Ит Лидери

Пробита ли е системата БАЦИС – въпроси и отговори

Computer World

                                                                                                                                                                      Иван Гайдаров

Твърденията, че в БАЦИС (Българската aкцизна централна информационна система) са създадени условия за манипулиране и заличаване на данни с цел набавяне на финансова облага или директна измама с акцизни стоки, са напълно несъстоятелни. Подобни действия биха изисквали промяна на данните не в една, а в няколко системи на Агенция “Митници”, както и в системата на НАП. Това се казва в позиция, изпратена до медиите от Горан Ангелов, управляващ Консорицум ДЗЗД “Айдом и Ай Би Ес” и управител на IBS България, относно разразилия се през последната седмица скандал, свързан с твърдения за пробиви в акцизната система на Агенция “Митници”.

По време на скандала в редица медии, включително национални телевизии, беше тиражирана информация за уязвимост на системата, която е довела до изтриването на 300 000 транзакции. Под въпрос бяха поставени и нивата на сигурност на платформата, като дори се коментираше, че БАЦИС се достъпва с една и съща парола от всички потребители, като това може да стане дори през….Skype.

Спецификации на системите БАЦИС и ИСКГ

Системата БАЦИС е изградена на базата на обществена поръчка, спечелена от Консорицум ДЗЗД “Айдом и Ай Би Ес” през 2012 г. по ЗОП "Изграждане на Българска акцизна централизирана информационна система (БАЦИС) за Агенция "Митници" и изграждане на Информационна система "Контрол на горивата" за НАП". Общата сума на договора е 4,4 милиона без ДДС, от които около 1,9 милиона за доставка на харудер, комуникационно оборудване и лицензи, предназначени да изградят инфраструктурата на системата. Договорът е сключен за 5 години, като периодът включва и гаранционната поддръжка на системите.

БАЦИС

БАЦИС интегрира и надгражда 3 вече съществуващи към онзи момент информационни системи на Агенция “Митници” - СУА (Система за управление на акцизите на национално ниво), EMCS (Система за контрол на движението на стоки в режим отложено плащане на акциза в ЕС) и Информационна система “Измервателни устройства”. Към последната са свързани и т.нар. ИКУНК - контролни индустриални компютри със специално предназначение да събират и изпращат информацията от измервателните уреди, монтирани в данъчните складове. На практика ИКУНК представлява затворена специализирана индустриална система, подчинена на строго регулиран процес на внедряване, включваща дейност на интегратор и митнически служител, като за достъпа и на двамата е нужен електронен подпис, обяснява Горан Ангелов, управляващ консорциума, спечелил поръчката. 

Освен надграждането и интеграцията на текущите системи, консорциумът създава и нови 15 допълнителни модула. Към днешна дата БАЦИС представлява единна интегрирана платформа, която обединява всички системи в акцизната област - тютюневи изделия, енергийни продукти и алкохол.

Информационна система "Контрол на горивата" (ИСКГ)

Другата система, обект на обществената поръчка, е Информационна система "Контрол на горивата" (ИСКГ), която привежда в действие промените в нормативната уредба по отношение на проследяването на веригата на доставки на горива за потребление от лятото на 2013 г., според които е необходимо всеки регистриран в Агенция “Митници” е-АДД (електронен Акцизен Данъчен Документ) за петролни продукти, както и всяка декларация за внос на същите от Българската интегрирана митническа информационна система (БИМИС), да се репликират в близко до реално време от Агенция "Митници" в системата на НАП. В самата ИСКГ е създаден модул за деклариране, в който всички търговци на горива са длъжни да декларират всяка сделка и да регистрират всяко получаване на горива. С изграждането на БАЦИС и ИСКГ е реализирано свързване в реално време на данните и процесите в Агенция "Митници" и НАП по отношение на интегрирания контрол на събираемостта на акцизите и ДДС при търговията с горива.

Всеки голям проект се нуждае от процес за управление. В случая се използва формален процес - Rational Unified Process, определен от възложителя. Фазите, през които преминахме бяха Планиране, Анализ, Изграждане и Предаване в две итерации. В конкретния случай най-важно при изграждането беше съобразяването на общата архитектура на системата. Сроковете бяха невъзможни и се наложи да сформираме 9 екипа, които работеха по отделните модули. Установяването на общи стандарти и сервизи за интеграция беше от най-висок приоритет. Що се отнася до поддръжката на подобна комплексна система - имахме успех, след като с Агенция “Митници” установихме процес по предварително планиране на всички нови версии по модули с относително кратки итерации от около 2 седмици”, коментира за computerworld.bg Горан Ангелов. 

По думите му процесът на работа по двете платформи е преминал в два основни етапа - “Изграждане и въвеждане на системата в експлоатация” и “Непрекъсната промяна и усъвършенстване”. Етап две бе изключително интензивен. Ангажиментите ни в ганрационния период включваха и всички нормативни изменения, касаещи системата. Лично според мен ЗАДС и нормативанта уредба, свъразана с него, са най-променяните норми в българското законодателство. Като добавим и промените, налагани по линия на ЕК, Етап 2 наистина беше сериозно предизвикателство”, добави Ангелов.

Обвиненията

Той отговори и на обвиненията, че нивата на сигурност на системите са занижени.

БАЦИС се използва ежедневно от стотици служители на Агенция “Митници” и хиляди представители на икономическите оператори. Обемът транзакции е значителен не само като брой и вид, но и като съдържание на информацията, която се обменя между бизнеса и агенцията. Пример за това е Електронния данъчен документ - е-АДД - чийто обем варира от десетки килобайти до няколко мегабайта в зависимост от броя декларирани стоки и приложенията, които са необходими в процеса. Предизвикателство е не само да се гарантира факторът сигурност, но и стабилността и производителността на системата независмо от режима на работа и натоварването. В рамките на проекта съвместно с колегите от Агенция “Митници” сме приложили множество решения, за да осигурим успешно и трите фактора”, обясни управителят на IBS България.

Горан Ангелов е категоричен, че тиражираните информации за изтрити документи, лесен достъп и хакерски пробиви не отговарят "в никаква степен" на истината. Практически подобно нещо е невъзможно да се осъществи без да спре изцяло да функционира системата. Информацията се разпространява на толкова много места и така е обвързана, че дори изтриване или модифициране само на един документ би довело до проблеми, които ще възпрепятстват работата ѝ”, обясни в своята позиция Ангелов и добави, че БАЦИС никога не е била обект на каквито и да било кибер престъпления, било то чрез вътрешна или външна намеса.

Относно обвиненията за ниски нива на защита и лесна достъпност на БАЦИС, той заяви, че всички потребители на системата могат да влязат в нея само чрез Квалифициран електронен подпис (КЕП) и ПИН код, което е стандарт в Агенция “Митници”.

Оперирането на ниско ниво при системна администрация на операционни системи и базов софтуер е допустимо да става чрез автентикация на администратор с потребителско име и парола. БАЦИС е централизирана уеб-базирана система, състояща се от множество интегрирани модули, като тези от тях, които се виждат в интернет, са отделени от вътрешните, както логически, така и мрежово. Самата мрежова инфраструктура в Агенция “Митници” е реализирана като трислоен зонов модел, тоест най-външният слой сървъри, няма достъп до вътрешните, където на практика работи БАЦИС”, се казва в позицията на консорциума.

Във връзка с твърденията, че поради несъвършенствата на БАЦИС камионите минават свободно през границата, а танкери се разтоварват безконтролно, Горан Ангелов обръща внимание, че акцизната система няма функции на гранична, защото в нея се декларира само освобождаването на стоки за потребление или движението в режим на отложено плащане на акциза. “Каквито и разкрития в областта на нереглементирания внос през границата на акцизни стоки да се правят, те не могат и е погрешно да се свързват пряко или косвено с функционирането на тази система”, заявяват от Консорицум ДЗЗД “Айдом и Ай Би Ес”.

Констатациите на ДАНС

В своя доклад, на база на който бяха отправени и обвиненията към изпълнителите на проекта за изграждане на БАЦИС за Агенция "Митници" и на ИС "Контрол на горивата" за НАП, от ДАНС посочват 9 слабости и уязвимости, основно свързани с модула ИКУНК.

В никакъв случай не може да се твърди, че тези слабости застрашават финансовата и икономическа сигурност на държавата. Дори и да допуснем, че данните от ИКУНК могат да бъдат компрометирани, органите на Агенция “Митници” разполагат с допълнителен източник за проверка, а несъответствията няма как да не бъдат засечени от модул “Идентификация на рискови събития” в БАЦИС или при по-задълбочен анализ, чрез изградените аналитични справки към системата”, отговарят на обвиненията от Консорицум ДЗЗД “Айдом и Ай Би Ес”.

Горан Ангелов все пак признава, че възможността всички ИКУНК да се достъпват и администрират отдалечено от служител на Агенция “Митници” с една и съща парола съществува и може да се класифицира като грешка на митническото ведомство, но е категоричен, че това трудно би могло да се определи като заплаха за националната сигурност. Въпросната констатация се отнася до възможността за достъп само през мрежовата среда на Агенция “Митници” с потребителско име и парола по криптиран комуникационен канал до индустриалния компютър (IPC) на ИКУНК за административни функции”, разясни Горанов.

Той отговори и на констатациите, че достъпът до всички ИКУНК в страната се осъществява през свързан с интернет компютър с Windows XP, на който се съхранява детайлна информация за адресния план на ИКУНК, местоположение на собственика и данъчния склад, както и паролата в явен вид, а докато това става, на въпросната работна станция функционират и средствата за масова комуникация като Skype и ICQ. Съгласни сме, че в случая служителят на Агенция “Митници”, ползващ тази работна станция, е нарушил добрите практики в информационната сигурност, но определянето му като заплаха за националната сигурност е твърде пресилено”, гласи позицията на Горанов.

На друго основно обвинение – констатацията на ДАНС, че в операционната система (ОС) на ИКУНК не се водят лог файлове за одит на системни процеси и осъществявани комуникации - от консорциума отговарят така: “Тази констатация не отговаря на фактите. Лог файлове се подържат във всеки ИКУНК и на ниво ОС, и на ниво процес. В противен случай поддръжката на работоспособността на ИКУНК би била невъзможна.”

В крайна сметка Горан Ангелов призова, след разсекретяването на доклада на ДАНС и изясняването на важните аспекти в него, “медийната истерия, подклаждана от спекулативни твърдения на определени лица”, да бъде прекратена.

Опитите за компрометиране в публичното пространство на една от ключовите информационни системи в държавата могат да изпълняват единствено частни корпоративни интереси. Тези опити видимо се правят и с надеждата за извличане на необосновани политически дивиденти. Недопустимо е имената на компанията и консорциума, които ръководя, да бъдат използвани за такива цели. Това е обидно за труда на всички експерти от наша страна, от Агенция “Митници” и НАП, на които всички дължим признателност и уважение за положените многогодишни усилия и успешната реализация на този сложен и важен за държавата проект”, завършва своята позиция управителят на IBS България.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X