Макар да го няма официално, в българския уличен език под "перде" се разбира човек, който е безцеремонен и невъзмутим, говори или действа рязко, без колебание, абсолютно нехайно и без каквато и да било мисъл за последствията - все едно че му е „паднало пердето”. Точно така се представиха през изминалата седмица много от висшите ни чиновници - с пълна арогантност и към обикновените хора, и към почтения бизнес. А не би трябвало да си позволяват да го правят - защото са на държавна хранилка и защото все пак се предполага, че могат поне малко от малко да проявят уважение към хората, които все още са останали в България, дори плащат данъци и ги изхранват с тях (за евентуални добавъци да каже главният прокурор).
Всеки независим наблюдател от която и да било що-годе демократична държава трудно би повярвал на това, което се случи в България около скандала с изтекли лични данни - на практика на всички работоспособни, живи и пребиваващи на територията около 4 милиона българи заедно с данните на още над един милион вече неживи.
Стана една
като в класическата епопея - ведно се събрахме живи и умрели.
Оставете смехотворното обвинение към хакера, който трябваше да ни бъде показан спешно, след това освободен спешно и със сигурност, дори да му повдигнат обвинение, всеки нормален съд ще го отхвърли. Говорим за реакцията именно на хранениците на държавната хазна.
Най-впечатляващо както обикновено се изяви премиерът Бойко Борисов, който този път подкара не джип, а катер, тъй като в петък наблюдаваше учение на военноморските сили, на които обеща, като се разплатим за новите самолети, да се заемем и с техните тегоби и нужди. Той призова набедения хакер, ако е невинен, да отвори сървърите на "колегите", да покаже машините, да му се извинят и да се приключи. Така призна, че всъщност никакви особени подвизи не можем да очакваме от държавните структури за киберсигурност, които все още не са успели да разкодират сървърите на заподозрения извършител на атаката. И ако и преди това имаше съмнения как службите толкова бързо заловиха злосторника (оказа се, че "удобно" са получили имейл с името му), след това изказване
едва ли някой ще повярва на доказателствата (каквито и да са те).
После премиерът ни светна, че хакерите са навсякъде, следят ни дори през микровълновите печки и "през онези роботи, които управляват". И направи разкритието, че и на ЦРУ отворили файловете и те, както и КГБ, минали на механични пишещи машини - представяте ли си - чук-чук. И обясни с думи прости защо има изтичане на данни - заради особеностите на младостта. "Като бяхме млади, искахме да се бием, да се докажем", каза той. Сега тези, младите, се доказвали през компютрите. След което допълни, че никога досега НАП не е работила по-добре - с приходите, които събира. И ясно даде да се разбере, че уволнение за безпрецедентния теч на информация няма да има. Както се казва - станалото, станало, кво да направим.
Премиерът Борисов може да говори простовато, за да го разберат на село, но в случая определено го бие финансовият министър Владислав Горанов, който за няколко дни
успя да изприказва необятно количество глупости
В петък той сравни изтичането на данни от НАП със срива на банковата система през 90-те години на миналия век. "Няма оправдание за пробива в базата данни на приходната администрация. Според мен по-голям обхват на българското население беше засегнато от кризата през 90-те години, когато се срина банковата система и доларът достигна 3000 лв. Това не омаловажава проблема от днес", каза министърът.
"Всички трябва да носим отговорност. Въпросът е кой докъде и какъв тип отговорност. В същото време не бива да се толерира и героизира подобно поведение. Ако си оставите колата отключена, това не ви прави виновен, ако някой ви я открадне", заяви Владислав Горанов в парламента. В случая, разбира се, се налага да направим уточнението, че информацията, която беше открадната от НАП, не е нейна собственост, а наша. И всеки застраховател изобщо няма да се замисли дали оставянето на една вещ без нужния надзор, за да се улеснят крадците, е смекчаващо вината обстоятелство - не, не е! Точно обратното е. Да не говорим колко пари са похарчени, за да се опази "колата" на НАП. Както се разбра - напразно. Защото НАП не са и чували за тестове за киберсигурност. Тепърва щели да правят одит на системите си. Защото пробивът дошъл през система, правена в далечната 2012 г., за която никой не подозирал, че е уязвима.
На всичко това му се вика безхаберие,
което няма как да е смекчаващо вината обстоятелство
Но едно трябва да се признае на финансовия министър - той е последователен. С безумията си от петък просто продължи "творчеството" си от последните дни. Чухме фрази от типа, че ако НАП не предлагаше електронни услуги, нямаше да има изтичане на данни. Че най-добрата новина е, че няма загубена или унищожена информация (прав е - всичко е в интернет). Че информацията ни в НАП се събира по демократичен способ на базата на обществения договор и ние доброволно предоставяме данните си (всъщност законът ни задължава и ако не го направим, подлежим най-малкото на глоби). Че подобни неща се случват навсякъде по света. Че НАП е най-електронизираната и най-френдли в общуването с българските граждани институция.
Френдли, но къде е Галя?
Ето този въпрос се задаваше непрекъснато през миналата седмица - къде е шефката на НАП Галя Димитрова. Тя просто се изпари и остави на говорителя на агенцията Росен Бъчваров да се пържи пред камерите и микрофоните на фона на гнева, който растеше заедно с растящите данни за пораженията.
„Директорът на НАП Галя Димитрова не сте я виждали пред камерите, защото е в платен годишен отпуск. Едва ли си изкарва добре. Тя е изключително добър професионалист, на когото имам доверие за всичко останало освен за информационната сигурност”, каза в парламента Владислав Горанов.
Е, това вече си е двойно перде. В държавата тече грандиозен скандал, свързан точно с твоята агенция, а ти преспокойно отдъхваш някъде, за да изтриеш "умората" от работата, която така и не си свършил. А директорът на НАП има да отговаря на много и тежки въпроси. Защото от изтеклата информация се оказа, че са събирани данни профилирано - за определени професионални групи и за отделни хора. И някой трябва да отговори дали наистина агенцията е независима и дали не се използва на моменти за натиск върху неудобни лица.
Отделно от това е фактът, че изтичането на данни за милиони хора и на стотици хиляди фирми може да се определи единствено като катастрофа и създава опасност тази информация да бъде използвана злонамерено във всеки един момент.
Така че всеки би трябвало да се притеснява
След като нахално ни успокояваха, че е засегната само 3% от базата данни, най-накрая от НАП в края на миналата седмица признаха какво е изтекло: имена, ЕГН и адреси на български граждани; телефони, имейл адреси и друга информация за контакт; данни от годишни данъчни декларации на физически лица; данни от справките за изплатени доходи на физически лица; данни от осигурителни декларации; данни за здравноосигурителен статус (за осигурителни вноски, а не за медицински статус или информация за лечение на гражданите); данни за издадените актове за административни нарушения; данни за извършените плащания на данъци и осигурителни задължения през "Български пощи" АД; данни за поискан и възстановен ДДС, платен в чужбина; данни от международния обмен на данъчна информация за български местни лица; служебни данни, получени от други институции в НАП, като Агенция Митници, Агенция по заетостта, Агенция за социално подпомагане, НЗОК и др.
Как обаче нормалният човек да разбере дали и какво се знае вече за него в интернет? "Очаквайте в близките дни приложение, чрез което да направите справка за това дали личните ви данни са изтекли. Планирано е справките в приложението да бъдат достъпни след въвеждане на ЕГН и еднократен код от съображения за сигурност. Приемете отново извиненията ни за създадената ситуация", написаха от НАП. Перде на куб.
Парадоксално някъде в разгара на скандала миналата седмица началникът на отдел "Киберпрестъпност" към Главна дирекция "Борба с организираната престъпност" (ГДБОП) Явор Колев коментира, че не било опасно изтичането на данни от НАП, тъй като такива данни се намирали в интернет "за всеки един от нас". Първо, информация за доходи, заеми, данъци не се намира навсякъде в интернет. Това се води данъчна тайна, която дори за прокуратурата пада след изрично разрешение на съда и която е повод НАП да отказва информация на най-различни институции. Второ, ако всичко е толкова лежерно, защо в началото на годината всички фирми бяха побъркани с изискванията на закона за GDPR, според който за лични данни бяха обявени най-невероятни неща. И трето, какво прави този човек на този пост, ако с такава лека ръка се отнася към безкрайните възможности за злоупотреба с изтеклата от НАП информация.
"Ако източването на данните от НАП е организирано от страната, това има за цел да клати правителството.
Ако е организирано отвън, има за цел да се клати държавата",
констатира пък вицепремиерът Томислав Дончев, който дълго време отговаряше именно за електронното управление. Ако приемем, че е прав, НАП е тази, която иска да клати правителството или държавата, защото именно тя не е взела нужните мерки за опазване на данните, с което на практика максимално е улеснила работата на хакерите. Както преди нея направиха куп държавни институции, които дори след приятелските сигнали и съвети да вземат да си защитят данните нехайно махаха с ръка. Според Дончев един от изводите от хакерската атака е, че държавата трябва да харчи повече пари за киберсигурност. В момента се отделя бюджет от около 5 млн. лв. годишно за киберсигурност на системите на държавната администрация, което е недостатъчно. "Ще трябва да инвестираме повече", допълни вицепремиерът.
Третото правителството на Бойко Борисов е на власт от май 2017 г. За това време бяха похарчени много пари за електронно правителство, но сякаш с единствената цел да нямаме работещо електронно управление. Тепърва трябва да върнем доверието на хората в електронните услуги, казва Томислав Дончев.
Законът за киберсигурност бе приет през ноември 2018 г. В него е записано, че председателят на Държавна агенция „Електронно управление“ трябва да разработи методика и правила за извършване на оценка за съответствие с мерките за мрежова и информационна сигурност. Наредбата не е обнародвана досега в "Държавен вестник", да не говорим за методиките. След това администрациите имат 4 месеца, за да се съобразят с правилата.
Всъщност ако не беше този скандал, едва ли щяхме да разберем в детайли какъв разграден двор е държавата ни. Не знаем и за други, успешни или неуспешни, атаки срещу различни информационни системи на администрациите. Но като виждаме какви пердета се занимават с управлението, би трябвало да се стряскаме. И да сме повече от гневни. Защото всичко ще приключи с огромни обезщетения. За да ги платят, ще ги вземат пак от нас.