"Констатициите на екипа са следните - администраторът НАП е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани е в английската версия на официалния сайт на страницата е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнати лица."
Това каза председателят на Комисията за защита на личните данни Венцислав Караджов по време на заседанието на временна анкетна комисия за установяване на фактите и обстоятелствата за теча на лични данни от НАП.
По думите му отделно данъчните администрации на държавите членки, с които НАП обменя информации, са уведомени за инцидента с информационната сигурност. "Уведомена е ЕК, специализираните служби и ОИСР и компетентните органи за обмен на информация в държавите членки", заяви още той.
"По време на проверката екипът констатира, че в НАП не са предприети следните технически и организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат отстъпени. От гледна точка на организационна структура - да съществува изградена структура за защита на личните данни. В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения и процедурите за тяхната дейност.
Не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, т.е. какви са правата на единия и на другия и как точно се извършва контролът и обменът на информация между тях. Липсват процедури за взаимодействие на отделните потребители в системата в този смисъл. Продължителното самостоятелно разработване на предолжения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица.
Основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията. Липсват разписани правила и процедури, защита изобщо на личните данни. Налица са само такива за информационна сигурност, от гледна точка на киберсигурност. Вътрешните правила най-общо казано са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за разработка на данните в самата система. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни", допълни още Караджов.
"Към датата на неоторизирания достъп до разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите, за съжаление не са предвидени достатъчно рестриктивни мерки за достъп до базите данни. Същите са постъпвали с изключително големи права в базите данни на НАП.
По този начин е било възможно лесно хакване на базите с данни. Хакването на услугата буквално е ставало възможно при непосредствен достъп до базата с данни. След като се е случил този неоторизиран достъп с хакването, в момента на проверката констатираме, че са ограничени тези привилигировани потребители. Това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип, който е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено при самия момент на проектирането, а не като резултат на тази хакерска атака", обясни шефът на КЗЛД.
По думите му е нарушен основният принцип на отчетност, защото липсват одитни записи на отделните събития и дневници за привилигированите потребители. "Което значи, че няма информация какво този потребител е правил", разясни Караджов.
От изказването му стана ясно още, че няма внедрена система за определение на тези привилигировани потребители с оглед контрол, управление и наблюдение на привилигирования достъп до така наречените критични активи, т.е. базите данни. Отделно не е внедрена система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време за сигналите за сигурност.
Това е позволило да не се подава информация, когато хакерът е влязъл и какво е теглил. "Липсва методика за управление на риска. Т.е. идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата", уточни още Караджов.
"Считаме, че не са представени доказателства за извършен анализ на риска и системите и няма изготвени правила за функционални задължения за работа на всякаква информационна система. Няма данни за стартирала процедура по адаптиране на информационните системи към изискване на общия регламент за защита на личните данни. Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи - така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи. Тяхната сървърна система е в момента на ниво 2008 г.", допълни още той.
Караджов припомни, че тези системи и системният срок на поддръжка в световен мащаб изтича януари следващата година. "Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с агенцията по вписванията. Няма парарелен сървър, който да може в случай, че има хакерска атака или технически проблем, да може да вдигне системата", каза още Караджов.
Той посочи още, че липсват политики за повторно използване на личните данни, вътрешни правила за организиране, архивиране на електронните данни, които се използват еднократно.