И след грандиозния скандал с изтичането на личните данни на милиони български граждани Националната агенция за приходите продължава да се отнася лежерно към сигурността на системите си. Така например здравноосигурителният статус на всеки български гражданин може да бъде проверен без проблем, ако се знае неговият ЕГН. Това е така, защото вторият задължителен идентификатор, който би трябвало да затрудни узнаването на тази информация, е… рождената дата на съответния човек.
За тази слабост в системата на НАП разказа членът на Комисията за защита на личните данни (КЗЛД) Веселин Целков. Оказа се, че още преди теча на данни КЗЛД е дала указание на НАП да се въведе втори идентификатор, освен ЕГН, за търсене на информация в масивите й. Противно на всякаква логика, от приходната агенция решили, че най-добре е вторият идентификатор да бъде рождената дата. „Отидохме на проверка, защото помислихме, че това е недоразумение или че изпълнителният директор на НАП е бил подведен. Оказа се, че това е мнението на експертите в НАП. След като вие си мислите, че рождената дата може да бъде втори личен идентификатор след ЕГН-то, тогава естествено може да се направи изводът за експертното знание…“, коментира Веселин Целков, цитиран от БНР.
Допреди няколко години беше възможно да се направи справка за здравноосигурителните права единствено с трите имена. На практика това позволяваше да се разбере дали някой си е плащал здравните осигуровки и дали има непрекъснати здравни права, стига името му да е достатъчно специфично. След няколко скандала бяха направени промени и първо се добави ЕГН. Очевидно и това се е видяло недостатъчно на КЗЛД, която е дала указание за въвеждане на втори идентификатор. Така се е стигнало до добавянето и на рождената дата. Това изискване е повече от абсурдно, тъй като от първия идентификатор изключително лесно можеш да изведеш и допълнителния, което го обезсмисля.
Очевидно е, че неглижирането на сигурността на информационните системи на НАП е трайно. Преди седмица адвокатът на Кристиян Бойков, който е обвинен в кибертероризъм заради хакерската атака, разкри пред bTV, че в публичен чат на програмисти е била съобщена уязвимост в сайта на НАП, през която се влиза в сървър на агенцията. Достатъчно било да въведеш потребителското име admin и паролата admin. В превод от английски език думата означава „администратор“ и често се използва като фабрично име и парола, които потребителят сменя с по-сигурни и трудни за отгатване. Така поне 50 души са знаели как да получат достъп до масивите на НАП месеци преди личните данни на милиони българи да бъдат разпространени в интернет.
Както в. „Сега“ съобщи още във вторник, КЗЛД ще наложи санкция за милиони на НАП заради теча на лични данни. Актът за административно нарушение ще бъде връчен на агенцията в края на седмицата, като тя има право да изрази своите възражения в тридневен срок. Конкретният размер на глобата ще стане ясен след този срок. От думите на Веселин Целков става ясно още, че течът на лични данни е много по-голям, отколкото се предполагаше досега. „Изтеклите данни не са на 5.1 млн. души, а на малко над 6 млн.“, уточни той и добави, че около един милион от тях не са сред живите. Целков изтъкна още, че не са предприети абсолютно никакви мерки, за да се гарантира сигурността на личните данни, които агенцията съхранява. „Този проблем не стои само в НАП, той стои за много държавни институции, защото основен проблем е неразбирането на проблема от висшия мениджмънт“, категоричен е той.
Проверката на КЗЛД отне месец и е констатирала незаконосъобразен достъп и разпространение на лични данни на български граждани. „Максималната глоба, предвидена в регламента, е 20 млн. евро, или 4% от годишния оборот. Но това е едно общо правило, което важи за всички страни от ЕС. Нали се сещате, че ако има пробив във Фейсбук или в НАП, броят на засегнатите ще бъде различен. Комисията много внимателно е анализирала какво е станало в НАП, какви са причините“, отговори Целков на въпрос дали ще бъде наложена максималната санкция на приходната агенция.
Коментарите подлежат на модериране.
Правилата за коментиране