13.07.2019 08:02

Бял хакер от 3 години моли КЗЛД да спре теч на лични данни от нейния сайт

Видян 1864 пъти | Коментари 0
Гласували 0 рейтинг: 0.0000
01/02
много слаба слаба добра много добра страхотна

  Сайтът на Комисията за защита на личните данни е уязвим и дава достъп до личните данни на над 14 000 лица, които са пращали жалби или въпроси до Комисията по различни поводи. Това е установил  “бял хакер” или експерт, който се занимава с тестване на сигурността на информационни системи (на английски white hat hacker), без да извлича ползи от това и без да нанася вреди, пише Биволь.

Експертът е сигнализирал за проблема два пъти на КЗЛД през собствената ѝ система за сигнали и жалби още през 2016 г. Там са завели преписки с входящи номера, но не са предприели нищо, за да запушат пробойните. В крайна сметка “белият хакер” се обръща към медиите, тъй като не вижда съдействие от страна на институциите. В редакцията ни се получи така наречения Proof of Concept – подробно описание на уязвимостта и стъпките, които го доказват.

След като се запознахме с проблема и установихме, че той наистина е сериозен и съществува теоретическа и практическа възможност за достъп до телефони, мейли и лични адреси на граждани, изпратихме информацията до КЗЛД на 10 юли. Посочихме номерата на преписките, заведени по сигналите на белия хакер: П-2372/01.04.2016 г. и П-3397/03.05.2016 г., както и линк към една от констатираните уязвимости. Попитахме дали след тези сигнали е назначен одит по сигурността на сайта, установени ли са проблемите и взети ли са мерки за спиране на достъпа. До момента обаче нямаме отговор от КЗЛД.

Новият закон за киберсигурността влезе в сила от ноември 2018 г. и задължава институциите да изградят секторни екипи за реагиране по киберсигурността. При инциденти с компютърната сигурност Административните органи уведомяват секторния екип за реагиране до два часа след констатирането на инцидента, но това става само при инциденти, които имат въздействие върху непрекъснатостта на тяхната дейност.

Вероятно КЗЛД не реагира и игнорира информацията, защото възможността да се стигне до личните данни на хиляди лица де факто не спира нейната административна дейност и вътрешната ѝ информационна система, както и сайта. Но пък компрометира ролята на самата институция, която трябва да прилага и страховития европейски регламент за защита на личните данни GDPR.
Грешни пари за бели хакери

Съгласно новия закон в държавата се нароиха не само секторни екипи, а и централни такива по киберсигурност. Съществува например Национален център за действие при инциденти с информационна сигурност към Държавна Агенция “Електронно Управление”. На неговия сайт има линк за докладване на инциденти, който обаче не работи.  Причината вероятно е, че още не е избран изпълнител на обществената поръчка за избор на доставчик за поддръжка на центъра, която е за 366 083,84 лева без ДДС европейско финансиране и е обявена в края на юни.

През годините са похарчени и доста средства за обучение в областта на киберсигурността. Основен партньор на публичната администрация и държавните институции е т.нар. Международна академия за обучение по киберразследвания – неправителствена организация, основана в края на 2009 от водещи експерти в сферата борбата с киберпрестъпленията, както пише в нейния сайт. Тя се финансира по проекти от “Америка за България” и европейската програма “Добро управление“. Освен обучения, Академията предлага и услуги на “бели хакери” – Тест на пробивите в информационната сигурност, одити, консултации, киберекспертиза и т.н.

Партньор на тази академия е и Българския кибер център по компетентност за обучение и


 


продължи >>

Добави в:
Svejo.net svejo.net
Facebook facebook.com

Свързани новини

реклама

19min.bg си запазва правото да изтрива коментари, които не спазват добрия тон.

Толерира се използването на кирилица.

Няма коментари към тази новина !