Съдът поиска отговор на 13 въпроса преди да реши виновна ли е НАП за теча на данни
Административният съд София-град (АССГ) върна в изходна фаза делото за безпрецедентния теч на лични данни от Националната агенция за приходите (НАП) близо три месеца след като обяви, че се очаква решението му.
АССГ трябва да се произнесе по акта за установяване на административно нарушение (АУАН), който Комисията за защита на личните данни (КЗЛД) издаде на НАП. След заседание по делото на 10 декември 2019 г. съдия Весела Николова даде срок за бележки на представителите на комисията и на агенцията и обяви, че ще излезе с решение. Сега обаче тя отменя дадения от нея ход по същество, като посочва, че е установила, че делото не е изяснено от фактическа страна и ще ѝ е необходима помощта на хора със специални знания в областта на „Информационната сигурност“, за да реши казуса. Затова тя служебно назначи експертиза, на която постави 13 въпроса (какви са те, виж по-долу).
Всички те целят да изяснят дали НАП е приложила подходящи технически и организационни мерки, с които да е можело да бъде предотвратен неоторизираният достъп до системите ѝ, при който бяха разпространени незаконно имена, ЕГН, адреси, имейли, телефони, данни от годишни данъчни декларации, от справки за изплатени доходи, от осигурителни декларации, за здравноосигурителни вноски. Защото именно констатацията на КЗЛД, че такива не са взети и вследствие на това са изтекли личните данни на 6 074 140 души, стои в основата на акта, който издаде на НАП.
След съставянето на АУАН Комисията за защита на личните данни издаде и наказателно постановление, с което глоби приходната агенция с 5,1 млн. лв. НАП оспори санкцията и делото за това е висящо в Софийския районен съд.
Както „Лекс“ писа, то не можеше да започне, тъй като трима съдии, чиито лични данни са изтекли от НАП, се е отведоха от него. Накрая то беше поето от съдия Ангел Павлов. Той също назначи експертиза, тъй като са необходими технически знания, за да се произнесе по основателността на санкцията.
Така вещо лице ще трябва да отговори по какъв начин е осъществен нерегламентираният достъп до масивите на НАП, кога е станало това и какви са причините. Вещото лице трябва да каже и какви мерки са могли да бъдат предприети от НАП, за да не бъде допускан пробив – инсталиране и обновяване на софтуер, набавяне на необходим хардуер, обучения на служители и т.н. Експертът трябва да даде и становище дали изобщо е било възможно да се вземат мерки за предотвратяване на пробива в системите.
Сега съдия Весела Николова от АССГ поиска вещо лице да отговори на техническите въпроси, които си поставя тя, за да може да се произнесе по законосъобразността на АУАН. И му дава срок до 5 май 2020 г. – 7 дни преди следващото заседание по делото, за да каже:
Към датата на неоторизирания достъп и разпространението на личните данни на 15 юли 2019 г.:
- Имало ли е създадени конкретни правила за обработка на личните данни в отделните поддържани в НАП информационни системи и мерки за защита на различните категории лични данни, като цяло и съобразно техния вид и чувствителност (съобразно оценката на риска)?
- Имало ли е неограничен достъп на т.н. „привилегировани потребители“ до целия информационен ресурс, ако е имало ограничаване на права – в каква степен и обем са били те и в какво конкретно са се изразявали? Взети ли са били мерки за въвеждане в активната директория на правила за достъп на отделните групи потребители до информационните системи?
- Имало ли е одитни записи на отделните събития и дневници (журнали) за привилегированите потребители? Имало ли е внедрена Система за управление на привилегиите на потребителите (Р. Access M., РАМ), с оглед контрол, управление и наблюдение на привилегирован достъп до критични активи? Внедрена ли е била Система за управление и анализ на събитията, отразени в дневниците (S. Information and event management, S.), с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време на сигналите за сигурност, генерирани от мрежовия хардуер и приложения? Вещото лице да провери лок-файловете за какъв период от време се съхраняват и за кои операции се съхраняват?
- Имало ли е създадена методика за управление на риска (идентификация на заплахите и оценка на риска), приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация и последваща периодичност за оценка на риска, съгласно чл. 35 от Регламент (ЕС) 2016/679?
- Извършван ли е бил анализ на риска на системите и операциите по обработването, включващи изготвени правила и функционални задължения за работа на всяка информационна система?
- Извършвана ли е била оценка на въздействието при идентифициран „висок риск” за всяка една система и предприетите мерки (съгласно одобрен и публикуван на интернет страницата на КЗЛД списък на по чл. 35, параграф 4 от Регламент (ЕС) 2016/679)?
- Имало ли е документирани правила за оценка на въздействието при защита на данните при първоначално стартиране на нови информационни системи и приложения?
- Стартирана ли е била процедура по адаптиране на информационните системи към изискванията на Регламент (ЕС) 2016/679 ? Създадени ли са били правила за управление на риска при въвеждане на нови системи или промяна на вече съществуващи системи (Р. Ву D., Р. Ву R. и Р. Ву D.)?
- Предприети ли са били действия за обновяване на операционните системи от W.2008R2 към актуални версии от 2013 г. и 2016 г., и на СУБД О. 11.2.0.2 към актуална версия О. 12, за осигуряване сигурността на данните след 2020 г., когато изтича срокът за тяхната поддръжка?
- Имало ли е изграден център за възстановяване работоспособността на системите в реално време (D. R. C.) и ако е имало такъв, дали е осигурявал само резервираност на данните или е осигурявал също и предпазване и защита срещу нерегламентиран достъп?
- Създадени и прилагани ли са били правила и мерки за: обработване на специални категории данни съгласно чл. 9 от Регламент (ЕС) 2016/679; за повторно използване на личните данни на субектите; за анонимизиране, архивиране и унищожаване на електронните данните, използвани еднократно (различни видове справки и заявки); за обработка на лични данни на деца, повторното използване на такива данни, проследяващи механизми и С. (бисквитки), определяне срока за съхранение и задържане на данните; извършвало ли се е криптиране на данни от архивни или еднократно извършвани справки?
- Имало ли е звено (отделно от IT – звеното), отговарящо за управление на риска, респективно за защита на данните, което да е на пряко подчинение на изпълнителния директор?
- Имало ли е създаден план за действие при операционно събитие, т.е. при нерегламентиран достъп? Извършвано ли е било обучение на служителите на НАП за реакция в случаи на незаконосъобразно обработване на лични данни?
16
Коментирайте
Я да видим сега НАП, които по презумция са свикнали да задават въпроси и да налагат глоби, сега какво ще отговорят. На повечето върпоси отговора навярно е Не.
По лични наблюдения на структората на НАП от познати, които работят там, трябва да ви кажа, че никой не е правил обучение при извънредни ситуации и нерегламентиран достъп. Поне те не знаят за такова нещо или не са се похвалили, че им се е случило такова нещо.
И как вещото лице да разбере какво е било състоянието на сигурността миналата година? Сигурен съм, че всичко е или заличено или подправено вече. Къде са логовете, пазят ли се въобще? Не ми се вярва.
В логовете е отговорът, ама ще се окаже, че са били презаписани поради липса на място и аре, чао на цялата експертиза.
Изходът от това дело сега е в ръцете на вещото лице.
Положението е трагично. Създадени и прилагани ли са били правила и мерки за: обработване на специални категории данни съгласно чл. 9 от Регламент (ЕС) 2016/679; за повторно използване на личните данни на субектите; за анонимизиране, архивиране и унищожаване на електронните данните, използвани еднократно (различни видове справки и заявки); за обработка на лични данни на деца, повторното използване на такива данни, проследяващи механизми и С. (бисквитки), определяне срока за съхранение и задържане на данните; извършвало ли се е криптиране на данни от архивни или еднократно извършвани справки? Вие как мислите ? Ами НЕ. Те само ходят по спец акции и налагат… Покажи целия коментар »
Въпросите са написани така, че отговорите да оневинят НАП.
Цялата работа в страната е, като в песничката на Ъпсурт и 100 кила, в която се пее „Рапа ти На кебапчета мирише ми“. Сега ще се съдят, виновен няма да има и накрая всичко ще се потули. От колапса сред нацията се стига до спорадични статии тук там, а след години дори ще забравим, че е имало пробив. Не народ, а стадо!
Ако НАП бе приложила подходящи технически и организационни мерки, нямаше да цъфнат ЕГН-тата на толкова хора.
Ама за да стане това НАП трябва да гледа по-далеч от носа си. Служителите са претрупани със задачи, а началниците се имат за кой знае какво. защото ходят с бронирана кола по гаражи да ги запечатват
Какво се ръчкат и карат, все едно са на селския мегдан. На хората им видяха данните. Сега всеки може да тегли бърз кредит. Какво ми гарантира, че след 2 години няма да ми се обади някаква кифла и да ми каже, че ме съди, защото взетия от мен кредит в размер на 2000 лв не е погасен и сега по бързата процедура съм осъден? А аз дори да не знам за какво говори? Тогава на кой етаж на НАП трябва да ида? Да ми кажете само? На кой етаж трябва да ида и да плясна съдебните искове, та НАП да… Покажи целия коментар »
Защо НАП обжалва ? Да вадят и да плащат глоба. Няма само да ходят, като наказатели насам натам ид а събират парите на хората.
Цели три месеца да чакаш решение, а тези блюстители на правдата да върнат делото в изходяща позиция.
АССГ за пореден път се изложиха. И ако случайно НАП няма вина, кой тогава?
Е как кой? Никой. Няма виновен. Може да ви вземат и вътрешностите и пак никой няма да е виновен. Вдигат рамене, махат с ръка и викат – дай натам
НАП надали влага средства в отделен IT сектор. Моля ви. Те не са вярвали, че някога ще бъдат пробити