НачалоАктуалноВенцислав Караджов: В НАП липсват правила и процедури за защита на личните данни

Венцислав Караджов: В НАП липсват правила и процедури за защита на личните данни

  • 17:18
  • 0
  • 386

"Констатициите на екипа са следните - администраторът НАП е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани е в английската версия на официалния сайт на страницата е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнати лица."

Това каза председателят на Комисията за защита на личните данни Венцислав Караджов по време на заседанието на временна анкетна комисия за установяване на фактите и обстоятелствата за теча на лични данни от НАП.

По думите му отделно данъчните администрации на държавите членки, с които НАП обменя информации, са уведомени за инцидента с информационната сигурност. "Уведомена е ЕК, специализираните служби и ОИСР и компетентните органи за обмен на информация в държавите членки", заяви още той.

"По време на проверката екипът констатира, че в НАП не са предприети следните технически и организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат отстъпени. От гледна точка на организационна структура - да съществува изградена структура за защита на личните данни. В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения и процедурите за тяхната дейност.

Не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, т.е. какви са правата на единия и на другия и как точно се извършва контролът и обменът на информация между тях. Липсват процедури за взаимодействие на отделните потребители в системата в този смисъл. Продължителното самостоятелно разработване на предолжения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица.

Основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията. Липсват разписани правила и процедури, защита изобщо на личните данни. Налица са само такива за информационна сигурност, от гледна точка на киберсигурност. Вътрешните правила най-общо казано са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за разработка на данните в самата система. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни", допълни още Караджов.

"Към датата на неоторизирания достъп до разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите, за съжаление не са предвидени достатъчно рестриктивни мерки за достъп до базите данни. Същите са постъпвали с изключително големи права в базите данни на НАП.

По този начин е било възможно лесно хакване на базите с данни. Хакването на услугата буквално е ставало възможно при непосредствен достъп до базата с данни. След като се е случил този неоторизиран достъп с хакването, в момента на проверката констатираме, че са ограничени тези привилигировани потребители. Това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип, който е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено при самия момент на проектирането, а не като резултат на тази хакерска атака", обясни шефът на КЗЛД.

По думите му е нарушен основният принцип на отчетност, защото липсват одитни записи на отделните събития и дневници за привилигированите потребители. "Което значи, че няма информация какво този потребител е правил", разясни Караджов.

От изказването му стана ясно още, че няма внедрена система за определение на тези привилигировани потребители с оглед контрол, управление и наблюдение на привилигирования достъп до така наречените критични активи, т.е. базите данни. Отделно не е внедрена система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време за сигналите за сигурност.

Това е позволило да не се подава информация, когато хакерът е влязъл и какво е теглил. "Липсва методика за управление на риска. Т.е. идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата", уточни още Караджов.

"Считаме, че не са представени доказателства за извършен анализ на риска и системите и няма изготвени правила за функционални задължения за работа на всякаква информационна система. Няма данни за стартирала процедура по адаптиране на информационните системи към изискване на общия регламент за защита на личните данни. Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи - така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи. Тяхната сървърна система е в момента на ниво 2008 г.", допълни още той.

Караджов припомни, че тези системи и системният срок на поддръжка в световен мащаб изтича януари следващата година. "Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с агенцията по вписванията. Няма парарелен сървър, който да може в случай, че има хакерска атака или технически проблем, да може да вдигне системата", каза още Караджов.

Той посочи още, че липсват политики за повторно използване на личните данни, вътрешни правила за организиране, архивиране на електронните данни, които се използват еднократно.

Facebook коментари
Коментари (0)
Вход
Или

Моля проверете вашият имейл за да активирате профила.

Любими
Вашите лични данни

Ние събираме и обработваме Вашите лични данни.

За осигуряване на правата ви по GDPR, молим за Вашето съгласие.

Ще използваме данните за осигуряване на по-доброто Ви преживяване на нашите сайтове.

Ако натиснете бутона Приемам всички, ще дадете съгласието си на нас и на всички трети страни, описани детайлно в Политиката за поверителност и Политиката за бисквитките.

Защо е необходимо моето съгласие?

НАСТРОЙКИ ЗА ПОВЕРИТЕЛНОСТ

  • Нормално функциониране на сайтовете
    Не е зададено

    Тези данни са стриктно необходими за нормалната работа на сайтовете и мобилните ни апликации. Чрез тях можем да удостоверим самоличността Ви като логнат потребители, да Ви покажем по-добре съдържанието, да заредим сайта по-бързо, да защитаваме сайтовете и Вас от посегателства.

    Такива данни например са данните от сесията Ви – информация дали сте логнат, кеширано съдържание и други.

    Тук попадат и данните, свързани с идентифицирането Ви във връзка с регистрация за използване на наша услуга.

  • За изпълнение на нашите услуги
    Не е зададено

    Някои от услугите ни, като електронната търговия, изискват да споделите с нас лични данни. Използваме ги за да можем да изпълним договора си с Вас, за продажба и доставка на предлаганите от нас стоки.

    Други предлагани от нас услуги са възможностите да добавяте новина, коментари, снимки или видеа. Използваме личните Ви данни, която ни дава възможност да Ви идентифицираме и при необходимост – да модерираме добавеното от Вас съдържание.

  • За измерване
    Не е зададено

    Събираме информация за Вашето използване на съдържанието и я комбинираме с предишно събрана, за да измерим, разберем и отчетем Вашето използване на услугите ни.

    Тази цел не включва персонализиране и профилиране.

  • За подбор, доставка и отчитане на реклами
    Не е зададено

    Събираме информация и я комбинираме с предишно налична, за да подберем и Ви доставим релевантна реклама и за да можем да измерим доставката и ефективността й. Това може да включва предварително събрана информация за Вашите предишни интереси към подбрани реклами, обработка на данни за поведението Ви, когато рекламата Ви е била показана, колко често Ви се показват дадени реклами, къде и кога са Ви били показани, дали сте предприели действие свързано с рекламата, включително клик на рекламата и направена покупка.

    Тази цел не включва персонализиране и профилиране.

  • За подбор, доставка и отчитане на съдържание
    Не е зададено

    Събираме информация и я комбинираме с предишно събрана, за да подберем и Ви доставим релевантно съдържание и да измерим доставката и ефективността му. Това може да включва предварително събрана информация за Вашите интереси към съдържанието, обработка на данни за показаното Ви съдържание, колко често или за колко време е било показано, дали сте предприели действие, свързано със съдържанието, включително клик на съдържанието.

    Тази цел не включва персонализиране и профилиране.

  • За персонализация и профилиране
    Не е зададено

    Събираме и обработваме информация за използването на услугите ни за последващо сервиране на персонализирана реклама и/или съдържание в друг контекст, напр. други сайтове и мобилни апликации, след време.

    Типично, съдържанието и поведението Ви на сайта/мобилната апликации се използва за създаване на заключения за Вашите интереси, чрез които се управлява бъдещият избор на сервирани реклами и/или съдържание.

  • По възложение и за проекти на трети страни
    Не е зададено

    При конкретни проекти по възложение на трети страни събираме Ваши лични данни, които им споделяме за осъществяване целите на проектите им. Детайлна информация за целите може да намерите в Общите условия на всеки конкретен проект, който ще Ви бъдат предоставени за получаване на Вашето съгласие.

    Понякога използваме личните ви данни, за да Ви информираме за игри и промоционални оферти на Спортал и/или на трети страни – Партньори на Спортал.

    За изпълнение на тази цел, събираме Ваши лични данни, за да Ви информираме за наши или на трети страни, наши партньори, инициативи, промоции, игри, оферти и други.

    За всички описани по-горе цели можем да използваме инструменти на трети страни.

  • За Директен маркетинг
    Не е зададено

    За да Ви изпращаме винаги актуална и полезна информация за нашите инициативи, събираме данни като адрес на електронна поща или друг начин за контакт с Вас – Viber, Skype, Messenger профил или такъв в друга комуникационна платформа.