Декларация на АИКБ във връзка с пробив в сигурността на данните на НАП

Teenage Hacker Girl Attacks Corporate Servers in Dark, Typing on Red Lit Laptop Keyboard. Room is Dark

Доверието в държавността е основополагащо за всяко общество, а за демократичното е ключово. Пробивът в системата за лични данни е пробив именно в това доверие и всякакъв опит за замитане на случилото се руши българската държава. Затова АИКБ настоява за пълно разследване на случая от независими външни на системата експерти и поемане на съответната отговорност.

В епохата на всеобхватна цифровизация подобно събитие може да се определи единствено като катастрофа. Фактите говорят сами – изтеклите бази данни на НАП показват драстичен пробив в защитата на правата на физическите лица при обработване на личните им данни, неизпълнение на задължения за страната ни, произтичащи от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), в това число  компрометирани  данни на милиони български граждани, съдържащи се в договори,  информация за възнаграждения, доходи, кредити, IP-адреси, декларации, имена, ЕГН, адреси, данни на български фирми с техните ЕИК и адреси, мейли, регистрационни номера на автомобили, номера на сертификати за електронни подписи; пълната органиграма на НАП с хеширани пароли и пълни данни на служителите на НАП със заеманите позиции; данни на българите, живеещи в чужбина, които получават пенсии извън България и са се отказали от здравно осигуряване в България.

Особено загрижени сме относно изнесените факти, че кражбата на данните е осъществена 20 дни преди откриването й, а НАП въобще не са отчели и регистрирали неправомерното извличане на данните от сървърите им, и едва след публикуването на част от информацията е констатирана кражбата. Всичко това говори за ниско ниво на защита и сигурност на данните, за некомпетентност или небрежност на отговорните лица, което поставя под риск националната сигурност и функционирането на държавата.

На фона на случилото се още по-скандално и необяснимо е желание на НАП чрез Наредба 18, безполезно за фиска, но излагащо на риск компаниите, да „наднича“ он-лайн в технологичните и търговските им тайни.

АИКБ призовава изпълнителната власт незабавно да изготви и изпълни  план за действие за намаляване на вредата от случилото се и управление на произтичащите рискове, както и да оповести публично кой носи отговорност за тази безпрецедентна катастрофа и какви наказания ще бъдат наложени.

АИКБ с дълбоко безпокойство напомня за предишни много тревожни сривове на държавната цифрова политика, а именно проблемите с търговския регистър, преминаването към електронни винетки и др. Подобни провали са изключително обезпокоителни, недопустими и позорящи за държава, която има претенциите да бъде регионален лидер в информационните технологии.

АИКБ подчертава, че подобни катастрофи ще продължат и в бъдеще, ако не се осъществи незабавна промяна в начина, по който работи държавата с електронните данни на българските граждани и българския бизнес. Създаването, поддръжката и управлението на електронните услуги е непрекъснат процес, като при проектирането на системите сигурността е водеща. Държавните институции, както и външни експерти и компании за сигурност би трябвало да одитират и да опитват пробиви на изградената инфраструктура, а Държавната агенция за електронно управление трябва да наложи минимални критерии за сигурност при проектиране и изпълнение на е-услуги от държавните институции. В тази връзка, за да се предотвратят подобни събития, АИКБ настоява за незабавен одит на IT сигурността във всички държавни институции при въвеждането на електронно управление, каквото трябваше отдавна да е факт.