24 Февруари, 2023 08:40 3 303 10

НАП е можела да предотврати теча на данни

  • нап-
  • теч-
  • данни

В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията

НАП е можела да предотврати теча на данни - 1

Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд - София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи Лекс.

В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.

Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.

По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни "не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки ("цялостност и поверителност")".

"И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", заявява съдия Аргирова.

И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.

"Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването", се посочва в решението.

АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. "SQL инжекция" е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List", изтъква съдът.

И заключава: "Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.".

НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП", посочва съдия Аргирова.

Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.

За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от "анонимен руски хакер", който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал "колко прецакана е държавата".

В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на "Тад груп" Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.

Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.

Собственикът на "Тад Груп" остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.

След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз.


Поставете оценка:
Оценка 4 от 8 гласа.


Свързани новини


Напиши коментар:

ФAКТИ.БГ нe тoлeрирa oбидни кoмeнтaри и cпaм. Нeкoрeктни кoмeнтaри щe бъдaт изтривaни. Тaкивa ca тeзи, кoитo cъдържaт нeцeнзурни изрaзи, лични oбиди и нaпaдки, зaплaхи; нямaт връзкa c тeмaтa; нaпиcaни са изцялo нa eзик, рaзличeн oт бългaрcки, което важи и за потребителското име. Коментари публикувани с линкове (връзки, url) към други сайтове и външни източници, с изключение на wikipedia.org, mobile.bg, imot.bg, zaplata.bg, bazar.bg ще бъдат премахнати.

КОМЕНТАРИ КЪМ СТАТИЯТА

  • 1 БАЦЕ ЕООД

    19 0 Отговор
    тия избори няма да се фалшифицират сами я...
  • 2 Дааааааааааа

    13 0 Отговор
    Да бездействие, ми бяха на БАХАМИТЕ! От ТАМ КАК!
  • 3 Да бе , да. ! 😜

    7 2 Отговор
    Кой стои зад атаката ? Не са посмели да напишат , че Тад Груп е амриканска фирма " Американските собственици на "ТАД Груп" подготвят иск срещу България " / Другата смешка - атаката уж била срещу Герб ? Как , като собственика на бг клона на щатската фирма е съучредител на Герб ! ?
  • 4 Жоро

    13 1 Отговор
    От единия джоб в другия. Уволнения трябват. Премахване на пенсионния стаж на виновниците.
  • 5 Този коментар е премахнат от модератор.

  • 6 Бай Ганьо

    7 0 Отговор
    И накрая както разбирам никой от НАП няма да бъде глобен и осъден. А този теч е с безпрецедентни мащаби. Никъде по света не са изтичали такъв огромен процент лични данни. Тия калинки тогава дори не осъзнаха мащабите и последиците от пробива в сигурността. Като гледам и сега не се вълнуват особено. В други държави сега меринджеи от НАП щяха да са общи булки в затвора...
  • 7 Мдаа

    8 0 Отговор
    Ей така с тези изтекли данни учредяват политически партийки с фалшиви подписи и данните на хората.
  • 8 Продължаваме Порнографията

    6 0 Отговор
    Та викате референдумът против еврото бил заплаха за личните данни...
  • 9 Този коментар е премахнат от модератор.

  • 10 НАП са некадърници

    1 0 Отговор
    Вижте директорите им кой от кой по некадърен, Галя Димитрова беше в Перу на екскурзия, Спецов въртял любов с кака Асена, сегашния бай Борко искал подкуп от 250000 лева от синдика на Русенска фирма! Тези хора са крадци, лъжци и шарлатани и боравят с данните ни и после вярвайте ни!
Новини по градове:
Новини Айтос, Новини Балчик, Новини Банкя, Новини Банско, Новини Благоевград, Новини Бургас, Новини Бяла, Новини Варна, Новини Велико Търново, Новини Велинград, Новини Видин, Новини Враца, Новини Габрово, Новини Добрич, Новини Каварна, Новини Казанлък, Новини Калофер, Новини Карлово, Новини Карнобат, Новини Каспичан, Новини Китен, Новини Кнежа, Новини Козлодуй, Новини Копривщица, Новини Котел, Новини Кресна, Новини Кърджали, Новини Кюстендил, Новини Летница, Новини Ловеч, Новини Лом, Новини Луковит, Новини Мездра, Новини Монтана, Новини Несебър, Новини Нова Загора, Новини Нови Пазар, Новини Обзор, Новини Оборище, Новини Омуртаг, Новини Павликени, Новини Пазарджик, Новини Перник, Новини Петрич, Новини Плевен, Новини Пловдив, Новини Поморие, Новини Правец, Новини Радомир, Новини Разград, Новини Разлог, Новини Русе, Новини Самоков, Новини Сандански, Новини Сапарева Баня, Новини Свети Влас, Новини Свиленград, Новини Свищов, Новини Своге, Новини Севлиево, Новини Силистра, Новини Симитли, Новини Сливен, Новини Смолян, Новини Созопол, Новини Сопот, Новини София, Новини Средец, Новини Стара Загора, Новини Стрелча, Новини Суворово, Новини Тетевен, Новини Троян, Новини Трън, Новини Трявна, Новини Тутракан, Новини Търговище, Новини Харманли, Новини Хасково, Новини Хисаря, Новини Царево, Новини Чепеларе, Новини Червен бряг, Новини Черноморец, Новини Чипровци, Новини Чирпан, Новини Шабла, Новини Шумен, Новини Ябланица, Новини Ямбол, Новини Всички градове