-
24 февруари 2023 07:00
- 566
- 0
Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд - София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи Лекс.
В решение от 43 страници съдия Антоанета Аргирова анализира в детайли акта на Комисията за защита на личните данни (КЗЛД), която извърши проверка в НАП и още през 2019 г. установи бездействие, заради което наложи глоба от 5,1 млн. лв. глоба на агенцията. Санкцията беше оспорена от НАП, но делото за нея още е висящо в Софийския районен съд, тъй като се чака заключение от експертиза.
Предмет на делото, по което се произнася сега АССГ, са констатациите на КЗЛД, въз основа на които беше наложена глобата и бяха издадени 20 разпореждания. С решението си съдия Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г.
По делото в АССГ бяха назначени три експертизи и освен на множеството технически изисквания за киберсигурност, анализирани от вещите лица, решението по него стъпва основно на Общия регламент за защита на данните (ОРЗД). АССГ констатира, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в регламента. И заявява, че администраторът на лични данни "не е гарантирал подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като не е приложил подходящи техническите и организационни мерки ("цялостност и поверителност")".
"И двете вещи лица по трите СТЕ със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", заявява съдия Аргирова.
И констатира бездействие на НАП, защото не е взела предвид естеството, обхвата, контекста и целите на обработването на данни, което извършва, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица от невъвеждането на подходящи технически и организационни мерки, за да гарантира, че обработването на данни се извършва в съответствие с ОРЗД.
"Не са предприети предвидените в чл. 32, в) от Общия регламент конкретни мерки, а именно не са взети предвид достиженията на техническия прогрес, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица и не са приложени подходящи технически и организационни мерки за осигуряване на съобразено с този риск ниво на сигурност, включително, inter alia, когато е целесъобразно: процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването", се посочва в решението.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. "SQL инжекция" е била идентифицирана като критична заплаха за сигурността минимум от 2007 година, когато излиза първата OWASP Top 10 Vulnerabilities List", изтъква съдът.
И заключава: "Големият риск от подобен тип атаки се дължи на лекотата, с която могат да бъдат засечени уязвимостите, както и лекотата, с която могат да бъдат експлоатирани тези уязвимости, за да компрометират сигурността на информацията. При редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки, е било технически възможно предотвратяването на изтичане на данни към 2019 г.".
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП", посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от "анонимен руски хакер", който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал "колко прецакана е държавата".
В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на "Тад груп" Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.
Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.
Собственикът на "Тад Груп" остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.
След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз.
Последвайте канала на
Свързани новини
НАП обжалва глобата от 5,1 млн. лв. заради теча на данни
10 февруари 202007:03
Увеличиха заплатата на изпълнителния директор на НАП
05 февруари 202012:36
Опитите за атаки срещу НАП не са спирали
21 ноември 201915:56
Временната анектна комисия за НАП е с удължен срок на действие
03 октомври 201911:46
Системата на НАП е надграждана неправилно
19 септември 201915:58
Венцислав Караджов: Течът на данни в НАП е заради пропуски в работата
04 септември 201917:03
Съдът потвърди спирането на делото за изтичането на лични данни на 6 млн. българи от НАП
07 юни 202316:47
НАП пусна предварително попълнените данъчни декларации за физически лица
09 март 202310:12
Стабилен Лудогорец отмъкна точка от Лацио на "Олимпико"
Ман Юнайтед с труден успех след два пълни обрата в първия домакински мач на Аморим
Челси остана на върха след нови голове на Нкунку и Мудрик в шоу на двама вратари
Десподов отново влезе в ролята на герой за ПАОК
Ще продължи ли победният ход на Черно море и срещу коварния тим на Септември?
Интересен сблъсък във Варна
Коментари 0
ДобавиДобави коментар
Водещи новини
Ивайло Мирчев: Лорер и Божанков остават в парламентарната група
29 ноември 202408:32
Бивш депутат: При изключване на двама депутати ПП-ДБ ще имат проблем
29 ноември 202408:35
Йончев за политическата криза: Всичко зависи от ГЕРБ
29 ноември 202408:35
Ако Петър Кънев стане председател на парламента от БСП, тогава би могло да има правителство с третия мандат?
29 ноември 202408:21
Украйна получава 22 млрд. долара от приходите от замразени руски активи през 2025 г.
29 ноември 202406:32
Руски дрон подпали лечебно заведение в Киев
29 ноември 202406:28
Митинги в Грузия след решението на правителството да замрази преговорите за присъединяване към ЕС
29 ноември 202406:38
Австралия окончателно забрани достъпа до социалните мрежи за деца под 16-годишна възраст
29 ноември 202406:43
12-годишно момиче откри 3500-годишен египетски амулет в Израел
29 ноември 202406:24