Медия без
политическа реклама

Киберсигурност ли? Дори комисията за личните данни се оказа без "броня"

КЗЛД спря да приема жалби онлайн заради проблем, за който бял хакер алармира още през 2016 г.

17 Юли 2019
Снимки: Pixabay

В понеделник България бе разтърсена от новината за гигантско изтичане на бази данни, свързани с данъчно-осигурителна информация. Медии получиха на е-пощите си линк към въпросните данни с милиони файлове, съдържащи ЕГН-та, имена, данъчни задължения, вноски и т.н. И с предупреждение от анонимните хакери: "Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно". ДАНС, МВР и НАП веднага започнаха проверка на сигнала. Това е най-големият теч на лични данни у нас. Но не е никаква изненада, защото държавата от години безотговорно подценява и упорито пренебрегва така важната тема за киберсигурността. Примери много, но ето само два, описани в последните седмици в блога Duncheva.bg. Случките показват, че дори КЗЛД - комисията, създадена да защитава личните данни на българските граждани, е лесна за "пробиване" и "бавноразвиваща се" - ако използваме определението, дадено по-горе от анонимните хакери за правителството.

На 12 юли КЗЛД публикува на сайта си следния текст, с който изказва благодарност за подаден сигнал във връзка с информационната сигурност:

„По подадена от Bivol.bg (Биволъ) информация и след извършване на съответна проверка се установи, че съществува техническа възможност за достъп до информация, която е подавана до комисията под формата на жалби, сигнали и запитвания. КЗЛД благодари на Bivol.bg за сигнала, в резултат на който комисията извърши одит на информационната сигурност на сайта. КЗЛД ще предприеме всички необходими мерки за гарантиране на сигурността на информацията, която гражданите ѝ предоставят, и се извинява за евентуалните затруднения, които ще изпитат временно във връзка с подаването на жалби, сигнали и въпроси до институцията.

До пълното и гарантирано възстановяване на сигурността на подаваната през сайта информация жалби, сигнали и запитвания могат да бъдат подавани по някой от следните начини: лично, на хартиен носител – в деловодството на КЗЛД. 

А ето за какво е сигналът, подаден от Биволъ:

Бял хакер три години моли КЗЛД да спре теч на лични данни от нейния сайт, който е уязвим и дава достъп до личните данни на над 14 000 лица, изпращали жалби или въпроси до комисията по различни поводи. Експертът е сигнализирал КЗЛД за проблема два пъти - през собствената ѝ система за сигнали и жалби, още през 2016 г. Там са завели преписки с входящи номера, но не са предприели нищо, за да запушат пробойните. В крайна сметка "белият хакер" се обръща към медиите, тъй като не вижда съдействие от страна на институциите.

В статията се поставя и въпросът как и до кого да се подава сигнал за проблем, свързан с киберсигурността. Например, ако при посещение в правителствената Информационна система за управление и наблюдение на средствата от ЕС в България (ИСУН 2020) на компютъра ти се лепне "троянски кон" - както се случи с мен на 16 юни. 

 

В момента няма връзка с този номер

 

На 5 юли на сайта на Комисията за защита на личните данни се появи съобщение, с което комисията се извинява за технически проблеми с комуникациите в предните дни. В съобщението се казва дословно: „Комисията се извинява на всички, които са установили отсъствие на комуникация с институцията в работните дни от 1 до 4 юли. Стационарните телефони, електронната поща, институционалният сайт и предоставяните онлайн електронни услуги бяха прекъснати до 16:30 ч. на 4 юли 2019 г. поради независещи от КЗЛД технически причини“.

Първо, сайтът не работеше още на 30 юни. Второ, така и не се разбра какво е внесло смут в комуникациите. Трето, при поднасянето на лошите новини трябва да се спазват някои правила. На сайта на Microsoft има статия по въпроса, а в компютрите, ползващи софтуер на компанията – презентация. В рубриката "Съвети за малкия бизнес" със заглавие "Как да съобщите лоши новини на клиент" Манаса Реддигари пише: "Уверете се, че го чуват от вас – едно от най-лошите неща, които могат да се случат при съобщаването на лоши новини, е да научите, че вашият клиент heard about it through the grapevine" (поздравявам всички PR специалисти с тази песен). 

 

А институциите у нас не изглеждат особено загрижени

 

по тези въпроси. Да видим от началото на юни колко европейски събития, свързани с киберсигурността, са минали без българско участие:

На  2-3 юли Агенцията на ЕС за киберсигурност, Европейската комисия и 23 държави членки се събират за първи път на високо ниво в Париж за Blue OLEx 2019. Участват ръководителите на националните органи за киберсигурност на държавите – членки на ЕС, няма данни за българско присъствие. 

От 24 юни до 5 юли се провежда CONNECT University Summer School 2019. Български лектор няма.

На 6 юни ENISA публикува списъка на участниците в Европейското предизвикателство за киберсигурност, България няма отбор.

На 27 юни влезе в сила Регламент 2019/881 относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността). Нито един правителствен сайт не информира за това. 

Още по темата