран, а реалноста една година по неговото завршување, покажува дека веб-страниците се далеку од унифицирани и сѐ уште ранливи.

Последен доказ за тоа е падот на веб-страницата на Министерството за животна средина, која остана недостапна речиси целиот јули.

Од Министерството, за БИРН, потврдија дека имале хакерски напад. За сајтот се грижеле самите, бил задолжен нивни вработен, а прекинот бил толку долг, затоа што морало да се чистат нападнатите скрипти на сајтот.

Прво беља, па решение

Безбедност на интернет | Фото: Pehels.com

Додека во некои институции, вработените водат грижат за овој сектор, во други тоа го прават надворешни компании. Но, праксата покажа дека ова не носи и поголема безбедност на сајтовите и податоците.

Како при дигитализацијата на матичните книги. Ангажирани беа две фирми за процесот, и одвоени 1,5 милион евра. Епилогот од овој процес е сомнеж за местење тендери, можна трговија со личните податоци и најава за кривични пријави против двајца поранешни директори на Управата за водење на матичните книги.

Ништо подобра не е ситуацијата ниту на локално ниво. Доволно да се отворат сајтовите на ЈСП Скопје, кои секојдневно имаат посети од илјадници лица. Нивниот хостинг и одржување ги прави надворешна фирма, што за две години ја чини компанијата 35 илјади евра. Во договорот на хартија јасно е нагласено дека, меѓу другото, компанијата треба да обезбеди безбедносни сертификати за работа на двата сајта. Во реалноста, пак, при секое впишување на адресата на двете страници, стои предупредувањето – дека конекцијата е небезбедна.

Тоа не го изненадува Роберт Тодороски, кој со години работи како консултант за дигитална безбедност и им помага на фирми околу инсталација на софтвери за работа. Вели дека честопати мора да ги заобиколува безбедносните процедури, за да ги користи веб-сервисите на државните институции. А со тоа во потенцијален ризик да ги стави податоците на самите компании. Но, како кога се работи, на пример, за апликации на Управата за јавни приходи, друг избор нема.

Нивниот систем за плаќање даноци работи на апликација, која е толку застарена, што веќе е излезена од употреба. Апликацијата за месечната пресметка на плати е направена на платформа стара веќе две децении. Секоја инсталација на секоја апликација што е вон употреба, и компјутерот на корисникот, и сите податоци во него, ги става во ризик.

„Кај нас проблем е игнoрантнoста, додека нешто не се случи. ИТ безбедноста е нешто што се остава на последно место“, вели Тодороски.

Тоа се покажа дека е точно многупати досега. Безбедноста на веб-страниците стана топ тема, кога во 2020 година падна системот на Државната изборна комисија, додека се собираа изборните резултати. По хаваријата, системот беше поправен, ама ова фрли сериозна дамка на изборниот процес.

Оттогаш во повеќе наврати паѓаа владини сајтови, главно како цел на сајбер-напади од секаков вид.

Дел од нив беа толку сериозни што ја парализираа државата. Поради упад во системот на ФЗО, тој остана нефункционален три недели. Вработени не можеа да земат плата, хронично болни останаа без лекови, мајки без парите од породилното, а на стотици илјади граѓани им беа загрозени личните податоци.

Ваквиот напад и не беше големо изненадување, затоа што и пред него ревизорите констатираа сериозни слабости во системот на ФЗО. Хакери бараа откуп за да ги вратат податоците, надлежните во јавноста никогаш не открија што точно се случи, но затоа уверуваа дека „здравствените и личните податоци се целосно безбедни и не се украдени, граѓаните да бидат спокојни“.

Искуството на инженерот Спировски вели дека главна цел на хакерските напади, секаде во светот се здравствените системи, заедно со образованието, поради големото количество податоци што ги содржат. Тоа го покажува неговата апликација за регистрирање такви инциденти.

Таму, Македонија ретко ја има, не затоа што нападите ги нема, туку затоа што тие се сокриваат.

Националната безбедност на небезбеден сајт

Предупредување за небезбедна конекција на сајтот на АНБ | Фото: БИРН

Веднаш под сликата на македонското знаме, на веб-страницата на Агенцијата за национална безбедност(АНБ), вниманието го привлекуваат големите букви со кои е напишана нејзината заложба во која безбедноста има неприкосновен приоритет. Истовремено, во горниот лев агол на сајтот стои предупредување дека тој е небезбеден.

Сајтот на Агенцијата нема валиден безбедносен сертификат.

Посетата на сајтовите што го немаат овој сертификат носи ризик за тој што пребарува, а посебно ако се оставаат лични податоци, како имејлови и лозинки. Сертификатот е потврда и за идентитетот на самиот сајт, но и за безбедноста на комуникацијата на него, која лесно може да биде пресретната од хакери што крадат приватни податоци.

Прегледот на БИРН покажа дека АНБ не е исклучок, туку има многу вакви небезбедни државни сајтови. Без сертификат е сајтот на Министерството за труд и социјална политика, а го нема и кај сите е-сервиси на Министерството за финансии. Меѓу нив е и оној на е-аукции, каде што е неопходно корисникот да се логира со имејл и лозинка.

Една петтина од сајтовите на Агенциите се без безбедносен сертификат. Слична е состојбата и кај сајтовите на другите органи на државната управа, јавни претпријатија и општини.

Проблемот не е само во немањето пари, затоа што има и бесплатни сертификати, каков што впрочем за својот сајт користеше македонската влада. Нивното отсуство, колку и тие да се маргинален проблем во сајбер-просторот, е добар показател за посветеноста на државата кон овој проблем.

Или како што ќе забележи Спировски, тоа покажува каква е „сајбер-хигиената“ во една институција.

„Ова е многу базичен индикатор на вниманието што го посветуваат. Ако не знаеш да се исчешлаш пред да излезеш од дома, па што друго не знаеш да направиш?  Ако (сертификатите) ги гледаме само како индикатор на основното ниво на сајбер-хигиена, тогаш прашањето е: што друго не знаат да направат?“.