Всичко тече: как личните данни в България станаха обществени през 2019 г.
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Всичко тече: как личните данни в България станаха обществени през 2019 г.

Shutterstock

Всичко тече: как личните данни в България станаха обществени през 2019 г.

Милиони лични данни изтекоха през годината заради държавата – без никакви последствия

Йоан Запрянов
6127 прочитания

Shutterstock

© Shutterstock


Чували ли сте за GDPR? Най-вероятно да. Регулацията за защита на лични данни на ЕС е може би най-успешният подобен документ в света. Ако, разбира се, си говорим за маркетингов успех – година и половина след влизането му в действие почти всеки знае какво е GDPR. Българското правителство също знае какво е GDPR, но през 2019 г., по свое желание или не, показа безполезността на регламента дотолкова, че CNN да напише "Цяла нация беше хакната" – съвсем вярно твърдение и без за властта да има никакви последствия.

Само в рамките на половин година страната претърпя два огромни теча на данни, като единият стана в пъти по-известен от другия, но и двата случая показаха колко неподготвена е България в дигиталната ера, колко правителството не разбира рисковете, както и, разбира се, колко много властите не желаят да поемат отговорност за тях (както и за почти всички останали проблеми в страната - справка водният проблем в Перник, мръсният въздух в София, горенето на боклуци и други).

В началото беше НАП

Следобед на 15 юли в кратък мейл "Капитал" се оказа в малък ексклузивен клуб от български медии, които получиха няколко папки, пълни с на пръв поглед неразбираеми таблици. Всъщност тези таблици бяха с данните на български граждани, свалени от системата на НАП. Хаосът беше пълен - от една страна, не всеки гражданин можеше да провери дали съществува в базата данни, от друга, не за всички имаше изтекъл "пълен пакет" от данни, а понеже такъв теч се случваше за пръв път, никой не знаеше и какви щети могат да бъдат нанесени. Допълнителен проблем се появи още на следващия ден, когато архивът с общо 11 гигабайта данни стана изцяло публично притежание.

Оттам нататък трагедията се превърна по-скоро в сапунена опера. За атаката беше обвинена фирмата "ТАД груп" и специално собственикът ѝ Иван Тодоров заедно със служителите Георги Янков и Кристиян Бойков (обвинен като фактически извършител, а надзорниците му – като подбудители). Тримата получиха обвинения в тероризъм. Все още никой от тях не е осъден, но прокуратурата постави прецедент, като пускаше периодично в публичното пространство доказателствата, които е събрала срещу тях. Процесът породи и немалко подигравки – например заради твърдението, че компанията е "хакнала пръскачките пред Народното събрание", но основният извод би трябвало да бъде друг.

Държавата не понесе никаква отговорност. Комисията за лични данни (КЗЛД) глоби НАП с 5 млн. лв., но това само по себе си се оказа абсурд. На първо време глобата беше изцяло виртуална, като министърът на финансите Владислав Горанов я нарече "нетна операция", или иначе казано – "от единия джоб в другия". Вторият абсурд е, че личните данни на българските граждани бяха оценени буквално на стотинки, а третият е, че в крайна сметка гражданите сами платиха глобата за собствените си изтекли данни. Доводът на Горанов е, че в крайна сметка тези пари ще дойдат, когато хората от ТАД бъдат осъдени, но дори това да се случи, което към този момент не е сигурно, гражданите вече ще са платили сметката за некомпетентността на държавата, без да получат нищо в замяна.

Колко често ходите на лекар? Всички знаем

Вторият голям потенциален държавен теч на лични данни дойде от сайта на НЗОК, от който се оказа, че всеки може да разбере медицинското досие на всеки, стига да знае ЕГН-то му – което пък може да си вземе от базата данни на НАП. Случаят със здравната каса се оказа много по-тих, но само в рамките на няколко месеца тези гафове показаха, че държавата не е подготвена за днешния ден, в който личните данни се определят като "новия петрол".

В материала си от декември "Капитал" написа, че основният проблем в този случай би бил между работодатели и потенциални служители, които рискуват да не бъдат назначени или уволнени заради данни, които би трябвало да бъдат изцяло лични. По-мащабният проблем обаче отново е неразбирането на държавата за това как трябва да се процедира с лични данни и липсата на отговорност.

НЗОК например "спря" услугата си два дни по-късно, но не точно: здравната каса просто премахна бутона за влизане в системата от сайта си, но старият линк все още водеше до същото място. Така, стига някой хакер да е сметнал, че в това начинание има стойност, цялата държава може да се окаже хакната за втори път в рамките на едва няколко месеца.

Не бъдете оптимисти

Нищо от случилото се през 2019 г. не предполага оптимизъм и такъв за идното десетилетие наистина би бил излишен. България до голяма степен доказа, че от GDPR няма смисъл – или дори да има, то няма последствия за държавите, които продължават да имат много по-подробна гражданска база данни, отколкото социалните мрежи например, макар вторите да са по-честата цел на регулаторите на ЕС.

Това са само две истории от България през последната година, но към тях могат да бъдат добавени още, ако се погледне извън страната или към опитите за кражби на лични данни чрез частни фирми. Течовете от мрежи, като Facebook например, вече спадат по-скоро към графата "ежедневие" (преди дни оттам изтекоха 267 млн. имена и телефонни номера, но това вече дори не излиза извън специализираните сайтове за такъв тип новини). През юни Банка ДСК съобщи за изтичането на информация за над 33 хил. клиенти, за което беше глобена с 1 млн. лв. Потребителите на българската книжарница "Сиела" само преди по-малко от месец бяха атакувани от хакери, които опитаха да вземат личните и банковите им данни през огледален сайт на банков посредник.

Основният въпрос обаче остава към държавата. Без да навлизаме в технически подробности, пробиването на базата данни на НАП например стана по елементарен начин, който накара немалко специалисти да се подиграят на защитата на агенцията. И прехвърлянето на топката, че всичко трябва да бъде платено от извършителите, а не от жертвите, показва неразбирането на държавата, че в крайна сметка жертвите не са институциите, а гражданите, които те обслужват.

Чували ли сте за GDPR? Най-вероятно да. Регулацията за защита на лични данни на ЕС е може би най-успешният подобен документ в света. Ако, разбира се, си говорим за маркетингов успех – година и половина след влизането му в действие почти всеки знае какво е GDPR. Българското правителство също знае какво е GDPR, но през 2019 г., по свое желание или не, показа безполезността на регламента дотолкова, че CNN да напише "Цяла нация беше хакната" – съвсем вярно твърдение и без за властта да има никакви последствия.

Само в рамките на половин година страната претърпя два огромни теча на данни, като единият стана в пъти по-известен от другия, но и двата случая показаха колко неподготвена е България в дигиталната ера, колко правителството не разбира рисковете, както и, разбира се, колко много властите не желаят да поемат отговорност за тях (както и за почти всички останали проблеми в страната - справка водният проблем в Перник, мръсният въздух в София, горенето на боклуци и други).


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

1 коментар
  • kk_

    От теча на НАП вече получих по няколко мейла, подканващи ме да си погася просрочените задължения, които да проверя на посочен линк. В НОИ слава богу няма информация, която да заинтересува работодателя ми. Обобщено за тези два теча - като е нащрек човек, може да му се размине.
    Но Сиела на мен ми излезе едни 20 лева за преиздаване на кредитната карта. И слава богу нищо повече, защото след като блокирах картата си предполагаемите хакери от предполагаемия теч 6 пъти се опитаха да ме преточат - от 0.01 до 560 долара. В този случай упорито се мълчи кой ще възстанови разходите на хората с изтекли данни, като тези разходи са си много реални и то не само за преиздаване на карти.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK