Информационна сигурност с примери от Естония

Нека започнем с малко статистически данни за Естония, като информационно общество:

  • 85% от населението използва Интернет;
  • 98% от територията на страната е покрита с Интернет;
  • 46% от домакинствата имат интернет връзки с широколентов диапазон;
  • 99% от държавните служители имат компютъризирано работно място с интернет връзка;
  • Всички държавни агенции имат уеб страници;
  • Много високо ниво на интернет-банкиране;
  • Издадени са ID карти на всички граждани;
  • 82% от данъчните декларации са попълнени и обработени онлайн.

И за да се впечетлите още повече, трябва да ви кажа, че тези данни са към 2007 година !!!!

Сега нека да видим историческите етапи за изграждане на информационната инфраструктура:

  • 1992 г. – първите Интернет връзки в Естония;
  • 1993 г. – правителство с уеб страница;
  • 1995 г. – първият публичен сектор на база данни в Интернет;
  • 1998 г. – изграден е портал www.riik.ee;
  • 2001 г. – Х-Роуд;
  • 2002 г. – PKI, лична карта;
  • 2002 г. – www.eesti.ee – портал;
  • 2005 г. – въвежда се електронно гласуване.

Напредъкът на Естония като „електронна държава” датира от средата на 90те години на миналия век. Първите, които въвеждат и рекламират Интернет решения са търговските банки, макар че Интернет- банкирането става широко разпространено през 2007 г. – 95 % от всички банкови операции в страната се извършват по електронен път!

Мобилните решения като мобилно паркиране и мобилните билети за градският транспорт, съставляват повече от 50% от общия приход събран от глоби за неправилно паркиране. Проведените законодателни реформи през 2000-2002 г. позволяват ползването на електронни услуги, при което електронните операции са приравнени на писмените операции с административен способ.

Естония се възприема като лидер в областта на електронното правителство. Не случайно я наричат „E-stonia“.

От 2005 година във всички библиотеки, училища, университети, обществени сгради, централни части и паркове на по-големите градове имат напълно безплатен Интернет достъп. Всеки в страната може да гласува и плаща данъци онлайн. Използвайки специални лични карти, естонците получават достъп до почти всички публични услуги, чрез специален портал.

Употребата на Интернет и мобилни телефони в Естония е много висока, което допринася за постигането на критична маса от потребители, които са от жизнено важно значение за развитието на електронните услуги. Е-услугите се предоставят за публичния и частния сектор. Един пример за особено успешни публични e-услуги е вариант на представяне на данъчни декларации за доходите по електронен път – 89% от естонските данъкоплатци са избрали да си плащат онлайн.

Информационна сигурност на електронното правителство на Естония

Всички успехи описани по-горе не са постигнати без бой, както се казва. През цялото това време е имало редица проблеми и значителен брой кибератаки.

В началото на пролетта на 2007 година, правителството оповестява началото на подготвителните работи за преместване на статуята на Бронзовия войник, издигната в памет на победата на Съветската армия над Германия. Подобно на нашият Руски паметник, там също се разиграва дебат, премесен с враждебни действия на моменти. На 26 април е организиран мирен протест от етнически руснаци, който прераства в улични бунтове. Един човек загива, а над 150 са ранени. На същият ден млади активисти, поддръжници на Кремъл, обсаждат естонското посолство в Москва и според някои съобщения са се опитали да малтретират посланика на страната по време на пресконференция.

Уличните бунтове в Талин се превръщат в „бунт” в киберпространството, при което в късните часове на 27 април, web страниците на Естонските правителствени институции и новинарски портали са заляти от вълна от атаки.[1]

„Това е вид тероризъм. Терористичен акт е не да откраднеш от държавата или дори да я завладееш, а когато предизвикаш ужас.”[2]

Казва Микел Тамет, ръководител на естонския координационен комитет по киберзащита

Когато има атаки, идващи от официални IP адреси на руските властии те атакуват не само нашите уебсайтове, но и мобилната ни телефонна мрежа и мрежата ни за гражданска защита, това вече е много опасно.[3] Според съобщенията най-малко един милион компютъра са били използвани в кибератаката срещу уебсайтове на естонското правителство, банки и медии в период от три седмици, довела до временното им блокиране. Щетите, които е претърпяла Естония в резултат на безпрецедентната вълна от кибератаки, се изчисляват на десетки милиони евро.

За сведение Естония има само 1,325 милиона души население. Тя е, членка на ЕС и НАТО от 2004 г. и иска помощ от Брюксел, да постави въпроса по време на срещата на върха между ЕС и Русия в Самара за прекратяване на кибератаките. Така през 2007 година Естония се превърна в първата държава, която официално е жертва на масирана кибератака – в резултат на хакерски действия (атаки, предизвикващи отказ от обслужване на потребителите) които са блокирали някои от основните държавни, медийни и банкови уебсайтове. Подобен удар е силно осезаем за балтийската държава, която е европейски шампион по използване на онлайн технологии.

Естонските компютърни специалисти твърдят, че част от засечените IP адреси са на руски правителствени компютри. Доколко тези обвинения са доказуеми, не може да се каже с точност, но на практика е почти невъзможно да се докаже конкретен организатор на събитията. По всичко личи, че нито естонските спецове, нито натовските експерти, които са командировани в Талин заради хакерските атаки, успяват да докажат участието на руското правителство в киберагресията.

Атаките (DDoS attack – distributed denial-of-service attack) предизвикват масов отказ на обслужване от страна на системите, като засягат правителствените и банковите сайтове и новинарските портали. Електронните услуги и информационна инфраструктура са под засилени удари от 27 април до до края на месец май.

Атаките имат две ясно различими фази, състоящи се от няколко вълни.

Първа фаза: 27- 29 април 2007 г. определена е като емоционално-мотивирана, тъй като атаките са без видимо съгласуване по време и цел.[5] Първата вълна е последвана от основна координирана атака, продължила от 30 април до 18 май. При нея са използвани botnets атаки с ясно изразен професионализъм при съгласуването им. Забелязва се връзка между политически значими дати и интензивността на атаките.

Атакуваните обекти: правителствени сайтове (правителство, министър-председателя, президента, парламента, сметната палата, всички министерства, държавни агенции и политически партии), online медийни портали, сървъри поддържащи Интернет инфраструктурата в страната, услуги подсигурени от частния сектор, персонални и случайни обекти.

Използвани методи са „светещи команди” (прости команди за проверка работата на набелязани компютри и сървъри)[6]; изпълними файлове, атакуващи определени компютри, с цел да се копира информацията намираща в тях; DDoS атаки, предизвикващи отказ на услуги; DoS атаки, предизвикващи отхвърляне на услуги и изтриване на сайтове; e-mail spam и cоmment атаки на websites; Botnets атаки (програми, предназначени за обединяване на поразените компютри в бот-мрежи (зомби-мрежи) с цел отдалечено централизирано управление на цялото множество от поразени компютри.) Атаките са координирани през Internet Relay Chat(IRC).

Втора фаза: от 30 април до 18 май 2007 г.- основна атака. По време на тази фаза се наблюдават четири вълни от атаки с по-високо ниво на сложност:

  • 1ва вълна започва през нощта на 4 май с DDoS атаки срещу web сайтове и DNS сървъри с използване на Botnets, чрез пълномощни сървъри, разположени в други държави;
  • 2ра вълна е проведена на 9-11 май със засилена активност. DDoS атаките се увеличават с около 150% срещу сайтове на правителствените институции. Поразени са сайтове и комуникационни канали обслужващи администрацията. Засегната е най-голямата банка в Естония, Hansapank.
  • 3та вълна е проведена на 15 май. Атаката е проведена през голям Botnet от около 85 000 контролирани компютри и е поразила втората по-големина банка в Естония за няколко часа.
  • 4та вълна е проведена на 18 май, като продължават DDoS атаките срещу правителствените сайтове. Банките също претърпяват прекъсвания.

Постигнати резултати: Масовите DDoS атаки поразяват ключови правителствени и частно-секторни сайтове, които са старателно подбрани и са основни елементи от критичната информационна инфраструктура. С тези атаки е спряна работата на поразените обекти (58 сайта едновременно) за период от няколко часа до 2-3 седмици. С DoS атаките е постигнат отказ на достъп до всички електронни устройства: компютри, сървъри, мрежи или Интернет ресурси в държавния и частния сектор.

Анализ на резултатите. Вследствие на кибер атаките се констатира:

  • парализиране на публичните и държавни информационни мрежи;
  • блокиране на обществените дейности;
  • сриване на комуникационно-информационните системи, с цел влияние върху общественото съзнание и психика.

За разлика от други известни интернет конфликти, атаките срещу Естония не изглежда да са подкрепяни от определена хакерска група. Някои от атакуващите са задействали прости скриптове през техните персонални компютри, докато други са използвали добре направени Botnets. Много от атаките са били от фалшифицирани източници и компрометирани компютри по целия свят. Трафикът в Интернет в най-натоварените, пикови моменти на атаките е с интензивност почти 400 пъти по-засилен от нормалния трафик, в посока от вън страната навътре към институциите. Разпознават се 128 уникални DDoS атаки през целия пориод на въздействие.[7]

Резултати от атаките:

  • Заличаване на web сайтове – хакер е успял да проникне в сайта на Естонска реформистка партия, като е фалшифицирал „официално” извинение от името на министър-председателя Андрус Ансип;
  • Атакуване на DNS сървъри – атакувани са рутерите на Internet Service Providers, с което са разрушени DNS услугите в страната;
  • Повишена употреба на e-mail съобщения срещу правителствени e-mail сървъри и индивидуални e-mail акаунти, при което са регистрирани само отделни кратковременни прекъсвания;
  • Блокиране работата на комуникациите – спешният телефон 112 не е достъпен за няколко часа на 9 и 10 май;
  • Затруднена е работата на online банкирането и електронните транзакции – има почасови спирания на услугата вследствие на огромен трафик отвън. Икономическата дейност в страната е възпрепятствана;
  • Засегнати са новинарските порталите на три от шестте големи новинарски организации.

През периода на атаките не е забелязано въздействие върху масивите от база данни на институциите. Не са атакувани информационните системите на обекти от критичната инфраструктура, поддържаща транспорта и енергийната система.

Произход на атаките: според специалисти на CERT-EE (компютърна група за реагиране на извънредни ситуации) атаките произхождат предимно от източници извън територията на страната. Злонамерената цел на трафика е очевидна и се свързва с началото на конфликта. Според държавния информационен център са използвани компютри от 178 страни. Преминаването от прости емоционални атаки към Botnets става постепенно, което подсказва, че основни извършители през първата фаза са ентусиасти. Те дори не са си правили труда да скрият своите IP адреси.[8]

Анализите на Log файловете потвърждават, че през втората фаза на атаките се наблюдава координация на действията и заделяне на значителни ресурси, което не е по силите на „обикновенния гражданин”. Това са доста сложни атаки, изискващи значителни финансови и интелектуални ресурси, които произлизат от IP адреси принадлежащи на руски държавни институции.

Взети мерки за справяне с атаките:

1. Технически мерки

Действията в отговор на атаките са координирани от CERT-EE, като с помощта на администратори и ІТ специалисти от държавния и частния сектор са организирани 24 часови дежурства, при които:

  • В отговор на случайните DoS атаки е ограничен трафика отвън и е филтриран злонамерения трафик;
  • Прилагане на „кръпки”, свързани със сигурността, блокиране на трафик, ползването на системи засичащи атаки и др.
  • Филтриране от доставчиците на Интернет услуги на атаки на IPS ниво.
  • Преминаване на някои натоварени сайтове в „лек режим” – полицейския борд временно превключва на обикновен едностранен html преглед, за да контролира по-добре количеството на входящите запитвания.

2. Международно сътрудничество

Министерството на отбраната информира Европейския съюз и НАТО за атаките и иска помощ за справяне с тях. В отговор е предложено международно сътрудничество от няколко нации за ограничаване на атаките, произхождащи или преминаващи през съответните юрисдикции. В периода 8-10 май са изпратени наблюдатели от Европейския съюз и НАТО, предимно да проследят обстановката и да дадат съвети за справяне с атаките. Американски правителствени органи подпомагат локализиране и отстраняване на източниците на атаки. От чуждите партньори, CERT Финландия се осигуряват контакти и помощ в достигането на доставчиците и координация с компютри за спешен отговор от други държави. Непосредствено след публикуване в новините за сътрудничеството с чужди власти за локализиране на киберпрестъпниците и тяхното възмездие, броят на спонтанните нападатели започва да намалява.

Ефекти от атаките

  • Икономически ефект. Тъй като много сектори от търговията и индустрията разчитат на информационната инфраструктура и комуникационните канали в ежедневната си дейност, претоварването на e-mail сървъри, мрежови комутатори и web сървърите на Интернет доставчиците, не само оказва влияние върху големите обекти (банки, медийни корпорации и правителствени институции), но и върху малки и средни предприятия, чийто бизнес е сериозно разклатен.
  • Обществен ефект. Поради реформите на електронното правителство от последните години, значително е намалял делът на неелектронните комуникационни канали и средства за разпространение на информацията. Променени са потребителските навици, което означава, че хората са свикнали да търсят информация само online. Поради липса на правителствени сайтове и прекаленият спам на e-mail адреси е нарушена нормалната комуникация с гражданите, което не се отразява особено сериозно на работата на администрацията. Отложено във времето е изпълнението на някои обществени услуги за гражданите (подаване на данъчни декларации) поради атаките на държавния портал eesti.ee.

Атаките засягат значително информационния поток насочен към външния свят. Естонското правителство е затруднено да разпространи информация за събитията чрез online брифинги и online медия, тъй като тези сайтове са сред първите поразени обекти.

Поуки от практиката на Естония

Предприети са законови мерки за дефиниране на кибер престъпленията (компютърен саботаж, нанасяне щета на компютърна мрежа и разпространение на вируси), регистрирани по време на събитията и инкриминирането им в наказателния кодекс.

Облекчена е процедурата по наблюдение и събиране на информация по отношение на идентифициране на конкретните нападатели. Делегирани са правомощия на агенции, изпълняващи наблюдателна дейност, събиране на доказателства във връзка с разследване на специфични престъпления.

Засилено е международното сътрудничество в областта на законовата подкрепа, в резултат на което са подписани споразумения за оказване на взаимопомощ.

Приета е стратегия за киберзащита през май 2008 година. Цел на стратегията е да редуцира уязвимостта на киберпространството в нацията. Като цяло в нея са заложени 5 основни линии:

  • Усъвършестване и мащабно осъществяване на система от защитни мерки, в която всяка информационна система осъзнава рисковете;
  • Повишаване на експертната осведоменост и компетентност по киберзащита;
  • Разширен е диапазона на криминалното право, чрез приемане на поправки в Наказателния кодекс;
  • Международно сътрудничество, чрез развиване на съвместни мрежи в сферата на киберсигурността;
  • Приемане на международни договори, регулиращи кибер престъпността и кибератаките.

За прилилагане на стратегията е разработен комплексен план за действие (2009 и 2011 г.) при рутинни процеси за защита на националната сигурност, ограничаване пораженията върху критични компоненти на инфраструктурата (електроснабдяване, водоснабдяване, финансови пазари, компютърните системи на правителствени структури и структурите със стратегически производствени цели).

След кибератаката срещу Естония през 2007 г., на 14 май 2008 г. официално е създаден Съвместен експертен център за кибер защита (CCD COE) с цел засилване на способностите за кибернетична защита на НАТО.

Ред за определяне на стратегически цели и вземане на мерки за осигуряване сигурност в кибер пространство.

Със стратегията за киберсигурност се дефинират мерки за противопоставяне на заплахите върху основни структури, изпълнение на Програмата за конкурентоспособност и иновации и работоспособност на администрация, която да се фокусира върху следните стратегически области:

1. Защита на критични информационни инфраструктури . Защитата на критични информационни инфраструктури е основен приоритет на кибер сигурността. В публичния и частния сектор трябва да се създаде стратегическа и организационна основа и по-тясна координация на базата на споделяне на информация. Създаване на Национален съвет за киберсигурност, който да интегрира въвеждането на нови технологии и осигуряване хармонизиране на правилата за поддържане на критични инфраструктури по време на ИТ кризи.

2.Защитена информационна система . Защита на инфраструктурата изисква специално отношение към информационни системи, използвани от държавните, малките и средни предприятия. Потребителите се нуждаят от подходяща и последователна информация за рисковете, свързани с използването на информационните системи и мерки за сигурност.

3.Укрепване на сигурността на ИТ в държавната администрация. Държавната администрация да осигури защитата на своите информационни системи. Държавните органи трябва да служат като модел за подражание на сигурността на данните. Да бъде създадена една обща, единна и сигурна мрежова инфраструктура за администрацията. Ефективната ИТ сигурност изисква мощни структури. Поради тази причина ресурси трябва да бъдат разгърнати по подходящ начин на централно и местно ниво.

4. Национален център реагиране на Кибер инцеденти . Оптимизиране на оперативното сътрудничество между всички държавни органи и подобряване на координацията на мерките за защита и реакция за ИТ инциденти. Сътрудничеството с Националния център за реагиране на кибер инцеденти и стриктно спазване на законоустановените правомощията от всички органи, участващи в борбата ще повиши сигурността на данните. Бързият обмен на информация относно слабостите на ИТ продукти, уязвимостите на системите, формите на атаки и профилите на извършителите ще осигури възможност на Националния център да анализира инцидентите и да даде препоръки за действие. Тъй като сигурността се постига най-добре след ранно предупреждение и предотвратяване на инцедентите, центъра ще представя препоръки. Ако ситуация свързана с киберсигурността достигне нивото на предстояща или вече настъпила криза, Националния център пряко ще информира структурите за управление на кризи в държавата.

5. Създаване на Национален съвет за кибер сигурност. Установяване и отстраняване на причините за кризи, се счита за важен превантивен инструмент за кибер сигурността. Поради което е необходимо да се установи и поддържа сътрудничество в рамките на правителството и между публичния и частния сектор в рамките на отговорностите. Задачата на НСКС има за цел да координира превантивните инструменти и подходи за кибер сигурност в обществения и частния сектор.

6. Ефективен контрол върху престъпността в киберпространството. Определя се от възможностите на правоприлагащите органи, службите за информационна сигурност в борбата с престъпленията в кибер пространството и по отношение на защита срещу шпионаж и саботаж. За да се отговори на нарастващите предизвикателства на глобализацията на престъпленията е необходима конвенция за хармонизация в областта на наказателното право в Съвета на Европа по отношение на престъпленията в кибернетичното пространство. Тези допълнителни конвенции могат да бъдат приложени и на ниво ООН.

7. Ефективни съгласувани действия за осигуряване на кибер сигурността в Европа и в световен мащаб. В световен мащаб сигурността на киберпространството може да се постигне само, чрез координирани инструменти и дейности на национално и международно ниво. На равнището на ЕС следва да се подкрепят всички мерки на плана за действие за защита на критичните информационни инфраструктури изготвени от Европейската агенция за мрежова и информационна сигурност (ENISA), с оглед на постоянно променящите се заплахи и ситуации. Стратегия за вътрешна сигурност на ЕС и Програмата в областта на цифровите технологии предоставя насоки за по-нататъшни дейности. Политиката в кибернетичното пространство трябва да преследва интереси и идеи, свързани със сигурността на базата на координирани дейности в международните организации, като Организацията на обединените нации, ОССЕ, Съвета на Европа и НАТО.

8. Използване на надеждни и достоверни информационни технологии. Развитие на иновативни планове за защита и подобряване на сигурността, чрез надеждни системи и компоненти им с отчитане на социалните и икономически аспекти. За тази цел, трябва да продължат научните изследвания в областта на ИТ сигурността и защитата на критични инфраструктури. Целта е да се използват компоненти в критичните зони на сигурност, които са сертифицирани по международно признати стандарти.

9. Обучение и подготовка на персонала. Като се има предвид стратегическото значение на кибер сигурността, обучението трябва да се разглежда като приоритет. Интензивният обмен на информация между ведомствата изисква и допълнителни мерки за обучение с цел повишаване Междуведомственото сътрудничество.

10. Инструменти за отговор на кибератаки. Ако държавата трябва да бъде напълно подготвена за кибер атаки е необходим координиран и всеобхватен набор от инструменти за отговор, който да бъде създаден в сътрудничество с компетентните държавни органи. Необходима е постоянна оценка на ситуацията на заплахи и предприемане на подходящи мерки за защита.

11. Устойчиво изпълнение. С изпълнението на стратегическите цели и мерки ще се осигури сигурност и работоспособност на системите. Поради факта, че Информационните технологии са предмет на иновационни цикли, то технически и социални аспекти на киберпространството ще продължат да се променят и ще носят не само нови възможности, но и нови рискове.

12. Дефиниране на критичните инфраструктури на държавата. Критични инфраструктури са организации или институции с голямо значение, чийто отказ или срив, ще доведе до нарушаване на обществената сигурност или други драматични последици. Това би следвало да бъдат следните области:

  • Енергетика;
  • Информационни технологии и телекомуникации;
  • Транспорт;
  • Здравеопазване;
  • Вода;
  • Храна;
  • Финанси и застрахователен сектор;
  • Държавна  администрация;
  • Сигурност и отбрана

[1] Яак Аавиксо – естонският министър на отбраната, пред в. „Таймс”

[2] Джеймс Апатурай-говорител на НАТО, интервю за информационната агенция „Блумбърг”

[3] Яак Аавиксо – естонският министър на отбраната, пред в. „Таймс”

[4] Владимир Чижов-руският посланик в Брюксел пред guardian.co.uk

[5] International cyber incedentsq legal consideration, Enekin Tikk, Kadri Kaska, Liis Vihul, 2010

[6] Пак там

[7] International cyber incedentsq legal consideration, Enekin Tikk, Kadri Kaska, Liis Vihul, 2010, R&D корпорация- световна мрежа за решение относно сигурнотта.

[8] International cyber incedentsq legal consideration, Enekin Tikk, Kadri Kaska, Liis Vihul, 2010,

Семинар на тема „Сигурност в облака“