София. Течът данни в НАП няма как да се случи

София. Течът данни в Национална агенция за приходите няма по какъв начин да се случи без да има пропуски в работата.Това сподели ръководителят на Комисията за отбрана на персоналните данни Венцислав Караджов по време на съвещанието на Временна анкетна комисия за Национална агенция за приходите, съобщи кореспондент на Агенция " Фокус " . " Констатициите на екипа са следните. Администраторът Национална агенция за приходите е подхванал ограничения за отбрана на физическите лица и задгранични жители, като това, което е направил в началото, с цел да осведоми тези жители е в британската версия на формалния уебсайт на страницата е основана специфична графа, отдадена на неоторизирания достъп с систематизирана информация за кръга на наранени лица ", съобщи още Караджов. По думите му настрана данъчните администрации на страните членки, с които Национална агенция за приходите обменя информации, са известени за случая с осведомителната сигурност. " Уведомена е Европейска комисия, профилираните служби и Организацията за икономическо сътрудничество и раз и способените органи за продан на информация в страните членки ", съобщи още той. По думите му е квалифицирано писмо до всички данъчни администрации. " По време на инспекцията екипът установи, че в Национална агенция за приходите не са подхванати следните механически и организационни ограничения, които ние считаме, че са довели до опцията тези данни да бъдат отстъпени. От позиция на организационна конструкция - да съществува построена конструкция за отбрана на персоналните данни. В нея са избрани типовете консуматори на осведомителната система на Национална агенция за приходите, само че в хода на инспекцията не са предоставени правила за обособените консуматори, функционалните им отговорности и процедурите за тяхната активност. Не е задоволително ясно написан правилото на взаимоотношение сред тези консуматори, т.е. какви са правата на единия и на другия и по какъв начин тъкмо се прави контролът и обменът на информация сред тях. Липсват процедури за взаимоотношение на обособените консуматори в системата в този смисъл. Продължителното независимо създаване на предолжения за електронни услуги към жителите съгласно нас е дебалансирало системата за отбрана на данните, като тежестта е изместена към функционалността на услугите в интерес на жителите за сметка на нужната отбрана при култивиране на данните на данъчнозадължените лица. Основните отговорности за осведомителната сигурност са съсредоточени само в IT дирекцията. Липсват написани правила и процедури, отбрана въобще на персоналните данни. Налица са единствено такива за осведомителна сигурност, от позиция на киберсигурност. Вътрешните правила най-общо казано са прекомерно общи и за всяка една от поддържаните в Национална агенция за приходите осведомителни системи няма създадени правила за разработка на данните в самата система. Необходимо е да се има поради, че киберсигурността е единствено част от ограниченията за отбрана на персоналните данни ", добави още Караджов. " Към датата на неоторизирания достъп до разпространяването на персонални данни на 15 юли в политиките за образуване на профилите за достъп до приложенията, реализиращи електронни услуги на жителите, за жалост не са планувани задоволително рестриктивни ограничения за достъп до базите данни. Същите са постъпвали с извънредно огромни права в базите данни на Национална агенция за приходите. По този метод е било допустимо елементарно хакване на базите с данни. Хакването на услугата безусловно е ставало допустимо при непосреден достъп до базата с данни. След като се е случил този неоторизиран достъп с хакването, сега на инспекцията установяваме, че са лимитирани тези привилигировани консуматори. Това по никакъв метод не е довело до проблем с функционалността на съответните приложения. ПРоблемът е, че ограничението на тези права съгласно по този начин наречения принцип, който е цялост при проектирането, това ограничение на правата е следвало да бъде направено при самия миг на проектирането, а не като резултат на тази хакерска офанзива ", съобщи още Караджов. По думите му е нарушен главният принцип на отчетност, защото липсва одитни записи на обособените събития и дневници за привилигированите консуматори. " Което значи, че няма информация какво този консуматор е правил ", добави още Караджов. Той регистрира, че няма внедрена система за определение на тези привилигировани консуматори с оглед надзор, ръководство и наблюдаване на привилигирования достъп до по този начин наречените сериозни активи, т.е. базите данни. Отделно не е внедрена система за ръководство и разбор на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и обезпечаване на разбор в действително време за сигналите за сигурност ", съобщи още ръководителят на КЗЛД. По думите му това е разрешило да не се подава информация, когато хакерът е влезнал и какво е теглил. " Липсва методика за ръководство на риска. Т.е. идентификация на заканите и оценка на самия риск, използвана за всяка една осведомителна система все още на нейното в началото въвеждане в употреба, както и следваща честота за този риск, когато вероятно има подозрение, че той би се изменил съгласно събитията ", посочи още Караджов. " Считаме, че не са показани доказателства за осъществен разбор на риска и системите и няма направени правила за функционални отговорности за работа на всякаква осведомителна система ", посочи още ръководителят на комисията. " Няма данни за стартирала процедура по адаптиране на осведомителните системи към условие на общия правилник за отбрана на персоналните данни. Липсват процедури за ръководство на риска при въвеждане на нови системи или при смяна на към този момент съществуващи - по този начин наречените електронни услуги, които те оферират. Не са подхванати дейности за възобновяване на операционните системи. Тяхната сървърна система е сега на равнище 2008 година ", добави още той. По думите му тези системи и систематичният период на поддръжка в международен мащаб изтича януари идната година. " Няма построен център за възобновяване на работоспособността на системите в действително време, което на процедура подготвя към случая с организацията по вписванията. Няма парарелен сървър, който да може при положение, че има хакерска офанзива или механически проблем, да може да вдигне системата ", сподели още Караджов. Той изброи още, че липсват политики за наново потребление на персоналните данни, вътрешни правила за образуване, архивиране на електронните данни, които се употребяват еднократно.
Деница КИТАНОВА