На 11 май ще е следващото заседание на съда по жалбата на НАП срещу глобата от КЗЛД

Санкцията от 5,1 млн. лева още не е платена от приходната администрация

Днес започна делото в Софийския съд, с което НАП обжалва наложената от КЗЛД глоба. За да припомня основанията на Комисията за защита на личните данни, ето стенограмата с изказването на председателя на КЗЛД Венцислав Караджов пред временната парламентарна комисия:

„…Беше взето решение да се извърши цялостна проверка на администратора, не само относно обявения чрез уведомлението теч на данни, тъй като този теч няма как да се случи без да има пропуски в работата на самия администратор, поради което решението беше за цялостна проверка в работа на администратора Национална агенция по приходите. В резултат на едномесечна проверка екипът излезе с определени констатации. Констатациите на екипа са следните: администраторът НАП поначало е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани, е в английската версия на официалния сайт на страницата, където е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнатите лица, включително чуждестранни лица, вида на разкритите лични данни, описание на евентуалните последици от нарушението.

Отделно данъчните администрации на държавите-членки, с които НАП обменя данъчна информация, и която информация е станала достъпна в резултат на хакерската атака, по реда на международните актове са уведомени за инцидента с информационната сигурност. Уведомена е също така Европейската комисия, специализираните служби към състава и Глобалния форум към Организацията за икономическо сътрудничество и развитие (ОИСР), както и компетентните органи за обмен на информация в държавите-членки на Европейския съюз в областта на ДДС и събиране на публични вземания.

Отделно е подготвено писмо и изпратено до всички данъчни администрации, за чиито местни лица има индикация за неправомерно разкрити лични данни, с което се иска съдействие от съответния административен орган в данъчната администрация, който след предоставяне от страна на НАП на идентификационни данни да уведоми местните лица индивидуално. Търсенето съдействие е било необходимо поради факта, че има голям брой засегнати и чуждестранни лица и НАП не разполага с конкретните данни, за да ги уведоми и практически това е било невъзможно.

По време на проверката екипът констатира, че в НАП не са предприети следните технически организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат достъпени. От гледна точка на организационна структура – да, съществува изградена структура за защита на личните данни. В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения процедурите за тяхната дейност, не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, тоест какви са правата на единия и на другия и как точно се извършва контролът или обменът на информация между тях, липсват процедури за взаимодействие на отделните потребители в системата в този смисъл.

Продължителното самостоятелно разработване на приложения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица. Основните отговорности за информационната сигурност са съсредоточени единствено в ИТ дирекцията, като липсват разписани правила и процедури за защита изобщо на личните данни, а са налице само такива за информационна сигурност от гледна точка на киберсигурност. Вътрешните правила, най-общо казано, са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за обработка на данните в самата система, а в НАП има много такива системи. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни е задължително разработването на правила и процедури, регламентиращи мерките за защита на данните, категориите лични данни като цяло, и съобразно техния вид и чувствителност това се прави след като бъде извършена оценка на риска в самата организация, съобразно броя на физическите лица, чиито лични данни се обработват, вида на тези лични данни, доколко са чувствителни и така нататък, кой има достъп до тази информация и тези данни. Така че това се прави като част от оценка на риска.

Към датата на неоторизирания достъп и разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите за съжаление не са предвидени достатъчно рестриктивни мерки за достъп до базите данни, като същите са достъпвали с изключително големи права базите данни на НАП. По този начин е възможно лесно хакване на базата с данни, тъй като хакването на услугата буквално е предоставило възможност за непосредствен достъп до базата данни. След като се е случил този неоторизиран достъп чрез хакването, в момента на проверката констатираме, че са ограничени тези привилегировани потребители и това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип „Privacy by Design“, което е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено към самия момент на проектирането, а не в резултат на тази хакерска атака.

Освен това считаме, че е нарушен така нареченият основен принцип на отчетност, тъй като липсват одитни записи на отделните събития и дневници за привилегированите потребители, което значи, че няма информация какво този потребител е правил, кога е правил, кой го е правил, какво е достъпвал. Няма внедрена система за управление на тези привилегировани потребители с оглед контрол, управление и наблюдение на привилегирования достъп до така наречените критични активи, тоест базите данни.

Отделно не е внедрена и система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време на сигналите за сигурност, генерирани от мрежовия хардуер и приложения, което е позволило да не се подава информация тогава, когато хакерът е влязъл, каква информация е теглил, много ли е било, малко ли е било, системата не е сигнализирала, защото го е нямало заложено вътре в нея като хардуер и като софтуер. Липсва методика за управление на риска, тоест идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за оценка на този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата.

Считаме, че не са представени доказателства за извършен анализ на риска на системите и операциите по обработването и няма изготвени правила за функционални задължения за работа на всяка информационна система. Не са представени доказателства за извършена оценка на въздействието при идентифициран висок риск за всяка една от системите и предприетите мерки съгласно одобрен и публикуван такъв списък от Европейския борд и същия публикуван на страницата на Комисията за защита на личните данни.

Липсват документирани правила и процедури за оценка на въздействието при защита на данните при първоначално стартиране на нови информационни системи и приложения. Няма данни за стартирала процедура по адаптиране на информационните системи към изискванията на общия регламент за защита на данни, който се води Регламент 679. Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи системи, така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи, тяхната сървърна система е в момента на ниво 2008 година.

На тези системи, между другото, срокът на поддръжка в световен мащаб изтича януари следващата година. Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с Агенцията по вписванията, няма паралелен сървър, който да може в случай, че има хакерска атака или друг технически проблем, да може симултанно да вдигне системата и тя да работи и да се предоставят тези услуги. Има backup сървър, който правилно е направен, но това не решава проблема. Липсват политики за обработване на специални категории данни, липсват политики за повторно използване на личните данни на субектите, липсват политики и вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, които се използват еднократно по различни заявки, примерно Народното събрание изисква от НАП да направи заявка във връзка с някакъв случай, който разследва, НАП прави проверката и след това тези данни не се унищожават. Няма правила, което, естествено, предразполага когато има такъв неоторизиран достъп, да се добие изключително голяма база данни с информация и такъв случай, между другото, е засечен от нашия екип. Липсват политики и процедури за обработка на данни на деца, повторно използване на такива данни и проследяващи механизми, и така наречените Cookies (бисквитки) за определяне срока на съхранение и задържане на данните. Липсват приети стратегии и политики за криптиране на данни от архиви или еднократно извършвани справки.

Според нас е нарушен и принципът на независимост на длъжностното лице по защита на данните, тъй като неговата йерархична подчиненост е на дирекция „Сигурност“, а не на самия ръководител на институцията. Това лице поначало и Вие знаете много добре, в Комисията по вътрешна сигурност и обществен ред го обсъждахме, ролята му е да предоставя информация на ръководителя, който може да вземе решение, а директорът на дирекция може да резолира тази информация и тя да си остане в архив, без да стигне изобщо до директора и той да не може да реагира. Не е това ролята на длъжностното лице, многократно се опитахме да обясняваме и в частния, и публичния сектор, че тези лица трябва да бъдат пряко подчинени на министъра или на съответния заместник-министър, в чиито функции е разпоредено да може да взема тези решения.

Служителите на НАП подписват декларация за неразпространение на информация, но в длъжностните им характеристики не открихме включени задължения за обработване на лични данни на физическите лица при изпълнение на конкретни служебни задължения, самите длъжностни характеристики изобщо не са актуализирани съобразно изискванията на регламента.

И накрая считаме, че липсват вътрешни правила за обучение на самите служители относно самата им подготвеност да действат в случаи на незаконосъобразно обработване на лични данни. …“

Можете да споделите: