Лазарина Бонева: Човек може да се окаже с кредит, без да подозира
Лазарина Бонева е магистър по право от УНСС. Работи като правист в областта на енергетиката и индустрията.
- Г-жо Бонева, какво тъкмо се случва с персоналните данни на българските жители след хакерската атака против Национална агенция за приходите?
- Изтекоха персонални данни на съвсем всички българи, които са подавали документи към Национална агенция за приходите. Според Националната организация за приходите става дума за 3% от техните архиви, само че тук би трябвало да имаме поради, че базата данни на данъчните е в действителност голяма и на процедура 3% значи персонални данни на милиони българи и даже на чужденци, плащащи налози в България. Това са имена, ЕГН-та, адреси, информация за приходи, дължими налози, пенсионни вноски, адреси за контакт и други Национална агенция за приходите са придобили и обработват тази информация на законни учредения и са длъжни да я съхраняват при уместно равнище на сигурност. Общият правилник за отбрана на персонални данни планува механически ограничения за отбрана на данните. Ако тези ограничения са приложени, изтеклият файл не би следвало да може да бъде разчетен от външни лица, които не имат съответните ключове.
Затова мисля, че Национална агенция за приходите дължат пояснение на обществото не по какъв начин и за какво са обект на хакерски офанзиви, а по какъв начин съхраняват файловете си с персонални данни на физически лица.
- Трябва ли хората, чиито данни са изтекли, да се тормозят от злоупотреби и какви по-конкретно?
- Да, злоупотреби са вероятни. В предишното имаше случаи с компании за бързи заеми и мобилни оператори, при които недобросъвестни чиновници съставяха контракти за заеми или услуги на нищо неподозиращи хора. С трите имена и ЕГН-то си човек може да бъде назначен като член на секционна изборна комисия, без да знае. Отделно от това информацията за приходите и налозите на разнообразни български жители биха представлявали интерес за отделите " Продажби " и " Маркетинг " на огромните банкови, кредитни и застрахователни компании. Това доста би ги улеснило при метода към съответни платежоспособни клиенти. С предложения за заеми или влогове да вземем за пример.
- Чухме единствено, че данните в базата на Национална агенция за приходите не са изчезнали. Но могат ли да са манипулирани?
- Не е невероятно.
- Какво не направи страната в първите часове след разкриването на офанзивата?
- Ключовото в тази ситуация е по кое време от Национална агенция за приходите са открили неоторизирания достъп до базата им данни. Ако Национална агенция за приходите са разбрали на 15 юли от медийни изявления, а хакерската офанзива е осъществена 20 дни по-рано съгласно уеб страницата на Национална агенция за приходите, остава отворен въпросът какъв брой още течове на информация има, за които от Национална агенция за приходите не знаят? Ако пък Национална агенция за приходите са знаели за офанзивите от 20 дни, поражда въпросът уведомили ли са КЗЛД и за какво не са разгласили на уеб страницата си обществено известие, с което да уведомят жителите за приключването на данните им.
- Имат ли право жителите и компаниите с изтекли в общественото пространство данни да си потърсят правата?
- Според Общия правилник за отбрана на персоналните данни Национална агенция за приходите носи отговорност и ще дължи компенсации на жителите, в случай че за тях настъпят каквито и да било материални и нематериални вреди вследствие на теча на данни. Тази отговорност следва да се търси по правосъден път и още е рано да се каже по какъв начин ще протече този развой.
Отделно от това по административен път всеки жител би могъл да изиска от Национална агенция за приходите, в качеството им на админ на персонални данни, писмена информация дали негови персонални данни попадат във файла с изтекла информация и от какъв темперамент са те. Национална агенция за приходите са длъжни да отговорят на запитването в 30-дневен период.
Всеки жител, чиито персонални данни са изтекли и смята, че е налице корист с тях, може документално да сезира Комисията за отбрана на персоналните данни, която на собствен ред да извърши инспекция на неговата самостоятелна партида с персонални данни, и в случай че откри нарушавания, да наложи санкция до 20 милиона евро.
- А каква отговорност би трябвало да понесат чиновниците на организацията? Ако това се случи с частна компания, какви ще са последствията?
- Опасявам се, че тук въпросът не опира единствено до персоналната дисциплинарна отговорност на един или различен чиновник на Национална агенция за приходите, а до цялостната политика на ведомството за отбрана на персонални данни - вътрешни правила, процедури, механически и организационни ограничения.
Ако сходно нещо се случи с частна компания, евентуално КЗЛД щеше към този момент да се е самосезирала и да е влезнала на инспекция, само че по проблема с Национална агенция за приходите царува тишина от страна на контролния орган. Но следва да се има поради, че мандатът на членовете на комисията изтече на 15.04.2019 година и защото досега не са определени нови членове, пораждат разногласия за легитимността на решенията на комисията.
- Г-жо Бонева, какво тъкмо се случва с персоналните данни на българските жители след хакерската атака против Национална агенция за приходите?
- Изтекоха персонални данни на съвсем всички българи, които са подавали документи към Национална агенция за приходите. Според Националната организация за приходите става дума за 3% от техните архиви, само че тук би трябвало да имаме поради, че базата данни на данъчните е в действителност голяма и на процедура 3% значи персонални данни на милиони българи и даже на чужденци, плащащи налози в България. Това са имена, ЕГН-та, адреси, информация за приходи, дължими налози, пенсионни вноски, адреси за контакт и други Национална агенция за приходите са придобили и обработват тази информация на законни учредения и са длъжни да я съхраняват при уместно равнище на сигурност. Общият правилник за отбрана на персонални данни планува механически ограничения за отбрана на данните. Ако тези ограничения са приложени, изтеклият файл не би следвало да може да бъде разчетен от външни лица, които не имат съответните ключове.
Затова мисля, че Национална агенция за приходите дължат пояснение на обществото не по какъв начин и за какво са обект на хакерски офанзиви, а по какъв начин съхраняват файловете си с персонални данни на физически лица.
- Трябва ли хората, чиито данни са изтекли, да се тормозят от злоупотреби и какви по-конкретно?
- Да, злоупотреби са вероятни. В предишното имаше случаи с компании за бързи заеми и мобилни оператори, при които недобросъвестни чиновници съставяха контракти за заеми или услуги на нищо неподозиращи хора. С трите имена и ЕГН-то си човек може да бъде назначен като член на секционна изборна комисия, без да знае. Отделно от това информацията за приходите и налозите на разнообразни български жители биха представлявали интерес за отделите " Продажби " и " Маркетинг " на огромните банкови, кредитни и застрахователни компании. Това доста би ги улеснило при метода към съответни платежоспособни клиенти. С предложения за заеми или влогове да вземем за пример.
- Чухме единствено, че данните в базата на Национална агенция за приходите не са изчезнали. Но могат ли да са манипулирани?
- Не е невероятно.
- Какво не направи страната в първите часове след разкриването на офанзивата?
- Ключовото в тази ситуация е по кое време от Национална агенция за приходите са открили неоторизирания достъп до базата им данни. Ако Национална агенция за приходите са разбрали на 15 юли от медийни изявления, а хакерската офанзива е осъществена 20 дни по-рано съгласно уеб страницата на Национална агенция за приходите, остава отворен въпросът какъв брой още течове на информация има, за които от Национална агенция за приходите не знаят? Ако пък Национална агенция за приходите са знаели за офанзивите от 20 дни, поражда въпросът уведомили ли са КЗЛД и за какво не са разгласили на уеб страницата си обществено известие, с което да уведомят жителите за приключването на данните им.
- Имат ли право жителите и компаниите с изтекли в общественото пространство данни да си потърсят правата?
- Според Общия правилник за отбрана на персоналните данни Национална агенция за приходите носи отговорност и ще дължи компенсации на жителите, в случай че за тях настъпят каквито и да било материални и нематериални вреди вследствие на теча на данни. Тази отговорност следва да се търси по правосъден път и още е рано да се каже по какъв начин ще протече този развой.
Отделно от това по административен път всеки жител би могъл да изиска от Национална агенция за приходите, в качеството им на админ на персонални данни, писмена информация дали негови персонални данни попадат във файла с изтекла информация и от какъв темперамент са те. Национална агенция за приходите са длъжни да отговорят на запитването в 30-дневен период.
Всеки жител, чиито персонални данни са изтекли и смята, че е налице корист с тях, може документално да сезира Комисията за отбрана на персоналните данни, която на собствен ред да извърши инспекция на неговата самостоятелна партида с персонални данни, и в случай че откри нарушавания, да наложи санкция до 20 милиона евро.
- А каква отговорност би трябвало да понесат чиновниците на организацията? Ако това се случи с частна компания, какви ще са последствията?
- Опасявам се, че тук въпросът не опира единствено до персоналната дисциплинарна отговорност на един или различен чиновник на Национална агенция за приходите, а до цялостната политика на ведомството за отбрана на персонални данни - вътрешни правила, процедури, механически и организационни ограничения.
Ако сходно нещо се случи с частна компания, евентуално КЗЛД щеше към този момент да се е самосезирала и да е влезнала на инспекция, само че по проблема с Национална агенция за приходите царува тишина от страна на контролния орган. Но следва да се има поради, че мандатът на членовете на комисията изтече на 15.04.2019 година и защото досега не са определени нови членове, пораждат разногласия за легитимността на решенията на комисията.
Източник: duma.bg
КОМЕНТАРИ