“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  ƒискусии  •   ариерна зона  •  —ъбити€
COMPUTERWORLD | ≈-администраци€
24 €ну
2018
 
 

ѕробита ли е системата Ѕј÷»— Ц въпроси и отговори

ќпитите за компрометиране на ключови за държавата информационни системи изпълн€ват единствено частни корпоративни интереси, категоричен е √оран јнгелов, управител на IBS Ѕългари€

1496 прочитани€

                                                                                                                                                                      »ван √айдаров

“върдени€та, че в Ѕј÷»— (Ѕългарската aкцизна централна информационна система) са създадени услови€ за манипулиране и заличаване на данни с цел набав€не на финансова облага или директна измама с акцизни стоки, са напълно несъсто€телни. ѕодобни действи€ биха изисквали пром€на на данните не в една, а в н€колко системи на јгенци€ “ћитници”, както и в системата на Ќјѕ. “ова се казва в позици€, изпратена до медиите от √оран јнгелов, управл€ващ  онсорицум ƒ««ƒ “јйдом и јй Ѕи ≈с” и управител на IBS Ѕългари€, относно разразили€ се през последната седмица скандал, свързан с твърдени€ за пробиви в акцизната система на јгенци€ “ћитници”.

1

ѕрочетете още: јгенци€ ћитници вече разчита на обща »“ архитектура

ѕо време на скандала в редица медии, включително национални телевизии, беше тиражирана информаци€ за у€звимост на системата, ко€то е довела до изтриването на 300 000 транзакции. ѕод въпрос б€ха поставени и нивата на сигурност на платформата, като дори се коментираше, че Ѕј÷»— се достъпва с една и съща парола от всички потребители, като това може да стане дори през….Skype.

—пецификации на системите Ѕј÷»— и »— √

—истемата Ѕј÷»— е изградена на базата на обществена поръчка, спечелена от  онсорицум ƒ««ƒ “јйдом и јй Ѕи ≈с” през 2012 г. по «ќѕ "»зграждане на Ѕългарска акцизна централизирана информационна система (Ѕј÷»—) за јгенци€ "ћитници" и изграждане на »нформационна система " онтрол на горивата" за Ќјѕ". ќбщата сума на договора е 4,4 милиона без ƒƒ—, от които около 1,9 милиона за доставка на харудер, комуникационно оборудване и лицензи, предназначени да изград€т инфраструктурата на системата. ƒоговорът е сключен за 5 години, като периодът включва и гаранционната поддръжка на системите.

Ѕј÷»—

Ѕј÷»— интегрира и надгражда 3 вече съществуващи към онзи момент информационни системи на јгенци€ “ћитници” - —”ј (—истема за управление на акцизите на национално ниво), EMCS (—истема за контрол на движението на стоки в режим отложено плащане на акциза в ≈—) и »нформационна система “»змервателни устройства”.  ъм последната са свързани и т.нар. » ”Ќ  - контролни индустриални компютри със специално предназначение да събират и изпращат информаци€та от измервателните уреди, монтирани в данъчните складове. Ќа практика » ”Ќ  представл€ва затворена специализирана индустриална система, подчинена на строго регулиран процес на внедр€ване, включваща дейност на интегратор и митнически служител, като за достъпа и на двамата е нужен електронен подпис, об€сн€ва √оран јнгелов, управл€ващ консорциума, спечелил поръчката. 

ќсвен надграждането и интеграци€та на текущите системи, консорциумът създава и нови 15 допълнителни модула.  ъм днешна дата Ѕј÷»— представл€ва единна интегрирана платформа, ко€то обедин€ва всички системи в акцизната област - тютюневи издели€, енергийни продукти и алкохол.

»нформационна система " онтрол на горивата" (»— √)

ƒругата система, обект на обществената поръчка, е »нформационна система " онтрол на горивата" (»— √), ко€то привежда в действие промените в нормативната уредба по отношение на прослед€ването на веригата на доставки на горива за потребление от л€тото на 2013 г., според които е необходимо всеки регистриран в јгенци€ “ћитници” е-јƒƒ (електронен јкцизен ƒанъчен ƒокумент) за петролни продукти, както и вс€ка деклараци€ за внос на същите от Ѕългарската интегрирана митническа информационна система (Ѕ»ћ»—), да се репликират в близко до реално време от јгенци€ "ћитници" в системата на Ќјѕ. ¬ самата »— √ е създаден модул за деклариране, в който всички търговци на горива са длъжни да декларират вс€ка сделка и да регистрират вс€ко получаване на горива. — изграждането на Ѕј÷»— и »— √ е реализирано свързване в реално време на данните и процесите в јгенци€ "ћитници" и Ќјѕ по отношение на интегрирани€ контрол на събираемостта на акцизите и ƒƒ— при търгови€та с горива.

¬секи гол€м проект се нуждае от процес за управление. ¬ случа€ се използва формален процес - Rational Unified Process, определен от възложител€. ‘азите, през които преминахме б€ха ѕланиране, јнализ, »зграждане и ѕредаване в две итерации. ¬ конкретни€ случай най-важно при изграждането беше съобраз€ването на общата архитектура на системата. —роковете б€ха невъзможни и се наложи да сформираме 9 екипа, които работеха по отделните модули. ”станов€ването на общи стандарти и сервизи за интеграци€ беше от най-висок приоритет. ўо се отнас€ до поддръжката на подобна комплексна система - имахме успех, след като с јгенци€ “ћитници” установихме процес по предварително планиране на всички нови версии по модули с относително кратки итерации от около 2 седмици”, коментира за computerworld.bg √оран јнгелов. 

ѕо думите му процесът на работа по двете платформи е преминал в два основни етапа - “»зграждане и въвеждане на системата в експлоатаци€” и “Ќепрекъсната пром€на и усъвършенстване”. ≈тап две бе изключително интензивен. јнгажиментите ни в ганрационни€ период включваха и всички нормативни изменени€, касаещи системата. Ћично според мен «јƒ— и нормативанта уредба, свъразана с него, са най-промен€ните норми в българското законодателство.  ато добавим и промените, налагани по лини€ на ≈ , ≈тап 2 наистина беше сериозно предизвикателство”, добави јнгелов.

ќбвинени€та

“ой отговори и на обвинени€та, че нивата на сигурност на системите са занижени.

Ѕј÷»— се използва ежедневно от стотици служители на јгенци€ “ћитници” и хил€ди представители на икономическите оператори. ќбемът транзакции е значителен не само като брой и вид, но и като съдържание на информаци€та, ко€то се обмен€ между бизнеса и агенци€та. ѕример за това е ≈лектронни€ данъчен документ - е-јƒƒ - чийто обем варира от десетки килобайти до н€колко мегабайта в зависимост от бро€ декларирани стоки и приложени€та, които са необходими в процеса. ѕредизвикателство е не само да се гарантира факторът сигурност, но и стабилността и производителността на системата независмо от режима на работа и натоварването. ¬ рамките на проекта съвместно с колегите от јгенци€ “ћитници” сме приложили множество решени€, за да осигурим успешно и трите фактора”, об€сни управител€т на IBS Ѕългари€.

√оран јнгелов е категоричен, че тиражираните информации за изтрити документи, лесен достъп и хакерски пробиви не отговар€т "в никаква степен" на истината. ѕрактически подобно нещо е невъзможно да се осъществи без да спре изц€ло да функционира системата. »нформаци€та се разпростран€ва на толкова много места и така е обвързана, че дори изтриване или модифициране само на един документ би довело до проблеми, които ще възпреп€тстват работата ѝ”, об€сни в сво€та позици€ јнгелов и добави, че Ѕј÷»— никога не е била обект на каквито и да било кибер престъплени€, било то чрез вътрешна или външна намеса.

ќтносно обвинени€та за ниски нива на защита и лесна достъпност на Ѕј÷»—, той за€ви, че всички потребители на системата могат да вл€зат в не€ само чрез  валифициран електронен подпис ( ≈ѕ) и ѕ»Ќ код, което е стандарт в јгенци€ “ћитници”.

ќперирането на ниско ниво при системна администраци€ на операционни системи и базов софтуер е допустимо да става чрез автентикаци€ на администратор с потребителско име и парола. Ѕј÷»— е централизирана уеб-базирана система, състо€ща се от множество интегрирани модули, като тези от т€х, които се виждат в интернет, са отделени от вътрешните, както логически, така и мрежово. —амата мрежова инфраструктура в јгенци€ “ћитници” е реализирана като трислоен зонов модел, тоест най-външни€т слой сървъри, н€ма достъп до вътрешните, където на практика работи Ѕј÷»—”, се казва в позици€та на консорциума.

¬ъв връзка с твърдени€та, че поради несъвършенствата на Ѕј÷»— камионите минават свободно през границата, а танкери се разтоварват безконтролно, √оран јнгелов обръща внимание, че акцизната система н€ма функции на гранична, защото в не€ се декларира само освобождаването на стоки за потребление или движението в режим на отложено плащане на акциза. “ аквито и разкрити€ в областта на нереглементирани€ внос през границата на акцизни стоки да се прав€т, те не могат и е погрешно да се свързват пр€ко или косвено с функционирането на тази система”, за€в€ват от  онсорицум ƒ««ƒ “јйдом и јй Ѕи ≈с”.

 онстатациите на ƒјЌ—

¬ сво€ доклад, на база на който б€ха отправени и обвинени€та към изпълнителите на проекта за изграждане на Ѕј÷»— за јгенци€ "ћитници" и на »— " онтрол на горивата" за Ќјѕ, от ƒјЌ— посочват 9 слабости и у€звимости, основно свързани с модула » ”Ќ .

¬ никакъв случай не може да се твърди, че тези слабости застрашават финансовата и икономическа сигурност на държавата. ƒори и да допуснем, че данните от » ”Ќ  могат да бъдат компрометирани, органите на јгенци€ “ћитници” разполагат с допълнителен източник за проверка, а несъответстви€та н€ма как да не бъдат засечени от модул “»дентификаци€ на рискови събити€” в Ѕј÷»— или при по-задълбочен анализ, чрез изградените аналитични справки към системата”, отговар€т на обвинени€та от  онсорицум ƒ««ƒ “јйдом и јй Ѕи ≈с”.

√оран јнгелов все пак признава, че възможността всички » ”Ќ  да се достъпват и администрират отдалечено от служител на јгенци€ “ћитници” с една и съща парола съществува и може да се класифицира като грешка на митническото ведомство, но е категоричен, че това трудно би могло да се определи като заплаха за националната сигурност. ¬ъпросната констатаци€ се отнас€ до възможността за достъп само през мрежовата среда на јгенци€ “ћитници” с потребителско име и парола по криптиран комуникационен канал до индустриални€ компютър (IPC) на » ”Ќ  за административни функции”, раз€сни √оранов.

“ой отговори и на констатациите, че достъпът до всички » ”Ќ  в страната се осъществ€ва през свързан с интернет компютър с Windows XP, на който се съхран€ва детайлна информаци€ за адресни€ план на » ”Ќ , местоположение на собственика и данъчни€ склад, както и паролата в €вен вид, а докато това става, на въпросната работна станци€ функционират и средствата за масова комуникаци€ като Skype и ICQ. —ъгласни сме, че в случа€ служител€т на јгенци€ “ћитници”, ползващ тази работна станци€, е нарушил добрите практики в информационната сигурност, но определ€нето му като заплаха за националната сигурност е твърде пресилено”, гласи позици€та на √оранов.

Ќа друго основно обвинение – констатаци€та на ƒјЌ—, че в операционната система (ќ—) на » ”Ќ  не се вод€т лог файлове за одит на системни процеси и осъществ€вани комуникации - от консорциума отговар€т така: ““ази констатаци€ не отговар€ на фактите. Ћог файлове се подържат във всеки » ”Ќ  и на ниво ќ—, и на ниво процес. ¬ противен случай поддръжката на работоспособността на » ”Ќ  би била невъзможна.”

¬ крайна сметка √оран јнгелов призова, след разсекрет€ването на доклада на ƒјЌ— и из€сн€ването на важните аспекти в него, “медийната истери€, подклаждана от спекулативни твърдени€ на определени лица”, да бъде прекратена.

ќпитите за компрометиране в публичното пространство на една от ключовите информационни системи в държавата могат да изпълн€ват единствено частни корпоративни интереси. “ези опити видимо се прав€т и с надеждата за извличане на необосновани политически дивиденти. Ќедопустимо е имената на компани€та и консорциума, които ръковод€, да бъдат използвани за такива цели. “ова е обидно за труда на всички експерти от наша страна, от јгенци€ “ћитници” и Ќјѕ, на които всички дължим признателност и уважение за положените многогодишни усили€ и успешната реализаци€ на този сложен и важен за държавата проект”, завършва сво€та позици€ управител€т на IBS Ѕългари€.

Ќј…-Ќќ¬» Ќј…-„≈“≈Ќ» ѕ–≈ѕќ–Џ„јЌ»

—лайдшоу
»Ќ“≈–¬ё
—ергей Ѕелоусов, Acronis: ќтвар€ме развоен център в —офи€—ергей Ѕелоусов, Acronis: ќтвар€ме развоен център в —офи€

—ингапурски€т специалист в областта на архивирането, възстанов€ването и защитата на данни създава свой гол€м инженерингов център в —офи€, в който до 2-3 години тр€бва да работ€т над 200 високовалифицирани специалисти. “ова об€ви главни€т...

ѕ–»Ћќ∆≈Ќ»я
јЌ ≈“ј

 акво мислите за FireFox OS?

»нформаци€ за ¬ас