Личните данни на над пет милиона българи бяха откраднати от хакери от приходната агенция в страната, пише CNN в материал за хакерската атака срещу НАП, озаглавен „Цяла нация току-що беше хакната“.
За страна с едва седем милиона души население мащабът на хакерската атака означава, че почти всички работещи пълнолетни граждани са били засегнати, отбелязва медията и допълва, че атаката е необичайна, но не е единствен случай.
Държавните бази данни са като гърнета с мед за хакерите. Те съдържат огромно количество информация, която може да бъде „полезна“ години наред, коментират експерти.
„Можете да направите (паролата си) по-дълга и по-сложна, но информацията, която притежава държавата, няма да се промени“, казва Гай Бънкър, експерт по информационна сигурност и главен технологичен директор в компанията за киберсигурност Clearswift.
„Рождената ви дата няма да се промени, няма да напуснете дома си утре. Голяма част от откраднатата информация е била валидна вчера, валидна е днес и вероятно ще бъде валидна за голям брой хора през следващите 5,10,20 години“, допълва Бънкър.
Хакерски рай
Пробивите в бази данни бяха запазени само за най-умелите хакери. Но в днешно време все по-често не е необходима сложна и внимателно планирана операция, за да се извърши пробив в IT системи. Инструментите за хакване и зловредният софтуер, които са налични в „тъмната мрежа“ (dark web) позволяват на хакери-аматьори да причинят огромни щети.
Строга директива за защита на личните данни, която влезе в сила миналата година в Европейския съюз, поставя ново бреме върху всеки, който събира и съхранява лични данни. Тя също така въведе солени глоби за лошо управление на данните, като потенциално отваря вратата за българското правителство да си самоналожи глоба заради пробива, отбелязва CNN.
Все пак атаките срещу правителствени системи нарастват, казва Адам Левин, основател на компанията за киберсигурност CyberScout. „В момента се води война – можем да я спечелим, ако направим киберсигурността приоритетен въпрос“, допълва той.
Твърдението, че правителствата трябва спешно да затегнат киберсигурността не е ново. Експерти предупреждават за това от години.
Американското министерство по въпросите на ветераните преживя един от най-големите пробиви на бази данни през 2006 г., когато личните данни на над 26 млн. ветерани и военнослужещи бяха компрометирани.
„И всичко се ограничи до: О, това е страховито. Трябва да направим нещо, за да го спрем… А ето ни 13 години по-късно, когато данните на цяла страна са компрометирани, междувременно се случваха и други инциденти с големи масиви от данни на граждани, които бяха компрометирани в различни страни“, казва Бънкър.
Често проблемът е в остарелите системи. Някои правителства използваха частни компании, за да управляват събираните от тях данни, преди поредицата от хакерски атаки и пробиви да насочи вниманието им към киберсигурността.
„Преди години в много случаи нашите данни бяха изпращани на трети страни. Начинът, по който гледахме на управлението на данни преди десет години, изглежда остарял днес, но тези стари данни все още са някъде там, управлявани от трети страни, използващи завещани системи“, казва Левин.
Ако „старите данни“ не са променени, те продължават да са ценни за хакерите.
Инцидентът в България е тревожен, казва адвокат Десислава Кръстева, специализирана в защитата на личните данни, която консултира някои от най-големите технологични компании в света как да съхраняват сигурно информацията за клиентите си.
„Подобни инциденти не трябва да се случват в държавна институция. Изглежда, че не са били нужни огромни усилия за пробива и вероятно той включва личните данни на почти всички български граждани“, каза Кръстева, която е партньор в адвокатската кантора „Димитров, Петров & Co.“ в София.
Българската Комисия за защита на личните данни съобщи, че ще започне разследване на хакерската атака.
Говорителят на Националната агенция по приходите не коментира дали данните са били надлежно защитени. „Тъй като тече разследване, не можем да предоставим повече подробности за причините за хакерската атака“, заяви Росен Бъчваров.
„Много смущаващо за правителството“
20-годишен служител в областта на киберсигурността беше арестуван от българската полиция във връзка с хакерската атака. Компютърът и софтуерът, използвани при атаката, довели полицията до заподозрения, съобщи прокуратурата в София.
Мъжът беше задържан и полицията иззе оборудването му, включително мобилни телефони, компютри и драйвъри, съобщи прокуратурата. Ако бъде признат за виновен, той може да прекара осем години в затвора.
„Все още е твърде рано да се каже какво точно се е случило, но от политическа гледна точка, това, разбира се, е много смущаващо за правителството“, казва Кръстева.
Смущението се засилва още повече от факта, че не за първи път българското правителство е обект на такава атака. Търговският регистър на страната се срина преди по-малко от една година след хакерска атака, припомня CNN.