Защо България прилича на „прецакана държава„

Какъв е мотивът на хакерите, пробили НАП, ще разберем в следващите епизоди. В този знаем, че личните ни данни се търкалят из нета, а премиерът Борисов ни теши с разкритието, че сме уязвими и през микровълновите печки…

От “тероризъм”, през “хакер-вълшебник и “няма нищо страшно” до “клатене на властта” – през тези осцилации за по-малко от седмица преминаха версиите на управляващите за най-големия теч на данни в България, при който беше пробита данъчноосигурителната система на държавата. Не е известно да се е случвало другаде по света на други данъчни.  

Атаката дойде така изневиделица, че Патриотите не свариха да навлекат потурите, да запашат поясите и да накривят калпаците, както когато пазеха границата от мигранти и зовяха за стрелба “на месо” по тях. Защо те – ами защото няколко седмици преди да стане известна кибератаката, ресорът “електронно управление” бе хързулнат на коалиционния партньор в лицето на вицепремиера Мариана Николова. Десетина години е-управлението бе зачислено към вицепремиера Томислав Дончев, но изглежда и ресорът, и Дончев не разбраха за това.

Само че не Николова, а Дончев коментираше през уикенда хакерската атака, пробила Националната агенция по приходите (НАП), в резултат на която лични данни на 5,1 милиона българи бяха копирани от неизвестни лица за неизвестни нужди и цели. НАП така и не съобщи броя на засегнатите икономически субекти – български и чуждестранни фирми, за които са изтекли чувствителни данни. Оказа се, че хакването на системата се е случило преди близо месец, но управляващите бяха принудени да го признаят публично преди седмица – след като данните бяха качени на руски домейни и 56 медии получиха съобщения от руския сървър yandex.ru, с връзка за 11 GB данни.

С цел дестабилизация?

Томислав Дончев определи атаката срещу НАП като “много тежък инцидент”, чиято цел е дестабилизация. „Ако е организирано вътре в страната, има за цел да клати правителството, а ако е организирано отвън – целта е да се клати държавата”, хипотетизира той. Зависи как разбираме държавата – по Платон, Луи XIV или Фредерик Бастиа. Ако Дончев иска да ни доведе до “Държавата – това сме ние”, не е сполучил. Друг е въпросът, че предвид броя на засегнатите почти няма семейство в България, което да не е потърпевшо.

След хипотезите – малко логически задачи. Нито е катастрофа, нито е нещо безобидно, коментира говорителят на НАП Росен Бъчваров. Добре, ако не е “Чернобил”, “Фукушима” ли е? След като не е конкретен, значи ни оставя да избираме по скалата между муха и слон или просто е предпазлив, понеже шефът му, директорът на НАП Галя Димитрова, не сметна за необходимо да прекъсне платения си годишен отпуск, за да застане пред камерите при този безпрецедентен скандал. Една наистина безпрецедентна постъпка.

Засега от НАП ни уверяват, че: “главните неща функционират по сигурен и стабилен начин”, нямат причини да вярват, че “уязвимостите продължават да се експлоатират” и са идентифицирали рискове по “отношение на периферни услуги”. От Комисията за защита на личните данни (КЗЛД) – да, има такава – обявиха, че ще глобят НАП заради случилото се. КЗЛД има бюджет от близо 3 милиона лева, а малко повече отделя държавата за киберсигурност годишно – едва 5 милиона. С тези пари трябва да се “охраняват“ системите на институциите, които обработват и съхраняват данните на няколко милиона български граждани.

Едно сравнение

Над осем пъти повече пари – 40,5 милиона лева за 2019 г. – обаче са заделени за Националната служба за охрана (НСО), която охранява и развежда със специализиран транспорт членовете на правителството и парламента, президентството, главния прокурор. Но освен тях от гардовете, платени от данъкоплатците, се възползват и “лица, свързани с националната сигурност, посегателството спрямо които би подронило, отслабило или създало затруднения на властта в Републиката” – сиреч, може да клатят правителството. НСО отказва да каже дали сред тези лица е депутатът от ДПС Делян Пеевски, нито колко са публичните средства, изхарчени за охраната на почетния председател на ДПС Ахмед Доган. И ако Националната служба за охрана ревниво пази тези тайни, държавата не я е срам да назове дребните пари, с които обезпечава сигурността на личните данни на гражданите.  

Каква ирония: в Европейската комисия (ЕК) именно българският еврокомисар Мария Габриел отговаря за цифровата икономика и общество и лансира предложението за създаване на Европейски експертен център по киберсигурност, чиято съдба трябва да е ясна до края на мандата на тази ЕК – края на октомври.

Очаквайте следващите епизоди

Най-същественото, което ни се изплъзва в  #НАПЛийкс, е мотивът. Защо? В известните случаи на хакерски атаки като тези на “Анонимните”, например, винаги има послания, свързани с кауза – срещу американския президент Доналд Тръмп, “Ислямска държава” и пр. Появиха се предположения, че вероятно става въпрос за български хактивисти – заради епитети като “корумпирано” и “бавноразвиващо се” (по адрес на правителството), “прецакана държава” и “глупаво правораздаване”. Но дали са искали да накажат властта – или да се доберат до конкретна информация, замаскирайки я с източване на милиони записи? Ще разберем в следващите епизоди. В този знаем, че личните ни данни се търкалят из нета, а премиерът Борисов ни теши с разкритието, че сме уязвими и през микровълновите печки…

Проверка за ЕГН в #НАПЛийкс

Внимание!!! Не въвеждайте Вашето ЕГН директно тук, защото няма да има никакъв резултат. Направете следното:

• Отворете тази страница http://www.miraclesalad.com/webtools/md5.php ;
• Изключете се от интернет;
• Въведете ЕГН в String и натиснете бутона MD5;
• Копирайте криптирания текст от MD5 Hash и затворете страницата;
• Включете интернет и направете paste на криптирания текст в полето тук за проверка;
• Натиснете бутона Търси.
• НЕ СПОДЕЛЯЙТЕ публично линка с Вашите резултати или липса на резултат.

Така Вашите данни ще бъдат защитени, но ще можете да разберете дали Вашето ЕГН фигурира в теча на данни от НАП и в кои таблици. Ако сте засегнат и се интересувате как да си потърсите правата, Адвокат: Всеки, който е бил засегнат от теча в НАП, може да подаде жалба в КЗЛД. Ако в резултатите Ви се появи файлът GAMON, или друг файл, съдържащ данни за лична карта, обмислете смяна на личните документи.

Защитени ли са личните ни данни и какви мерки ще вземе държавата след хакерската атака? В „Още от деня“ темата дискутираха експертът по киберсигурност Борислав Сестримски и Димо Господинов, адвокат в сферата на защитата на личните данни.

Какво да правим, ако се окажем сред потърпевшите, чиито данни са в публичното пространство?

Според адвокат Димо Господинов първото нещо, което трябва да се случи е НАП да идентифицира потърпевшите и да ги уведоми. В това уведомление трябва да се даде повече информация относно характера на теча и да се дадат препоръки по какъв начин да се защитят гражданите и субектите, така че да предотвратят бъдещи вреди, как да внимават повече срещу кражба на самоличност, измама и т.н.

Димо Господинов: На първо време течът е достатъчно основание на всеки, който има информация, е бил засегнат от този теч да подаде жалба до Комисията за защита на личните данни. По този начин ще участва в производството, което така или иначе тече и ще има право да обжалва евентуално решение на КЗЛД. Може също да защитава правата си пред съд, но трябва да е ясно, че защитата пред съд, ако говорим за обезщетение, може да се случи след като приключи производството пред КЗЛД.

По думите му е възможен и колективен иск, но той не е за да се получи голямо колективно обезщетение.

Димо Господинов: Колективните искове могат да бъдат използвани за две групи цели. Едната група да принудим НАП да извършат действия, с които да повишат сигурността на защитата на данните, да извършат пълен одит за възможностите за пробив, нещо което отдавна е трябвало да направят. И другата група цели – по отношение на всички евентуално засегнати лица да се установи, че е извършено нарушение и че НАП носи вина за това нарушение. Ползата от това е голяма практически, защото всеки увреден, ще може да се позове на едно такова решение и пред съда единствено ще трябва да докаже размерът на своите вреди и да получи обезщетение.

Според Борислав Сестримски не е ясно обаче тази информация кой как може да я използва.

Борислав Сестримски: Даже вече не може да се гарантира дали това, което се разпространява като архив на тези изтекли данни е истинският архив, защото всеки придобил този архив има правото и възможността да го манипулира и разпространява както сметне за добре. Единственото, което трябва да направи е да запази имената на файловете, за да съответстват на тези, които се цитират в медиите и форумите. Никой не знае тази информация, достигнала до него дали е истинска или не.

При разследването на КЗЛД ще стане ясно каква точно е информацията, изтекла от базата на НАП, допълни Господинов.