Неоторизираният достъп до базата данни на НАП е осъществен заради уязвимост на една от е-услугите, които Агенцията предоставя - за възстановяване на ДДС, платен в чужбина, съобщи на пресконференция говорителят на НАП Росен Бъчваров, който представи информация за инцидента с информационната сигурност на Агенцията.
Към момента тази уязвимост е отстранена и възможностите за злоупотреба с тези данни са ограничени, а услугата е временно спряна и така ще остане до възстановяването на информационната сигурност на НАП, обясни Бъчваров.
Чрез тази уязвимост трето лице е осъществило нерегламентиран достъп до около 3 на сто от информацията от базата данни на НАП.
Атанас Янев, директор на IT дирекцията на НАП коментира, че засега няма установени опити за уязвимост и наличие на уязвимост при други системи на НАП и изтъкна, че това е малка част от услугите, които Агенцията предоставя публично.
Бъчваров съобщи, че са били сравнени около 30 на сто данните, които се разпространяват в общественото пространство и може да бъде потвърдено, че това е информация, съхранявана на Агенцията. Става дума за лични данни, данъчно-осигурителна информация, която по закон изрично се защитава и възможностите за публичното й представяне са ограничени. Сред разпространените данни има и такива на Агенция "Митници" и на Агенцията по заетостта и други подобни, включително и информация за транзакции на определен кръг хора и фирми.
Подобни опити за неоторизиран достъп са засечени и в края на юни тази година. На съответните служби и на НАП е известна и технологията, по която това е станало. В последното денонощие съответните служби и експерти от Държавната агенция "Електронно управление" работят съвместно с НАП, каза Бъчваров и допълни, че за случая е уведомена Комисията за защита на личните данни. От Комисията вероятно по-късно през деня или през следващите дни ще коментират темата с оглед на нейната компетентност, като от НАП декларират готовност да й окажат пълно съдействие, каза Бъчваров.
Ще се потърси и международна помощ по отношение на системата за информационна сигурност на НАП и на системата в цялост. Предстои да бъде извършен цялостен одит на IT системата и на съществуващата система за информационна сигурност. Предстоят стъпки за подобряването на информационната сигурност, включително софтуерни и хардуерни промени, базирани на цялостния одит, който се очаква да обхване системите и на други ведомства, допълни Бъчваров.
В отговор на въпрос той каза, че въпросите за персонална отговорност, заради случая и за следващите стъпки за реализирането й ще бъдат коментирани след установяването на причините за уязвимостта на системата и намаляването на рисковете пред информационната сигурност. Въпросът за отговорността за случая ще бъде обсъден през следващите дни заедно с ръководството на НАП, МФ и МС.
За сигурността на информационните системи на НАП се грижат няколко частни компании, както и специализирано звено в IT дирекцията на НАП и специализирано звено в НАП, което отговаря за информационната сигурност, което е засякло атаката от края на юни, каза в отговор на въпрос Бъчваров.
Помолен да коментира версията, че хакерската атака е свързана и с вчерашното решение на МС за самолетите Ф-16, Бъчваров каза, че съществуват поне две версии за причините на тази атака, но от НАП към момента нямат пълномощия да ги коментират. В отговор на друг въпрос той каза, че от НАП имат "известни индикации, че става дума за атака, извършена извън територията на България".
В отговор на въпрос дали има вътрешен човек, който е съдействал на атаката, Бъчваров каза, че не се изключва и такава възможност.
Атанас Янев, директор на IT дирекцията на НАП коментира, че НАП притежава над 60 бази данни, като става дума за пробив в една от тях. Тези бази данни се съхраняват на различни сървъри. "Просто тази база, данните които се съхраняват там, са свързани помежду си по някакъв начин и отговарят на някакъв бизнес процес и затова тези данни са били там", обясни Янев логиката на съхранение на данните.
Бъчваров каза, че има оценка на максималния потенциален обем данни, достъпен чрез тази база данни, за която е регистрирана уязвимост. Той посочи, че информацията, която в момента е публикувана, може би изглежда сравнително неактуална, но заради уязвимостта в базата данни от НАП не изключват да бъдат публикувани и данни, които са по-актуални.
