Сървърната система на Националната агенция на приходите е остаряла и липсват всякакви конкретни правила за защита на личните данни. 

Това е основната констатация от доклада на Комисията на защита на личните данни, който бе представен днес на заседание на парламентарната временна анкетна комисия за теча в НАП. 

"Сървърната им система е на ниво 2008 г. Техният срок на поддръжка изтича януари следващата година", уточни Венцислав Караджов, председателят на КЗЛД.

Клуб Z научи, че става дума за системата за бази данни SQL Server 2000. Тя е дело на Microsoft, и макар на преклонна възраст, е в поддръжка до 2020 г. - именно заради употребата си от много държавни институции по света. 

Няма и наблюдение на системата в реално време, нито паралелен сървър, който да може да замени основния и всички услуги, които той поддържа, моментално в случай на хакване или атака. 

Според КЗЛД приходната агенция е поставила като приоритет обслужването на граждани чрез електронни услуги, което е попречило на развитието на сигурността на сървърите ѝ. 

Другият ключов пропуск, който пряко е довел до възможността да бъде хакната базата данни на НАП, е:

"Липсват разписание правила и процедури въобще за защита на личните данни."

Новоназначените в НАП са получавали кратко обучение за защита на личните данни. Според КЗЛД то е трябвало да бъде регулярно, не еднократно. 

В добавка, различните потребители - които са както физически лица, така и приложения, свързани с електронни услуги - са имали необичайно високо ниво на права да влизат в системата, което значително е увеличавало шанса, ако някой получи достъп, той да е до изключително голяма част от базата данни. 

"Не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, т. е. какви са правата на единия и на другия, и как точно се извършва контролът и обменът на информация между тях", добави Караджов. 

Още по-притеснително е, че сървърите на НАП въобще не записват кой е влязъл в тях, кой е поискал данни, т. е. не се води никакъв хронологичен дневник за достъп. 

"Това допълнително улеснява хакването на базата данни", обясниха от КЗЛД. 

Така не се е и записала информация кога е влязъл хакерът, какви данни е видял. 

Липсват и правила за контрол на риска и оценка на въздействието при въвеждане на нови функции. Тоест при всяко въвеждане на нова електронна услуга от НАП реално не са взимали мерки за сигурността и са правили системата по-уязвима. 

От КЗЛД казаха още, че няма никакви данни какви препоръки и предложения за подобряване на ситуацията са дадени от ИТ специалистите на НАП, които бяха уволнени. 

"Липсва политика за обработване на специална категория данни. За анонимизиране, архивиране и унищожаване на данните, които се ползват еднократно. Има случаи - институция иска проверка, тя се прави, данните не се унищожават, защото няма такива правила. 

Липсват политики и процедури за обработване на данни на деца. 

Липсват приети стратегии и политик за криптиране на данни от архиви или еднократно извършени справки", изброи още Караджов.

И обобщи, че санкция има, защото по преценка на КЗЛД, от НАП са наблегнали на въвеждането на множество електронни услуги за сметка на сигурността на личните данни на гражданите.

Докладът предизвика спор между депутати на БСП и ГЕРБ, след като червеният народен представител Румен Гечев постави под въпрос защо в НАП е пълно с хора с образование, което не влиза в рамките на работата им - магистри по металообработване, геодезия, картография, аграрни технологии, хранително-вкусова промишленост... 

"Едно 60 на сто са калинки", отсече той. 

"Кажете къде в България може да се вземе висше по защита на личните данни?", заяде се пък Мануил Манев от ГЕРБ. 

Без да отчете, че специалисти по компютърна и информационна сигурност у нас не липсват. 

Емил Димитров-Ревизоро от "Обединени патриоти" пък направи сравнение между касовите апарати и компютрите и защити НАП, като заяви, че ако от Агенцията сложат по-нови компютри, бизнесът ще се оплаче, че трябва да купува нови машини. Аналогията би била вярна, ако допуснем, че масово бизнесът в България ползва компютри на над 10 години. 

В крайна сметка комисията прие доклада и реши, че следващия път ще изслушва ръководството на Държавна агенция "Електронно управление", а по-нататък - и шефовете от НАП.