© Надежда Чипева, Капитал
В понеделник до медиите беше пуснат масив от 57 папки с над 1 млн. реда, съдържащи ЕГН, имена, адреси и дори доходи. Файловете вече са достъпни, макар и с парола, в интернет. "Дневник" потърси за коментар експертите от Асоциация за защита на личните данни за коментар на случващото се, за рисковете и евентуалните начини за защита. Отговори на въпросите дадоха Юлия Пригонча – председател на управителния съвет на асоциацията, сертифициран мениджър по защита на личните данни, и адв. Деница Люнчева – почетен председател на асоциацията и експерт в областта на защитата на личните данни.
Какви според вас могат да са евентуалните негативни последици за гражданите и фирмите от този теч на данни? Какви са възможните злоупотреби с тези масиви и доколко това може да навреди и в бъдеще време?
- В момента рискът се омаловажава. Експертите наричат тази ситуация "дигитална катастрофа", "дигитален Чернобил". Мотивите за това са много, като най-същественото е, че поради тяхното естество това са данни, които не могат да бъдат променени. Тук не става въпрос за пробив в една поща, на която можеш да си смениш паролата. Става въпрос за идентифициращи данни като ЕГН-та, имена, адреси, лични карти, банкови сметки, история за доходите, имотното и финансовото състояние.
Някои от тези данни си остават завинаги. Например ЕГН-то. Човек не може сам да го смени. И да, само по себе си изтичането на едно име или ЕГН може и да не причини беда, но когато се комбинира с други данни, които дават достатъчна информация за определен човек, това може да се използва, за да му се навреди. Не е ясно кой в какъв момент може да реши да използва недобронамерено данните, за да спечели от това.
Всъщност в това се състои и "радиационният ефект" на хакерската атака срещу системата на НАП. Защото последствията от нея могат да продължат без контрол във времето.
Фишинг измамите, изнудване, телефонни измами, рекет... стават ли те по-лесно изпълними?
- Да, фишинг имейлите, телефонните измами, изнудванията е много вероятно да се засилят.
Сега, когато се предполага, че е възможно и недобросъвестни лица да разполагат с много чувствителна информация за хората, чиито данни изтекоха и се разпространяват публично в интернет, те ще бъдат допълнително изкушени да я използват.
Известни са доста опити за фишинг измами чрез изпращането на фалшиви имейли от името на НАП или различни кредитни институции. При сегашната ситуация представете си да получите имейл от името на подобна институция за това, че дължите суми към нея? В него може да има множество истински ваши лични данни и вие да сте убедени, че мейлът идва от такава институция. Влизате на посочения в мейла линк и извършвате определено действие, към което той ви насочва, например плащате глоба, такса или нещо друго, което измамниците са успели да ви убедят, че дължите, понеже разполагат с достатъчно истински данни за вас.
Ако имаш сериозен бизнес и се разбере, че имаш 3 деца, можеш да бъдеш изнудван по-лесно чрез тази информация. Последиците могат да бъдат много сериозни.
И лошото е, че тези последици могат да дойдат и в един по-късен момент, след няколко месеца, години, когато хората не са толкова бдителни вече.
Историята познава и случаи, при които недоброжелателни лица само за това, че разполагат с бланката и някои други данни на истинска фирма, успяват да се легитимират пред партньорите на фирмата – да сключват договори и да получават плащания по тях.
Параноята е неизбежна в момента. Всяка фирма ще трябва да направи допълнителни проверки на системите си за съхранение на данни, на имейлите си, на мерките си за сигурност, за да не попадне под ударите на злонамерени лица. Вероятно част от фирмите ще предприемат и допълнителни обучения на служителите предвид реалната заплаха и увеличения риск от атаки чрез използването на техниките на социалното инженерство. Всичко това може да доведе непредвидени разходи за бизнеса.
Изтекли са данни и за възнаграждения на служители. Информация, която обикновено бизнесът защитава с клаузи за конфиденциалност. Това може да доведе и до нелоялна конкуренция, което може да се отрази и на конкурентоспособността на бизнеса.
С други думи, възможността за измами и злоупотреба с данни е реална и гражданите трябва да бъдат много внимателни.
Тези данни според вас достатъчни ли са за извършване на измами, каквито се появиха на първо четене като възможни – данъчни и банкови измами, теглене на кредити, фиктивни продажби и др.? Или за това са необходими и други престъпни дейности и корупционни връзки в различни институции?
- Естествено, че са достатъчни за измами и фалшифициране на документи. Запис на заповед, декларации, пълномощни и други.
Принципът е че, всички данни, които са от личен или конфиденциален характер, могат да бъдат достатъчни за извършване на измами. Това е и причината и здравата логика те да бъдат защитавани чрез толкова строги регулации като GDPR.
Знанието, разполагането с лични данни и информация са в основата на успеха на фишинг измамите и другите техники за социално инженерство, за които стана дума. Това е цяла наука. Обикновено хората не очакват тези лични данни да са известни на всеки и щом някой им се обажда или им пише, представяйки се, че ги познава, като се легитимира пред тях по този начин – използвайки истински данни за тях, например споменавайки и техни роднини, те са по-склонни да не проявяват съмнение и се подвеждат.
Данните за участие в онлайн залагания, които изтекоха във файловете от НАП, представляват ли лични данни и какви опасности носи тяхното разпространение?
- Така човек може да бъде профилиран по интереси. След това профилиране играещите хазарт могат да бъдат третирани като негодни кредитополучатели, да бъдат търсени с цел въвличането им в хазартни дългове, тоест да ги накарат да играят все повече и повече. Или да бъдат третирани като ненадеждни служители. Какво доверие ще има във вас работодателя ви, ако сте неговият счетоводител и той се е сдобил с данни за това, че играете хазартни игри? Възможно е да има хора, които да загубят работата си.
По първоначалните ви наблюдения какви са пропуските в системата на НАП при въвеждането на европейския регламент GDPR и ако бяха направени навременните оценки, можеше и да не се стигне до този теч?
- Към момента не разполагаме с информация. Поискахме от НАП да огласят какво е направено в процеса на въвеждане на GDPR и как e осигурено съответствието с него. Това е информация, която се дължи на гражданите от НАП като публична институция.
Въпросните оценки и анализи, за които поискахме да бъдат огласени, съдържат много от отговорите на създалата се ситуация. Това са анализи, които доказват как НАП е решила да предприеме точно определени мерки за защита по GDPR и какви са били тези мерки. Това може да са технически мерки, а ако институцията не е разполагала с необходимите средства, то съгласно GDPR това може да са и засилени организационни мерки. Съвсем архаично обяснено, ако например нямаш пари за надежден ключ на вратата си, то ще търсиш начини как да скриеш скъпите си вещи, така че ако някой влезе в дома ти, да не ги открие. Преведено на езика на GDPR, това би било като да направиш едно криптиране.
Тестовете за уязвимост на системите, които се коментират и които от НАП признаха, че не са извършени, също са добро и финансово оправдано решение. Няма как съвсем без да вложиш средства, да се направи това, което е нужно. В крайна сметка всичко е въпрос на експерт, който да ти даде правилните съвети за това кое е разумно и необходимо.Ако пък нямаш средства или имаш, но независимо от тези мерки анализът на риска показва, че тези данни не могат да бъдат опазени, рискът от тяхното изтичане е твърде вероятен и от това изтичане могат да се породят много неблагоприятни последици за субектите на данни, то в този случай GDPR изисква да се обърнеш към надзорния орган за съвет или консултация.
Затова и ние питаме дали НАП са се консултирали с Комисията за защита на личните данни за процесите си на обработване на лични данни и какво са били посъветвани от нея, за да намалят риска от изтичане на данни. Все още нямаме информация и по този въпрос.
Бихте ли дали съвети на хората и фирмите, засегнати от теча на данни, какво биха могли да предприемат, за да се защитят от евентуални злоупотреби?
- Гражданите трябва на първо място да са много бдителни. Да не се доверяват на всеки, който пише и им обещава награди от лотарии или ги заплашва с изтекли вноски по кредит или неплатени глоби. Дори ако в тези писма се съдържат техните имена и ЕГН. Трябва да подлагат всичко на съмнение и да го проверяват.
Правните механизми за защита на гражданите в този случай могат да бъдат обект на отделна тема. Да, такива съществуват. Както GDPR, така и националното ни законодателство дават възможност да се подават жалби до надзорния орган – Комисията за защита на личните данни, и до съдилищата, да се предявяват искове пред съд, включително за обезщетения.
Доста активно започнаха да се коментират колективните искове. Към момента се водят дискусии от правно естество между експертите кой, как, защо и какво може да защити и да постигне чрез колективния иск и какъв е пътят за обезщетяване на засегнатите от атаката лица. Колективните искове все още не са толкова популярни у нас за разлика от чужбина. В някои от случаите поради мотиви от процедурен характер те се блокират. Имаме GDPR, но имаме и национален ред за упражняване на правата и същевременно има вече и европейска практика, която също следва да се отчита.
Вероятно в следващите дни ще има повече информация и по тези въпроси от страна на експертите и активните граждански организации.
Какви трябва да са поуките от този теч на данни и какви трябва да са най-спешните действия, които да предприемат институциите, за да защитят системите си?
- За съжаление фактите и ситуацията са такива, каквито са. Дано поне поуки изведем от тях. Както казва един експерт на европейско ниво: "Съответствието ви изглежда скъпо, опитайте с несъответствие!"
Колкото по-важни данни събира, обработва и съхранява дадена организация, толкова по-висок е рискът за нея и съответно толкова по-добри мерки за защита трябва да прилага. Ако не е направена оценка на риска, трябва възможно най-скоро да се направи такава. Силно препоръчителни са и периодичните проверки на ефективността на въведените мерки и текущия мониторинг на тяхното изпълнение. За тестовете за уязвимост на системите вече стана дума по-горе. Това са основни неща, които трябва да бъдат предприети.
Възможно ли е да се стигне до европейски санкции на българските институции във връзка с неспазването на европейски регламенти? Какви, ако да?
- GDPR изисква от всяка държава членка да гарантира, че на националния й надзорен орган са осигурени всички необходими ресурси, за да изпълнява задачите си и да упражнява правомощията си. В това отношение у нас подкрепата на държавата и ресурсите, с които разполага Комисията за защита на личните данни, изглежда, не са достатъчни.
Проблемът е, че подобни области като защитата на личните данни, поне по наше усещане като експерти, работещи в тази сфера, се подценяват, омаловажават. А това, освен че е свързано с безопасността на хората и опазването на фундаменталните човешки права, има и тясна връзка с бизнеса.
Бизнесът, организациите на бизнеса, като например БТПП, чийто пряк член е и нашата асоциация, положи и продължава да полага огромни усилия, за да направи страната ни привлекателна за чуждестранни инвестиции. Българските делегации в чужбина се опитват да доведат инвеститори у нас, включително в сферата на услугите, много често именно с грамотността на експертите от IT сектора и сектора на киберсигурността. А това изтичане на данни от НАП може да доведе до сериозен отлив на инвестиции и големи загуби на репутация и бизнес.
Кой чужденец ще иска да дойде у нас, като данните - личните и фирмените му, могат да изтекат от държавен орган, и какво говори това за нивото на киберсигурността в България? Въпроси, върху които си заслужава да се помисли.
