Националната агенция за приходите (НАП) е създала условия за случилото се източване на данни от базите им, приоритизирайки стратегически функциите за електронно обслужване на гражданите за сметка на защита на личните им данни. Това заяви председателят на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов пред депутатите от временната анкетна комисия, която трябва да установи фактите около източването на данни от НАП.

Караджов обясни, че е направена цялостна проверка на администратора и са установени пропуски преди хакерската атака, но и адекватна реакция след това. В приходната агенция не е било достатъчно ясно разписано как се извършва обменът на информация между отделните потребители в системата. Системата е била дебалансирана, като тежестта е била изместена в полза на електронните услуги за потребителите за сметка на защитата.

Операционната система на НАП е от 2008 г., "кърпили" я с ъпдейти

Вътрешните правила са прекалено общи и няма разработени правила за обработка на данните. Било е възможно лесно да се пробие защитата на базата данни. Нарушен е основният принцип на отчетност – няма информация кой потребител влиза в системата, какво прави в нея и с какви данни борави, обясни Караджов.

Освен това не е имало внедрена система за управление и анализ на събитията, за да се следят в реално време сигналите за сигурност. Това пък е позволило да не се подава информация, когато хакрът е влязъл, дали е теглил малко или много информация, каква и от кои бази данни, обясни още председателят на комисията пред депутатите. Липсва методика за управление на риска – идентификация на заплахите и на самия риск, както и последваща периодична оценка на този риск. При проверката от НАП не са предоставили доказателства да са извършвали анализ на риска.

"Липсват документирани правила и процедури за оценка на въздействието при стартиране на нови информационни системи и приложения. Липсват процедури за управление на риска при промяна на вече съществуващи електронни услуги или при въвеждане на нови такива. Операционната система в момента е от 2008 г. Срокът на поддръжката й в световен мащаб изтича през януари 2020 г. Трябвало е много по-рано да се обмисли как тази система да бъде защитена", заяви още Караджов. По думите му всеки допълнителен ъпдейт на системата допълнително излагал на риск сигурността.

Сред пропуските той посочи, че няма паралелен сървър, който "да може да вдигне системата" и тя да заработи при евентуален срив. Установено е, че има бекъп сървър, но това според доклада на комисията не решава проблема.

"Липсват политики за повторно използване на данните, за унищожаване или архивиране на данните, които се използват еднократно, и няма правила за това. По този начин може да се добие изключително много информация", добави Караджов и подчерта, че от две години от комисията препоръчват да се провежда периодично обучение на служителите, които боравят с лични данни.

Всички констатации на комисията са обобщени в доклад от над 20 страници, който днес бе представен пред депутатите от анкетната комисия.

Според Румен Гечев над 60% от служителите били "калинки"

В отдела, който работи за опазване на личните данни в НАП, 60% от служителите са "калинки". "Там работят специалист по спортна стрелба, по технология на металите, по механика и физика, по аграрикономика, технология на хранително-вкусовата промишленост, по транспортна енергетика, по картография, околна среда и води и други". Констатацията направи Румен Гечев от БСП, който е зам.-председател на анкетната комисия.

Венцислав Караджов обясни, че при проверката подчинените му не са се сблъскали с некомпетентност, и добави, че комисията няма правомощия да търси персонална отговорност на служителите, които работят в приходната агенция.

"Не сме констатирали липса на компетентност от страна на тези служители. Предоставили сме им въпросници, от които можем да съдим, че имат добри познания върху това как работи системата и какви проблеми има в нея. Голяма част от проблемите са били констатирани от самите служители на НАП през последните 5 години", обясни Караджов.

Той добави, че няма изискване за образователен ценз при обработване на лични данни, и посочи, че всеки служител би трябвало да бъде обучаван. Караджов посочи, че комисията отдавна е предложила да се създаде обучителен център, тъй като подобни проблеми вече се забелязват както в частния, така и в публичния сектор.

В отговор на въпроси от комисията обясниха, че правят проверки, но те са секторни – в здравеопазването, образованието, фирмите за бързи кредити, телекомуникационните оператори.

"Тези проверки се правят въз основа на сигнали, подадени до комисията. За НАП нямаше такива индикации, нито пък подадени голям брой жалби и сигнали, за да се наложи да направим цялостна проверка. А и нашият проверяващ екип е от около 15 души", подчерта Караджов.

"Проблемът на НАП е, че направиха така, че да не си губиш времето, да не чакаш по опашки, а да можеш да използваш електронни услуги. Отвориха системите така, че да са максимално достъпни. Този проблем съществува и в други институции. Дори сайтът на парламента беше атакуван", коментира Емил Димитров и подчерта, че всички мерки, които трябва да се вземат, струват много.

В края на заседанието бе решено следващия път да бъдат поканени двамата уволнени служители по информационни технологии, както и представители на Държавната агенция по електронно управление и служители на НАП.

Миналата седмица КЗЛД обяви, че ще глоби данъчната администрация с 5,1 млн. лв. заради източените лични данни на над 6 млн. души.

Дни след като избухна скандалът, изпълнителният директор на Националната агенция за приходите Галя Димитрова уволни ръководителите на звената за информационните системи и за информационна сигурност на приходната администрация. Самата тя тогава заяви, че няма намерение да подава оставка.

Дневник