Още от първия ден достъп до данните има само с електронен подпис и парола

Информационната система на Агенция „Митници“ стана повод за разгорещени спорове между управляващите и опозицията. Хвърлят се обвинения за стотици изтрити записи от Българска Акцизна Централизирана Информационна Система (БАЦИС), което довело до ощетяване на хазната с десетки милиони. Поради големия обществен интерес публикуваме с някои съкращения позиция на Горан Ангелов, управител на „Ай Би Ес България“ ЕООД и управляващ Консорицум ДЗЗД “Айдом и Ай Би Ес”, който разработва системата.

През 2012 г., представляваният от мен консорциум печели обществена поръчка по ЗОП „Изграждане на Българска Акцизна Централизирана Информационна Система (БАЦИС) за Агенция „Митници“ и изграждане на Информационна система „Контрол на горивата“ за НАП“. Общата сума на договора е 4,4 млн. без ДДС, от които 1,9 млн. за доставка на харудер, оборудване и лицензи. Договорът е сключен за 5 години, като периодът включва и гаранционната поддръжка на системите.

Договорът ни за БАЦИС беше свързан с надграждане и интеграция на три вече съществуващи информационни системи в Агенция Митници - СУА - Система за управление на акцизите на национално ниво, EMCS (система за контрол на движението на стоки в режим отложено плащане на акциза в ЕС) и Информационна система „Измервателни устройства“. Към последната са свързани т.нар. ИКУНК-и - контролни индустриални компютри с предназначение да събират и изпращат информацията от измервателните уреди в данъчните складове.

Фактите

С изграждането на БАЦИС и ИСКГ бе реализирано свързване в реално време на данните в Агенция Митници и НАП по отношение на събираемостта на акцизите и ДДС при търговията с горива. Договорите на „Айдом Ай Би Ес“ с Агенция Митници и НАП приключиха през юли 2017 г. с изтичането на предвидената в тях гаранционна поддръжка.

Твърденията, че в БАЦИС са създадени условия за манипулиране и/или заличаване на данни с цел набавяне на финансова облага и/или директна измама с акцизни стоки са напълно несъстоятелни. Подобни действия биха изисквали промяна на данните не в една, а в няколко системи в Агенция Митници, както и в системата на НАП. Видно и от доклада на ДАНС, условия за подобна манипулация на данни не са открити.

Митове срещу факти

Мит: Изтрити са над 300 хиляди документа от БАЦИС.

Факт: Практически подобно нещо е невъзможно да се осъществи без да спре изцяло да функционира системата. Информацията се разпространява на толкова много места и така е обвързана, че дори изтриване и/или модифициране само на един документ би довело до проблеми, които ще възпрепятстват работата и.

Мит: БАЦИС е хакната, пробита или нещо подобно и това е довело до директни загуби за фиска

Факт: БАЦИС никога не е била обект на кибер престъпление било чрез външна или вътрешна намеса.

Мит: Всички могат да достъпят БАЦИС и то с проста парола.

Факт: Всички потребители на системата още с пускането й в експлоатация са влизали само чрез Квалифициран електронен подпис (КЕП) и ПИН код. БАЦИС е централизирана web-базирана система, състояща се от над 30 интегрирани модули, като модулите които се виждат в Internet са отделени от вътрешните модули, както логически, така и мрежово.

Мит: Поради несъвършенствата на БАЦИС камионите минават свободно през границата и танкери се разтоварват безконтролно, включително и на суша.

Факт: БАЦИС няма функции или контролни точки на гранична система. В нея се декларира освобождаването на стоки за потребление или движението в режим отложено плащане на акциза. Каквито и разкрития в областта на нереглементиран внос през границата на акцизни стоки да се правят, те не могат и е погрешно да се свързват с функционирането на тази система.

Мит: В Данъчните складове работят нивомерни системи.

Факт: Нивомерни системи може и да има в данъчните складове, но те не са свързани с ИКУНК и Агенция Митници, а се ползват от икономическите оператори за собствените им дейности по управление на склада. Съгласно изискванията на нормативната уредба и модул ИКУНК на БАЦИС, в данъчните складове за течни горива се използват измервателни устройства, които отчитат преминаващите през тях продукти.

Установени слабости в бацис според доклада на данс

ДАНС установява девет слабости. В никакъв случай не може да се твърди, че те застрашават финансовата и икономическа сигурност на държавата. Дори и да допуснем, че данните от ИКУНК могат да бъдат компрометирани, органите на Агенция Митници разполагат с допълнителен източник на данни за проверка, а несъответствията няма как да не бъдат засечени от модул „Идентификация на рискови събития“ в БАЦИС. Нека погледнем в детайли тези девет констатации:

Констатация 1. „Всички ИКУНК се достъпват и администрират отдалечено от служител на Агенция Митници с една и съща парола.“

В случая под служител следва да разбираме системен администратор. Отдалеченият достъп се ползва за управление на приложението върху ИКУНК (рестартиране, задаване на параметри) и за обновяване на софтуера. Въпросната констатация се отнася за възможност за достъп само през мрежовата среда на Агенция Митници с потребителско име и парола. Ползването на един и същ администраторски акаунт (привилигирован потребител) за всички ИКУНК-и може и да се класифицира като грешка от страна на колегите от Агенция Митници, но трудно може да се определи като заплаха за националната сигурност.

Констатация 2. „Операционната система (ОС) на ИКУНК, не се актуализира за предпазване от установени уязвимости"

ИКУНК е затворена специализирана индустриална система. Очакването тя да бъде обновявана на ниво ОС за уязвимости е погрешно и заблуждаващо. Индустриалните системи се тестват да изпълняват конкретни специализирани задачи и се нуждаят от стабилност в дълъг период на самостоятелна работа.

Констатация 3. „Установено е, че достъпът до всички ИКУНК в страната се осъществява през компютър, свързан в Интернет и използващ ОС Windows XP. На компютъра се съхранява детайлна информация за адресния план на ИКУНК, местоположение на собственика и на данъчния склад, както и паролата в явен вид.“

Констатация 4. „Установено е, че през време на достъп до ИКУНК на компютъра, използващ ОС Windows XP, са активни средствата за масова комуникация Skype и ICQ.“

В Констатации 3 и 4 се цитира компютър - работна станция на служител в Агенция Митници. Самата работна станция не е градивна единица от инфраструктурата на БАЦИС и вероятно се използва за обща администрация. Съгласни сме, че в случая служителят на Агенция Митници, ползващ тази работна станция, е нарушил добрите практики в информационната сигурност, но определянето му като заплаха за националната сигурност е твърде пресилено.

Констатация 5. „Служителите в Агенция Митници не са предоставили информация за наличието на система за мониторинг в „реално време“, която да дава информация какви събития и какъв е статуса на мрежата на ИКУНК.“

Към момента на одита всички ИКУНК се наблюдават чрез централизиран модул. Неработоспособността на всеки ИКУНК се третира като рисково събитие, за което се вдига сигнал в модул „Идентификация на Рискови Събития“.

Констатация 6. „В ОС на ИКУНК не се водят лог файлове за одит на системни процеси, осъществявани комуникации, достъп и други.“

Тази констатация не отговаря на фактите. Лог файлове се подържат във всеки ИКУНК. В противен случай поддръжката на работоспособността на ИКУНК би била невъзможна.

Констатация 7. „Според служители на Агенция Митници, ОС на ИКУНК са 4 версии, като няма информация кой конкретен ИКУНК с коя версия се ползва в момента.“

Тази констатация отново се разминава с истината. Модул ИКУНК предоставя в реално време версията на всеки конкретен ИКУНК заедно с текущия му статус.

Констатация 8. „На предоставените ИКУНК пред служители на ДАНС е установен автоматично стартиращ се процес (netcat), позволяващ отдалечен достъп, изпълняване на команди, трансфер на файлове и др.“

Инструментът netcat се е използвал целево, като инструмент за мониторинг на версията на ИКУНК в някои от първоначалните версии. В рамките на изпълнение на проекта са въведени други механизми за отдалечена администрация, мониторинг и контрол.

Констатация 9. „За периода 24.04.2016 - 27.04.2016 около 33 броя ИКУНК не са функционирали по неизяснени към момента причини в различни данъчни складове. Липсва информация дали преминалите през време на нефункционирането на ИКУНК акцизни стоки са отчетени по установения ред.“

ИКУНК са системи, които събират данни от измервания и докладват на Агенция Митници в реално време, при наличие на мрежова свързаност до съответния склад. При липса на свързаност, измерванията се съхраняват в самия ИКУНК до възстановяване на връзката, а и след и изпращането им за определено време, което гарантира трансфера на данни към Агенция Митници дори и при продължително отпадане на връзката.

Вместо заключение

Станахме свидетели на медийна истерия, която бе подклаждана от спекулативни твърдения на определени лица. Основна причина за това според мен бе класифицирането на доклада на ДАНС като секретен. Докладът вече е публичен и е време спекулациите да бъдат прекратени и обществото да научи истината. Опитите за компрометиране в публичното пространство на една от ключовите информационни системи в държавата могат да изпълняват единствено частни корпоративни интереси. Тези опити видимо се правят и с надеждата за извличане на необосновани политически дивиденти.