facebook
twitter

Първа страница

Вместо да затяга, НАП улеснява достъпа до личните ни данни

Агенцията по приходите очевидно не знае, че рождената дата се съдържа в ЕГН
4491
НАП
"Сега" установи, че за да извършиш проверка на здравноосигурителния статус, е необходимо да се идентифицираш с ЕГН и рождена дата. Вторият идентификатор обаче е абсурден, тъй като може да бъде изведен от първия.

И след грандиозния скандал с изтичането на личните данни на милиони български граждани Националната агенция за приходите продължава да се отнася лежерно към сигурността на системите си. Така например здравноосигурителният статус на всеки български гражданин може да бъде проверен без проблем, ако се знае неговият ЕГН. Това е така, защото вторият задължителен идентификатор, който би трябвало да затрудни узнаването на тази информация, е... рождената дата на съответния човек.

За тази слабост в системата на НАП вчера разказа членът на Комисията за защита на личните данни (КЗЛД) Веселин Целков. Оказа се, че още преди теча на данни КЗЛД е дала указание на НАП да се въведе втори идентификатор, освен ЕГН, за търсене на информация в масивите й. Противно на всякаква логика, от приходната агенция решили, че най-добре е вторият идентификатор да бъде рождената дата. „Отидохме на проверка, защото помислихме, че това е недоразумение или че изпълнителният директор на НАП е бил подведен. Оказа се, че това е мнението на експертите в НАП. След като вие си мислите, че рождената дата може да бъде втори личен идентификатор след ЕГН-то, тогава естествено може да се направи изводът за експертното знание…“, коментира Веселин Целков, цитиран от БНР.

Допреди няколко години беше възможно да се направи справка за здравноосигурителните права единствено с трите имена. На практика това позволяваше да се разбере дали някой си е плащал здравните осигуровки и дали има непрекъснати здравни права, стига името му да е достатъчно специфично. След няколко скандала бяха направени промени и първо се добави ЕГН. Очевидно и това се е видяло недостатъчно на КЗЛД, която е дала указание за въвеждане на втори идентификатор. Така се е стигнало до добавянето и на рождената дата. Това изискване е повече от абсурдно, тъй като от първия идентификатор изключително лесно можеш да изведеш и допълнителния, което го обезсмисля. 

Проверка на "Сега" в сряда установи, че и в момента може да се направи проверка за всяко лице, ако се въведат неговият ЕГН и рождена дата. 

"Сега" потърси за коментар говорителя на приходната агенция Росен Бъчваров, който веднага се сети, че се визира проверката на здравноосигурителния статус, но отказа коментар. 

Очевидно е, че неглижирането на сигурността на информационните системи на НАП е трайно. Преди седмица адвокатът на Кристиян Бойков, който е обвинен в кибертероризъм заради хакерската атака, разкри пред bTV, че в публичен чат на програмисти е била съобщена уязвимост в сайта на НАП, през която се влиза в сървър на агенцията. Достатъчно било да въведеш потребителското име admin и паролата admin. В превод от английски език думата означава "администратор" и често се използва като фабрично име и парола, които потребителят сменя с по-сигурни и трудни за отгатване. Така поне 50 души са знаели как да получат достъп до масивите на НАП месеци преди личните данни на милиони българи да бъдат разпространени в интернет. 

Както в. "Сега" съобщи още във вторник, КЗЛД ще наложи санкция за милиони на НАП заради теча на лични данни. Актът за административно нарушение ще бъде връчен на агенцията в края на седмицата, като тя има право да изрази своите възражения в тридневен срок. Конкретният размер на глобата ще стане ясен след този срок. От думите на Веселин Целков става ясно още, че течът на лични данни е много по-голям, отколкото се предполагаше досега. "Изтеклите данни не са на 5.1 млн. души, а на малко над 6 млн.", уточни той и добави, че около един милион от тях не са сред живите. Целков изтъкна още, че не са предприети абсолютно никакви мерки, за да се гарантира сигурността на личните данни, които агенцията съхранява. "Този проблем не стои само в НАП, той стои за много държавни институции, защото основен проблем е неразбирането на проблема от висшия мениджмънт", категоричен е той.

Проверката на КЗЛД отне месец и е констатирала незаконосъобразен достъп и разпространение на лични данни на български граждани. "Максималната глоба, предвидена в регламента, е 20 млн. евро, или 4% от годишния оборот. Но това е едно общо правило, което важи за всички страни от ЕС. Нали се сещате, че ако има пробив във Фейсбук или в НАП, броят на засегнатите ще бъде различен. Комисията много внимателно е анализирала какво е станало в НАП, какви са причините", отговори Целков на въпрос дали ще бъде наложена максималната санкция на приходната агенция.

7

Влез или се регистрирай за да коментираш

Още

Цацаров обещава да започне със съкращения в КПКОНПИ
Съдът остави за постоянно в ареста шефа на "ТАД груп"

05.12.2019

407
Как арестът замени присъдите

Коментари

geo_19

  Ха, ха... нещо от рода на admin/admin

Stern

Какво им пука на НАП за данните на матр'яла? Те си имат конкретна задача - да пълнят и препълват бюджета Му, който Той да разпределя в зависимост от настроението Си. И НАП-аджиите да си получат тлъстите бонуси.

Светлоносец
снимка на Светлоносец

“Вместо да затяга, НАП улеснява достъпа до личните ни данни, ами то данните са публични”, 

какво да затягат НАП. “Националната агенция за приходите продължава да се отнася лежерно към сигурността на системите си”, а как да се отнася, отпуски не се прекъсват, за оставки да не говорим. Само да внимава в. СЕГА със съветите, за да не им образуват дело като на МедияПул, самоче за хакерска атака, с 15г. затвор и забрана да посещаваш страна от ЕС.

ГЕРБ и НФСБ са взели съдбоносно решение за България. По думите на Мариана Николова, всеки който е обвинен в хакерство, няма да ходи в страна от ЕС. Може съвсем обосновано да предположим, че всички българи ще станат хакери, за да се реши проблема с имиграцията, а НАП е основното средство за това, всеки който провери за изтекли данни с ЕГН, е хакер. Няма вече как да имигрирате, а в. СЕГА, сам падна в капана. 

Относно проблема с лесния достъп, НАП и НОИ, предоставят срещу заплащане достъп до осигурителна тайна на всеки българин, така работят банки, застрахователи, бързи кредити, колекторскит фирми, ЧСИ и т.н.

Незнам как го приема това КЗЛД и дали са го констатирали в доклада си, защото ако “НАП линк” се появи на 14.07.2019г. То изброените институции така си работят от 25г. 

Светлоносец
снимка на Светлоносец

Преди месец писах, как хакери ще теглят бързи кредити на чужди лица, вече е факт, ако искате още си стойте по домовете, гледайте телевизия, радвайте се на добрата работа на НАП и прокуратурата

 https://blitz.bg/kriminalni/sofiyanets-stana-vneza... 

КЗЛД установява нарушение, нарушението се изразява във факта, че НАП и в частност Изпълнителния Директор на НАП, не е изпълнил изискванията на регламента за защита на лични данни, в следствие на това бездействие се е получила щета за населението на България, в ЗАНН е казана, че АУАН се съставя, ако същото деяние НЕ представлява престъпление, ако представлява престъпление КЗЛД следва да уведоми прокуратурата за извършено престъпление от страна на Изпълнителния Директор на НАП със своето БЕЗДЕЙСТВИЕ Е НАНЕСЛО ЩЕТА ЗА НАЦИОНАЛНАТА СИГУРНОСТ. ТАКА ЧЕ СЪВСЕМ ЗАКОННО И ПРАВИЛНО Е, ДА НЕ СЕ ПЛАЩА ГЛОБА ОТ НАП НА КЗЛД, А НА ИЗПЪЛНИТЕЛНИЯ ДИРЕКТОР НА НАП ДА СЕ ПОВДИГНЕ ОБВИНЕНИЕ ЗА ЗАСТРАШАВАНЕ НА НАЦИОНАЛНАТА СИГУРНИСТ.

Така че Гешев, ако иска поне малко да стане Гл.Прокурор да повдигне обвинение от спец.Прокуратурата на Изпълнителния Директор на НАП за престьпление срещу нацията, защото бездействието на Галя Димитрова се изразяваше и в наглостта за НЕ ПРЕКЪСВАНЕ на отпуската си. Ако допуснем, че Иванчева е извършила това престъпление, което не е сигурно, то престъплението на Галя Димитрова е доста пъти по голямо и по доказуемо. 

Преди повече от една година, арестуваха 30 данъчни от ТД София, с една единствена цел, да покажем пред ЕС, като домакини и европредседатели, как се борим срещу корупцията и какво законодателство сме приели с КПКОНПИ. ЗА една година няма присъди, няма нищо освен шумния PR за създаване на КПКОНПИ. 

Сега завъртайки се колелото на историята, дойде ред на Галя Димитрова съсипала съдбите на 300 служители на НАП в цялата страна, уволнени заради този арест на 30 служители, сега Тя трябва да плати цената, със своята глава за издигането на новия Главен Прокурор. В България няма справеливост, няма независими власти, няма свобода на словото има само PR ходове за предизборни кампании и то време на време пада по някоя неволна жертва, но нищо не се променя, системата остава същата. 

human_capital

нали червената калинка Венцислав Караджов трябва да отчита дейност. За никакъв Хикс не става тази комисия, ама нейсе....

Solace

И колко е оборотът на НАП, моля?

Wolf ACE

То, по-важно е, каква е "печалбата" на НАП и откъде ще плати глобата...

Въобще - олигофренска работа - какво произвежда НАП /освен простотии напоследък/?!

А, по-точно, еВаният е наказан да плати и глоба, че са го... ей така е в страната на "неограничените възможности"

Влез или се регистрирай за да коментираш

×