АИКБ иска пълно разследване на теча на данни от НАП

Асоциацията на индустриалния капитал в България (АИКБ) настоява за пълно разследване на случая с изтичането на лични данни от Националната агенция по приходите (НАП) след хакерска атака от независими външни на системата експерти.

Това е посочено в декларация на работодателската организация, разпространена до медиите. От АИКБ смятат, че в момента доверието в държавността е "във висша степен минимизирано".

Заедно с подкрепата към вицепремиера и председател на Съвета по киберсигурността Марияна Николова, в декларацията се призовава за налагането на минимални критерии за сигурност при проектиране и изпълнение на електронните услуги от държавните институции.

Публикуваме декларацията на АИКБ:

Асоциацията на индустриалния капитал в България (АИКБ), в качеството си на национално представителна работодателска организация изразява своята подкрепа за бързата реакция на вицепремиера и председател на Съвета по киберсигурността – г-жа Марияна Николова във връзка с катастрофалното изтичане на бази данни от Националната агенция по приходите (НАП)[1].

Ние приветстваме преди всичко бързината и оперативността, с които г-жа Николова постави на разискване необходимостта от адекватна реакция и на трите власти в държавата. Подкрепяме и правилната оценка на Вицепремиера на станалото, която в много отношения съвпада с нашата собствена гледна точка по въпроса. Разбира се, непроменена наша позиция остава, че евентуални промени в Наказателния кодекс следва да се правят след задълбочен анализ на фактите и оценка на въздействието.

Разбира се, добрите намерения на вицепремиера Николова, които ние приветстваме и подкрепяме са само една стъпка към започване на възстановяване на доверието в държавността. В момента, без да правим каквито и да са драматични заявления, доверието в държавността е във висша степен минимизирано. Вече имахме възможността да заявим, че всякакъв опит за „замитане“ на случилото се руши българската държава. Затова АИКБ подкрепя навременната реакция на г-жа Николова и продължава да настоява за пълно разследване на случая от независими външни на системата експерти.

Като отчита адекватността на направената първа стъпка, АИКБ продължава да призовава изпълнителната власт незабавно да изготви и да даде ход на изпълнението на план за действие за намаляване на вредата от случилото се и управление на произтичащите рискове.

Ние не можем да не продължим да напомняме, че „цифровата катастрофа“ с НАП е рецидив, че тя дойде след предишни много тревожни сривове на държавната цифрова политика, а именно проблемите с търговския регистър, преминаването към електронни винетки и др. И преди сме заявявали и сега ще повторим, че подобни провали са изключително обезпокоителни, недопустими и позорящи за държава, която има претенциите да бъде регионален лидер в информационните технологии. Ние изцяло подкрепяме амбициите на изпълнителната власт в тази област, но смятаме, че те ще бъдат напълно компрометирани ако няма поуки и положителни последици от злополучията с търговския регистър, електронните винетки и НАП.

АИКБ остава на позицията си, че подобни „цифрови катастрофи“ ще продължат да стават и в бъдеще, ако не се осъществи незабавна промяна в начина, по който работи държавата с електронните данни на българските граждани и българския бизнес.

Ние продължаваме да настояваме, че създаването, поддръжката и управлението на електронните услуги е непрекъснат процес, като при проектирането на системите сигурността е водеща. Държавните институции, както и външни експерти и компании за сигурност би трябвало да одитират и да опитват пробиви на изградената инфраструктура, а Държавната агенция за електронно управление трябва да наложи минимални критерии за сигурност при проектиране и изпълнение на е-услуги от държавните институции.

Ние сме окуражени от решителността на вицепремиера Николова и готовността й да се бори с дигиталната престъпност. По тази причина, ние се обръщаме както към правителството като цяло, така и към нея в личен план, в качеството й на председател на Съвета по киберсигурност с повторното настояване за незабавен одит на IT сигурността във всички държавни институции при въвеждането на електронно управление, каквото трябваше отдавна да е факт. Вярваме, че подобно действие изисква освен всичко друго и твърдост на характера, каквато г-жа Николова видимо има.

АИКБ е готова да съдейства със своя експертен потенциал, там където това е уместно, за изпълнение на всички задачи, възникнали около очевидно много тежкото състояние на кибернетичната сигурност в държавната администрация.

-------------------------------------------------

[1] АИКБ вече даде своята оценка на мащаба на сполетялото ни „цифрово бедствие“. В отделна предишна декларация, Асоциацията заяви: „В епохата на всеобхватна цифровизация подобно събитие може да се определи единствено като катастрофа. Фактите говорят сами – изтеклите бази данни на НАП показват драстичен пробив в защитата на правата на физическите лица при обработване на личните им данни, неизпълнение на задължения за страната ни, произтичащи от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) (ОВ, L 119/1 от 4 май 2016 г.), в това число  компрометирани  данни на милиони български граждани, съдържащи се в договори,  информация за възнаграждения, доходи, кредити, IP-адреси, декларации, имена, ЕГН, адреси, данни на български фирми с техните ЕИК и адреси, мейли, регистрационни номера на автомобили, номера на сертификати за електронни подписи; пълната органиграма на НАП с хеширани пароли и пълни данни на служителите на НАП със заеманите позиции; данни на българите, живеещи в чужбина, които получават пенсии извън България и са се отказали от здравно осигуряване в България. Особено загрижени сме относно изнесените факти, че кражбата на данните е осъществена 20 дни преди откриването й, а НАП въобще не са отчели и регистрирали неправомерното извличане на данните от сървърите им, и едва след публикуването на част от информацията е констатирана кражбата. Всичко това говори за ниско ниво на защита и сигурност на данните, за некомпетентност или небрежност на отговорните лица, което поставя под риск националната сигурност и функционирането на държавата“.