Въпреки че не притежавам формално образование в сферата на киберсигурността, моят ръководен опит в предприемаческия, корпоративен и публичен сектор, съпътстван с непрестанните и привични за българската практика ограничения от ресурсен и експертен характер, ме принуди по неволя да изградя тази експертиза. Да отговаряш за вътрешни системи за корпоративна комуникация, използвани от стотици хиляди служители, за валидацията на дипломи и сертификати върху дистрибутирани системи, които са в притежание на „колективния Интернет“, или дори за една малка администрация от десетина служители, но с потенциал при евентуални грешки или бездействие да понесеш наказателна щета – всичко това безспорно би създало чувството на персонална отговорност и неотложност у всеки един ръководител с инстинкт за самосъхранение.
В ерата на дигитализацията, където почти всички сфери на икономическия, обществения и личния живот са пряко свързани с киберпространството, необходимостта от сигурност и защита на цифровите системи става критично важна за всеки ръководител на средна или по-висока позиция, а оттам и обективната необходимост от осъзнаването на персоналната отговорност. Това ново измерение на защитата налага преосмисляне на концепцията за лична самоотбрана, която вече не се ограничава до физическото, а обхваща и цифровото пространство. Една от ключовите теми в това отношение е „етичното хакерство“ и в частност – координираното разкриване на уязвимости (Coordinated Vulnerability Disclosure), които играят все по-голяма роля в глобалната киберсигурност.
Етично хакерство и CVD: Какво представляват?
Координираното разкриване на уязвимости (CVD) е установен процес в основата на по-широкото изследване на уязвимости, който предоставя на етичните хакери и експертите по киберсигурност легитимен механизъм за докладване към собствениците на изследваните системи, а в определени случаи и към специализираните държавни органи по киберсигурността. В CVD процеса, когато „хакер“ открие уязвимост, той я свежда до вниманието на разработчиците или администраторите на съответната система (посредством възложителите на изследването), като предоставя информация за проблема и предлага решения за отстраняването му, но не участва в техническото им приложение. Този процес е ключов за изграждането на доверие между етичните хакери и организациите и се извършва по начин, който не поставя в риск сигурността на системата, компанията или държавата.
Проблемът идва оттам, че в общия случай, описан по-горе, договорното съгласие на собствениците на изследваните системи – било то от частния или публичен сектор – е единственият начин, по който изследователите на кибер-уязвимости получават правна защита, след като докладват отговорно разкритите уязвимости за последващо отстраняване. Данните за България обаче са категорични: (почти) никой не желае външни експерти да обследват неговите системи. А настъпи ли инцидент, притаяването му е най-често срещаната тактика с цел избягване на допълнителни административни и финансови главоболия. И така до следващия пробив…
Етичното хакерство като форма на анархия или обществено отговорен подход за самозащита?
Ако една компания за счетоводен софтуер стане жертва на кибер атака, това може да доведе до криптиране на компютърните системи на хиляди други фирми, използващи нейния продукт. Това е т.нар. „атака по веригата на стойността“. Ако една държавна агенция не защити съхраняваните от нея потребителски данни, милиони могат да се озоват в уязвима ситуация, при която личните им данни попадат в „Тъмния Интернет“ откъдето с години могат да се ползват за всевъзможни измами. Ако една обществена медия не обучи служителите си на базова кибер-хигиена, целият ѝ архивен фонд може да бъде криптиран или изтрит в резултат на ransomware атака, заедно с резервните копия, което от своя страна да унищожи културното наследство на една нация. Да изпратите милиони на погрешния IBAN в резултат на социален инженеринг може да фалира един бизнес за минути… Ето това е лицето на дигиталната анархия. И институционализирането на експертните усилия за ограничаването ѝ не са заплаха, а възможност.
Досещате се, че посочените по-горе примери не са хипотетични, а са от съвременната българска практика. И въпреки тях, едва 7% от бизнесите разчитат на външна експертиза, която е от компании, специализирани в областта на тестването за пробиви в киберсигурността и доставчици на този вид услуги за сигурност. Останалите над 90% следват принципа на мълчаливото заобикаляне на темата, познат още като „don’t ask, don’t tell“ и разчитат изцяло на вътрешните си ресурси за преодоляване на предизвикателствата пред сигурността. Цитираните данни от актуално проучване за практиките в киберсигурността обхващат единствено български компании с персонал над 50 души и оборот над 50,000 лева. Процентът на търсещите услуги за активна сигурност става още по-нищожен, ако се вземат предвид мнозинството микро и малки компании у нас, които олицетворяват феномена „кибер-бедност“ – невъзможността да се отделят достатъчно инвестиции, за да се постигне базово ниво на киберсигурност, адекватно на международните стандарти.
Какъв е отговорът на държавата? В докладите за дейността на МВР и ДАНС през периода 2018-2023г. се отчита висока честота на киберпрестъпления в България, поради което се предприемат и необходимите мерки – реактивни и превантивни. За по-ефективно противодействие на нарастващите киберпрестъпления и на престъпните структури, използващи високотехнологични методи и средства, през март 2023г. отдел „Киберпрестъпност” в ГДБОП-МВР е преструктуриран в самостоятелна дирекция, чиято дейност е насочена към борба с кибер- и киберсвързани престъпления, извършвани от организирани престъпни групи (ОПГ) и отделни лица, разкриване и документиране на престъпления, при които обект на нерегламентиран достъп са компютърни системи или мрежи, както и престъпления, чието извършване е практически невъзможно без кибер-пространството. Създаден е „Екип за реагиране при инциденти с компютърната сигурност“ на МВР, който поддържа готовност за координирана съвместна реакция с аналогичен национален екип към Министерството на електронното управление (МЕУ). Съвместно с партньори от гражданския сектор се организират превантивни кампании за образование, включващи лекции и презентации пред ученици и студенти.
Въпреки тези (и други) комплексни и споделени усилия на държавните власти, докладът за развитието на Интернет в България за 2024г., изготвен по рамката на индикаторите за Интернет универсалност на ЮНЕСКО, показва ръст на атаките и измамите, извършвани спрямо държавни институции, фирми и частни лица, свързани с използването на спам или т.нар. фишинг атаки, нерегламентиран достъп, кибератаки от типа „дистрибутиран отказ от услуга”, посредством използването на „бот-нет” мрежа, присвояването на акаунти в социалните мрежи, използването на т.нар. „ransomware” вирус и др. Все повече са сигналите, свързани с инвестиционни измами и неправомерен достъп до акаунти на лица, използващи нтернет банкиране. Измамни сайтове за търговия стават инструмент за атаки, засягайки стотици български потребители. Обобщено, оценката на развитието на Интернет в България показва, че киберпрестъпленията в страната през последните години са в нарастваща тенденция, която засяга широк спектър от сектори и институции. Извършвани са различни видове нарушения, включително използване на зловреден код, спам, DDoS атаки, кражби на лични данни, финансови измами и разпространение на противоправно съдържание.
Заключението може да бъде само едно – необходимо е поемането на персонална отговорност. Подчертаната нужда от поддържане на високо ниво на информационна сигурност не може да се обезпечи само с институционалните усилия и ресурси на МЕУ, МВР и ДАНС, нито посредством отговорното поведение на сравнително малкия процент напредничави юридически лица от частния сектор, обръщащи се превантивно към корпоративните услуги на специализираните компании от сектор „Киберсигурност“. Нещо повече, заключението за невъзможност за обезпечаване на нашата сигурност от страна на правителствените органи, която мисия следва да е фундамент на държавността, не е с регионални измерения. По оценка на Statista през 2023г. загубите от кибер атаки в глобален мащаб са били в размер на 8 трлн. долара. Прогнозата е, че до 2028г. щетите ще нараснат до 13,82 трлн. долара, което се равнява на настоящия брутен вътрешен продукт на Еврозоната. Ето защо са необходими допълнителни мерки за изграждане и активиране на капацитет в системата на киберсигурност като законовото регламентиране на дейността на изследователите на уязвимости в киберсигурността, т.нар. етични хакери.
Русия, Китай, Северна Корея и други инкубатори на „неетично хакерство“
За да можем да се отбраняваме адекватно като общество в рамките на глобалните цифрови „бойни полета“, както и за да се самоотбраняваме ефективно от гледна точка на персоналната ни отговорност, ние следва да можем да се ползваме от правото да тестваме сигурността на системите, които избираме да ползваме като потребители или които сме заставени да използваме като граждани или като служители. Едва ли бихме ползвали ваната в хотелската стая, ако забележим плъх в нея, и със сигурност бихме се оплакали на рецепция за „приятната“ изненада, която сме открили. Но ако решим да огледаме хотелската Интернет мрежа с мрежови скенер, за да проверим за „вредители“, това ни поставя в уязвимо положение. Защото законът изрично забранява неоторизираното тестване на информационни системи. Респективно, ако забележим сериозни „санитарни пропуски“ в Интернет мрежата на нашия хотел, и информираме на рецепция, така че да предпазим останалите гости, както и собствениците, това потенциално би ни поставило под угрозата от наказателно преследване. Ако приравним ситуацията с примера от аналоговия свят, следва да заключим – намерите ли плъх във ваната, по-добро да му се извините за безпокойството и да го оставите на мира, защото иначе може да Ви осъдят за воайорство.
Често пъти „плъховете“ са по-скоро „мечки“, „червеи“, „вълци“ и други чудати животни – подобни са кодовите названия на редица държавно-спонсорирани хакерски отряди. Данните на Европейската агенция за киберсигурност (ENISA) и НАТО ясно показват, че една от основните заплахи за сигурността на цифровите системи в Европа и Северна Америка идва от пара-военните кибер-формирования, действащи в интерес на авторитарни режими. Например, групи като APT28 и Sandworm, свързани с руските разузнавателни служби, са известни със своите операции срещу западни правителства и инфраструктури, включително в България и други страни-членки на ЕС. Китайски хакери като APT10 са специализирани в кражба на интелектуална собственост и корпоративни тайни, което нанася значителни щети на конкурентоспособността на европейските и американските компании. Това подчертава колко важно е да се изградят здрави правни рамки за координираното разкриване на уязвимости, за да може НАТО и ЕС да защитават своите членки и граждани от тези заплахи.
Координирана между партньорите децентрализирана отбранителна стратегия е необходима, за да се противодейства на държави като Северна Корея, която по актуални данни от скорошния „Еuro-Atlantic Resilience Forum“, провел се през октомври 2024г. в парламента на Букурещ, разполага с между 6 и 7 хиляди военни „изследователи“ на уязвимости в киберсигурността. Тяхната цел не е да докладват на МЕУ или МВР за тестваните от тях мрежи и системи, а да експлоатират и мултиплицират уязвимостите в тях. При това тези данни обхващат само официално наетите в „кибер армията“ на Северна Корея, като не включват членовете на отделни престъпни синдикати и индивидуални кибер-престъпници. За последните две групи знаем, че също се ползват със защита от органите на реда във вражески режими и често пъти демонстрират синергични „публично-частни партньорства“ с тях, когато „прогнилият Запад“ следва да бъде уязвен.
Консервативните принципи винаги са подкрепяли правото на самоотбрана, но то трябва да бъде пропорционално и законово регулирано. Киберпространството не е изключение. Етичното хакерство и CVD представляват такива пропорционални мерки, които не нарушават принципите на закона и реда, но същевременно осигуряват възможност за ефективна самозащита. Докато международното законодателство в рамките на НАТО и ЕС се развиват в посока на създаване на повече правна сигурност за етичните хакери – доброволци, тези практики вече са изпитани като важен корпоративен инструмент в борбата срещу кибератаките, там където тестването на уязвимости се извършва по силата на договорна основа. Въпросът за установяването на социален контракт, който разширява приложното поле на защита отвъд лимитирания брой формални договори, не е лесен, но е необходимо да бъде решен.
В България, за пример, едва веднъж държавата е организирала кампания за координирано разкриване и докладване на уязвимости в системи от публичния сектор – през лятото на 2023г., при това с безкрайно ограничен периметър на действие и с множество разрешителни процедури, като наличието на достъп до класифицирана информация, обезсмислящи широкото включване на. Фирмените „bounty“ програми пък, при които компании предлагат възнаграждение на доброволци, които открият и докладват уязвимости в техните системи, се броят на пръстите на двете ръце.
Ако законодателството позволи на етичните хакери да разкрият и да докладват уязвимости по координиран начин, без да се страхуват от юридически последствия, когато са действали без санкцията на собствениците на изследваните системи, Европа и нейните съюзници ще могат да поддържат по-здрава и гъвкава киберзащита, изградена отдолу-нагоре. Нещо повече, този допълнителен слой на защита ще може да намали щетите от вече настъпили инциденти чрез ранното им сигнализиране, доколкото тъкмо при държавно-спонсорираните кибератаки периодът между пробив и детекция е най-продължителен – може да надвиши 6-8 месеца. В България, като част от НАТО и ЕС, все повече ще се осъзнава нуждата от подобряване на киберсигурността чрез по-голяма прозрачност и координирано международно сътрудничество по темата, тъй като дори и да бъдат развързани ръцете на местните кибер-организации и сертифицирани експерти, огромна част от системите, които биха били тествани за уязвимости, са с международни измерения и правната защита на национално ниво няма да бъде достатъчна.
Възможността за законова реформа в България
Вече се изясни, че идеята за законово регулиране на CVD у нас отвъд случаите, покрити от експлицитни договори, не е теоретична екзотика. За това, че евроатлантическите партньори вече признават значимостта на етичното хакерство, говори интензифицирането на различни пилотни правителствени и междуправителствени инициативи. За пример, на 30.10.2024г. се състоя кръгла маса под егидата на Държавната агенция по киберсигурност на Румъния (DNSC) с участието на Европейския цифров иновационен хъб „Тракия“ (EЦИХ „Тракия“) и Българската асоциация по киберсигурност (БАК), която бе посветена точно на този въпрос. Румъния, която бе обект на канонада от руски кибератаки спрямо части от критичната инфраструктура на страната на по-ранен етап през годината, вече е поне две крачки пред България, имайки имплементирана политика за разкриване на уязвимости. В момента северните ни съседи работят и по уреждането на законовата защита на изследователите, които освен да докладват, следва да могат и да тестват за уязвимости без заплаха от преследване. В тази насока са и указанията на ENISA от 2023г. (Guidelines on Implementing National Coordinated Vulnerability Disclosure Policies, NIS Cooperation Group), които препоръчват на страните членки в навечерието на влизането в сила на NIS2 директивата за мрежова и информационна сигурност да изградят такава законова рамка, която да предоставя закрила от съдебно преследване на изследователи на кибер-уязвимости, съблюдаващи съответните етични стандарти и установените CVD протоколи, въведени от Националните екипи за реагиране при инциденти във връзка с компютърната сигурност (НЕРИКС).
България, като член на ЕС и НАТО, има шанс да играе водеща роля в изработването на законодателство, което подкрепя и насърчава отговорното разкриване на уязвимости. Страната ни вече е въвела редица мерки за киберсигурност, но е необходимо по-нататъшно развитие на законовите рамки, които да позволяват на етичните хакери да действат свободно в рамките на ясни правила и без риск от правни последствия, стига да спазват принципите на CVD. Конкретното предложение на ЕЦИХ „Тракия“ и БАК, представено и прието радушно на експертни форуми както у нас, така и чужбина, е НЕРИКС България към Министерството на електронното управление да стъпи на процедурата по координирано докладване на уязвимости в киберсигурността, въведена чрез законодателни промени през 2023г. в Белгия, доколкото тя е най-напредничава в това отношение. Само преди броени седмици бе публикуван международният Global Cybersecurity Index 2024 на International Telecommunication Union, спрямо който Белгия, с резултат от 96.81/100, се нарежда сред водачите в глобалната киберсигурност. България, с общ резултат от 74.73, се нарежда в третото от пет нива на глобалната киберсигурност и отстъпва най-вече в сфери като мерките за изграждане на капацитет – област, която би била подпомогната най-силно от ангажирането на изследователите на уязвимости в киберсигурността при защитата на бизнеса и държавата от настъпване на кибер инциденти и намаляването на последиците от такива.
Консервативният поглед: Безконтролни кибер милиции или гражданска гвардия от изследователи?
Погледнато от eдна по-различна гледна точка, съществува опасението, че етичното хакерство може да се интерпретира като форма на „вземане на закона в свои ръце“, водещо до правна несигурност или дори до кибер-анархия. Понятието „кибер-милиции“ също се употребява от скептиците на правото да бъдем информирани за заплахите и да притежаваме уменията за ползване на оръжия за самоотбрана в цифровия свят. Тези страхове обаче не са оправдани, когато изследователите на кибер-уязвимости действат според ясно определени стандарти и рамки, заложени в националното и в международното право. Така например, в предложената по-горе белгийска практика, която имах възможността да обсъдя задълбочено с ръководството на Националния център за киберсигурност на Белгия, в рамките на установената там процедура по координирано докладване на уязвимости, е записано, че авторите на CVD доклад не извършват престъпление по отношение на изясняването на фактите, необходими за направата на доклада, при условие, че са спазили четири важни изисквания. На първо място, следва да са действали без измамно намерение или намерение да причинят вреда. На второ място, следва да са уведомили за откриването на потенциална уязвимост организацията, отговорна за системата, процеса или контрола, възможно най-скоро и не по-късно от момента на докладването към НЕРИКС. На трето място, изследователите следва да не са действали извън това, което е било необходимо и пропорционално за проверка на съществуването на уязвимост. На четвърто място, етичните хакери следва да не са разкрили публично информацията, свързана с откритата уязвимост, не и без съгласието на НЕРИКС. Всяка друга възможна отговорност на докладващите лица, произтичаща от техни действия, които не са необходими за изпълнение на така описаната процедурата, продължава да се урежда от приложимото законодателство.
При отчитане на тези обстоятелства може да се направи заключението, че етичното хакерство е оправдан подход за самоотбрана в киберпространството, при което целта е както защитата на индивидуалната собственост от посегателства, така и опазване на обществения интерес от действия на злонамерени агенти в условията на дефицит на институционален капацитет. Злоупотребата с неоткрити или неразкрити уязвимости в компютърни системи е един от основните начини, по който хакери, често действащи в интерес на враждебни държави или криминални организации, проникват в критични инфраструктури или корпоративни мрежи. Крайно-леви „хактивисти“, руски, китайски, севернокорейски и ирански хакерски групи (но не само) редовно атакуват правителствени агенции, корпорации и организации в страните-членки на НАТО и Европейския съюз. Често пъти тези атаки са част от по-широка хибридна война, целяща да подкопае икономическата и политическата стабилност на Запада, като същевременно събират интелектуална собственост или чувствителна за националната сигурност информация.
В подобни условия на глобална несигурност, етичното хакерство и в частност CVD процедурите са не само легитимни, но и необходими компоненти на съвременната киберсигурност. Правото на персонална и гражданска самозащита в цифровото пространство трябва да бъде неразделна част от националната стратегия за киберзащита, като бъде подкрепено със законодателство, което позволява на етичните хакери да изпълняват своята роля в защита на националните и корпоративни интереси на уязвимите организации. НАТО и ЕС продължават да имат ключова роля в глобалната киберсигурност, но е от съществено значение държавите-членки като България да вземат по-активно участие в създаването на правна рамка, която да улеснява процеса на координирано разкриване на уязвимости. Законодателството трябва ясно да разграничи изследователите от злонамерените актьори, като същевременно осигурява координационен механизъм за безопасно и прозрачно децентрализирано докладване без страх от правни последствия за тези, които работят в интерес на киберсигурността. Само чрез подобни реформи можем да гарантираме, че и в цифровото пространство правото на самоотбрана ще бъде ефективно упражнявано в защита на националните интереси, икономическата стабилност и сигурността на гражданите на свободния свят.
България, като част от НАТО и ЕС, има възможността да бъде лидер в този процес, в който изостават дори глобални сили като Съединените Щати. Възприемайки подхода на CVD и създавайки съвременна правна рамка за етично хакерство, страната може да допринесе значително за колективната киберсигурност на региона. В крайна сметка, сигурността в киберпространството е не само индивидуална отговорност, но и въпрос на международно сътрудничество и координация, за да може стотици, ако не хиляди обучени експерти по мрежова и информационна сигурност, да започнат да допринасят пълноценно за неутрализирането на киберзаплахи чрез координирано докладване на установени от тях уязвимости в активи, мрежи и информационни системи на трети страни, без риск от наказателно преследване по повод на изследователската работа, която се извършва в обществен интерес.
ЗА АВТОРА:
Христиан Даскалов е доктор по организация и управление на отворени технологични проекти от ТУ София, председател е на Европейския цифров иновационен хъб „Тракия“ от декември 2023г. Хъб „Тракия“ е първият български цифров хъб, специализиран в сферата на киберсигурността, осигуряващ безвъзмездни кибер-услуги за бизнеса и публичния сектор в България с подкрепата на програма „Дигитална Европа“ на Европейския съюз, в т.ч. оценка на уязвимости в сигурността, тестове за пробиви на мрежи и приложения, обучение на етични хакери, тренировъчни симулации посредством кибер-полигон и други.
Тази статия е част от #Годишникъ2024. Всички статии може да видите тук.
Най-новото издание – #Годишникъ2025 може да закупите тук
