Потвърдено от съда: НАП е бездействала – можела е да предотврати големия теч на данни
Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд – София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни.
В решение от 43 страници (пълния му текст виж тук) съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.
Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД – отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.
По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни „не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки („цялостност и поверителност“)“.
„И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки“, заявява съдия Аргирова.
И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.
„Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването“, се посочва в решението.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. „SQL инжекция“ е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List“, изтъква съдът.
И заключава: „Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.“.
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. „Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал „колко прецакана е държавата“.
В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.
Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.
Собственикът на „Тад Груп“ остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.
След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз (повече виж тук).
31
Коментирайте
Спрях до сервиз за гуми – намушкаха ми гумата.
Спрях да магазин за авточасти – счупиха мигачите на съседен автомобил.
Същото е с лепенките на ВИС за сигурността.
Същото е с кибер сигурността.
Бяхме забравили…
Факт-в кв Гео Милев в момента е страшно. Ако някой спре на улицата, която е общинска, а не частна, е огромна вероятността гео милевските селяни да му спукат гумата или други поразии по колата. така е от 2-3 години-селяндурите от Гео Милев, но от няколко месеца е някакъв ужас- решават,че улицата пред блока им е частна собственост-и почва пукане на гуми, кривене на чистачки, драскане по колата и тн. В добавка е и новата практика да си правят ограда на общинска земя около блока им. Или да държат бутилки с вода по улицата.
Да ми снимат кюлчетата…
…в моето скромно чекмедже
Моля Ви някой да кротне данъчните! Инспектор по приходите в НАП при ревизия се държа грубо, надменно, като че ли сме му подчинени, след оплакване до изпълнителния директор на НАП, нищо не последва!
А – те са си за това, да тормозят, няма начин – контрола.
По принцип не е същото като при ГЕРБ, доколкото знам имаше поръчкови ревизии.
Едната конкуренция плаща – за да смажат другата, затова е казано – дръж враговете си близо – да знаеш какво мислят и – дръж приятелите си още по-близо, за да си съвсем сигурен какво мислят.
Понякога правят и планови проверки, те се разбират нещата.
За каскетно-тиквената мафия Горанов и калинките на ГЕРБ в НАП нямаха абсолютно никаква вина. И хвърлиха вината върху една неудобна компютърна фирма, а Съдът за специализирани поръчки на мафията удари едно рамо, както винаги.
Онази прокурорка, известна като Жени Пръскачката няма ли да даде тържествено интервю по случая?
Трябва да имаме дружеско отношение към НАП, защото това са – болници, детски ясли, училища и – разбира се пенсии.
Все пак не са някакви „командоси“, неприятно ми е – заради агресията на хакерите.
Да удариш беззащитна институция е подло и не е джентълменско – нито са гладни хакерите, нито нищо.
Сега – спрямо самите хакери – да им вземат някакви полицейски отпечатъци и натривки, за да не пипат повече компютри.
Бурс Уилис може да им направи „Умирай трудно 4-000019“, бета версия, нищо че е в пенсия.
Парите събирани от НАП за болниците ли отиват? Защото като преди 2 години ми се наложи операция -въпреки ,че нямам пропуск в осигуряването, се наложи да направя четирицифрена сума доплащане.
А преди операцията-скенерът също платен. Консултацията преди операцията-платена.
И защо да плащам данъци? За да се дават по 200 000 лв на инсталираните в съдебната система, по 3000 лв за дрехи, и по 7-10 000 лв за заплати.
Нека първо да излезе обвинителния акт срещу фирмата, защото слагаме тигана, а рибата е още в морето.
Не вярвам на изявленията на каскета.
Като излезе съдебно решение, чак тогава ще можем да вземем отношение.
Ако това стане някога изобщо.
ВИНОВЕН !
Глоба.
Да си си ги прибрал.
Въобще не съм изненадан, че НАП е бездействала. Те действат само когато имат да събират пари и да те гонят за стотинката.
„ТАД Груп“ и Кристиян Бойков ви откраднаха колелото…
То пък не било заключено…
Получавате глоба…
И сега кой ще плаща за щетите?
По всяка вероятност никой.
Поредното доказателство, че държавата ни се управлява на автопилот
То НАП не е държава в държавата. Ръководи се от политиците в страната. Когато става въпрос за шеф на НАП ще се изтрепят политически партии. Явно там има яко лапане. Сега да си понесат отговорност същите тези политици за дето НАП не е бил обезпечен със стабилна сигурност. Не е НАП виновен, нито служителите му. Виновно е келявото ни управление. Един банкянец, дето и сега ходи да обяснява по селата колко било добре при него и сега каква пумия било.
Така е, защото дълги години бяхме управлявани от мутри.
Пак ние ще плащаме за на НАП простотията
От плащания за НАП и родната ни прикриватура взе да ми писва.
Е като ти е писнало,сега ще си го преместя от левия в десния крачол. Писнало му било – кой го е еня за тебе бе!
Е и? Какво от това. Ако се наложи да плащат глоби ще се напънат ръководителите в НАП, те ще дадат зор на секторните и всеки секторен ще обтегне още повече служителите на НАП да ровят за събираемост. За да се избият тия разходи. Нищо ново.
Определено и аз смятам, че са имали вина. Все пак това са данни, които са поверени на тях, не на някой друг
Не са имали ресурси. Пари за заплати за специалисти и пари за поддръжка. Нищо, че са НАП. И нищо, че сега са се захванали с любимитя ми Левски. И ще ги точат до последната монета!
Събират от всеки дребен гражданин пари до стотинката. Там са супер съвестни. Виж от Черепа и Доусчиеви няма да съберат пари.
Винаги първи хващат малките риби.
Предвид, че държавата даде пари за стадиони в Пловдив, които надвишиха многократно сумата, но все пак тя отпусна и отпуска още пари, то поне едни 30 милиона явно трябва да се избият от някъде. Защо да не е от феновете на Левски. Които ще мръзнат на мизерния стадион в Подуене, но пък пловдивските майни ще се ширят на модерни стадиони. Привилегии бе
Да ти имам проблемите! Ми не ходи на мачове, ако ти е студено.
Над 6 милиона граждани? Това е цяла България. Ние сме над 6 милиона. Това си е ЦЯЛА БЪЛГАРИЯ!
This insightful article sheds light on a critical issue surrounding data protection and cybersecurity, particularly in the context of governmental agencies. The detailed analysis provided by the Administrative Court – Sofia City (ACSG) offers valuable insights into the shortcomings of the National Revenue Agency (NAA) in preventing the massive data breach that occurred in 2019. Judge Antoaneta Argirova’s thorough examination of the Commission for the Protection of Personal Data’s findings underscores the importance of accountability and adherence to regulatory frameworks such as the General Data Protection Regulation (GDPR). The court’s decision to confirm the majority of the orders issued by… Покажи целия коментар »