Течът данни в НАП няма как да се случи без да има пропуски в работата.Това каза председателят на Комисията за защита на личните данни Венцислав Караджов по време на заседанието на Временна анкетна комисия за НАП, предаде репортер на Агенция "Фокус". "Констатициите на екипа са следните.

Администраторът НАП е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани е в английската версия на официалния сайт на страницата е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнати лица", заяви още Караджов.

По думите му отделно данъчните администрации на държавите членки, с които НАП обменя информации, са уведомени за инцидента с информационната сигурност. "Уведомена е ЕК, специализираните служби и ОИСР и компетентните органи за обмен на информация в държавите членки", заяви още той. По думите му е подготвено писмо до всички данъчни администрации.

"По време на проверката екипът констатира, че в НАП не са предприети следните технически и организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат отстъпени. От гледна точка на организационна структура - да съществува изградена структура за защита на личните данни.

В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения и процедурите за тяхната дейност. Не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, т.е. какви са правата на единия и на другия и как точно се извършва контролът и обменът на информация между тях.

Липсват процедури за взаимодействие на отделните потребители в системата в този смисъл. Продължителното самостоятелно разработване на предолжения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица.

Основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията. Липсват разписани правила и процедури, защита изобщо на личните данни. Налица са само такива за информационна сигурност, от гледна точка на киберсигурност. Вътрешните правила най-общо казано са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за разработка на данните в самата система. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни", допълни още Караджов.

"Към датата на неоторизирания достъп до разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите, за съжаление не са предвидени достатъчно рестриктивни мерки за достъп до базите данни. Същите са постъпвали с изключително големи права в базите данни на НАП.

По този начин е било възможно лесно хакване на базите с данни. Хакването на услугата буквално е ставало възможно при непосредствен достъп до базата с данни. След като се е случил този неоторизиран достъп с хакването, в момента на проверката констатираме, че са ограничени тези привилигировани потребители. Това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип, който е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено при самия момент на проектирането, а не като резултат на тази хакерска атака", заяви още Караджов. По думите му е нарушен основният принцип на отчетност, тъй като липсва одитни записи на отделните събития и дневници за привилигированите потребители. "Което значи, че няма информация какво този потребител е правил", допълни още Караджов. Той отчете, че няма внедрена система за определение на тези привилигировани потребители с оглед контрол, управление и наблюдение на привилигирования достъп до така наречените критични активи, т.е. базите данни. Отделно не е внедрена система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време за сигналите за сигурност", заяви още председателят на КЗЛД. По думите му това е позволило да не се подава информация, когато хакерът е влязъл и какво е теглил. "Липсва методика за управление на риска. Т.е. идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата", уточни още Караджов. "Считаме, че не са представени доказателства за извършен анализ на риска и системите и няма изготвени правила за функционални задължения за работа на всякаква информационна система", изтъкна още председателят на комисията. "Няма данни за стартирала процедура по адаптиране на информационните системи към изискване на общия регламент за защита на личните данни. Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи - така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи. Тяхната сървърна система е в момента на ниво 2008 г.", допълни още той. По думите му тези системи и системният срок на поддръжка в световен мащаб изтича януари следващата година. "Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с агенцията по вписванията. Няма парарелен сървър, който да може в случай, че има хакерска атака или технически проблем, да може да вдигне системата", каза още Караджов. Той изброи още, че липсват политики за повторно използване на личните данни, вътрешни правила за организиране, архивиране на електронните данни, които се използват еднократно.Източник: 24 часа