Зима

Зима
Пролет

23 юли 2019 г.

Късите крачета на лъжата за хакването на НАП

Колко ще ни струват умишлените шикалкавения с историята за хакването на Националната агенция за приходите?


Пързалят ни всички: финансовият министър Владислав Горанов че информацията за българските граждани "продължава да бъде защитена"; от НАП, че в изтеклата база-данни не се съхраняват подписи или електронни подписи; МВР че извършителят е разкрит, задържан, а случаят- приключен.

От атаката срещу приходната агенция минаха десетина дни. През това време IT-спецовете - и бели, и черни - са поработили върху специфичните csv-файлове и не е далеч денят, когато те ще бъдат преформатирани, а информацията в тях ще стане достъпна дори за първокласници.

Всъщност, седмица след атаката вече се появиха някои "зрънца" от съдържанието на въпросните csv-файлове - таблици с имена на политици, магистрати, журналисти, съдебни изпълнители, ЕГН-та на търговци и т.н. Има данни за над 5 млн. български и чуждестранни граждани и търговски дружества, в това число ЕИК на търговци, данъчна и осигурителна информация по подадени годишни декларации, получени в агенцията от други институции в България по международния обмен в информационната система VAT REFUND, съхранявани в сървър на НАП..., съобщи прокуратурата.

Особено интересни са данните, снети от една от 144-те услуги на НАП, отнасяща се до информационната система VAT REFUND. Това е е-услуга за възстановяване на ДДС на данъчно задължени лица, неустановени в държавата-членка на Евросъюза по възстановяване, но установени в друга държава-членка. Тя се предоставя по силата на Директива 2008/09 на Съвета на ЕС от 12 февруари 2008-а и на Регламент 1174/2009 на Европейската комисия от 30 ноември 2009 година.

Следователно изтичането на данни от VAT REFUND е заплаха не само за българската приходна агенция и българските граждани, но и за целия Европейски съюз. Те съдържат информация, която данъчните служби на страните-членки си обменят, за да противодействат ефективно на ДДС-измамите.

Както се вижда от сайта на НАП, е-услугата "Искания за възстановяване на ДДС на търговци, установени в страната, към другите държави-членки на Европейския съюз" съдържа доста интересни неща. В искането се вписват данни за данъчно задълженото лице, данни за упълномощеното лице, банкова сметка, по която ще бъде възстановен ДДС-то, обобщени данни от фактурите и импортните документи, дейностите, за които са придобити стоките или услугите. Ако това не е чувствителна за всяко дружество информация, която не бива да достига до конкуренцията, здраве му кажи! Само че, както бодро и уверено твърди финансовият министър Горанов, тази информация "продължава да е защитена".

Чувствителни са и данните, които са в Електронната система с фискална памет на НАП, която също бе хакната. Тази система служи за регистриране и отчитане на оборотите от продажбите на течни горива.  И при тази е-услуга, както и при VAT REFUND, е необходим електронен подпис. Така че не е възможно в изтеклата база-данни да не се съдържат и електронни подписи на клиенти. Както пише в инструкциите за ползването на услугата, за достъп до системата е необходим такъв подпис. В искането се попълва име на фирмата, име на обекта, адрес, финансовия отчет на задълженото лице и т.н.

Споменатите системи използват програмен продукт Java и Internet Explorer, на които се крепеше и системата за е-услуги на Търговския регистър, гръмнал миналата година по това време. При разследването на причините за срива се установи, че платформата на регистъра може да бъде използвана единствено с архаичния вече Internet Explorer. Както заявиха специалистите, той се е използвал до 2015-а и е бил заменен от наследникът му Edge. При все това много потребители, сред които и Агенцията по вписванията и НАП, все още използват Internet Explorer, защото им е по-евтино.

Не на последно място излъга и МВР, че извършителят бил бързо разкрит и задържан. Задържаният се оказа 20-годишният Кристиян Бойков, но при излизането му от ареста той заяви: "Не съм аз човекът, който проби системата на НАП". Младежът разказа, че по време на престоя му зад решетките е получил "неудобни въпроси и леки заплахи". Според него разпитващите са го притискали да признае всичко. Това било описано и когато му дойде времето, съдията щял да го прочете, поясни той.

Бойков отбеляза също, че ГДБОП е стигнало до него след получен сигнал и че атаката е била срещу фирмата за киберсигурност, в която работи.

В крайна сметка, на този етап от развитието на скандала с изтичането на данните от НАП нито извършителят е разкрит, нито българските граждани се чувстват по-спокойни, защото личните им данни се пазят добре от държавата. Остава да видим как ще премине разследването на случая и как ще приключи проверката на Комисията за защита на личните данни (КЗЛД). Както е известно, нейните екипи ще търсят причините за теча на лични данни на над 5 млн. души. Очаква се тя да излезе със становище към 20 август, а максималната глоба, която предвижда законът, е до 2,5% от оборота, но не повече от 20 млн. лева.

В тази история парите пак ще са от нашия джоб.



Румен Савов, Banker.bg

Няма коментари:

Публикуване на коментар