Отидете към основна версия

3 304 10

НАП е можела да предотврати теча на данни

  • нап-
  • теч-
  • данни

В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията

Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд - София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи Лекс.

В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.

Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.

По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни "не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки ("цялостност и поверителност")".

"И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", заявява съдия Аргирова.

И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.

"Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването", се посочва в решението.

АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. "SQL инжекция" е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List", изтъква съдът.

И заключава: "Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.".

НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП", посочва съдия Аргирова.

Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.

За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от "анонимен руски хакер", който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал "колко прецакана е държавата".

В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на "Тад груп" Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.

Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.

Собственикът на "Тад Груп" остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.

След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз.

Поставете оценка:
Оценка 4 от 8 гласа.

Свързани новини

Новини по градове:
Новини Айтос, Новини Балчик, Новини Банкя, Новини Банско, Новини Благоевград, Новини Бургас, Новини Бяла, Новини Варна, Новини Велико Търново, Новини Велинград, Новини Видин, Новини Враца, Новини Габрово, Новини Добрич, Новини Каварна, Новини Казанлък, Новини Калофер, Новини Карлово, Новини Карнобат, Новини Каспичан, Новини Китен, Новини Кнежа, Новини Козлодуй, Новини Копривщица, Новини Котел, Новини Кресна, Новини Кърджали, Новини Кюстендил, Новини Летница, Новини Ловеч, Новини Лом, Новини Луковит, Новини Мездра, Новини Монтана, Новини Несебър, Новини Нова Загора, Новини Нови Пазар, Новини Обзор, Новини Оборище, Новини Омуртаг, Новини Павликени, Новини Пазарджик, Новини Перник, Новини Петрич, Новини Плевен, Новини Пловдив, Новини Поморие, Новини Правец, Новини Радомир, Новини Разград, Новини Разлог, Новини Русе, Новини Самоков, Новини Сандански, Новини Сапарева Баня, Новини Свети Влас, Новини Свиленград, Новини Свищов, Новини Своге, Новини Севлиево, Новини Силистра, Новини Симитли, Новини Сливен, Новини Смолян, Новини Созопол, Новини Сопот, Новини София, Новини Средец, Новини Стара Загора, Новини Стрелча, Новини Суворово, Новини Тетевен, Новини Троян, Новини Трън, Новини Трявна, Новини Тутракан, Новини Търговище, Новини Харманли, Новини Хасково, Новини Хисаря, Новини Царево, Новини Чепеларе, Новини Червен бряг, Новини Черноморец, Новини Чипровци, Новини Чирпан, Новини Шабла, Новини Шумен, Новини Ябланица, Новини Ямбол, Новини Всички градове