Публикация 09:47 23 Ян, 2018 / akcent.bg / 1079
За да влиза някой и да трие, означава, че е влязъл в системата, т.е. има право на достъп чрез потребител, парола или друг автентикационен механизъм. Това заяви експертът по информационна сигурност Борислав Сестримски пред БиТиВи. Той коментира доклад на ДАНС за слабости в акцизната система на Агенция „Митници“.
От БСП смятат, че тя продължава да може да се манипулира като в нея може да се влиза през Скайп или Ай Си Кю. Изпълнителният директор на петролната и газова асоциация Андрей Делчев каза , че само за шест месеца са изчезнали около 300 000 трансакции.
Според Сестримски, чрез Скайп може да се изнася информация, но надали може да се манипулира система, защото те не могат да имат пряк достъп до нея, уточни той. Но се застрахова- ако разработчикът не е написал плъгин за Скайп или Ай Си Кю.
В системата се влиза само от информационния отдел на Агенция „Митници“, което са около 20 души, категоричен бе експертът Тихомир Безлов. Според него 340-те точки на достъп, за които се говори, са всъщност комуникационни устройства, т. е. индустриални сървъри, които събират данните от сензорите от цистерни, контейнери и пр. Устройствата, които са в отделните акцизни складове, предават на три групи сървъри – на НАП, на Митниците и още една трета система, т.е. трябва да триете на три места, за да изтриете. Следа от това остава на информационните сървъри на „Митниците“, заяви Безлов.
Според Сестримски „пробив“ е доста силна дума, но всяка информационна система, освен информационната част, поддържаща бизнес процесите, трябва да има и т. нар. identity management система, която да контролира достъпа до нея, до бекъпите и било важно за де установи на колко време са направени те, кой има достъп да връща информация обратно. Когато системата е съставена да работи, тя е обезпечила бизнес процесите и е била достатъчна за извършване на дейностите, свързани с товари, митници, такси и т. н. Тогава, когато някой я е проектирал, по всяка вероятност не му е било възложено да я обезпечи, посочи той. За да влиза някой и да трие, означава, че е влязъл в системата, т.е. има право на достъп чрез потребител, парола или друг автентикационен механизъм, уточни още експертът.
Безлов поясни, че влизането в интранета на Митниците става с т. нар. цифров подпис – чип на картата, и лична парола, т.е. е ясно кой е влязъл и горе-долу какво прави. Проблем винаги ще има, ако нямате независима система за контрол, посочи той. Хубаво е вече при изграждането на системите достъпът да става йерархично и да бъде извършван от система различна от системата за управление на ресурсите, коментира Сестримски. Тя обикновено се контролира от други администратори, т.е. администрират администраторите, контролират създаването на потребителите, правата, които са им създадени, и не може някой просто фриволно да променя правилата и да разрешава триене, записване или манипулация на информацията, без да се знае.
Коментари
Все още няма коментари!
Коментирай