Коронавирус в България и по света
Коронавирус в България и по света
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
2 20 фев 2020, 16:10, 2106 прочитания

Изтеклите данни от НАП са под 1% от тези, до които е имало достъп

Държавната администрация е силно неподготвена откъм киберсигурност, препоръките за промени са от технически до законодателни

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Под 1% от данните на НАП, до които е имало неоторизиран достъп, са били разпространени в интернет след миналогодишния пробив в данъчната агенция. Това става ясно от доклада на временната анкетна комисия в Народното събрание, която се занимаваше със случая. В дългия над 20 страници (и над 70 с приложенията) доклад са описани както детайли около случая, така и продължаващи проблеми сред информационните системи в държавната администрация.

Комисията дава и конкретни препоръки, които да доведат до по-високо ниво на киберсигурност и по-тежки наказания за компютърни престъпления в Наказателния кодекс, до голяма степен повтарящи вече съществуващите предложения на вицепремиера Марияна Николова.


Финалната сметка за теча, който се случи през юли миналата година, е, че са изтекли данните на 6.07 млн. български граждани. От тях обаче "само" 4.1 млн. са активни. Броят на изтеклите активни ЕГН-та е 4.05 млн., т.е. на почти всички засегнати.

Интересното в доклада е, че според последвалата проверка "информацията, разпространена в интернет, е 10.7 гигабайта, но размерът на данните с неоторизиран достъп на сървър на НАП е 1.73 терабайта". Не става ясно дали тези данни са били откраднати и в момента съществуват извън държавните сървъри, или просто е имало достъп до тях, без да са били свалени.

За престъплението бяха привлечени трима обвиняеми от компанията за киберсигурност "ТАД груп" - служителят Кристиян Бойков, директорът Георги Янков и собственикът Иван Тодоров. Тримата са с по две обвинения - за участие в организирана престъпна група и за тероризъм. Вследствие на теча Комисията за защита на личните данни (КЗЛД) обяви 5.1 млн. лв. глоба за НАП. Агенцията обжалва санкцията, която оценява личните данни на българските граждани на малко над 1 лв. "на глава", но в защита на КЗЛД това е максималната възможна глоба според текущия закон.



Оттогава насам от НАП са добавили няколко допълнителни слоя киберзащита на системата си. Агенцията е създала и по-стриктни правила за достъп до защитната стена на информационната система.

Колко неподготвени сме всъщност

Докладът може да се разглежда и като дълъг текст, обясняващ колко неподготвена всъщност е държавната администрация за кибератаки. Показателно е, че течът от НАП се случи след сравнително прост пробив (т.нар. SQL Injection), докато по света има много по-сложни технологии за разбиване на системи. За първите осем месеца на 2019 г. е имало общо 54 инцидента с киберсигурността в държавната администрация, 10% от общия брой в страната.

Според данните в доклада в българската държавна администрация в момента има 5009 системи за общо 495 администрации, но само за 69% от тях е "осигурена техническа поддръжка, гарантираща работоспособност".

Другата информация също е обезпокоителна. Според проверка на Държавната агенция електронно управление (ДАЕУ) "част от администрацията има непълна информация за софтуера, който използва"; "използва се софтуер без поддръжка от производителя"; "липсват вътрешни правила за докладване на инциденти и план за действие"; "не се актуализира софтуерът и рядко се наблюдава трафикът"; "има слабости по отношение на антивирусния софтуер".

ДАЕУ посочва също, че щатът на софтуерните специалисти в държавната администрация остава незапълнен. Причината е в ниското заплащане спрямо частните IT компании в страната, които държат летвата високо. В това отношение е и една от препоръките за промяна: вдигане на горната граница за заплатите на компютърните специалисти.

Констатациите на КЗЛД са подобни. "НАП са приоритизирали обслужването на физически лица чрез електронни услуги за сметка на защитата на личните данни", пишат представители на комисията.

Сега накъде

В доклада се посочва още, че "през последните 20 години системите на държавната администрация са били изграждани поетапно като самостоятелни системи, удовлетворяващи функциите на съответната администрация" и съответно има нужда от унифициран подход. Това е основният аргумент, който правителството използва, за да направи фирмата "Информационно обслужване" единствен системен интегратор за общо 27 държавни институции в края на миналата година, включително и Министерството на финансите и НАП.

Повечето препоръки на комисията са сравнително стандартни: одит на всички централни и общински администрации, добавка на клауза за носене на отговорност на изпълнителите, задължителни обучения сред институциите и допълнителни изисквания за конфигурация на специализиран софтуер.

Другите предложения са свързани с по-тежки наказания за киберпрестъпления в НК и нова дефиниция за "компютърни престъпления". Вероятно именно заради леките наказания за киберпрестъпления, които законът предвижда към момента (от една до три години затвор), прокуратурата реши да обвини представителите на "ТАД груп" в тероризъм.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Какво отговори министър Деница Сачева на въпросите на бизнеса за схемата 60/40 4 Какво отговори министър Деница Сачева на въпросите на бизнеса за схемата 60/40

След ясно тълкувание на приетите от Народното събрание текстове правителството ще измени постановлението си за помощта

7 апр 2020, 3882 прочитания

Вечерни новини: До дни ще има яснота по схемата 60/40, съдилищата частично възстановяват работа Вечерни новини: До дни ще има яснота по схемата 60/40, съдилищата частично възстановяват работа

И още: Нито една жертва от COVID-19 в Китай за последното денонощие; След Австрия и Дания планира облекчение на карантината; Таксиметрови шофьори протестираха в столицата

7 апр 2020, 1287 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Политика" Затваряне
Децентрализацията на столичните райони остава само предизборен лозунг

Първите три месеца от новия общински мандат така и не донесоха на районните кметове повече средства или правомощия

Още от Капитал
Може ли България да надбяга вируса

България използва времето, спечелено от социалната изолация, за минимални подобрения в здравната система и планира да въведе софтуер за следене на заразени и нарушители на карантини. Засиленото тестване все още не се случва

Коронабюджет 1.0: Оптимистичната версия

Правителството поиска спешна ревизия на бюджет 2020, която да му даде по-голяма гъвкавост за маневри

Глобалната рецесия изглежда неизбежна

Коронавирусът инфектира както търсенето, така и предлагането по света

(Не)платени пътища

Тол системата работи официално вече от месец, на практика - не съвсем

Инстатерапията на Беловски

Художникът Станислав Беловски смесва световната история и българските теми на деня в колажите си

20 въпроса: Енчо Керязов

През март "Колибри" издаде първата му биография – "Обичай смело"

X Остават ви 0 свободни статии
0 / 10