Доклад за състоянието на националната сигурност на Република България

2.9. Киберсигурност

Стратегията за кибер сигурност „Киберустойчива България 2020 г.“ бе разработена от работна група, създадена със Заповед № Р-116 от 20 май 2015 г. Подготовката на стратегията за киберсигурност бе обсъдена на заседание на Консултативния съвет за национална сигурност при президента на републиката на 14 април 2016 г.. Стратегията бе приета с Решение № 583 на Министерския съвет от 18 юли 2016 г.Стратегията изразява колективния ангажимент и отговорност на всички заинтересовани страни и волята на ръководството на Република България да осигури модерна рамка и стабилна среда за развитие на национална система за кибер сигурност и постигане на отворено, безопасно и сигурно киберпространство за българските граждани и бизнес, държавното управление и международните ни ангажименти. В нея кибер сигурността се разглежда като неделима част от националната сигурност. Моделът за изграждане и функциониране на националната система за кибер сигурност следва заложените принципи в Закона за управление и функциониране на системата за защита на националната сигурност (ЗУФСЗНС), както и поетите международни ангажименти към ЕС, НАТО и други партньорски организации. Съгласно приетите изменения и допълнения на Закона за отбраната и въоръжените сили на Република България, (обн. в ДВ бр.98/09.12.2016 г.), на българските въоръжени сили бяха възложени нови задачи по поддържане и развитие на способности за киберотбрана, а Стационарната комуникационна и информационна система (СКИС) беше определена за формирование за киберотбрана на системата за командване и управление. Подписан беше нов Меморандум за разбирателство в областта на киберотбраната между Република България и НАТО (РМС № 689/18.08.2016 г.), което е следваща стъпка в развитието на механизма за сътрудничество и взаимодействие с Алианса, включително за изграждане на съвместни способности и защита от кибер атаки, повишаване на ситуационната осведоменост и координиране на усилията в областта на обучението, квалификацията и съвместните учения. Съгласно терминологията, използвана в Националната стратегия за кибер сигурност „Кибер устойчива България 2020“ кибер сигурността, обхваща три стълба – мрежова и информационна сигурност (МИС), правоприлагане и кибер отбрана. В Стратегията се посочва, че МИС е фундамент на кибер устойчивостта. Сферата на компетентност на Държавна агенция “Електронно управление“ е на МИС.

През 2016 г. са осъществени действия по: въвеждане на минимални изисквания към системите за сигурност на държавни и частни организации, използващи интернет; придобиване и анализ на информация за уязвимости на информационни системи, свързани с обекти от критичната инфраструктура на Република България; установяване на кибератаки срещу частни и държавни юридически лица и различни ведомства, както и по разкриване на използвани механизми за комплексни кибератаки от различни типове срещу ресурси на банки и финансови институции; оказване на методическа помощ на служители, отговарящи за информационната сигурност на държавните ведомства, с цел даване на препоръки за отстраняване на установени слабости в изградените информационни системи и мрежи. Създадени са механизми за тясно сътрудничество със структури на МВР, ангажирани с противодействие на престъпленията в киберпространството.

Изпратени са указания до стратегическите обекти за подобряване на информационната им защита както и за осигуряване на единно тълкуване и унифицирано изпълнение на разпоредбите, свързани с Националния план за противодействие на тероризма, с цел създаване на хармонизирана работеща структура на взаимодействие. До областните и общински администрации са изпратени препоръки с конкретни мерки за подобряване на киберсигурността при поддържането и използването на информационните им системи с цел ограничаване на възможностите за прекъсване на доставяните административни услуги на гражданите. До работещите на територията на страната пощенски оператори са изпратени указания и информационни материали с цел минимизиране на случаите на пренос на забранени вещества и субстанции.

Продължи реализацията на ключови инициативи в областта на киберотбраната като елемент от националната сигурност. България подкрепи определянето на киберпространството като отделен домейн на операциите на НАТО. Приета беше Национална стратегия за киберсигурност „Кибер устойчива България 2020“ (РМС № 583/18.07.2016 г.).

Съгласно приетите изменения и допълнения на Закона за отбраната и въоръжените сили на Република България, (обн. в ДВ бр.98/09.12.2016 г.), на българските въоръжени сили бяха възложени нови задачи по поддържане и развитие на способности за киберотбрана, а Стационарната комуникационна и информационна система (СКИС) беше определена за формирование за киберотбрана на системата за командване и управление. Подписан беше нов Меморандум за разбирателство в областта на киберотбраната между Република България и НАТО (РМС № 689/18.08.2016 г.), което е следваща стъпка в развитието на механизма за сътрудничество и взаимодействие с Алианса, включително за изграждане на съвместни способности и защита от кибер атаки, повишаване на ситуационната осведоменост и координиране на усилията в областта на обучението, квалификацията и съвместните учения.МВР отдава съществено значение на борбата с киберпрестъпността и кибертероризма и осигуряването на безопасно Интернет пространство. Проведени са множество операции по пресичане и разследване на извършена престъпна дейност от киберпрестъпници. Много от провежданите операции са с международен характер и са осъществени във взаимодействие с европейския център по киберпрестъпност към Европол, с Интерпол и правоохранителни агенции на САЩ, като ФБР, Сикрет Сървиз, Департамета па вътрешна сигурност. В структурата на ГДБОП – МВР съществува сектор, който е подпомагащо звено в дейността на новосъздадения Internet ReferralUnit към Европол, функциониращ към Национален контратерористичен център (НКТЦ). Набелязани са конкретни мерки по противодействие на кибертероризма и т. нар. „дерадикализация“ на Интернет пространството.

Информационните и комуникационните технологии и тяхното широко използване се превръща в ресурс с огромно значение за обществото. В този взаимосвързан свят държавата, бизнесът и гражданите разчитат на надеждното функциониране на комуникационните и информационни технологии и Интернет.

Нарастващата роля и значимост на информационно-комуникационните технологии (ИКТ) е основа за появата на нови заплахи и рискове, свързани с възможности за компрометиране на системи за управление и нерагламентирано манипулиране на данни в тях.

Атаките в кибер пространството могат да бъдат провеждани от разстояние, с минимални икономически ресурси, като причиняват значителни тежки поражения с нанасяне на материални и дори човешки загуби. Глобалният характер на кибер пространството означава, че кибер атаките нямат национални, културни или юридически граници. Понятията „граница“ и „територия на страната“ са загубили смисъл, станали са транспарентни и лесно преодолими. Оставяйки скрити и игнорирайки международните правови норми, кибер атаките са заплахи, за които не са необходими икономическа и военна мощ на отделни страни или коалиции, но които могат да доведат до вредни последствия, сравними с терористични атаки или военни действия.

Постигането на ниво на МИС, достатъчно за предотвратяване на технологичните и информационните рискове, е от първостепенно значение за Република България.

Гарантирането на сигурността в кибер пространството се превръща в основно предизвикателство за държавата, бизнеса и обществото, както на национално, така и на международно ниво.

Законът за електронно управление, Законът за електронните съобщения и Наредбата за общите изисквания към мрежовата и информационна сигурност в общи линии формират регулаторната рамка за МИС. През 2016 г., бяха извършени промени в Закона за електронно управление и в Наредбата. В Закона като компетентен орган за МИС в публични мрежи и информационни системи и такива на доставчиците на обществени услуги е определена Държавна агенция „Електронно управление“.

От м. юли 2016г. е в сила и Директивата на Европейския парламент и на Съвета относно мерки за гарантиране на високо общо ниво на сигурност на мрежите и информационните системи в Съюза. Основният момент в Директивата е насочен към въвеждането на регулаторен подход вместо досега съществуващият доброволен подход и има ключово значение в сферата на кибер сигурността. Предстои транспонирането и в националното законодателство, до 08 май 2018 г. В тази връзка вероятно ще се наложи промяна в редица закони или подготовката на изцяло нов закон за кибер сигурност или за мрежова и информационна сигурност.

Необходимостта от по-нататъшно развитие на регулаторната рамка произтича и от силното разрастване на броя на кибер атаките в кибер пространството. Цел на тези атаки през 2016 г., са отделните потребители, частният сектор като цяло (в частност, банки, бизнес институции и др.) и държавното управление (Министерство на труда и социалната политика, МВнР, МЗХ, МВР, ИА Главна инспекция по труда, Областна администрация Стара Загора, ИА ЕСМИС, Информационно обслужване, НАП и др.). И през 2016 г. основна заплаха беше бързото разпространение на зловреден софтуер. Докато пораженията в първите две категории имат преди всичко финансово изражение, в последната категория пораженията имат политически характер. Зловредни кодове от рода на Locky, Crypto Wall, Teslacrypt, CryptoLocker ощетяват както отделни лица, така и цели институции, независимо от сектора на икономиката. Изключителна популярност получи разпространението на писма от името на някоя държавна институция, съдържащи зловреден код с цел кражба на лични и финансови данни. (писмата от името на НАП); използването на незащитени смарт устройства в масирани разпределени атаки от тип отказ от услуги.

За 2016 г. в Центъра за реагиране на инциденти във връзка с информационната сигурност - CERTbg в ИА ЕСМИС към МТИТС (понастоящем в Държавна Агенция Електронно управление) са получени 1056 сигнали за нарушения и в тях са участвали 14696 IP адреси. Регистрираните инциденти в мрежовата и информационна сигурност с висока степен на заплаха са 696 бр. Може да се направи извод, че броят но подадените сигнали за нарушения в и от българското Интернет стопанство е сравнително константна величина, но броят на регистрираните инциденти нараства значително. Обобщената статистика за инциденти в мрежовата и информационна сигурност в държавите членки на Европейския съюз изготвена от ENISA (Агенция на ЕС за мрежова и информационна сигурност) показва, че тенденциите в България съвпадат с тези установени в ЕС.

В процентно отношение, най-често срещаните кибер атаки са атаки свързани с разпространение на зловредният код (29%), фишинг сайтове (25%), събиране на информация (18%), отказ от услуги (10%), спам (10%), опити за проникване (7%) и др.

Сравнението на процентното разпределение на кибер атаките за 2016 г. с тези за 2015 г., показва тенденция на запазване първото място на разпространението на зловреден софтуер, увеличаване на инцидентите свързани с фишинг сайтове и събиране на информация и намаляване броя на регистрираните инциденти свързани с отказ от услуги и спам.

Държавна агенция „Електронно управление“ (ДАЕУ) към Министерския съвет е създадена с измененията на Закона за електронното управление, в сила от 1-ви юли 2016 г. Агенцията функционира от 1-ви декември 2016 г. Тя е правоприемник на дирекция „Електронно управление” в Министерството на транспорта, информационните технологии и съобщенията и на Изпълнителната агенция „Електронни съобщителни мрежи и информационни системи”.

Агенцията е водещата държавна институция, ангажирана с провеждането на националната политика за развитие на електронното управление, включително в областите: електронни удостоверителни услуги; електронна идентификация; мрежова и информационна сигурност; инфраструктура за пространствена информация; информация от обществения сектор в машинночетим отворен формат.

2. Нормативна рамка

Основата на политиката за е-управление е изменението и допълнението на Закона за електронно управление, което от своя страна водят до промени в съществуващата и създаване на нова подзаконова нормативна уредба. Приета е Наредба за общите изисквания към информационните системи, регистрите и електронните административни услуги (в сила от 01.03.2017 г.). Изменени и допълнени са Наредбата за общите изисквания за мрежова и информационна сигурност, Наредбата за вътрешния обмен на електронни документи и документи на хартиен носител в администрациите, Наредбата за удостоверенията за електронен подпис в администрациите, Наредбата за обмена на документи в администрацията и Наредбата за дейността на доставчиците на удостоверителни услуги, реда за нейното прекратяване и за изискванията при предоставяне на удостоверителни услуги. Приет е и нов Закон за електронната идентификация, както и правилник за прилагането му.

За преодоляване на очертаните предизвикателства, Агенцията концентрира усилията си върху постигането на следните принципи:

• 
  фокус върху потребителя – административно обслужване по електронен път в услуга на гражданите и бизнеса;
  
• 
  електронни услуги по подразбиране – максимална електронизация и автоматизация на административното обслужване, скорост и лесно използване, гъвкави начини за получаване на резултата от услугата;
  
• 
  еднократно събиране и създаване на данни (т. нар. принцип „само веднъж“) - администрациите не могат да изискват от гражданите и организациите представянето или доказването на вече събрани или създадени данни, а са длъжни да ги получават служебно от първичния администратор на данните;
  
• 
  стандартизация – отворени и машинно-четими формати за работа и обмен на документи, унифициране на най-често използваните типове данни и структури, стандарти и изисквания за публичен достъп до информация.
  

• 
  Осъществяване на координация и контрол по целесъобразност върху дейностите за електронно управление на административните органи, който обхваща: съгласуване от ДАЕУ на разходите на административните органи в областта на електронното управление и използването на информационните и комуникационните технологии; утвърждаване на проектни предложения и дейности административните органи в областта на електронното управление и информационните и комуникационните технологии, финансирани от Европейските структурни и инвестиционни фондове, държавния бюджет и други източници; удостоверяване на съответствието на технически и функционални задания за провеждане на обществени поръчки за разработка, надграждане или внедряване на информационни системи или електронни услуги от административните органи с изискванията на Закона за електронно управление и подзаконовата рамка.
  
• 
  Осигуряване на оперативна съвместимост по подразбиране на информационните системи и регистри, които обхващат задачите по: анализи и оценка на информационно-комуникационната инфраструктура и информационните ресурси на административните органи и публичните институции; създаване, обединяване, надграждане и поддръжка на облачни технологии и ресурси (Държавен хибриден частен облак) за осигуряване на оперативната съвместимост; синхронизация на регистри и интеграция с външни системи; свързване на администрации към регистри за използване на вече налични данни в системи на първични администратори на данни и реализиране на принципа за еднократно събиране и многократно използване на информацията.
  
• 
  Развитие на споделените информационни ресурси на електронното управление, което обхваща задачите по: миграция, развитие, администриране и поддръжка на административни информационни системи към Държавния хибриден частен облак; развиване и модернизиране на Единната електронна съобщителна мрежа като среда за пренос на данни; развитие и обезпечаване на алтернативни решения, различни от Единната електронна съобщителна мрежа за свързаност на администрациите и публичните институции до споделените информационни ресурси на е-управление.
  
• 
  Осигуряване на надеждност и сигурност на информационните и комуникационни ресурси на електронното управление, което обхваща задачите по: разработване и реализация на системи и процедури за управление на мрежовата и информационната сигурност.
  
• 
  Предоставяне на електронни услуги по подразбиране (Digital by default), които обхващат задачите по: реинженеринг на работните процеси, внедряване на нови, надграждане и развитие на съществуващи административни информационни системи, предоставящи функционалност за реализиране на комплексно административно обслужване, включително по електронен път; развитие на процеса по електронна идентификация, включително процесите по електронна валидация, овластяване, създаване на национална схема за електронна идентификация; приоритизация и реализация на електронно административно обслужване за предоставяне по електронен път, създаване на пакети от услуги на база „епизоди от живота“ и „бизнес събития“.
  
• 
  Публичност на политиката за електронно управление и предоставяне на информация за изпълнението й с оглед изграждане на доверие между потребителя и администрациите и постигане на разбиране, ангажираност и насърчаване участието в политиката по електронно управление на потребителите и заинтересованите страни.
  
• 
  Участие в значимите европейски проектни инициативи и интеграция с европейските институции и страните членки на ЕС.
  

• 
  Мрежовата и информационна сигурност придобива все по-голямо значение и има съществено влияние върху всички останали компоненти на националната сигурност;
  
• 
  Наличието на устойчива МИС е от стратегическо значение за развитие на електронното управление в Република България, за развитието на икономиката и за постигането на надеждна работа на администрацията в цифрова среда, чрез налагането на общи стандарти за сигурна и надеждна електронна идентичност.
  
• 
  Част от основните заплахи, са насочени към електрическите и телекомуникационните мрежи и критичната инфраструктура, към функционирането на финансовите пазари и целостта, достъпността и поверителността на централни информационни източници. Това влияе върху доверието в информационните системи, поради което огромният потенциал на единния цифров пазар не може да бъде реализиран. Като слабост може да се отчете ограниченото използване на надеждни и сигурни цифрови продукти в единния пазар.
  
• 
  Налице е част от необходимата регулаторна рамка. Приетата Национална стратегия за кибер сигурност е добра основа за по-нататъшно подобряване на националните дейности в тази област. През 2017 г., предстои стартиране на действия по транспониране изискванията на Директива на Европейския парламент и на Съвета относно мерки за гарантиране на високо общо ниво на сигурност на мрежите и информационните системи в Съюза;
  
• 
  Нараства значително относителният дял на инцидентите в мрежовата и информационна сигурност с висока степен на въздействие;
  
• 
  Идентифицирани заплахи са по-сложни и всеобхватни. Потенциални жертви на злонамерени хакери може да стане всеки един потребителна мрежови и информационни услуги;
  
• 
  Освен необходимостта от предприемане на мерки от нормативен характер е необходимо и предприемането на мерки от институционален и кадрови характер, които да позволят адекватно противодействие на заплахите за националната сигурност.
  
• 
  Липсват национален план за реакция на кибер кризи и национални стандартни оперативни процедури в случаи на кибер кризи, необходими за координация и сътрудничество между заинтересованите страни.
  

• 
  Нормативната уредба в областта на защитата на класифицираната информация в Република България като цяло е адекватна на съществуващите обществени отношения в тази област и осигурява правни възможности за реакция. Законовите и подзаконовите актове не са обект на чести изменения по същество. През 2016 г. Законът за защита на класифицираната информация (ЗЗКИ) за първи път от неговото приемане през 2002 г. претърпя съществено изменение. Отменено бе изискването в областта на персоналната сигурност срещу лицето да няма образувано досъдебно или съдебно производство за умишлено престъпление от общ характер като условие за издаване на разрешение за достъп. Отмяната не се отразява върху критериите за надеждност, а в същото време е в унисон с презумпцията за невиновност, установена в Конституцията на Република България. Отпадна допуснатото ограничаване на правото за обжалване по съдебен ред на актовете по ЗЗКИ и се предвиди възможност за съдебен контрол на актовете по ЗЗКИ, издавани от ДКСИ. Направено бе изменение и в процедурата по проучване за надеждност, като се въведе извършване на проверки на проучваните лица по реда на Закона за достъп и разкриване на документи и за обявяване на принадлежност на български граждани към Държавна сигурност и разузнавателните служби на Българската народна армия.
  
• 
  Компетентните органи от Националната система за защита на класифицираната информация (НСЗКИ) притежават необходимите способности за гарантиране на защитата на класифицираната информация, за ефективно функциониране на системата и неутрализиране на евентуални заплахи, рискове и вреди за националните интереси и сигурност.
  
• 
  В резултат на последователната политика и консолидирания подход на ДКСИ при осъществяване на общия контрол и прилаганите процедури от компетентните органи, през 2016 г. не са констатирани съществени пропуски, които да възпрепятстват ефективното функциониране на НСЗКИ.
  
• 
  Компетентните органи от Системата активно участваха в съответните работни формати в рамките на НАТО и ЕС. Актуализациите на правилата за защита на класифицирана информация, регламентирани в Директивите на НАТО и Правилата по сигурността на Съвета на ЕС адекватно бяха прилагани спрямо защитата на класифицираната информация на НАТО и ЕС, обработвана в Република България.
  
• 
  Република България и през 2016 г. продължи изпълнението на задълженията, произтичащи от международните договори за обмен и защита на класифицирана информация, по които е страна. Не бяха допуснати нарушения на защитата на обменяната класифицирана информация в двустранните отношения със съответните държави.
  
• 
  И през 2016 г. продължи процеса по изграждане на съзнание за сигурност у лицата с отговорности по защита на класифицираната информация, като съществен елемент от цялостната система от мерки и способи за защита на класифицираната информация. Обучението е основна предпоставка за ефективност в цялостната дейност по защита на класифицираната информация. Постигнатите резултати се отразяват непосредствено върху общото състояние, законосъобразното и надеждно функциониране на НСЗКИ. Създадената от ДКСИ система за обучение обхвана широк кръг от задължени субекти. В службите за сигурност и службите за обществен ред е създадена необходимата организация и се провеждат регулярни текущи и тематични обучения. Изминалата 2016 г. може да се определи като успешна в областта на обучението.
  
• 
  Координираните усилия на компетентните органи ефективно неутрализират заплахите и рисковете за сигурността на класифицираната информация. През 2016 г. не бяха допуснати непоправими или трудно поправими вреди за националните интереси. Констатирани бяха случаи на нерегламентиран достъп до национална класифицирана информация. Координираните и навременни действия на компетентните органи предотвратиха настъпването на вреди и минимизираха потенциалните рискове от бъдещи подобни случаи. Предприети бяха необходимите действия за по-ефективно прилагане на мерките по отделните видове сигурност на информацията. Няма случаи на нерегламентиран достъп до чуждестранна класифицирана информация.