Общините подценяват изискванията за киберсигурност


Кибер защитата е дело на всички – атаките не признават нито общински, нито национални граници и споделянето на информация и сътрудничеството е от изключително значение. Това заяви Петър Кирков, директор на дирекция „Мрежова и информационна сигурност“ в Държавна агенция „Електронно управление“ по време на онлайн среща на тема „Киберсигурност в общините – мерки, политики и добри практики“.

ДАЕУ участва в множество международни инициативи, в които европейските страни споделят информация на оперативно, техническо и политическо ниво. Практиката показва, че много често компрометирани системи от една държава се използват със същата цел в друга държава. Именно в подобни ситуации, обменът на информация и добри практики е много важен за взимането на правилните решения, подчерта Кирков. Той обяви, че в момента на европейско ниво, се дискутира Директива за мрежова и информационна сигурност 2 (МИС 2), която хармонизира изисквания в целия ЕС. В нея се отбелязва, че един от секторите, в които ще се следи за спазване на тези изисквания е държавната администрация. В България тези изисквания вече са факт и са включени в Закона за киберсигурност и в Наредбата към него, подчерта той. Кибер престъпниците непрестанно подобряват своя арсенал, и ние също трябва да се подобряваме. Това е новата студена война.

Трябва да сме така защитени, че да можем да възстановим функционалността на системите, които са били атакувани и след всяка една подобна атака, да си научаваме уроците. Ние сме органът, който проверява спазването на тази Наредба. При проверките установяваме, че политиката за киберсигурност в много организации е направена проформа и изисквания не се спазват. Апелът ни е – не гледайте на изискванията за МИС като на някаква формалност. Ние не сме врагът, идеята е да бъдете защитени и ДАЕУ е готова да ви помогне, заяви Петър Кирков. Той призова общините да се възползват от услугата на ДАЕУ за разработване на т.нар. федерирани уеб сайтове, които отговарят на всички изисквания за защитени портали. Те се хостват на Държавния хибриден частен облак, с цялата защита на облака, като контрола на съдържанието е изцяло на съответната администрация. Бюджетът за киберсигурност винаги е твърде много до момента, в който стане силно недостатъчен, обобщи Кирков.
На онлайн дискусията присъстваха Борислав Панайотов, директор на дирекция „Информационни технологии“ в Столична община, Мирослав Беляшки, началник на отдел „Канцелария на кмета и Протокол“ в община Пловдив и Мирослав Стефанов, експерт по киберсигурност в ДАЕУ, които споделиха проблемите и предизвикателствата, които срещат общините в България и как налагат политиките в областта на киберсигурността.
Борислав Панайотов – Вече втора година в Столична община има ресор „Дигитализация и иновации“, а целта е да се ускорят процесите на дигитализация и подобряване на обслужването на гражданите. Спазвайки всички нормативни изисквания на Закона за киберсигурност и Наредбата за минималните изисквания за мрежова и информационна сигурност въвеждаме най-добрите световни практики за обезпечаване на киберсигурността. Имаме одобрена политика по МИС в общината, в която са разписани всички отговорности и процеси. Стараем се, доколкото това е и финансово възможно, да въвеждаме всякакви технически мерки за осигуряване на кибер защита, за закупуване на устройства за защита от DDoS атаки, които са популярни в момента. Към нас са всички общински болници, училища, детски градини, системата за градски транспорт, системи за управление на трафика, които са критична инфраструктура. Извършваме пенетрейшън тестове, с които проверяваме системите за уязвимост. Следвайки Закона за киберсигурност и Наредбата, всяка администрация трябва да има служител или звено по МИС, които да налагат политиките и да следят за тяхното спазване. Тези хора трябва да са компетентни в областта на киберсигурността и да познават процесите в съответната администрация. Такива експерти трудно се намират, още по-трудно е да получат добро възнаграждение, което е проблем за администрацията. Общините са едни от най-големите консуматори на лични данни в държавата и не е необходимо да ги изискват от гражданите. Моят съвет е – внимавайте, когато поучавате имейл от община, в който искат да предоставите лични данни.
Мирослав Беляшки – Похвална е кампанията на ДАЕУ, с различни инициативи на тема киберсигурност, защото най-важно е хората да бъдат информирани. Така се заостря вниманието към това да бъдем отговорни, когато сме онлайн. Общинските администрации участват активно в процеса на дигитализиране на всички услуги и без тях, електронно правителство не може да има. За да има доверие към е-управлението и е-услугите, сигурността е на първо място. Киберсигурността е един от основните елементи на системата за национална сигурност. Цялата информация вече е онлайн и трябва да бъде добре защитена. Община Пловдив има разписани политики за защита на информацията. Важно е да се провеждат обучения, защото най-силното, но и най-слабото звено е човекът. Не случайно, социалното инженерство се насочва точно към най-слабите места. Обученията ще са гаранция за по-високо ниво на киберсигурност. Отговорността на съхраняваната информация в общините е голяма и тя е на кмета. В момента сме на етап на разработване на общинската стратегия за дигитална трансформация и съществена част от нея е киберсигурността.

Мирослав Стефанов – Работим по Наредбата за мрежова и информационна сигурност и това е непрекъснат процес, който се опитваме да подобряваме. Националният CERT център към ДАЕУ, който се разширява с нови и компетентни хора, ще помага на общините с препоръки и насоки. Той е точката за контакт в ДАЕУ, към който всички организации и структури, които попадат в обхвата на Закона за киберсигурност трябва да докладват за възникнал инцидент в рамките на два часа по имейл или телефон. Има ли слаба точка, тя ще бъде атакувана. При кибер атака, кметовете са тези, които носят цялата отговорност. Може да се стигне и до наказателна отговорност, особено ако има изтичане на лични данни. Работата ми с общините показва, че много от тях не разпознават тази отговорност. Искам да обърна внимание на нещо много важно – първо трябва да се мисли за архитектурата на киберсигурността и едва след това да се пристъпва към изграждане на нови системи./КРОСС/