Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд – София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни.

В решение от 43 страници (пълния му текст виж тук) съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.

Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД – отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.

По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни „не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки („цялостност и поверителност“)“.

„И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки“, заявява съдия Аргирова.

И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.

„Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването“, се посочва в решението.

АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. „SQL инжекция“ е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List“, изтъква съдът.

И заключава: Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.“.

НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. „Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.

Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.

За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал „колко прецакана е държавата“.

В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.

Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.

Собственикът на „Тад Груп“ остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.

След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз (повече виж тук).

31
Коментирайте

avatar
нови хронологично най-добре оценени
Khan Zain
Khan Zain
09 февруари 2024 8:47
Гост

This insightful article sheds light on a critical issue surrounding data protection and cybersecurity, particularly in the context of governmental agencies. The detailed analysis provided by the Administrative Court – Sofia City (ACSG) offers valuable insights into the shortcomings of the National Revenue Agency (NAA) in preventing the massive data breach that occurred in 2019. Judge Antoaneta Argirova’s thorough examination of the Commission for the Protection of Personal Data’s findings underscores the importance of accountability and adherence to regulatory frameworks such as the General Data Protection Regulation (GDPR). The court’s decision to confirm the majority of the orders issued by… Покажи целия коментар »

Рекетьори
Рекетьори
23 февруари 2023 19:22
Гост

Спрях до сервиз за гуми – намушкаха ми гумата.
Спрях да магазин за авточасти – счупиха мигачите на съседен автомобил.

Същото е с лепенките на ВИС за сигурността.
Същото е с кибер сигурността.
Бяхме забравили…

Анонимен
Анонимен
24 февруари 2023 6:26
Гост

Факт-в кв Гео Милев в момента е страшно. Ако някой спре на улицата, която е общинска, а не частна, е огромна вероятността гео милевските селяни да му спукат гумата или други поразии по колата. така е от 2-3 години-селяндурите от Гео Милев, но от няколко месеца е някакъв ужас- решават,че улицата пред блока им е частна собственост-и почва пукане на гуми, кривене на чистачки, драскане по колата и тн. В добавка е и новата практика да си правят ограда на общинска земя около блока им. Или да държат бутилки с вода по улицата.

„ТАД и Кристиян Бойков
„ТАД и Кристиян Бойков
23 февруари 2023 17:06
Гост

comment image

ГЕРБ и Тиквата
ГЕРБ и Тиквата
23 февруари 2023 18:19
Гост

Да ми снимат кюлчетата…
…в моето скромно чекмедже

Юрисконсулт
Юрисконсулт
23 февруари 2023 16:32
Гост

Моля Ви някой да кротне данъчните! Инспектор по приходите в НАП при ревизия се държа грубо, надменно, като че ли сме му подчинени, след оплакване до изпълнителния директор на НАП, нищо не последва!

Име
Име
23 февруари 2023 16:51
Гост

А – те са си за това, да тормозят, няма начин – контрола.

По принцип не е същото като при ГЕРБ, доколкото знам имаше поръчкови ревизии.

Едната конкуренция плаща – за да смажат другата, затова е казано – дръж враговете си близо – да знаеш какво мислят и – дръж приятелите си още по-близо, за да си съвсем сигурен какво мислят.

Понякога правят и планови проверки, те се разбират нещата.

Герберасти, сър!
Герберасти, сър!
23 февруари 2023 15:07
Гост

За каскетно-тиквената мафия Горанов и калинките на ГЕРБ в НАП нямаха абсолютно никаква вина. И хвърлиха вината върху една неудобна компютърна фирма, а Съдът за специализирани поръчки на мафията удари едно рамо, както винаги.

Пръска от мозък
Пръска от мозък
23 февруари 2023 15:01
Гост

Онази прокурорка, известна като Жени Пръскачката няма ли да даде тържествено интервю по случая?

Име
Име
23 февруари 2023 14:55
Гост

Трябва да имаме дружеско отношение към НАП, защото това са – болници, детски ясли, училища и – разбира се пенсии.

Все пак не са някакви „командоси“, неприятно ми е – заради агресията на хакерите.
Да удариш беззащитна институция е подло и не е джентълменско – нито са гладни хакерите, нито нищо.

Сега – спрямо самите хакери – да им вземат някакви полицейски отпечатъци и натривки, за да не пипат повече компютри.

Бурс Уилис може да им направи „Умирай трудно 4-000019“, бета версия, нищо че е в пенсия.

Анонимен
Анонимен
24 февруари 2023 6:31
Гост

Парите събирани от НАП за болниците ли отиват? Защото като преди 2 години ми се наложи операция -въпреки ,че нямам пропуск в осигуряването, се наложи да направя четирицифрена сума доплащане.
А преди операцията-скенерът също платен. Консултацията преди операцията-платена.

И защо да плащам данъци? За да се дават по 200 000 лв на инсталираните в съдебната система, по 3000 лв за дрехи, и по 7-10 000 лв за заплати.

Daniela Nikolova
Daniela Nikolova
24 февруари 2023 13:04
Гост

Нека първо да излезе обвинителния акт срещу фирмата, защото слагаме тигана, а рибата е още в морето.
Не вярвам на изявленията на каскета.
Като излезе съдебно решение, чак тогава ще можем да вземем отношение.
Ако това стане някога изобщо.

Да ти откраднат чистачките...
Да ти откраднат чистачките...
23 февруари 2023 14:13
Гост

ВИНОВЕН !
Глоба.
Да си си ги прибрал.

Заки
Заки
23 февруари 2023 14:10
Гост

Въобще не съм изненадан, че НАП е бездействала. Те действат само когато имат да събират пари и да те гонят за стотинката.

Смехурко
Смехурко
23 февруари 2023 13:57
Гост

„ТАД Груп“ и Кристиян Бойков ви откраднаха колелото…

То пък не било заключено…

Получавате глоба…

Бобева
Бобева
23 февруари 2023 13:53
Гост

И сега кой ще плаща за щетите?

Мини
Мини
23 февруари 2023 14:12
Гост

По всяка вероятност никой.

Шекерджиев
Шекерджиев
23 февруари 2023 13:52
Гост

Поредното доказателство, че държавата ни се управлява на автопилот

Милена
Милена
23 февруари 2023 13:50
Гост

То НАП не е държава в държавата. Ръководи се от политиците в страната. Когато става въпрос за шеф на НАП ще се изтрепят политически партии. Явно там има яко лапане. Сега да си понесат отговорност същите тези политици за дето НАП не е бил обезпечен със стабилна сигурност. Не е НАП виновен, нито служителите му. Виновно е келявото ни управление. Един банкянец, дето и сега ходи да обяснява по селата колко било добре при него и сега каква пумия било.

Тити
Тити
23 февруари 2023 14:13
Гост

Така е, защото дълги години бяхме управлявани от мутри.

Каменова
Каменова
23 февруари 2023 13:49
Гост

Пак ние ще плащаме за на НАП простотията

Щерев
Щерев
23 февруари 2023 14:16
Гост

От плащания за НАП и родната ни прикриватура взе да ми писва.

777
777
23 февруари 2023 14:56
Гост

Е като ти е писнало,сега ще си го преместя от левия в десния крачол. Писнало му било – кой го е еня за тебе бе!

Шинков
Шинков
23 февруари 2023 13:49
Гост

Е и? Какво от това. Ако се наложи да плащат глоби ще се напънат ръководителите в НАП, те ще дадат зор на секторните и всеки секторен ще обтегне още повече служителите на НАП да ровят за събираемост. За да се избият тия разходи. Нищо ново.

Алберто
Алберто
23 февруари 2023 13:48
Гост

Определено и аз смятам, че са имали вина. Все пак това са данни, които са поверени на тях, не на някой друг

Бишъп
Бишъп
23 февруари 2023 13:47
Гост

Не са имали ресурси. Пари за заплати за специалисти и пари за поддръжка. Нищо, че са НАП. И нищо, че сега са се захванали с любимитя ми Левски. И ще ги точат до последната монета!

Златарев
Златарев
23 февруари 2023 13:51
Гост

Събират от всеки дребен гражданин пари до стотинката. Там са супер съвестни. Виж от Черепа и Доусчиеви няма да съберат пари.

Емил
Емил
23 февруари 2023 14:18
Гост

Винаги първи хващат малките риби.

Иванова
Иванова
23 февруари 2023 13:52
Гост

Предвид, че държавата даде пари за стадиони в Пловдив, които надвишиха многократно сумата, но все пак тя отпусна и отпуска още пари, то поне едни 30 милиона явно трябва да се избият от някъде. Защо да не е от феновете на Левски. Които ще мръзнат на мизерния стадион в Подуене, но пък пловдивските майни ще се ширят на модерни стадиони. Привилегии бе

Симо
Симо
23 февруари 2023 14:20
Гост

Да ти имам проблемите! Ми не ходи на мачове, ако ти е студено.

Ajlin
Ajlin
23 февруари 2023 13:46
Гост

Над 6 милиона граждани? Това е цяла България. Ние сме над 6 милиона. Това си е ЦЯЛА БЪЛГАРИЯ!