fallback

КЗЛД: Сериозни пропуски в работата на НАП са причина за теча на лични данни

Основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията

18:23 | 04.09.19 г.

Течът данни в Националната агенция за приходите няма как да се случи без да има пропуски в работата.Това обяви председателят на Комисията за защита на личните данни (КЗЛД) Венцислав Караджов по време на заседанието на временната анкетна комисия за НАП, цитиран от Агенция "Фокус".

"Констатициите на екипа са следните - администраторът НАП е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани е в английската версия на официалния сайт на страницата е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнати лица", обясни Караджов.

По думите му отделно данъчните администрации на държавите членки, с които НАП обменя информации, са уведомени за инцидента с информационната сигурност. "Уведомена е Европейската комисия, специализираните служби и ОИСР и компетентните органи за обмен на информация в държавите членки", посочи Караджов.

Той потвърди, че е подготвено писмо до всички данъчни администрации.

"По време на проверката екипът констатира, че в НАП не са предприети следните технически и организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат отстъпени. От гледна точка на организационна структура - да съществува изградена структура за защита на личните данни. В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения и процедурите за тяхната дейност”, коментира председателят на Комисията за защита на личните данни.

Караджов е категоричен, че недостатъчно ясно е разписан принципът на взаимодействие между тези потребители, т.е. какви са правата на единия и на другия, както и как точно се извършва контролът и обменът на информация между тях.

“Липсват процедури за взаимодействие на отделните потребители в системата в този смисъл. Продължителното самостоятелно разработване на предолжения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица, аргументира се Караджов.

Като недостатък за това той коментира, че основните отговорности за информационната сигурност са съсредоточени единствено в IT дирекцията.

Той заяви, че липсват разписани правила и процедури за защита изобщо на личните данни.

„Налице са само такива за информационна сигурност, от гледна точка на киберсигурност. Вътрешните правила най-общо казано са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за разработка на данните в самата система. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни", допълни още Венцислав Караджов.

Той е на мнение, че към датата на неоторизирания достъп до разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите, не са предвидени достатъчно рестриктивни мерки за достъп до базите данни.

“Те са постъпвали с изключително големи права в базите данни на НАП. По този начин е било възможно лесно хакване на базите с данни. Хакването на услугата буквално е ставало възможно при непосредствен достъп до базата с данни. След като се е случил този неоторизиран достъп с хакването, в момента на проверката констатираме, че са ограничени тези привилигировани потребители, информира експертът. – Това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип, който е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено при самия момент на проектирането, а не като резултат на тази хакерска атака."

Караджов е убеден, че е нарушен основният принцип на отчетност, тъй като липсва одитни записи на отделните събития и дневници за привилигированите потребители. "Което значи, че няма информация какво този потребител е правил", обясни той.

Председателят на Комисията за защита на личните данни отчете, че няма внедрена система за определение на тези привилигировани потребители с оглед контрол, управление и наблюдение на привилигирования достъп до така наречените критични активи, т.е. базите данни. Отделно не е внедрена система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време за сигналите за сигурност.

По думите му това е позволило да не се подава информация, когато хакерът е влязъл и какво е теглил.

"Липсва методика за управление на риска, разкри Караджов. – Т.е. идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата.”

Караджов е категоричен, че няма доказателства за извършен анализ на риска и системите и няма изготвени правила за функционални задължения за работа на всякаква информационна система.

Председателят на комисията изтъкна още, че няма данни за започната процедура по адаптиране на информационните системи към изискване на общия регламент за защита на личните данни.

“Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи - така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи. Тяхната сървърна система е в момента на ниво 2008 г.", определи нивото на защита Караджов и напомни, че системният срок на поддръжка в световен мащаб на тези системи изтича през януари следващата година.

"Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с агенцията по вписванията. Няма парарелен сървър, който да може в случай, че има хакерска атака или технически проблем, да може да вдигне системата", каза още експертът.

Караджов изброи още, че липсват политики за повторно използване на личните данни, вътрешни правила за организиране, архивиране на електронните данни, които се използват еднократно.

Всяка новина е актив, следете Investor.bg и в Google News Showcase. Последна актуализация: 23:29 | 11.09.22 г.
fallback