Ще успеят ли администрациите да покрият минималните изисквания за мрежова информационна сигурност

/КРОСС/ „Нивото на защита на информационните системи в някои от ведомствата в страната е високо, но все още има какво да се желае. Няма как да се каже, че 100% системите са гарантирани в сферата на киберсигурността. Въпреки че явно в НАП е допуснат пропуск, това не означава, че в там никой по никакъв начин не се е грижил за сигурността на системата". Това каза пред БНР Васил Грънчаров, директор на дирекция „Мрежова информационна сигурност" в Държавната агенция „Електронно управление".

Грънчаров подчерта, че администрациите у нас са 640 и за да се правят редовни проверки на системите им, държавната агенция трябва да разполага с поне 5000 служители, които да се занимават с контрола, но реалният им брой днес е под 15.

„Преди седмица Министерският съвет прие изцяло нова наредба за минимални изисквания за мрежова информационна сигурност. Тези изисквания са насочени към всички групи, субекти по закона. Регламентирани са организационни, технически и технологични мерки, с които да се гарантира минимално ниво на сигурност", уточни Васил Грънчаров.

В предаването „Преди всички" с коментар по темата се включи и експертът по електронно управление Венцислав Кожухаров:

„Относно наредбата - като препоръка е добра. Но за реализирането ѝ са необходими ресурси за тези над 600 администрации - финансови и човешки. Темата за киберсигурността е твърде нова, а подготвените кадри за нея са твърде малко".

Експертът припомни, че до 2017 година информационните системи на администрациите са били разделени и не е имало оперативна съвместимост между тях. През 2018 година обаче тези системи се свързаха и в автоматичен режим обменят данни и електронни документи:

„Всяка една от тези над 600 администрации се явява като една потенциална опасна точка за пробив. Опасностите са две - първо, опасност за самата администрация и второ, да се пренесе вирусната атака към останалите администрации, ако не са защитени добре".

Венцислав Кожухаров подчерта, че трябва да се правят автоматични периодични архиви на базите данни и бекъпи на системите, които се използват, и то в среда, изнесена от физическото пространство на самата администрация:

„Една от причините, за да могат да се разбиват данни през услугите, това е сигурността на идентификацията на потребителите. НАП има персонален идентификатор на физическите лица. Подобен идентификатор имат НОИ, НЗОК, но те нямат онази защита, която има електронният подпис. От години говорим, че трябва да се направи интеграция на документа за самоличност на гражданите с неговия електронен подпис и с него да се идентифицира в киберпространството, когато заявява електронни услуги".