Крими
Съдът: НАП е виновна за безпрецедентния теч на лични данни през 2019 година
Съдът: НАП е виновна за безпрецедентния теч на лични данни през 2019 година
Приходната агенция не е предприела необходимите мерки за защита, категорични са магистратите.
Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд – София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи "Лекс".
КЗЛД констатира преди три години и половина, че приходната агенция е бездействала по отношение на опасността от изтичане на лични данни и издаде 20 предписания, които НАП обжалва в съда. С решението си съдия Антоанета Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г., когато публично бяха разпространени ЕГН на над 5 млн. български граждани.
Предписанията задължават НАП да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите, както и да предвиди достатъчно рестриктивни мерки за достъп до базите данни, като те да не се достъпват с прекомерни права от привилегированите потребители. Освен това приходната агенция трябва да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, използвани еднократно, и стратегия за криптиране на данни от архивни справки. КЗЛД иска също НАП да актуализира длъжностните характеристики на служителите си с включени клаузи, касаещи обработването на лични данни.
Приходната агенция обаче се жалва пред съда, че дадените разпореждания са "много общо формулирани и непълно дефинирани, което създавало неясноти и препятствало тяхното изпълнение". Също така срокът от 6 месеца за тяхното изпълнение бил прекалено кратък, тъй като се изисквало провеждането на процедури по Закона за обществените поръчки.
В крайна сметка административният съд стига до заключение, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в Общия регламент за защита на данните. "И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", пише в решението си съдия Аргирова.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност.
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
Делото на НАП срещу глобата в размер на 5,1 млн. лева, която ѝ беше наложена от КЗЛД през 2019 г., остава блокирано на първа инстанция в Софийския районен съд повече от 3 г. заради техническа експертиза. На последното заседание съдът реши да даде срок до 26 април 2023 г. да бъде изготвено заключение на вещите лица дали приходната агенция е предприела адекватни мерки за защита на информационните си масиви преди "НАПлийкс".
На няколко пъти делото се отлагаше заради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече експерти, а не само един, да дадат становище дали е положила адекватни мерки за защита от хакерска атака.
Съдът се съобрази, като вече се очаква петорна техническа експертиза.
За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал „колко прецакана е държавата“.
В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.
Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.
Собственикът на „Тад Груп“ остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.
След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз
Националната агенция за приходите (НАП) е можела да предотврати изтичането на данните за над 6 млн. граждани и юридически лица през 2019 г., но е бездействала. Това констатира Административен съд – София-град (АССГ) три години и половина след като агенцията беше хакната и публично бяха разпространени милиони чувствителни данни, съобщи "Лекс".
КЗЛД констатира преди три години и половина, че приходната агенция е бездействала по отношение на опасността от изтичане на лични данни и издаде 20 предписания, които НАП обжалва в съда. С решението си съдия Антоанета Аргирова потвърждава почти всички разпореждания на КЗЛД - отменя изцяло 3 и частично 2 от общо 20-те задължителни мерки, които трябва да изпълни НАП, за да не се повтори повече ситуацията от 2019 г., когато публично бяха разпространени ЕГН на над 5 млн. български граждани.
Предписанията задължават НАП да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни в приложения за електронни услуги към гражданите, както и да предвиди достатъчно рестриктивни мерки за достъп до базите данни, като те да не се достъпват с прекомерни права от привилегированите потребители. Освен това приходната агенция трябва да обнови операционните системи, да изготви вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, използвани еднократно, и стратегия за криптиране на данни от архивни справки. КЗЛД иска също НАП да актуализира длъжностните характеристики на служителите си с включени клаузи, касаещи обработването на лични данни.
Приходната агенция обаче се жалва пред съда, че дадените разпореждания са "много общо формулирани и непълно дефинирани, което създавало неясноти и препятствало тяхното изпълнение". Също така срокът от 6 месеца за тяхното изпълнение бил прекалено кратък, тъй като се изисквало провеждането на процедури по Закона за обществените поръчки.
В крайна сметка административният съд стига до заключение, че НАП не е спазила принципите за законосъобразност и добросъвестност, залегнали в Общия регламент за защита на данните. "И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", пише в решението си съдия Аргирова.
АССГ е установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност.
НАП е оспорила и 6-месечния срок за изпълнение на препоръките на КЗЛД, но съдът напомня, че той не е свързан със законосъобразността на акта на комисията, а с неговото изпълнение. "Отделно от това съвсем не е без значение и обстоятелството, че към настоящия момент (след значително по-дълъг срок от 6 месеца) оспореният акт все още не е влязъл в сила, а някои от предписанията междувременно са изпълнени от администратора НАП“, посочва съдия Аргирова.
Решението ѝ не е окончателно и може да бъде обжалвано пред Върховния административен съд.
Делото на НАП срещу глобата в размер на 5,1 млн. лева, която ѝ беше наложена от КЗЛД през 2019 г., остава блокирано на първа инстанция в Софийския районен съд повече от 3 г. заради техническа експертиза. На последното заседание съдът реши да даде срок до 26 април 2023 г. да бъде изготвено заключение на вещите лица дали приходната агенция е предприела адекватни мерки за защита на информационните си масиви преди "НАПлийкс".
На няколко пъти делото се отлагаше заради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече експерти, а не само един, да дадат становище дали е положила адекватни мерки за защита от хакерска атака.
Съдът се съобрази, като вече се очаква петорна техническа експертиза.
За колосалното изтичане на данни в НАП се разбра на 16 юли 2019 г., когато до медии бяха изпратени имейли от „анонимен руски хакер“, който се самообявяваше за автор на атаката в приходната агенция. Той твърдеше, че е женен за българка и родителите на съпругата му живеят у нас и затова със собствените си очи е виждал „колко прецакана е държавата“.
В последствие за атаката обвинение в тероризъм и образуване и ръководене на престъпна група с користна цел получиха собственикът на „Тад груп“ Иван Тодоров, служителят във фирмата Кристиян Бойков и търговският директор Георги Янков, който пък е сочен за подбудител, заедно с Тодоров.
Според разследващите двамата са подбудили Бойков да извърши кибератаката. Те бяха обвинени в тероризъм, тъй като целта им била да се създаде смут и страх в населението. След това от прокуратурата обясниха, че действията им били насочени срещу действащата политическа система и форма на управление. В тази връзка прокуратурата публикува множество чатове между обвиняемите, в които Тодоров казва, че ще сваля тогавашното правителство на ГЕРБ, а друг аргумент в тази насока беше, че обвиняемите са хакнали и пръскачките край парламента.
Собственикът на „Тад Груп“ остана в ареста повече от 6 месеца и беше освободен едва в началото на 2020 г. срещу гаранция от 100 000 лева. Оттогава минаха повече от 3 години, а от прокуратурата не са съобщавали за внесен обвинителен акт срещу тях.
След теча десетки граждани заведоха дела за вреди, заради които Върховният административен съд отправи преюдициално запитване, но все още се чака произнасянето на Съда на Европейския съюз
Comments
comments powered by Disqus