Административният софийски съд: НАП е можела да предотврати теча на данни
Националната организация за приходите (НАП) е можела да предотврати приключването на данните за над 6 млн. жители и юридически лица през 2019 година, само че е бездействала. Това установи Административен съд - София-град (АССГ) три години и половина откакто организацията беше хакната и обществено бяха публикувани милиони чувствителни данни, заяви Лекс.
В решение от 43 страници арбитър Антоанета Аргирова проучва в елементи акта на Комисията за отбрана на персоналните данни (КЗЛД), която извърши инспекция в Национална агенция за приходите и още през 2019 година откри безучастие, поради което наложи санкция от 5,1 млн. лева санкция на организацията. Санкцията беше оспорена от Национална агенция за приходите, само че делото за нея още е висящо в Софийския областен съд, защото се чака умозаключение от експертиза.
Предмет на делото, по което се произнася в този момент АССГ, са констатациите на КЗЛД, въз основа на които беше наложена санкцията и бяха издадени 20 разпоредби. С решението си арбитър Аргирова удостоверява съвсем всички разпоредби на КЗЛД - анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 г.
По делото в АССГ бяха назначени три експертизи и с изключение на на множеството механически условия за киберсигурност, оценени от движимостите лица, решението по него стъпва главно на Общия правилник за отбрана на данните (ОРЗД). АССГ установи, че Национална агенция за приходите не е спазила правилата за правомерност и почтеност, залегнали в регламента. И декларира, че админът на персонални данни " не е подсигурил уместно равнище на сигурност на персоналните данни, в това число отбрана против неразрешено или незаконосъобразно култивиране и против инцидентна загуба, заличаване или разваляне, като не е приложил подобаващи техническите и организационни ограничения ( " целокупност и дискретност " ) ".
" И двете движимости лица по трите съдебна техническа експертиза сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", декларира арбитър Аргирова.
И установи безучастие на Национална агенция за приходите, тъй като не е взела поради естеството, обсега, подтекста и задачите на обработването на данни, което прави, както и рисковете с друга възможност и тежест за правата и свободите на физическите лица от невъвеждането на подобаващи механически и организационни ограничения, с цел да подсигурява, че обработването на данни се прави в сходство с ОРЗД.
" Не са подхванати плануваните в член 32, в) от Общия правилник съответни ограничения, а точно не са взети поради достиженията на техническия напредък, както и рисковете с друга възможност и тежест за правата и свободите на физическите лица и не са приложени подобаващи механически и организационни ограничения за обезпечаване на съобразено с този риск равнище на сигурност, в това число, inter alia, когато е оправдано: развой на постоянно изпитване, обмисляне и оценка на успеваемостта на техническите и организационните ограничения с оглед да се подсигурява сигурността на обработването ", се показва в решението.
АССГ е открил, че употребяваната в Национална агенция за приходите система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност. " SQL инжекция " е била разпозната като сериозна опасност за сигурността най-малко от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List ", акцентира съдът.
И заключава: " Големият риск от сходен вид офанзиви се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, с цел да компрометират сигурността на информацията. При постоянно изпитване, обмисляне и оценка на успеваемостта на техническите и организационните ограничения, е било механически допустимо предотвратяването на приключване на данни към 2019 година ".
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите ", показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
За колосалното приключване на данни в Национална агенция за приходите се разбра на 16 юли 2019 година, когато до медии бяха изпратени имейли от " неизвестен съветски хакер ", който се самообявяваше за създател на офанзивата в приходната организация. Той твърдеше, че е женен за българка и родителите на брачната половинка му живеят у нас и по тази причина със личните си очи е виждал " какъв брой прецакана е страната ".
В следствие за офанзивата обвиняване в тероризъм и формиране и управление на незаконна група с користна цел получиха притежателят на " Тад груп " Иван Тодоров, служителят във компанията Кристиян Бойков и комерсиалният шеф Георги Янков, който пък е апетитен за подстрекател, дружно с Тодоров.
Според проверяващите двамата са подбудили Бойков да извърши хакерската атака. Те бяха упрекнати в тероризъм, защото задачата им била да се сътвори ужас и боязън в популацията. След това от прокуратурата обясниха, че дейностите им били ориентирани против настоящата политическа система и форма на ръководство. В тази връзка прокуратурата разгласява голям брой чатове сред обвинените, в които Тодоров споделя, че ще смъква тогавашното държавно управление на ГЕРБ, а различен мотив в тази тенденция беше, че обвинените са хакнали и пръскачките край Народното събрание.
Собственикът на " Тад Груп " остана в ареста повече от 6 месеца и беше освободен едвам при започване на 2020 година против гаранция от 100 000 лв.. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за импортиран обвинителен акт против тях.
След теча десетки жители заведоха каузи за вреди, поради които Върховният административен съд насочи преюдициално питане, само че към момента се чака произнасянето на Съда на Европейския съюз.
В решение от 43 страници арбитър Антоанета Аргирова проучва в елементи акта на Комисията за отбрана на персоналните данни (КЗЛД), която извърши инспекция в Национална агенция за приходите и още през 2019 година откри безучастие, поради което наложи санкция от 5,1 млн. лева санкция на организацията. Санкцията беше оспорена от Национална агенция за приходите, само че делото за нея още е висящо в Софийския областен съд, защото се чака умозаключение от експертиза.
Предмет на делото, по което се произнася в този момент АССГ, са констатациите на КЗЛД, въз основа на които беше наложена санкцията и бяха издадени 20 разпоредби. С решението си арбитър Аргирова удостоверява съвсем всички разпоредби на КЗЛД - анулира напълно 3 и отчасти 2 от общо 20-те наложителни ограничения, които би трябвало да извърши Национална агенция за приходите, с цел да не се повтори повече обстановката от 2019 г.
По делото в АССГ бяха назначени три експертизи и с изключение на на множеството механически условия за киберсигурност, оценени от движимостите лица, решението по него стъпва главно на Общия правилник за отбрана на данните (ОРЗД). АССГ установи, че Национална агенция за приходите не е спазила правилата за правомерност и почтеност, залегнали в регламента. И декларира, че админът на персонални данни " не е подсигурил уместно равнище на сигурност на персоналните данни, в това число отбрана против неразрешено или незаконосъобразно култивиране и против инцидентна загуба, заличаване или разваляне, като не е приложил подобаващи техническите и организационни ограничения ( " целокупност и дискретност " ) ".
" И двете движимости лица по трите съдебна техническа експертиза сигурно настояват, че приключването на данни е могло да бъде избегнато, в случай че са били взети нужните механически и организационни ограничения ", декларира арбитър Аргирова.
И установи безучастие на Национална агенция за приходите, тъй като не е взела поради естеството, обсега, подтекста и задачите на обработването на данни, което прави, както и рисковете с друга възможност и тежест за правата и свободите на физическите лица от невъвеждането на подобаващи механически и организационни ограничения, с цел да подсигурява, че обработването на данни се прави в сходство с ОРЗД.
" Не са подхванати плануваните в член 32, в) от Общия правилник съответни ограничения, а точно не са взети поради достиженията на техническия напредък, както и рисковете с друга възможност и тежест за правата и свободите на физическите лица и не са приложени подобаващи механически и организационни ограничения за обезпечаване на съобразено с този риск равнище на сигурност, в това число, inter alia, когато е оправдано: развой на постоянно изпитване, обмисляне и оценка на успеваемостта на техническите и организационните ограничения с оглед да се подсигурява сигурността на обработването ", се показва в решението.
АССГ е открил, че употребяваната в Национална агенция за приходите система не е била обновявана и приспособена към непрестанно изникващите нови закани за осведомителната сигурност. " SQL инжекция " е била разпозната като сериозна опасност за сигурността най-малко от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List ", акцентира съдът.
И заключава: " Големият риск от сходен вид офанзиви се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, с цел да компрометират сигурността на информацията. При постоянно изпитване, обмисляне и оценка на успеваемостта на техническите и организационните ограничения, е било механически допустимо предотвратяването на приключване на данни към 2019 година ".
Национална агенция за приходите е оспорила и 6-месечния период за осъществяване на рекомендациите на КЗЛД, само че съдът припомня, че той не е обвързван със законосъобразността на акта на комисията, а с неговото осъществяване. " Отделно от това напълно не е без значение и събитието, че към сегашния миг (след доста по-дълъг период от 6 месеца) оспореният акт към момента не е влезнал в действие, а някои от предписанията в това време са изпълнени от админа Национална агенция за приходите ", показва арбитър Аргирова.
Решението ѝ не е дефинитивно и може да бъде обжалвано пред Върховния административен съд.
За колосалното приключване на данни в Национална агенция за приходите се разбра на 16 юли 2019 година, когато до медии бяха изпратени имейли от " неизвестен съветски хакер ", който се самообявяваше за създател на офанзивата в приходната организация. Той твърдеше, че е женен за българка и родителите на брачната половинка му живеят у нас и по тази причина със личните си очи е виждал " какъв брой прецакана е страната ".
В следствие за офанзивата обвиняване в тероризъм и формиране и управление на незаконна група с користна цел получиха притежателят на " Тад груп " Иван Тодоров, служителят във компанията Кристиян Бойков и комерсиалният шеф Георги Янков, който пък е апетитен за подстрекател, дружно с Тодоров.
Според проверяващите двамата са подбудили Бойков да извърши хакерската атака. Те бяха упрекнати в тероризъм, защото задачата им била да се сътвори ужас и боязън в популацията. След това от прокуратурата обясниха, че дейностите им били ориентирани против настоящата политическа система и форма на ръководство. В тази връзка прокуратурата разгласява голям брой чатове сред обвинените, в които Тодоров споделя, че ще смъква тогавашното държавно управление на ГЕРБ, а различен мотив в тази тенденция беше, че обвинените са хакнали и пръскачките край Народното събрание.
Собственикът на " Тад Груп " остана в ареста повече от 6 месеца и беше освободен едвам при започване на 2020 година против гаранция от 100 000 лв.. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за импортиран обвинителен акт против тях.
След теча десетки жители заведоха каузи за вреди, поради които Върховният административен съд насочи преюдициално питане, само че към момента се чака произнасянето на Съда на Европейския съюз.
Източник: econ.bg
КОМЕНТАРИ