Условията за източването на базите данни на Националната агенция за приходите (НАП) са били по вина на самата агенция, тъй като тя е полагала повече усилия за електронното обслужване на гражданите и е пренебрегнала защитата на личните им данни. Това е основната констатация на Комисията за защита на личните данни (КЗЛД) след направената проверка.
Председателят на комисията Венцислав Караджов обясни пред временната анкетна комисия в парламента, че е направена цялостна проверка на администратора и са установени пропуски преди хакерската атака, но и адекватна реакция след това. Проверката е показала, че основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията и липсват разписани правила и процедури за защитата на личните данни изобщо.
„Вътрешните правила, най-общо казано, са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за обработка на данните в самата система. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни“, подчерта Караджов. Според него са липсвали и вътрешни правила за обучение на самите служители в НАП.
На заседанието на комисията стана ясно, че някои от информационните системи в приходната агенция са още от 2008 г.
Миналата седмица комисията наложи глоба от пет милиона и сто хиляди лева на НАП заради случая, но от приходната агенция я обжалват и възнамеряват да предприемат съдебни действия срещу извършителите на хакерската атака. Глобата е една четвърт от максимално възможната, заяви пред БНР Караджов в деня на оповестяването на решението.
„Липсват документирани правила и процедури за оценка на въздействието при стартиране на нови информационни системи и приложения. Липсват процедури за управление на риска при промяна на вече съществуващи електронни услуги или при въвеждане на нови такива. Операционната система в момента е от 2008 г. Срокът на поддръжката й в световен мащаб изтича през януари 2020 г. Трябвало е много по-рано да се обмисли как тази система да бъде защитена“, заяви още Караджов в парламента. По думите му всеки допълнителен ъпдейт на системата допълнително излагал на риск сигурността.
Сред пропуските той посочи, че няма паралелен сървър, който „да може да вдигне системата“ и тя да заработи при евентуален срив. Установено е, че има бекъп сървър, но това според доклада на комисията не решава проблема.
„Липсват политики за повторно използване на данните, за унищожаване или архивиране на данните, които се използват еднократно, и няма правила за това. По този начин може да се добие изключително много информация“, добави Караджов.
В отдела, който работи за опазване на личните данни в НАП,
60% от служителите са „калинки“
„Там работят специалист по спортна стрелба, по технология на металите, по механика и физика, по аграрикономика, технология на хранително-вкусовата промишленост, по транспортна енергетика, по картография, околна среда и води и други“, коментира Румен Гечев от БСП, който е зам.-председател на анкетната комисия.
Заради неправомерния достъп данните на милиони българи циркулират свободно в интернет, а дали и ние сме сред тях – можем да проверим на сайта на агенцията. Хакерската атака съвпадна с годишния отпуск на директора на НАП Галя Димитрова, която тя не го прекрати с аргумента, че е имала изключително важен личен повод.
До момента единствено служители на „ТАД Груп“ са обвиняеми за атаката.
