ИНТЕРВЮ НА МИЛА ГЕШАКОВА ЗА "24 ЧАСА"

Хакерите на НАП - или анархисти на ХХI в., или гонят меркантилна цел

- Хакнаха НАП, последва опит, но безуспешeн, да хакнат Комисията за защита на личните данни. Онзиден пък научихме, че измамници се възползват от ситуацията и се опитват да крадат пароли от банки чрез имейли. На какво да отдадем хакерската активност в горещото лято, г-н Безлов?

- Не знам дали точно сега има пик, или е някакъв висок сезон в България за хакерските атаки. Преди седмица Ай Би Ем публикува изследване, че през последното 6-месечие има удвояване на кибератаките в развитите страни към индустриални предприятия в сравнение със същия период на 2018 г.

За България обаче има твърде малко реални данни, за да се направи смислена оценка. Според националните представителни проучвания за последните 2 г. проблемът изглежда относително малък. Около 0,5% от населението твърди, че е било жертва на злоупотреба с кредитни карти или банкови данни в интернет за годината и 2,5% - че са били жертва на хакване, свързано с личен профил в социална мрежа или електронна поща.

Безпрецедентното “хвърляне на данни на НАП на улицата” обаче изведнъж направи тази тема много голяма, защото засегна всички. Въпреки известното изоставане от развитите страни този проблем в България нарастваше с годините - чувахме за фирми, че други са използвали техни данни, имаше и лични данни, които изтичаха през подписки за партии и референдуми и т.н. И във времето някак си не обръщахме внимание, че еди-кои си банки са атакувани от вируса Х или че зловреден софтуер е засегнал еди-какъв си процент от компаниите и т.н.

- Обвинени за хакерската атака са трима от “ТАД Груп”, която професионално се занимавала с бяло хакерство, но според прокуратурата те имали и поръчители. Какви са вашите версии?

- Трудно може да се прецени каква е реалната ситуация, защото чуваме само едната страна, а не и обвинените. За около месец след появяването на данните от НАП в медиите бяха пуснати различни легенди как е отключен компютърът на Бойков. Първата бе, че са използвали СРС в офиса на фирмата и така са получили паролата. Втората, че са взели записите от камера на турски ресторант и така са успели да видят как се въвежда паролата. Последната е, че използвали записите на камерите за сигурност на “ТАД Груп”, които имали микрофони. Така че не бива да се бърза с изводите. Безспорно, е, че има запис от камера в офиса. От видяното и чутото обвинените за кибератаката от въпросната фирма са поставени в много трудна ситуация.

- Ако ТАД се е занимавала с киберрекет, защо ще пуска данните от НАП да се реят свободно в мрежата? За мен поне това означава, че търсят трибуна, от която да се потупат гордо по гърдите, че са стигнали до данни на 5 млн. души. Не е ли доста непрофесионално?

- Отново трябва да кажем, че знаем твърде малко реални факти. Ако търсим някаква мотивация, има различни обяснения. Например първото е, ако се изсипят такова огромно количество данни, държавните институции и частните фирми ще започнат да харчат много повече за информационна сигурност и клиентите ще нараснат експоненциално.

Другата смислена версия е, че извършителите може да имат някаква версия на анархистична идеология - да си спомним за анархистична групировка от края на XIX и началото на XX век. Идеята там е да предизвикаш криза в държавата и от тази гледна точка терористичният акт е съвсем нормален инструмент. В този смисъл кибератентатът срещу обикновения български гражданин прилича на нещо подобно на терористичния акт в анархистичната идеология с цел да предизвикаш политически сътресения. Използването на данните за икономическа лична изгода на тези хора им е изглеждало неморално. Но това е просто едната интерпретация. Прави впечатление, че осъществилите това изсипване на данни изглежда не са знаели какво точно има във файловете. Те не са направили опит да обработят и осмислят онова, до което са се добрали от данните в НАП.

Между другото мнозина, които са започнали да разглеждат какво има в “пуснатите” данни от НАП, до момента, са се ориентирали само частично в тях. Работилите с тези данни, които ги коментираха досега, попадаха в различни капани - брояха едни и същи записи по няколко пъти, бъркаха ги с други и т.н. Данните трябва да бъдат реконструирани, но ако не познаваш добре информационната система на НАП, може дълго да гадаеш кое какво е.

Имам доста повърхностна представа за това, което има в данните, защото съм им отделил сумарно няколко часа за разглеждане. Но от това, което видях, трябват няколко месеца работа, при това не само на квалифицирани хора с умения далеч над това да работят с големи бази данни, но и на такива, които познават много добре българския икономически и политически контекст.

Ако се върнем на авторите на пуснатите данни от НАП, тяхното поведение ми напомня на действията на пусналите данни от т. нар. “Офшорлийкс”. Предполага се, че зад хакването на данните там седи някоя от големите западноевропейски разузнавателни служби и данните бяха дадени съзнателно на няколко големи и авторитетни световни медии. Те формираха добре подбрани коалиции от журналисти, които да направят разследвания в страните си. Тези световни медии не си позволиха да пуснат безразборно в публичното пространство личните данни на хората, въпреки че ставаше дума за богати хора, вероятно нарушили закона.

У нас обаче се случи настина анархистично изпълнение - българските медии направо публикуваха линковете с файла и вероятно хиляди хора са източили тези данни. Така личните данни на обикновени хора без никаква вина станаха публични, включително такива на огромен брой починали хора.

- Твърдите, че служители на НАП продават масиви от данни. Това само предположение ли е?

- Казах, че служители от публични институции, включително от НАП, си позволяват да продават данни, и то от много години - хора около мен имат опит от началото на 90-те. Ако се вгледаме в самите данни, които изтекоха, е видимо, че това, изглежда, са заявки, правени от хора, които имат достъп до базите на НАП и са трупани някъде. В изтеклите файлове има необяснимо количество данни, които са извадени от базите на НАП - например тези данни на около 5 млн. граждани. Защо му е на някой служител да вади тези данни от сървъри, които публичните институции ползват при своята работа?

Иначе ми прави впечатление, че в голяма платена база за икономическа и финансова информация данните за фирмите се различават от информацията в търговския регистър, която е публично достъпна, и съвпадат с данъчните им декларации. Мога да дам и други конкретни примери за изтекли данни, но предпочитам да се въздържа заради правния риск. Според мен изтичането на данните, за което сега се твърди, че ТАД са отговорни, е било невъзможно без тези служители, които са трупали някъде резултатите от тези заявки, получени от сървърите на НАП. В този смисъл е важно да се потърси кой всъщност е направил това и защо (може да са служител/и в други публични институции).

Едва ли обаче има голяма институция или компания, която да каже, че никога не е попадала на хакнати данни. Мога да припомня един ироничен случай, който стана медиен и няма как да се оспори. Навремето едно от нещата, които се случиха веднага, след като сегашният ни премиер Борисов стана главен секретар на МВР, бе, че десетки служители на МВР проверяваха какво има в масивите на министерството за новия им секретар и справката попадна в медиите. Тогава в МВР бе направен опит по логовете на сървърите да се види кой е правил тези заявки. Това показа само парченце от проблема в МВР - много служители продаваха информация, включително на фирми и на криминални лица.

Какви ли не случаи имаше през годините - справки, попаднали в криминалния контингент от Гранична полиция, справки от ЕСГРАОН и т.н. Това сложи началото на усилието да се ограничи този проблем. На служителите стана ясно, че ако правиш справки, трябва да може да обясниш защо ги правиш. Проблемът с изтичане на информацията не е решен, но безспорно има въздържане. За съжаление, моят опит с другите публични институции показва, че тези процедури за контрол и последици за хората, които си позволяват да гледат данни извън тяхната компетентност, са доста по-неразвити. Надявам се, че изтичането на данни от НАП ще доведе до промяна на вътрешната култура и на контрола.

- Има ли други институции в годините, от които да са изтичали данни?

- Има много примери, но няма скандали и съответно не се коментират. За съжаление, освен липсата на вътрешен контрол, проблем е и частният сектор, който плаща за публични данни, защото му спестява много пари.

Една от особеностите на българската среда е, че имаме огромно количество публични данни, включително и лични, които са леснодостъпни, примерно чрез Търговския регистър. Например, можете да намерите ЕГН-то на всеки собственик на фирма в България, сигурно 1/3 от населението на страната е участник в някакви регистрации на фирми, дружества и т.н. При това можете да намерите личната информация относително лесно, защото СИЕЛА, АПИС, ДАКСИ дават възможност на човек без особени технически умения лесно да търси в тези огромни масиви от данни. За сравнение, в Западна Европа имате достъп до такива данни, но той е много скъп. Могат да си го позволят само много богати компании и институти.

- Въпреки успокоенията, че течът на лични данни нямало да има последствия за обикновения човек, чувам за големи опашки от хора, които искат да подновят личните си карти. Други се страхуват да не изгубят парите си в банки, имотите си, колите си. Има засечени опити за теглене на бързи кредити с чужди данни. Доколко такива практики може да се разраснат?

- Опасност винаги е имало, просто сега това усещане като че ли се изостри. Знаете какво огромно количество дела за откраднати имоти има в момента по съдилищата - като се започне от ниви и апартаменти и се стигне до големи чужди компании. Но за да се извърши това престъпление, се изисква някаква криминална инфраструктура - нотариуси, съдебни изпълнители, дори съдии, готови да се включат в измамата. Ако си спомняте, навремето имаше случай на съдия от Административния съд в Бургас, който беше направил огромни прехвърляния на имоти към своята майка. Имаше примери и с прокурорски семейства. Така че използването на лични данни и такива на фирми е много стара практика.

- По-голям ли е рискът сега?

- Както стана дума, все още не сме разбрали и осмислили какви данни са изтекли и съответно какви са рисковете и от какъв вид са. Но няма как някой да изтегли пари от банка само с личната ви карта или да прехвърли апартамента ви само с номера на ЕГН-то ви. Все пак вие трябва да присъствате в банковия офис или при нотариуса и дори минималният контрол би трябвало да е проблем, за да има някой възможност да източи пари от вашата сметка. За жалост, това го има при криминални деяния. Нека припомним, че в банка стана измамата за 3 милиона с нашия футболен национал Мартин Петров. Никой няма точна представа за мащабите на измамите, защото финансовите институции и фирмите предпочитат да пазят мълчание заради репутацията си. А и всеки има сред своя приятелски кръг или “балона”, както му викаме вече, примери за измами.

Тук въпросът е да опитаме да оценим какъв е рискът. Според мен май вече не е толкова голям, но вече по друга причина. Криминалният контингент, който в момента се занимава с този тип измами, не е много голям. Техният подход обикновено анализира физически обект, а вижда примерно възрастни хора с проблеми, с имоти, и извършва операцията, използвайки наличната си криминална инфраструктура. Но тези мрежи имат определен капацитет и той не може много да се разшири.

Включването на различен криминален контингент като че ли също е ограничено. Ако погледнем всички проверими данни в годините, ще установим значим срив в активността на криминалните лица. Дали причината е икономическата ситуация, емиграцията, демографията, не е ясно.

Един класически пример за всеки, който е бил потърпевш от имотна измама, е кражбата на коли. В края на 90-те години и началото на XXI век имаше по 17-18 хил. кражби на коли годишно, докато сега са под 2000. Хората не са станали 7-8 пъти по-малко, нали? Подобна е ситуацията и с любимата тема за акцизните стоки, най-често цигари и алкохол, също и ДДС измамите. Очевидно активността на контингента спада и няма как изведнъж да се появят хора, които да извършат няколко пъти повече измами през следващата година. Възможно е да се използват групите за имотни измами, но не мисля, че ще има рязък бум.

- Позната юристка сподели, че с малко усилие е възможно с данни от теча да се прониква в регистрите на всички институции. Какъв ще е ефектът, защото, щом регистрите ни са толкова незащитени, не е ли по-добре да нямаме и електронно правителство, за което наливаме по 5 млн. годишно?

- Няма как да си седим в каменната ера. Така или иначе свикнахме да нареждаме банкови сметки, да плащаме сметки за вода, ток, телефони, да теглим пари и да прехвърляме заплати по електронен път. Е, може и да не правим тези усилия. Но ако се върнем към кеш администрирането, ще се редим на опашки, ще тичаме час по час до касите на банките и т.н. Тук въобще не коментираме различните възможности за наистина радикално подобряване в сфери като здравеопазването или образованието.

Глобално светът върви към все повече виртуални услуги. Дали ще пазаруваме онлайн, или ще кликваме върху банковата си сметка и ще извършваме преводи и плащания, според мен е въпрос на конкурентоспособност. А щом сте на няколко клика от прехвърлянето на няколко хиляди лева, същото може да бъде направено с данните ви от друг човек или от криминални структури и чужди служби.

Миналата седмица от “Кепитъл уан” бяха откраднати данните на 100 млн. американци и на 6 млн. канадци. Преди 2-3 седмици не знам колко терабайта данни бяха откраднати от руските спецслужби. Знаете, че около 100 милиона профила от фейсбук бяха използвани в изборите в САЩ. Това донесе глоба от 5 млрд. долара за “Фейсбук”. “Гугъл” затвори услугата си “Гугъл плюс” и една от причините беше рискът от изтичане на лични данни. През цялото време чуваме за загуби на финансови данни от банки и от големи онлайн търговци. Това е реалността! Част от бъдещето е свързано също и с кибервойните, които вървят поне от десетилетие. Не искам да влизам в темата за гигантските ресурси, които страни като САЩ и Китай отделят за създаване на инструменти за тези кибервойни и които се оказаха в криминални мрежи.

- Как ще се развие кибертероризмът у нас?

- Не можем да очакваме чудо и нашата малка и немного интересна кошарка да се превърне в особено интересна за суперсилите в кибервойна. Но аз съм убеден, че големите чужди разузнавателни служби нямат проблем да получат нашите публични данни, независимо дали чрез служители в нашите институции, или чрез пробиви в нашите информационни системи.

CV

Тихомир Безлов е магистър по философия и немска филология от СУ “Свети Климент Охридски”. Има следдипломни квалификации в СУ и Университета на Лайпциг

Старши анализатор в Центъра за изследване на демокрацията

Автор е на редица доклади и социологически изследвания

Следи отблизо процесите в организираната и конвенционалната престъпност, корупцията и контрабандата