"Големият проблем в НАП, а и на по-голямата част от държавната администрация, е че са използвали външи подизпълнители за електронните си системи. Така накрая излиза, че един е правил системата, втори я е поддържал, трети е доставял хардуера. Така се създават пропуски, които генерират уязвимости." 

Това заяви председателят на Държавната агенция "Електронно управление" Атанас Темелков по време на временната анкетна комисия  за разследване на изтичането на данни от Националната агенция за приходите (НАП). Ръководството на Агенцията беше там в качеството си на основен отговяращ за електронните системи в страната.

По думите му цели 64% от държавната администрация използва подизпълнители за своите системи. Това е и причината, поради която след всеки ъпдейт, нова услуга или подобрение на съществуваща такава, се отварят "дупки", които хакери могат да използват за проникване в системата.

През последните няколко години страната ни е инвестирала в електронно управление едва 0,1% от брутния си вътрешен продукт (БВП), докато държави като Белгия, Италия и Австрия са отделили между 0,6% и 0.8%.

Темелков потвърди изводите на Комисията за защита на личните данни, откъдето миналата седмица пред същата временна комисия, заявиха, че системите на НАП са остарели и са на ниво от 2008 година.

Той беше категоричен, че за да не се създават уязвимости, страната има нужда от работещ единен системен администратор, който да отговаря за проектирането, изграждането, поддържането, развитието и наблюдението на електронната инфраструктира.

Тази идея вече е залегнала в промените на Закона за електронното управление, които преди седмица бяха приети от Народното събрание на първо четене. Те предлагат въпросният администратор да бъде държавната фирма с частно участие "Информационно обслужване" АД, което обаче предизвика гнева на част от българския бизнес. Според Българската стопанска камара поименното посочване на частно търговско дружество в закон противоречи на принципите на свободната стопанска инициатива и ограничава конкурентноспособността.

От ДА "Електронно управление" обясниха още, че последният одит, който е правен на НАП, е бил през декември 2018 година. Тогава са констатирани нарушения, но по стандартите на старата наредба за киберсигурност. Тъй като новата влезе в сила през юли тази година, а администрацията имаше срок от 4 месеца, в които да приведе системите си в искания вид, следващата такава проверка е трябвало да се състои през ноември 2019 година. Това обяснява и защо никой не е проверил дали НАП са изпълнили препоръките на Агенцията от декември миналата година.

Стана ясно и че направената проверка е била само по документи и чрез интервюта на служителите на НАП, без да се правят технически проверки на електронните системи.

"Ние нямаме право да правим техническа проверка. Тя се прави от служителите на самата агенция или от т.нар. тестери, които са специализирани в тази дейност", обясни Атанас Темелков. 

На въпрос от страна на БСП - дали е правена оценка на образователния ценз на работещите в системата на НАП и установено ли е, че конфигурациите на системите са правени от еколози и щурман-насочвачи, каквито информации се появиха на последната такава комисия, Темелков отговори:

"Не сме правили такава проверка. Но тук има нещо друго и искам да го кажа - доста хора пренебрегват висшето образование и минават направо курсове, които им дават професионална подготовка. Голяма част от тези хора са водещи специалисти. Това че някой е завършил икономика, не означава, че не може да бъде експерт по киберсигурност.

Белите хакери, с които ние работим - повечето от тях са само със средно образование или са изкарали само първи и втори курс в университет, а сега са водещи. Държавата трябва да намери начин да задържи такива хора"

В същото време депутатът от ГЕРБ Маноил Манев направи коментар:

"Не може да обясните такива сложни неща на аналогови хора", но не се разбра дали говори само за колегите си от БСП или включва и себе си в констатацията. 

Председателят на "Електронно управление" продължи мисълта си и добави, че течът на хора е сериозен и това е голям проблем. Той даде пример със средната заплата в ИТ сферата в частния сектор, която по данни на НСИ е 3053 лв., докато тази в държавната администрация е едва 1300 лв. 

В обобщение Атанас Темелков беше категоричен, че не само НАП, но и всички в държавната администрация имат нужда от работещ единен системен администратор и от ново разбиране за киберсигурността.

"Бих искал да резюмирам - системите са изграждани и надграждани през последните 20 години, поетапно, самостоятелно. Това е довело до сериозни промени в електронната инфраструктура, до много компромиси, които са ги компрометирали. Има нужда от комплексни мерки и най-вече от промяна на отношението на административните органи към информационната и киберсигурност", обясни Темелков.