Българинът казва: всяко чудо за три дни. Дали заради късата памет на институциите, или нежеланието да си свършат работата вече над 3 години няма нито един наказан за скандала "НАПлийкс". Цялата държава беше хакната, личните данни на над 5 млн. граждани бяха публикувани онлайн, а нито солената глоба за приходната агенция е платена, нито има признати за виновни от съда. Във филма "Навални" Христо Грозев и Алексей Навални разказват как са проникнали в имейла на голям началник от руските служби за сигурност. Оказва се, че паролата му е Москва 1 - толкова близко до ума. После я сменя с Москва 2, по-натам и с Москва 3. Това е детска игра за всеки хакер. По същия начин стои и казусът с изтичането на личните данни на милиони от НАП. Държавната агенция няма никакви защити, а делото за този елементарен случай отдавна трябваше да е приключило.
Прокурорски безумици
Разследването за хакерската атака срещу НАП започна по същия абсурден начин, по който се очертава да приключи. Въпреки че броени дни след пробива в системите с бази данни на държавната агенция през 2019 г. прокуратурата вече имаше заподозрени с повдигнати обвинения, дълго време делото срещу тях беше държано на трупчета. Първоначално към наказателна отговорност бяха привлечени трима души - Кристиян Бойков, който по онова време беше служител във фирмата за киберсигурност "ТАД Груп", нейният търговски директор Георги Янков и собственикът на дружеството Иван Тодоров.
Безспорните доказателства, с които държавното обвинение се хвалеше в началото - публикувани бяха снимки, видео и други материали, започнаха да издишат. Така се стигна до прекратяване на наказателното производство спрямо обвиняемия Георги Янков поради липса на доказателства, а неговият адвокат Николай Хаджигенов каза пред "Сега", че е поискал делото срещу клиента му да бъде прекратено поради липса на престъпление, а не на доказателства, но съдът е отказал да се произнесе.
Останалите обвиняеми Бойков и Тодоров пък отиват на съд по абсурдното обвинение за престъпление по глава Първа от НК - "Престъпления против републиката", защото имали цел да засегнат властта, а хакерската атака е била насочена срещу установения с Конституцията обществен и държавен строй. Изключително сериозно обвинение, което, ако се докаже в съда, ги заплашва с 5 до 15 години затвор. Само че доказателствата звучат, меко казано, комично. Прокурорът цитира разговори на двамата, в които двамата коментират, че "правителството трябва да си замине с всички". "То като погледнеш, а, че той е на власт вече трети мандат, бе...?", казва Янков на Бойков.
По логиката на прокуратурата обаче всеки един протест срещу властта под формата на гражданско неподчинение следва да се разглежда като атака срещу държавния строй, а да обсъждаш, че правителството на Бойко Борисов трябва да си замине е доказателство за терористична дейност. Ако това са доказателствата, е изненадващо, че в кориците на делото не е намерило място и "разкритието" на прокурорката Евгения Щъркелова, че обвиняемите са се подготвяли да дестабилизират държавата, като проникнат в сървъра, който контролира пръскачките пред Народното събрание, и по този начин да ги активират в неподходящ момент.
Явните виновни
Всъщност няма нужда от грандиозна конспирация срещу правителството, за да се обясни хакерската атака срещу НАП. Приходната агенция е била с толкова слаби защити, че и дете с по-широка компютърна грамотност е можело да получи достъп до масивите й с лични данни. Това е и изводът на Административния съд – София-град, където НАП заведе дело срещу Комисията за защита на личните данни. След хакерската атака КЗЛД издаде 20 предписания, с които да задължи приходната агенция да предприеме подходящи технически и организационни мерки с цел повишаване защитата при обработка на лични данни. В крайна сметка АССГ установи, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. "И двете вещи лица по трите експертизи със сигурност твърдят, че изтичането на данни е могло да бъде избегнато, ако са били взети необходимите технически и организационни мерки", казва съдът.
Освен това част от засегнатите от "НАПлийкс" граждани успешно осъдиха държавата за обезщетение, защото не е защитила личните им данни. По едно от делата по Закона за отговорността на държавата, Върховният административен съд обяснява, че всеки, който е претърпял материални или нематериални вреди в резултат на нарушение на регламента за личните данни, има право да получи обезщетение от администратора или обработващия данните. Съдът предлага на НАП да бъде назначена експертиза и специалист по киберсигурност да отговори на поставени от агенцията задачи. НАП обаче отказва. Така съдът приема, че приходната агенция не е доказала, че е предприела всички нужни мерки, за да защити данните на хората.
Дали обаче става дума за некомпетентност, или за най-обикновено безхаберие? Очевидно никой не носи отговорност информационните системи на държавните агенции да бъдат адекватно защитени. Показателно за това е, че за да влезеш в сървър на НАП, било достатъчно да въведеш потребителското име admin и паролата admin. Тази уязвимост е била обсъждана в публичен чат на програмисти в мобилното приложение "Телеграм".
НАП не се предава
Чудно защо в няколко частни случая правосъдието си е свършило работата - достигнало е до решение, а делото в Софийския районен съд за глобата от 5.1 млн. лв. на НАП от КЗЛД не помръдва. Фактът, че един съд установява по безспорен начин що за киберзащита има приходната агенция, а друг не може вече повече от 3 години, създава усещането за двоен стандарт, породен от размера на санкцията. Или иначе казано: за милиони няма закони.
Оправданието е, че делото срещу глобата не може да стигне до край заради техническа експертиза, която да изследва защитните механизми на НАП. Нещо, което вече е вършено от няколко съдлища. Първоначално тя трябваше да бъде извърешна от едно вещо лице. На няколко пъти делото се отлагаше заради това, че нямаше кой да извърши прословутата експертиза. После агенцията за приходите изрази становище, че е нужно повече експерти, а не само един, да дадат становище дали НАП е положила адекватни мерки за защита от хакерска атака. Съдът се съобрази, като вече се очаква петорна техническа експертиза, резултатите от която ще станат ясни на 26 април 2023 г., каза за "Сега" председателят на КЗЛД Венцислав Караджов.
Диагноза на системата
Къде в демократичния свят се случва хакери да откраднат личните данни на цяла държава от собствените ѝ системи, а после да ги разпространят свободно в интернет, без това да коства нито един ръководен пост във властта, а виновните за кибератаката да са на свобода? С развитието на технологиите, кибероръжията обикновеният български гражданин все по-често ще бере плодовете на дългогодишното неглижиране на информационната сигурност в държавната администрация. Липсата на експерти по киберсигурност във ведомствата е само нюанс на проблема. Коренът му обаче е в абсолютната безотговорност на управляващите, които не намират за важно да гарантират по най-добрия начин сигурността на информацията, която съхраняват за гражданите.
