Юристи питат изпълнила ли е НАП задълженията си по GDPR
Задържаха 20-годишен служител във фирма за киберсигурност за атаката. Бойко Борисов: Такива вълшебници трябва да работят за държавата
Задържаният хакер - вече с обвинение, заплашват го до 8 години затвор
Софийската градска прокуратура (СГП) обвини задържания за пробива в НАП К.Б. за неправомерно копиране на данни от агенцията, която е част от критичната инфраструктура. За това престъпление (по чл. 319б, ал.5, т.2, вр. с ал.1 от Наказателния кодекс) го заплашват от 5 до 8 години затвор и до 10 000 лв. глоба.
Малко по-късно стана ясно, че хакерът се казва Кристиян Бойков.
Прокуратурата е разпоредила и задържането му за 72 часа.
За първи път от прокуратурата съобщиха и как разследването е стигнало до служителя на столична фирма за киберсигурност, като подчертават, че извършените от него деяния нямат нищо общо с дружеството, в което работи.
От съобщението става ясно, че в единият от файловете, изпратени до медиите, е имало „данни, идентифициращи наименованието на конкретна компютърна конфигурация, уникално потребителско име, дата, час и софтуерно приложение, послужило за прочитането на файла“. „В резултат на оперативно-издирвателни мероприятия и компютърно-разузнавателни действия е установено, че потребителското име се ползва от К. Б. – на 20 години от Пловдив“, обясняват от прокуратурата.
От държавното обвинение потвърдиха, че мъжът е задържан вчера в офиса на фирмата, в която работи. А след това при условията на неотложност са извършени претърсвания и изземвания там, а после и в апартаментите му в София и в Пловдив. „При тези действия са иззети компютърни конфигурации, хард дискове, флаш памети и 2 бр. мобилни телефони“, посочват от прокуратурата.
Изпълнила ли е Националната агенция за приходите (НАП) задълженията си за опазване на данните на гражданите, които ѝ вменява Общият регламент за защита на личните данни (GDPR). Това питат юристи и експерти от Асоциацията за защита на личните данни в заявления за достъп до обществена информация до шефката на НАП Галя Димитрова, министъра на финансите Владислав Горанов и до председателя на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов, като настояват отговорите да бъдат огласени публично, защото се дължат на цялото общество (пълния текст на заявленията виж тук и тук).
Питането идва след атаката в НАП, довела до изтичането на данни на 5 милиона граждани и фирми.
Междувременно шефът на „Компютърни престъпления“ в ГДБОП Явор Колев съобщи пред Нова телевизия, че вчера следобед е задържан заподозрян за атаката на сървърите на НАП. Той обяви, че арестуваният е на 20 години, открит на работното му място в компания за киберсигурност, където работата му била свързана с това да тества системи за уязвимости. Претърсени са офисите на компанията, както и домът му, откъдето са иззети множество устройства и носители на информация.
„Направените тази нощ експертизи сочат, че той е съпричастен към пробива в системата“, заяви Колев, като подчерта, че предстои много работа и към момента не може да се каже със сигурност дали това е извършителят или дали е действал самостоятелно. По думите му той не за пръв път прониква неправомерно в информационна система и е заставал и от двете страни на закона – бил е „и бял, и черен хакер“.
Междувременно премиерът Бойко Борисов нарече хора, като задържания хакер „вълшебници“, които трябва да бъдат привлечени да работят за държавата и в помощ на службите. И поръча на Владислав Горанов да помисли как да стане това. От младата възраст на заподозрения за атаката в НАП пък заключи: „Образованието ни става все по-добро“.
Имаме истински вълшебници. Много млади и кадърни. Вчера задържахме един от хората. Той ако работи за държавата…
каза премиерът. И продължи: „Много е важно за такива деца да имаме възможност да им плащаме повече, за да ги ползват службите и ние самите, за да не ни нанасят такива щети и след това да им се повдигат обвинения, а да ги привлечем в полза на държавата“, добави Борисов.
И дори определи атаката като своеобразен младежки бунт. „Това е един вид бунтарско, да докажеш, че можеш да преодолееш системите“, каза Борисов, като поясни, че такива случаи има в САЩ и в други страни.
Въпросът дали НАП е спазила изискванията на GDPR вече беше поставен пред Комисията за защита на личните данни, като вчера председателят ѝ напомни, че агенцията е заплашена от глоба до 20 млн. евро, но даде знак, че няма да се бърза със санкциите, тъй като е по-важно да се инвестира в решаване на проблема.
Общият регламент за защита на данните обаче е в сила от 25 май 2018 г. и още от тогава той вменява сериозни задължения на всички администратори на лични данни. Именно за тяхното изпълнение поставят въпроси и настояват отговорите им да станат всеобщо достояние от Асоциацията за защита на личните данни.
„Личните данни са само лични. GDPR е ясен и категоричен в това отношение. Тяхното опазване трябва да е приоритет, а предприетите мерки за защита – да са подходящи и основани на оценка на рисковете и оценка на въздействието върху физическите лица. Тези оценки обикновено се извършват от компетентни експерти, а МФ и НАП са били длъжни да ги направят предварително съгласно GDPR. Как те са изпълнили това свое задължение?“, питат от асоциацията.
От там обясняват, че предоставянето на тази информация на разположение на гражданите да се счита за добра практика, информация за оценките на въздействие, извършени от МФ и НАП липсва. Информация за това дали след тези оценки са провеждани консултации с надзорния орган – КЗЛД, също няма.
Освен това от асоциацията настояват на интернет страниците на МФ и НАП да бъде публикувана информация за това какъв е процесът в двете институции за мониторинг по GDPR, честотата на проверките, приложените мерки, предприетите действия и основните констатации и препоръки, отправени към тях като администратори на лични данни от страна на длъжностните им лица по защита на данните. Като искат информация и за това какво са направили тези длъжностни лица по защита на данните във връзка пробива, довел до изтичането на чувствителни данни за милиони граждани и фирми.
„В съответствие с подхода, базиран на риска, предвид естеството, мащаба и броя засегнати лица, настояваме на основание чл. 14, ал. 2 от ЗДОИ МФ и НАП да публикуват на Интернет страниците си и анализ и оценка на евентуалните рискове за правата на субектите на данни, които могат да се реализират в резултат на настъпилия инцидент, за да могат тези рискове да бъдат разпознавани от физическите лица и те да могат да се предпазят от тях“, пишат от Асоциацията за защита на личните данни.
От шефа на КЗЛД те искат информация за това дали от влизането в сила на GDPR комисията е получавала искания от Министерството на финансите или НАП за извършване на предварителни консултации (по чл. 36 от регламента) във връзка с констатирани рискове и извършени оценки за въздействие. Ако е имало такива, какви са основните констатации и препоръчаните мерки от КЗЛД.
Самият Венцислав Караджов заяви пред БНР, че теоретично, всеки засегнат може да предяви претенции за това, че са били разпространени неправомерно личните му данни „Въпросът е, че той трябва да докаже конкретен интерес, конкретно нарушение на неговите права, от които са се породили неговите претенции – имуществени или неимуществени. Самият теч на информация би следвало да доведе до санкция за администратора, но той не значи, че личните данни на физическото лице ще бъдат допълнително обработени, което да доведе до неблагоприятни последици за самото лице“, обясни той.
И каза, че „на НАП ще бъде наложена имуществена санкция за бездействие, а в правото има основен принцип – че два пъти за едно и също нарушение не може да се наложи санкция“. КЗЛД ще провери и доколко правилата на НАП за обработване на лични данни, обучението на хора, организацията и техническите мерки, които са взети, отговарят на анализираните рискове.
13
Коментирайте
И фейса се срина. Дали не е бунт на някой вълщебник.
Ха, виждате ли какво казва Караджов – че на практика гражданите не могат да съдят НАП, защото КЗЛД изпреварващо ще глоби данъчните за бездействие и не можело две глоби за едно и също нещо. Ето как ще ги пожалят, гадове!
Наличието на такъв вълшебен хакер въобще не е признак на добро образование у нас. И в случая не е правилно младежът да се поощрява.
Какъв бунтар, бе човек? Защо се прицели точно в НАП. Чак и списък на магистрати си спретна за нула време.
Напротив младежа трябва да получи златен медал за извършеното. Когато такива младежи влязат да работят за държавата и се спре със роднинските назначения, които внедряват некадърни кадри тогава вече ще има работеща и сигурна система. Така, че браво на момчето, ако то е хакнало тази некадърно направена система.
А, ясно – целият лийк ще се окаже младежки бунт. Егати манипулаторите! 5 милиона граждани останаха беззащитни, а премиерът се умилява от някакъв набеден хакер. Нямам думи!
С този 20-годишен хакер само ни хвърлят прах в очите. Ако се окаже истина, още по-лошо – някакъв келеш срутва държавата с няколко клика. Защото като чета обясненията как е станал пробивът, излиза, че е елементарна уязвимост – ненаправен ъпдейт, незапушен порт, пароли и юзъри по подразбиране…
Не съм съвсем сигурен, че НАП е изпълнила задълженията си по GDPR. Виж, ако става въпрос те да следят за неизпълнение на задълженията- гонят до дупка.
КЗЛД колкото и да увърта, ще трябва да глоби Министерството на финансите, защото са нарушили GDPR по всякакъв начин и това е очевидно. Не знам какви доказателства за предприети преди инцидента мерки ще скалъпят/фалшифицират, но и без тях са нарушители. Тъпото е, че глобата за МФ и НАП ще я платим всички пострадали.
Шефът на КЗЛД Караджов се гърчи като червей на въпроса дали НАП ще бъдат глобени. Не бивало да бъдат притеснявани точно сега. А ние гражданите какво да правим? Не сме ли притеснени, ощетени и изложени на много по-голям риск, отколкото институциите?
Браво на тази асоциация, това са правилните въпроси. Отговорите ще покажат дали МФ и НАП въобще са си мръднали пръста.
От сега е ясно, че не са. Твърде са велики, за да изпълняват изисквания и регламенти, които иначе натрисат на всички граждани и фирми.
Изобщо не се връзвайте на цацаратурските номера. Този е натопен, няма никакви релани доказателства срещу момчето. Целият театър, който виждаме е манипулативна схема, целяща да даде неограничен и непроследим достъп до база данни за всички български граждани. Държавата е илюзия, а организираната престъпност вече е практически непобедима и всички сме нейни заложници.