Коронавирус в България и по света
Коронавирус в България и по света
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
2 20 фев 2020, 16:10, 2082 прочитания

Изтеклите данни от НАП са под 1% от тези, до които е имало достъп

Държавната администрация е силно неподготвена откъм киберсигурност, препоръките за промени са от технически до законодателни

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Под 1% от данните на НАП, до които е имало неоторизиран достъп, са били разпространени в интернет след миналогодишния пробив в данъчната агенция. Това става ясно от доклада на временната анкетна комисия в Народното събрание, която се занимаваше със случая. В дългия над 20 страници (и над 70 с приложенията) доклад са описани както детайли около случая, така и продължаващи проблеми сред информационните системи в държавната администрация.

Комисията дава и конкретни препоръки, които да доведат до по-високо ниво на киберсигурност и по-тежки наказания за компютърни престъпления в Наказателния кодекс, до голяма степен повтарящи вече съществуващите предложения на вицепремиера Марияна Николова.


Финалната сметка за теча, който се случи през юли миналата година, е, че са изтекли данните на 6.07 млн. български граждани. От тях обаче "само" 4.1 млн. са активни. Броят на изтеклите активни ЕГН-та е 4.05 млн., т.е. на почти всички засегнати.

Интересното в доклада е, че според последвалата проверка "информацията, разпространена в интернет, е 10.7 гигабайта, но размерът на данните с неоторизиран достъп на сървър на НАП е 1.73 терабайта". Не става ясно дали тези данни са били откраднати и в момента съществуват извън държавните сървъри, или просто е имало достъп до тях, без да са били свалени.

За престъплението бяха привлечени трима обвиняеми от компанията за киберсигурност "ТАД груп" - служителят Кристиян Бойков, директорът Георги Янков и собственикът Иван Тодоров. Тримата са с по две обвинения - за участие в организирана престъпна група и за тероризъм. Вследствие на теча Комисията за защита на личните данни (КЗЛД) обяви 5.1 млн. лв. глоба за НАП. Агенцията обжалва санкцията, която оценява личните данни на българските граждани на малко над 1 лв. "на глава", но в защита на КЗЛД това е максималната възможна глоба според текущия закон.



Оттогава насам от НАП са добавили няколко допълнителни слоя киберзащита на системата си. Агенцията е създала и по-стриктни правила за достъп до защитната стена на информационната система.

Колко неподготвени сме всъщност

Докладът може да се разглежда и като дълъг текст, обясняващ колко неподготвена всъщност е държавната администрация за кибератаки. Показателно е, че течът от НАП се случи след сравнително прост пробив (т.нар. SQL Injection), докато по света има много по-сложни технологии за разбиване на системи. За първите осем месеца на 2019 г. е имало общо 54 инцидента с киберсигурността в държавната администрация, 10% от общия брой в страната.

Според данните в доклада в българската държавна администрация в момента има 5009 системи за общо 495 администрации, но само за 69% от тях е "осигурена техническа поддръжка, гарантираща работоспособност".

Другата информация също е обезпокоителна. Според проверка на Държавната агенция електронно управление (ДАЕУ) "част от администрацията има непълна информация за софтуера, който използва"; "използва се софтуер без поддръжка от производителя"; "липсват вътрешни правила за докладване на инциденти и план за действие"; "не се актуализира софтуерът и рядко се наблюдава трафикът"; "има слабости по отношение на антивирусния софтуер".

ДАЕУ посочва също, че щатът на софтуерните специалисти в държавната администрация остава незапълнен. Причината е в ниското заплащане спрямо частните IT компании в страната, които държат летвата високо. В това отношение е и една от препоръките за промяна: вдигане на горната граница за заплатите на компютърните специалисти.

Констатациите на КЗЛД са подобни. "НАП са приоритизирали обслужването на физически лица чрез електронни услуги за сметка на защитата на личните данни", пишат представители на комисията.

Сега накъде

В доклада се посочва още, че "през последните 20 години системите на държавната администрация са били изграждани поетапно като самостоятелни системи, удовлетворяващи функциите на съответната администрация" и съответно има нужда от унифициран подход. Това е основният аргумент, който правителството използва, за да направи фирмата "Информационно обслужване" единствен системен интегратор за общо 27 държавни институции в края на миналата година, включително и Министерството на финансите и НАП.

Повечето препоръки на комисията са сравнително стандартни: одит на всички централни и общински администрации, добавка на клауза за носене на отговорност на изпълнителите, задължителни обучения сред институциите и допълнителни изисквания за конфигурация на специализиран софтуер.

Другите предложения са свързани с по-тежки наказания за киберпрестъпления в НК и нова дефиниция за "компютърни престъпления". Вероятно именно заради леките наказания за киберпрестъпления, които законът предвижда към момента (от една до три години затвор), прокуратурата реши да обвини представителите на "ТАД груп" в тероризъм.
  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

KBC очаква свиване на българската икономика с 10% KBC очаква свиване на българската икономика с 10%

Оптимистичният вариант е за спад само с 4%, а най-лошият – за 12%

1 апр 2020, 1350 прочитания

Вечерни новини: Още месец извънредно положение; Първи случай на COVID-19 в парламента Вечерни новини: Още месец извънредно положение; Първи случай на COVID-19 в парламента

И още: Бюджетът излезе на дефицит през март; Производствената активност в еврозоната е намаляла рязко през март

1 апр 2020, 3217 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "Политика" Затваряне
Децентрализацията на столичните райони остава само предизборен лозунг

Първите три месеца от новия общински мандат така и не донесоха на районните кметове повече средства или правомощия

Още от Капитал
Банките: Истинският стрес тест

За банките предстоят трудни месеци, но секторът влиза в кризата с добри буфери от капитал и ликвидност

Експериментална ваксина за икономиката

Обявените от правителството икономически мерки за 2.2 млрд. лв. от бюджета изглеждат тромави и недостатъчни за фирмите, а без промени схемата за субсидирана заетост няма да проработи

Масови тестове или карантина без край

България не може да издържи повече от два месеца със спряла икономика, а разхлабване на мерките без масово тестване носи голям икономически и здравен риск

Ваксината срещу COVID-19: В надпревара с вируса

Пандемията вероятно ще е достигнала своя пик и ще върви към овладяване, преди ваксината да е налице, но това не я прави непотребна

В началото бе поп културата

"Пророческите" филми, книги и песни, които помагат на света да осмисли случващото се

Голямото гледане 2

Отлични адаптации, талантлива актьорска игра, увлекателни сюжети и великолепно чувство за хумор – някои от сериалите, които си струва да изгледате (ако сте пропуснали)

X Остават ви 0 свободни статии
0 / 10