В последните дни от разсекретен доклад на Държавната агенция „Национална сигурност“ (ДАНС) стана ясно, че са установени редица проблеми в акцизната система на Агенция „Митници“. Според БСП тя все още може да бъде манипулирана, като в нея може да се влиза дори през „Скайп“ (Skype) и Ай Си Кю (ICQ), а изпълнителният директор на Българската петролна и газова асоциация Андрей Делчев каза пред bTV, че само за шест месеца от системата са изчезнали около 300 хил. транзакции.
Всъщност „Скайп“ и ICQ са „комуникатори, които водят комуникация между двама-трима-петима души – коментира в предаването „Тази сутрин“ по bTV експертът по информационна сигурност Борислав Сестримски. – Чрез тях може да се изнася информация, но надали може да се манипулира система – те не могат да имат пряк достъп до системата или да са част от нея, ако разработчикът не е написал плъгин за „Скайп“ или Аи Си Кю“.
„В системата не може да се влезе през „Скайп“ и ICQ, просто тя е затворена, тя е интранет, и за да влезете, системните администраторите трябва да ви приели устройство“, потвърди и Тихомир Безлов от Центъра за изследване на демокрацията. В системата се влиза само от информационния отдел на Агенция „Митници“, което са около 20 души, посочи той.
По думите му 340-те точки на достъп, за които се говори, са всъщност комуникационни устройства (индустриални сървъри), които събират данните от сензорите от цистерни, контейнери и пр. Устройствата, които са в отделните акцизни складове, предават на три групи сървъри – на НАП, на Митниците и още една трета система, т.е. трябва да триете на три места, за да изтриете. Следа от това остава на информационните сървъри на „Митниците“, заяви Безлов.
Според Сестримски „пробив“ е доста силна дума, но всяка информационна система, освен информационната част, поддържаща бизнес процесите, трябва да има и т. нар. identity management система, която да контролира достъпа на потребителите, достъпа до ресурсите, до информацията на системата, до бекъпите на системата – на колко време са направени те, кой има достъп да връща информация обратно.
Когато системата е съставена да работи, тя е обезпечила бизнес процесите и е била достатъчна за извършване на дейностите, свързани с товари, митници, такси и т. н. Тогава, когато някой я е проектирал, по всяка вероятност не му е било възложено да я обезпечи, посочи той.
За да влиза някой и да трие, означава, че е влязъл в системата, т.е. има право на достъп чрез потребител, парола или друг автентикационен механизъм, уточни още експертът.
Безлов поясни, че влизането в интранета на Митниците става с т. нар. цифров подпис – чип на картата, и лична парола, т.е. е ясно кой е влязъл и горе-долу какво прави. Проблем винаги ще има, ако нямате независима система за контрол, посочи той.
Хубаво е вече при изграждането на системите достъпът да става йерархично и да бъде извършван от система различна от системата за управление на ресурсите, коментира Сестримски. Тя обикновено се контролира от други администратори, т.е. администрират администраторите, контролират създаването на потребителите, правата, които са им създадени, и не може някой просто фриволно да променя правилата и да разрешава триене, записване или манипулация на информацията, без да се знае.
Според Безлов „малко се политизира по повода“.
Вижте целия разговор във видеото: