Как с нов инструментариум за кибер-защита Столична община положи основите за прозрачни е-услуги

С нов, широкообхватен инструментариум за подобряване на цялостната кибер-защита Столична община положи основите за пълен спектър надеждни услуги за гражданите и бизнеса в София.

След проведен през 2022 г. конкурс, спечелен от Никрама с технологии, дистрибутирани от CLICO България, в общината е внедрен интегриран набор от технологии за защита на крайните устройства, управление на събития и инциденти, свързани със сигурността, проследяване на уязвимостите, разследване и разузнаване на заплахите, контрол на привилигирования достъп. Имайки пълна прозрачност за всички процеси и събития, екипът по кибер-сигурността създава условията за надеждност на електронните услуги, на които столичани разчитат, и опазването на личните данни. Проектът е реализиран така, че да може да послужи за модел на всички общини в България.

Киберпейзаж с шумове от война

След пандемията, която ни приучи да работим дистанционно, и след началото на военните действия между Русия и Украйна, кибер-заплахите в глобалното уеб-пространство се отличават с невиждани мащаби и интензитет. Информационната безопасност е предизвикателство за всяка организация в ерата на кибер-престъпността: фишинг с майсторско социално инженерство, рансъмуер пробиви с искания за големи суми, чести DDoS атаки и др.
„Като орган на местната власт Столична община е умален модел на цялата държава. В нея функционират близо 40 различни информационни системи“, казва Генчо Керезов, заместник-кмет по направление „Дигитализация, иновации и икономическо развитие“ в Столична община. Много от тях са познати на гражданите, например системата за записване в детските градини и в първи клас. Други са изцяло вътрешни. Такава е например системата за местни данъци и такси. Работи се и с локална база данни население, която е свързана с регистъра ГРАО.

Над 1000 служители на централната администрация в Столична община имат достъп до различните електронни системи. Голямата част от хората са експерти от различни области, но не ИТ специалисти. Всъщност ИТ специалисти има само в отдела, ръководен от г-н Борислав Панайотов, ИТ директор в СО.
От друга страна като държавен орган Столична община е длъжна да съхранява отговорно и безопасно данните на своите клиенти – гражданите на София и бизнесите, които действат на територията на столицата. Общият регламент за защита на личните данни GDPR е само част от регулациите, които поставят строги изисквания в тази посока. Високи критерии налага и директивата за мрежова информационна сигурност, транспонирана у нас чрез Закона за кибер-сигурност и съответната наредба за минимални изисквания за мрежовата информационна сигурност (известна като МИМИС).

Допълнителна сложност в проблема внася политическият характер на управлението в държавните органи. Опитите за дискредитиране, дирижирани от политически опоненти, не са чужди на политиката; всеки срив във важна публична система като тази за детските градини неизбежно се превръща в аргумент за политически нападки. „Непрекъснато сме обект на нападения и провокации – повечето с чисто политическа цел. Тези ходове не вредят на гражданите, но смущават обществото – например правят опити да саботират работата на системи, на които гражданите разчитат,“ казва Керезов.
Към картината се добавя и влиянието на глобалната геополитическа обстановка. Откакто на ход е военният конфликт Русия-Украйна, кибератаките рязко се увеличиха, от което България няма как да остане незасегната.

Източник на визията

Заместник-кметът по дигитализацията в Столична община Генчо Керезов има пределно ясна концепция за това какво трябва да представляват електронните платформи в голяма община. Днес хората използват всякакви удобства като поръчка на храна и пазаруване само с един клик на смартфона си – и общинските услуги трябва да са също толкова лесни за използване. Но освен лесни, те трябва да са сигурни и надеждни.

Конкурсът, който СО провежда през 2022 година в търсене на нови технологии за кибер-защита, разкрива наличието на дългосрочна и амбициозна визия за сигурността като основа за надеждното функциониране на всички информационни системи, с които СО оперира. Класическият антивирус отива в историята, за да бъде заменен от динамична и интелигентна защита на крайните устройства от ново поколение, наред с поведенчески анализ на процесите във всички ИТ системи, пълна видимост над уязвимостите, наблюдение на случващото се в „тъмните мрежи“ и стриктен режим на достъп за самите администратори в ИТ системите.

Единство, цялостност и всеобхватност

Внедрената платформа за защита на крайните устройства от ново поколение – endpoint detection and response (EDR) – дава на Столична община спокойствието, че технологията е с ясен произход. „За нас е важно да работим с продукт, който идва от държава от НАТО, да знаем, че можем да разчитаме на адекватна партньорска поддръжка от съответната страна, както и да сме сигурни, че тук, на нашия пазар, има партньори, които могат да поддържат тези системи,“ казва Керезов. За разлика от старото поколение „антивируси“ системата SentinelOne не се базира на вирусни дефиниции, а на анализ на процесите в работните станции. Осигурява и защита от рансъмуер. Тя събира и предоставя в концентриран вид информация за сложни атаки, които се развиват продължително във времето и имат за цел да останат незабелязани, пояснява Александър Стаменов, регионален мениджър в CLICO България.
Вече внедрена, технологията е напълно прозрачна за служителите на администрацията – не изисква специфични знания и умения от работещите в СО. Не е нужна дори специална квалификация за техническия екип, тъй като администрирането е лесно.

Върху тази основа стъпва второ ниво решения за кибер-сигурност: система за събиране на известия за инциденти, касаещи информационната сигурност, накратко SIEM. “Mного държахме да разполагаме с такава платформа, защото управляваме голяма инфраструктура с над 1000 работни станции, стотици сървъри и мрежови устройства – много е трудно да обхванем всичко „с един поглед“, за да знаем какво точно се случва в цялата ИТ инфраструктура,“ казва Панайотов. „Атаките не винаги са външни, може да има проблем вътре в мрежата – и ние бихме искали да знаем за него веднага“.
Отново огромният мащаб на инфраструктурата е причината, поради която технологичният екип на СО иска и инструмент за управление на уязвимостите.

„Във всяка организация, която има множество устройства, почти по всяко време има такива, които трябва да се актуализират, защото са открити уязвимости на ниво хардуер или софтуер,“ обяснява Стаменов. Ръчната работа би била непосилна, но има такъв инструмент в готов вид: технологията на Rapid7 „обхожда“ всички компоненти от инфраструктурата и преглежда хардуера и софтуера, като извежда списък с приоритети за „пачове“. Екипът на Борислав Панайотов може да провери по всяко време и да узнае колко уязвимости има из устройствата в голямата мрежа, колко от тях са критични, както и дали има такива, които в конкретния момент се експлоатират от злонамерени лица. „Това е важно, защото ако злонамерен играч усети, че при нас има уязвимост, това за него ще е покана за атака“, казва Панайотов. „Ние държим да разполагаме с тези предупреждения навреме, за да можем ефективно да управляваме риска,“ подчертава Генчо Керезов.

Новата визия на СО за кибер-сигурността обаче отива и отвъд собствените ИТ системи на общината: трябва да се знае и какво става в света на атакуващите. Има ли някъде изтекли данни от регистрите на общината? Продават ли се акаунти на служители на СО в „тъмните мрежи“? Тази детективска дейност е поверена на система за „разузнаване на заплахите“ – т. нар. threat intelligence (TI), предоставена от Recorded Future. Наричат го още „кибер-разузнаване“. „Това също понижава рисковете, защото дава ценна информация на хората, които управляват информационната сигурност – например ако паролата за даден профил е „изтекла“, обяснява Александър Стаменов. „Ние получаваме незабавно известие, ако списъци с електронни адреси и акаунти на наши служители се появят за продан в тъмната мрежа. Така можем веднага да предприемем действие в рамките на организацията, за да намалим риска. Действаме проактивно, преди слабостта да се използва от недоброжелател,“ казва Генчо Керезов. После добавя, че изискването за подобен софтуер изначално е заложено в конкурса. „Добрата информираност понижава рисковете“.

При подобна многостепенна защита за заинтересованите зложелатели не остават много възможности за пробив. Хитрите сред тях биха се досетили, че за да са оправдани и ефективни усилията им, ще трябва да се доберат до имена и пароли на ключови хора в СО, които имат достъп до повече и по-съществени електронни системи. Такива са например специалистите от ИТ отдела, които обичайно имат права да се намесват във всички ИТ системи.

В този си опит обаче хитрите атакуващи ще бъдат пресрещнати от система за управление на привилигирования достъп: privileged access management (PAM). Решението от CyberArk контролира отблизо всички профили с високи нива на привилегии: администратори, мениджъри на екипи, ръководители на отдели в СО, както и представители на фирмите, поддържащи тези системи – изобщо всички, които имат повече права от редовия служител на общината. „Хората с подобни права са много ценни и атакувани,“ пояснява Панайотов. „Всички ключови профили сега са защитени от PAM, за да бъдат на практика непробиваеми. По всяко време се знае кой, кога и къде е достъпвал. Правят се записи на сесиите на управление. Индексират се. Всяко действие подлежи на контрол и нерядко за всяка важна стъпка се изисква изрично одобрение,“ казва Стаменов. „Разчитаме на пълна прозрачност: можем да знаем на всяка крачка кой какво прави. Това ни позволява да осигурим надеждни ИТ услуги,“ обобщава Керезов.

Дигитализация и прозрачност в полза на гражданите

Интегрираната защитна система, изградена в Столична община, е цялостна и способна да осигури гладката работа на съществуващите информационни системи в СО. Керезов и неговият екип са несломимо категорични, че електронните системи на общината трябва да работят безотказно, защото гражданите на София зависят от тях и, в крайна сметка – за разлика от частния бизнес, където потребителят винаги може да потърси алтернативна оферта – за използването на общинските услуги хората просто нямат избор на друг доставчик.

„Предстои ни да започнем да събираме все повече и повече данни – например за качество на въздуха, на трафика и др.,“ казва Керезов. Планирано е в по-дългосрочен план това да направи възможно провеждането на симулации. Например, ако в Столичния общински съвет предстои вземането на важно решение, СОС ще може да има пълен достъп до всякакви данни и дори да симулира как решението би се отразило на градската среда. „Затова е важно да имаме гарантирана сигурност на данните и процесите. Сега полагаме основите, за да можем да събираме всички данни на града и да им осигурим адекватна защита“, обобщава Керезов.

След централната администрация многослойната система за кибер-безопасност следва поетапно да обхване всички 24 районни администрации на Столична община, както и нейните предприятия – такива като „Топлофикация - София“, „Паркове и градски градини“, „София – проект“, „Социален патронаж“ и др.
Успехът на системата за кибер-безопасност ще бъде от решаващо значение и за по-малките общини в страната. Традиционно всеки успешен ИТ проект в голяма и сложна общинска структура като СО се счита за модел, образец за внедряване и в останалите над 260 общини на територията на България. „Ние сме наясно, че с всяка подобна стъпка бием пъртина: утъпкваме път, по който другите ще могат да минат по-бързо и по-лесно впоследствие“, заключава Керезов.

Текст: Златин Дубаринов, Столична община