Медия без
политическа реклама

НАП най-сетне информира какви лични данни са изтекли

Не е ясно дали архаичната електронна система вече е защитена от нови хакерски атаки

06 Септ. 2019МИЛА КИСЬОВА
Илияна Кирилова
Шефката на НАП Галя Димитрова в разгара на кризата се оказа в отпуск. От дълго време тя продължава да пази мълчание как агенцията ще защити данните на хората в бъдеще.

Месец и половина след хакерската атака срещу информационните системи на НАП, при която изтекоха данни за над 4 милиона живи и над 1 милион вече мъртви българи, агенцията пусна приложението, с което всеки може да провери какви точно негови данни са се появили в интернет и са станали публично достояние. Електронната услуга е качена в специално разработен сайт на адрес - https://check.nra.bg/. Справката е достъпна с ПИК, издаден от НАП, или с електронен подпис. За гражданите, които нямат ПИК, справка може да се направи и в офис на НАП. Там с пълномощно може да се проверят данни и за друго лице.

Първото приложение за справки, което публикува НАП преди месец, показваше само дали има или няма изтекли лични данни. Забавянето на по-подробна информация приходната агенция обясни с необходимостта да се съпоставят незаконно разпространените файлове с реалните бази данни на НАП за евентуални несъответствия. Към момента от приходната агенция не са обяснили дали са засекли променена или изтрита информация. Преди месец, на първата и единствена до момента пресконференция по случая, шефката на НАП Галя Димитрова съобщи, че в проверените дотогава 70 милиона записа са установени 600 000 несъответствия. Не беше разяснено обаче дали тези несъответствия са в резултат на подправяне или изтриване. 

След хакерската атака НАП обяви, че е започнала пълен одит на информационните системи. Той се извършва от експертите на държавната фирма "Информационно обслужване". Всички информационни системи, приложения и инфраструктура на НАП трябваше да бъдат подложени на тестове за техническа уязвимост. На проверка влязоха още експертите на ДАНС, Комисията за защита на личните данни, Агенция "Електронно управление". Към момента няма информация дали одитът е приключил, какво са установили проверяващите и дали са коригирани проблемите. 

Все още не работи и електронната услуга по възстановяването на ДДС, платен в чужбина, спряна след хакерската атака. Именно през тази информационна система бе пробита базата данни на НАП.
Три държави до момента обявиха, че са замразили обмена на информация с хакнатата НАП. На сайта си германската федералната данъчна служба публикува съобщение, че за да защити данните на местните и чуждестранните данъкоплатци, като предпазна мярка Германия забрани обмена на данни с България по отношение на исканията за възстановяване на ДДС.  Властите в Белгия също са спрели всякакъв автоматичен обмен на данъчна информация с нашата страна, за да гарантират сигурността и защитата на споделяните данни. Уведомление за спиране обмена на данни - електронен и при поискване, е постъпило и от Сингапур.

НАП и досега обаче гледа на хакерската атака и изтичането на личните на данни на данъкоплатците единствено като на престъпление по смисъла на Наказателния кодекс, "осъществено независимо и въпреки предприетите от НАП технически и организационни мерки за защита". Затова и приходната агенция обяви, че ще обжалва санкцията от 5.1 млн. лв., наложена преди седмица от Комисията за защита на личните данни (КЗЛД). 

Някои от информационните системи на НАП са още от 2008 г., обяви шефът на КЗЛД Венцислав Караджов на последното заседание на специалната комисия в парламента, създадена да разследва теча на данъчна информация. Той докладва за остарели операционни системи, свързани с личните данни, чиято поддръжка изтичала през януари 2020 г. в световен мащаб. Експертите на КЗЛД са установили 20 нарушения. Посочено бе, че НАП са приоритизирали обслужването на гражданите чрез електронни услуги за сметка на сигурността на личните им данни. В приходната агенция не са предприели и редица техническо-организационни мерки, за да защитят чувствителната информация. Нарушения имало и при мерките за достъп до базите данни, липсвали процедури за управление на риска. Липсвали и вътрешни правила за обучение на служителите да работят с лични данни.

Въпреки тежките констатации заради "НАПлийкс" бяха отстранени единствено ръководителите на звената „Информационни системи“ и „Информационна сигурност“.

Репортерска проверка показа, че масово освен ЕГН и трите имена сред изтеклите лични данни са справки-декларации за изплатените доходи и направени осигуровки в периода 2007-2017 г., като някои години са пропуснати. Публично достояние са станали и годишните данъчни декларации за периода от 2003 до 2006 г. В тези документи се съдържат също така данни за адресите и личните карти на данъкоплатците. По-различен е случаят с около 200 души, за които има пълна информация, включително за банкови сметки. Те бяха уведомени лично след изтичането на данните им.

 

ПО ТЕЛЕФОНА

Българските граждани, които живеят дългосрочно в чужбина и не разполагат с ПИК, може да получат информация на телефон +359 2 9859 6801. В този случай експерт на агенцията ще зададе контролни въпроси с цел идентификация. За чужденци има и английската версия на сайт: https://check.nra.bg/en/. Чуждестранните лица, за които има разпространени лични данни, ще бъдат уведомени от данъчната си администрация.

Ключови думи:

НАП, НАП лийкс

Още по темата