-
24 февруари 2023 07:00
- 566
- 0
Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд - София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи Лекс.
В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.
Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.
По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни "не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки ("цялостност и поверителност")".
"И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", заявява съдия Аргирова.
И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.
"Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването", се посочва в решението.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. "SQL инжекция" е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List", изтъква съдът.
И заключава: "Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.".
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП", посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от "анонимен руски хакер", който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал "колко прецакана е държавата".
В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на "Тад груп" Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.
Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.
Собственикът на "Тад Груп" остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.
След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз.
Последвайте канала на
Свързани новини
НАП обжалва глобата от 5,1 млн. лв. заради теча на данни
10 февруари 202007:03
Увеличиха заплатата на изпълнителния директор на НАП
05 февруари 202012:36
Опитите за атаки срещу НАП не са спирали
21 ноември 201915:56
Временната анектна комисия за НАП е с удължен срок на действие
03 октомври 201911:46
Системата на НАП е надграждана неправилно
19 септември 201915:58
Венцислав Караджов: Течът на данни в НАП е заради пропуски в работата
04 септември 201917:03
Съдът потвърди спирането на делото за изтичането на лични данни на 6 млн. българи от НАП
07 юни 202316:47
НАП пусна предварително попълнените данъчни декларации за физически лица
09 март 202310:12
Роналдо посочи дали Сити ще се завърне, дали Реал отново ще спечели ШЛ и дали проблемът на Юнайтед е в треньорите
Кристиано отсече: Винисиус трябваше да спечели „Златната топка“, това беше несправедливо
Съставите на Арсенал и Ипсуич
Ужасно начало за Звезда в Барселона
Ботев се разплати с играчите си
Кристиано разкри като какъв се вижда в бъдеще и направи голямо обещание
Коментари 0
ДобавиДобави коментар
Водещи новини
Делян Пеевски: КЕВР да се събудят и да задължат ЕРП-тата да пуснат тока! Хората неустойки не ги топлят
27 декември 202421:06
Сняг вали в голяма част от България, пътищата са проходими при зимни условия
27 декември 202419:11
Борят се за живота на младежа, пострадал от дърво на Витоша
27 декември 202419:16
Турски тираджия предложи 50 евро на полицаи край Пловдив с думите: Йок проблем, рушвет, чорба, кафе
27 декември 202418:41
Водещите новини! Вълнà от насилие през почивните дни. Лукашенко разрешава още ракети „Орешник“ в Беларус, „ако поискат руснаците“
27 декември 202419:14
Войниците в първата мисия в Кербала са били технически зле осигурени
27 декември 202420:09
Белият дом: Севернокорейските части дават голям брой жертви във войната между Русия и Украйна
27 декември 202420:40
Обявиха първи данни от разследването на катастрофата на азербайджанския самолет
27 декември 202418:11
На 38 г. почина българската художничка и моделиер Сълзица Борисова
27 декември 202421:17