Защо няма тема за хакването на личните данни от сървърите на НАП?

Последната седмица измина под знака на най-голямото изтичане на лични данни от държавна институция в България и разпространението им до медиите, а след това и в интернет. В понеделник анонимни хакери разпратиха до медиите масив с личните данни на над 5 млн. български граждани и фирми, съдържащи чувствителна информация – ЕГН-та, адреси, банкови сметки, данъчна информация, плащания и справки за доходи, източени от системата на Националната агенция за приходите (НАП).

До момента има само един обвинен по случая – 20-годишният Кристиян Бойков. Той бе задържан още във вторник, в сряда прокуратурата му повдигна обвинение, а в четвъртък го смекчи и реши да го освободи с най-леката мярка „подписка“. Бойков вече ходи на работа, а вчера бе засечен от екип на Нова телевизия пред офиса на фирмата, която се занимава с киберсигурност и т.нар. етично хакерство. Той твърди, че е невинен и се надява да бъде доказано, че е натопен. От кого и по какви причини – все още не казва.

Всички варианти са възможни – от вътрешен човек до тийнейджър
Основният файл, който уличава Бойков в източване на данни от НАП, е фалшифициран, твърди в публикация във Фейсбук експертът по програмиране и компютърни технологии Светлин Наков.

„ZIP архивът, който изтече (minfin_leak.zip) е създаден под Linux. Подпъхнатият по-късно файл .~lock.DEC73_DETAILS.csv# е създаден под Windows, от някой друг, не от този, който е създал архива с експорта на Oracle базата данни на НАП от системата за възстановяване на ДДС“, обяснява Светлин Наков. Той смята, че уличаващият файл е променен и „подпъхнат“ допълнително, тъй като е съмнително очевидно хакер да унищожи всички следи, но да пропусне точно тази.

Пред „Дневник“ той даде възможно обяснение и защо данните за хазарта се съдържат в базата данни от системата за възстановяване на ДДС – лицензите за Oracle са твърде скъпи и е възможно държавната администрация да е спестила като държи на един сървър и тези данни.

Наков обясни, че на този етап няма как да бъдат изключени варианти. Възможно е Бойков действително да е хакнал базата данни на НАП, но тя да е разпространена от някой друг. Дори и да е влизал в системата на НАП, не е установено дали само той е имал достъп до тези файлове отвън.

„Ако са обрали дома ви преди 3 дни и са арестували Пешо, сигурно ли е, че и Гошо не е влизал“, даде пример Светлин Наков.

Според него има вариант вътрешно лице или бивш служител от приходната агенция да е източил данните от НАП. Той е на мнение, че дори тийнейджър с повече свободно време и малко познания би могъл да влезе в базите данни на НАП, но едва ли хакерът е чужденец, тъй като не би имал интерес към бази данни в България.

„Нашите хакери не влизат в данните на властите в Афганистан, например. Макар че за тях вероятно би било по-лесно. Просто техните данни не представляват интерес“, коментира Наков.

Пред „Дневник“ директорът на Главната дирекция „Борба с организираната престъпност“ (ГДБОП) Ивайло Спиридонов каза, че Кристиян Бойков не е обучавал спецполицаи по киберсигурност, както заявиха адвокатите му. Спиридонов обясни, че негови служители да ходили на съвместни обучения и курсове с представители на фирмата, в която работи обвинения.

Спиридонов отрече служители на ГДБОП да са използвали съдействие и консултации от експерти от фирма TAD Group по разследвания и досъдебни производства. Той също посочи, че разследването продължава и се проверяват версиите и за съучастници.

От министерството на финансите и НАП официално признаха за пробива, но успокоиха, че са източени около 3% от масивите, с които работят данъчните. Вчера бе разпространено и съобщение, в което се твърди, че информацията е за около 4 млн. живи българи и около един милион починали.

Именно писмо от приходната агенция до прокуратурата стана и повод обвинението на Бойков да бъде смекчено и сега, ако бъде доказано, че е виновен, може да бъде наказан с глоба. В писмото на НАП се казва, че проблемът не е толкова сериозен и източените бази данни не могат да доведат до сериозни последици за гражданите и фирмите, защото не са част от „критичната инфраструктура“.

Същото твърдят и от ГДБОП с мотива, че такава информация може да се намери в интернетпочти за всеки един човек, а подобни течове се случват навсякъде по света.

Ако може, „вълшебниците“ да съдействат
Обясненията на финансовия министър Владислав Горанов варираха през седмицата и първо започнаха с извинение към хората, чиито данни са източени. А след това Горанов продължи с: „Данните са само 3%“, „Ако нямаше електронни услуги, нямаше да има риск от изтичане“ и на финала реплика към 20-годишния Бойков – „Можеше просто да дойде и да ни каже, че сме тъпи и изобщо не ги разбираме тези неща“.

Всъщност експертът по киберсигурност веднъж вече е показал слабости в системата на друга държавна структура – Министерството на образованието и науката още през 2017 г. Тогава получил похвала и благодарствена грамота, че не е разпространил или подменил данните на 1.5 млн. ученици, а е съобщил за пробив в сигурността.

Премиерът Бойко Борисов първо свика Съвет по сигурността. Двудневното му мълчание по темата беше последвано с възхищение от способностите и таланта на обвинения и пожелания такива „магьосници’ да работят за държавната администрация.

А ден по-рано Горанов обясни, че частният сектор бил много конкурентоспособен и с това намекна, че държавата не може да си позволи добри специалисти. Също вчера Борисов призна, че не разбира и няма да влиза в детайли по темата, след което помоли обвинения да съдейства и сам да декриптира компютъра си, за да може разследващите да видят какво има в него. Защото, по думите на Борисов, те такива защити не били виждали. После каза, че виновните за хакерската атака ще си понесат отговорността.

Опасно е да търсите в платформи дали данните ви са изтекли
Докато от НАП разработват система, по която всеки може да провери дали информация за него е станала публична, в интернет вече съществуват платформи, в които може да направите справка, ако въведете ЕГН. Специалисти обаче предупреждават, че подобни справки може да са опасни.

Докато институциите опитват да неглижират ситуацията с изтеклите лични данни, експерти предупреждават, че личната информация може да бъде използвана по всевъзможни начини и с нечисти намерения и ситуацията не бива да се подценява и омаловажава. Те предупреждават, че има риск да се увеличат фишинг имейлите, телефонните измами и други престъпления, а изтеклата информация да бъде използвана както в бизнеса, така и за изнудване на отделни хора.

От тук нататък разследването срещу Кристиян Бойков продължава като най-важно е да бъдат изготвени експертизи. За целта обаче първо трябва да се декриптират компютрите, на които е работил той – лични и служебни. Освен това трябва да се направи подробен анализ на изтеклите лични данни и да се установи, доколкото е възможно изобщо, дали, кога и как те са били източени от НАП, от кого и как са били разпространени.

Ако се съберат достатъчно доказателства срещу Бойков, прокуратурата може по всяко време да промени отново обвинението в по-тежко, а в обратния случай – да прекрати разследването срещу него и да го води срещу неизвестен извършител.

Предстои да бъде извършен и цялостен одит на системите за сигурност на НАП, а вероятно ще бъдат затегнати правилата по отношение на електронната сигурност и в много други институции като превантивна мярка срещу нови опити за хакертска атака.

Има възможност през следващите месеци да започне вълна от дела заради изтеклите данни. Министър Горанов каза, че държавата е готова да плати обезщетение на гражданин, но само, ако докаже, че изтичането на данните действително му е навредило. Освен това НАП също може да бъде санкционирана от Комисията за защита на личните данни.