НАП: нищо лично

Най-големият теч на данни в България засяга практически цялото икономически активно население на страната

Има ли ме в #НАПлийкс? Последните дни това бързо се превърна в един от най-често задаваните въпроси в страната. И краткият отговор е: почти сигурно - да. Или поне, ако сте роден преди началото на този век и последните десет години сте имали някакво вземане-даване с българската държава, то с над 90% вероятност вече практически неограничен кръг лица може да се запознаят с вашите имена, ЕГН и адрес. А може би и не само, тъй като в изтеклите лични данни за стотици хиляди души могат да се открият още и доходи, осигуровки, здравни вноски, номера на коли, банкови сметки и какво ли още не.

Накратко, това е най-големият теч на информация в България досега. Преравянето, разбирането и систематизирането на изпратените в понеделник до десетки медии файлове от анонимен мейл, изисква умения за работа с бази данни и време. Но дори и само първоначален поглед открива файлове с милиони редове данни за български и чуждестранни граждани и фирми. А след филтриране се откриват над 4.6 млн. различни ЕГН (без да се брои един файл с 1.38 млн. номера на починали лица). Тоест засегнати са около две трети от българските граждани, или почти всички в икономически активна възраст.

Естествено пробиви в сигурността има постоянно по света и засягат дори и технологични гиганти и правителства в много по-развити държави. Това, че такива неща се случват, обаче не прави щетите по-малки.

Изтеклите данни не дават пряка възможност някой да ви навреди. В лийка за щастие няма персонални идентификационни кодове (ПИК), с които могат да се достъпват всички данни за конкретното лице. Няма и пароли на граждани (макар да има такива на служители на НАП) или нещо друго, с което някой може да влезе в чужда поща, да източи банкови сметки, да изтегли кредит от чуждо име или да открадне фирма или имот. За да се направи каквото и да е от тези неща, е нужна и още информация, а обикновено и фалшификация на документи или друго престъпление.

От изтичането обаче може да има съществени вторични ефекти. Само най-очевидното е, че данните за доходи и имущество могат да превърнат конкретни хора в обект на различни престъпления - обири, измами (телефонни и всякакви други), изнудвания и дори отвличания. Извън това обаче разпространените чувствителни данни могат да имат и много други материални и морални щети. Например присъствието в списъци с клиенти на фирми за онлайн залагания може да създаде проблеми както в личен план с близки хора, така и с настоящи или бъдещи работодатели.

Последствията от теча за държавата могат да бъдат доста по-значими. На първо място те биха могли да са финансови - логично е да последва лавина от дела за претърпени морални или материални вреди заради изтеклите данни. Юристи не изключват и възможност за колективен иск, към който да могат да се присъединят пострадали, макар по българското право подобни дела да са изключително трудни и тромави. Извън това и самата НАП може да подлежи на санкция от Комисията за защита на личните данни, което обаче от гледна точка на държавата не е точно загуба, доколкото едни пари се местят от една нейна институция в друга.

Далеч по-дълбоки обаче могат да се окажат репутационните щети. Освен за български граждани и фирми в данните има такива и за чуждестранни. А може би най-взривоопасно в този план са изтекли данни от Eurofisc - системата, през която националните данъчни служби и OLAF си обменят информация в опит да предотвратяват измами, най-вече източване на ДДС. От наличната вътре информация може да пострадат множество текущи разследвания в целия ЕС и да последват щети за милиони евро. А всичко това вероятно няма да се погледне с добро око в партньорските служби, които ще са доста по предпазливи да споделят информация с българските. И това далеч не обхваща само НАП, тъй като усещането за уязвимост срещу кибератаки доста лесно се пренася към други институции и към българските власти като цяло.

Засилването на тези притеснения и страхове обаче далеч не се случва само зад граница. Може би най-същественият ефект от НАПлийкс в България ще бъде именно подозрение към всяка нова инициатива за внедряване на нещо електронно. Независимо дали ще е здравеопазване, гласуване или каквото друго се сетите, всяка нова електронна услуга в държавата дълго време ще среща съпротива от типа "Да не стане като с НАП". И това е обяснимо - приходната агенция е институцията с най-много като брой и като полезност онлайн услуги и затова и провалът именно там бързо ще се пренесе като провал на електронното управление в държавата. Предвид липсата на воля, мисъл и достатъчно ресурси за него, както и вътрешната съпротива на всяка администрация срещу външна намеса, явно е заслужена оценка. Но тя вероятно допълнително ще бетонира тъжната настояща картина - на фрагментирани, правени на коляно електронни услуги от всяка институция, които не са подчинени на обща идея и не си говорят помежду си.

А ако има все пак нещо положително, то е, че изтеклите данни са като съкровищница за анализатори и разследващи журналисти, от която има потенциал да изскочат разкрития за злоупотреби. Което би повдигнало и нови въпроси към НАП защо не са ги забелязали.