НАП е приоритизирала функционалността за сметка на сигурността. Не са предприети действия за обновяване на операционните системи, сървърната система е на ниво 2008 г., а срокът на поддръжка в световен мащаб изтича януари 2020 година. Това са част от констатациите на Комисията за защита на личните данни от извършената цялостна проверка на НАП, съобщи председателят й Венцислав Караджов пред анкетната парламентарна комисия за теча на данни от приходната агенция.
"НАП са приоритизирали обслужването на физически лица чрез електронни услуги, уточни той и поясни, че тези услуги са написани на език, който е на ниво 2008 г. и ако се осъвремени системата, не може да работи съответната услуга, защото функционалността на тези електронни услуги се изрязва".
КЗЛД е дала 6 месеца за изпълнение на даденото на НАП предписание, посочи още той и съобщи, че операционните системи на приходната агенция са активни и се поддържат ъпдейти до 2020 г., т.е. те са работещи, но КЗЛД е поискала да има процедура, която да гарантира че при ъпдействане няма да бъде нарушена функционалността.
"Всеки ъпдейт рискува да наруши функционалността и когато се разработват системите и тежестта е дадена върху функционалността, трябва да се прави баланс между защита и функционалност, добави Цанко Цолов, член на КЗЛД. По думите му пробивът е станал чрез "привилегированите потребители". Под "потребител" се разбират освен лица, всяко едно приложение, което досяга базата данни, т.е. електронните услуги, поясни още той и заключи, че не е проектирана вярно системата, не е имало тестване.
"Проблемът е, че НАП са допуснали чрез този привилегирован достъп, ако някой хакне услугата да влезе в базата данни", поясни още Караджов. "Било е възможно лесно хакване на базата данни, тъй като хакването на услугата дава непосредствен достъп до базата данни", подчерта той. КЗЛД е констатирала нарушения при отчетността - липсвала отчетност за привилегированите потребители, съобщи още Караджов. По думите му "когато хакерът е влезнал, системата не е сигнализирала, защото не е било заложено като хардуер и софтуер". Той посочи и пропуски по отношение на оценката на риска, също липса на документирани правила и процедури. "Няма паралелен сървър, липсват политики за обработване на специални категории данни, за повторно използване на личните данни, за архивиране и унищожаване на данни, което позволява при неоторизиран достъп да се придобие изключително голям обем информация", съобщи още председателят на КЗЛД.
Като стряскаща определи изнесената информация депутатът от БСП и зам.-председател на анкетната комисия Румен Гечев и повдигна въпроса за квалификацията на служителите по сигурността на информацията в НАП.
Той съобщи, че в състава, който отговаря за софтуера и сигурността на НАП имало специалист по спортна стрелба, специалист магистър по технология на металите, по механика и физика, специалист по аграрикономика, магистър по технология на хранително-вкусовата промишленост, магистър по геодезия, фотогеметрия и картография, магистър по транспорт и енергетика. "60 % са калинки, казано на български език", обобщи Гечев и попита шефа на КЗЛД: „Вие забелязахте ли такава висока концентрация на професионални калинки там“.
Продължавайки темата Иван Иванов от БСП поиска да разбере дали КЗЛД е направила предписания и за персонална отговорност и съобщи, че именно в специализираната дирекция за мрежова и информационна сигурност работели „още по-екзотични специалисти като щурман-насочвач и техника и технология на опазване на околната среда".
Маноил Манев от ГЕРБ отбеляза, че в университетите ни няма специалност "специалист по защита на личните данни", а председателят на анкетната комисия Красимир Ципов - че компетенциите на КЗЛД не са да проверява квалификацията и че назначенията се правят от ръководството на НАП.
В отговор Венцислав Караджов съобщи, че от КЗЛД не е констатирана липса на кокпетентност у тези служители. Той подчерта, че за служителите по сигурността на информацията и защита на личните данни няма образователен ценз, но има изискване за компетентност – да са минали обучение. "Ние от две години предлагаме да се създаде обучителен център. 2016 г. още считахме че липсата на образование ще доведе до проблема и такива се появяват не само в частния, но и в публичния сектор", добави Караджов.
По време на изслушването Румен Гечев изрази недоумение как КЗЛД е опредлила размера на глобата на НАП и се усъмни, че толкова бързо може да се изчислят загубите в пазарно измерение, на което шефът на КЗЛД обясни, че са имали предвид колко лица са засегнати, какъв обем данни са изтекли, има ли вина самият администратор, действал ли е правилно или не, в кои етапи и защо. „След незаконосъобразния достъп НАП като администратор е действал много правилно, включително се допита по въпроси, които считаше за висока степен на обществен интерес, до КЗЛД - как да действа, включително в случаите с чуждестранни физически лица“, каза още Караджов и добави, че в процеса на проверката имало пълно съдействие от страна на НАП.
На следващото заседание анкетната комисия ще изслуша ръководството на Държавната агенция по електронно управление, ще бъдат поканени и представители на НАП.
Коментари