Периферни електронни услуги на НАП са в риск, няма изтичане на данни

„Трябва да оценим критично уязвимостта. За да има електронни услуги, трябва да се разработват системи. Тези системи са една отвореност и са подложени на риск. Към момента главните неща в НАП функционират по сигурен и стабилен начин. Нямаме причини да вярваме, че уязвимостите продължават да се експлоатират, електронните услуги работят и всички входове и изходи към НАП изглеждат сигурни. По отношение на периферни услуги сме идентифицирали рискове, не сме идентифицирали изтичане на данни. В момента са преустановени няколко услуги, други са ъпгрейднати“. Това каза пред БНР говорителят на НАП Росен Бъчваров.

В предаването „Неделя 150“ той поясни, че в момента се извършват тестове за уязвимости и ако се наложи спиране на някои електронни услуги, то това ще бъде направено.

„Нито става дума за катастрофа. Нито става дума за нещо безобидно. Нашият фокус е насочен върху две основни теми. Първата е да оценим дали има други уязвимости в информационните системи на Националната агенция за приходите (НАП) и ако такива бъдат намерени, те да бъдат затворени веднага. Вторият ни фокус е да дадем възможно най-много и полезна информация за гражданите“.

Бъчваров заяви, че атаката е показала уязвимостта на компютърната система и отговорност за нея ще се поеме, но непосредствената задача е агенцията да каже на гражданите:

„А, има ли техни данни (сред изтеклите – б.р.). Б, какви са тези данни. Ц, какво може да направи един гражданин, чиито данни са в този текст, така че да намалим дотолкова, доколкото е възможно, неблагоприятните последици от това“.

Росен Бъчваров каза, че вероятно скоро ще бъде пусната система, през която гражданите да могат да проверят дали са част от жертвите на кибератаката:

„Около 3% от всички информационни масиви на НАП са засегнати. Това са данни – имена и ЕГН-та на над 4 милиона живи български граждани и над 1 милион починали. Информацията е частична. От тези изтекли данни не може да се направи пълно и изчерпателно профилиране за мен, за вас, за всеки един от хората. Не означава обаче, че тези частични данни не са чувствителни“.

В коментарното предаване с позиция по случая „НАП лийкс“ се включи и експертът по киберсигурност Спас Иванов. Според него „случилото се не е дигитален Чернобил, но проблемът не трябва да се неглижира“.

„Щом се е стигнало до такъв пробив, значи нещо генерално е сбъркано в сигурността на системите на важни държавни институции“, каза той.

„Проблемът е изключително сериозен, но не и катастрофален…. Засегнатите хора ще бъдат изключително удобни за сглобяване на различни форми на измами. Всякакви сценарии са възможни. Очаквам през следващите една-две години да има изключително много пострадали хора“, добави Спас Иванов.

Той даде пример със случай отпреди две седмици:

„За 10 пъти по-малък теч на лична информация с много по-малко засегнати хора най-голямата верига хотели в Европа Starwood и компанията British Airways бяха глобени от британския орган за защита на личните данни с 387 млн. паунда заради изтичането само на имена, на имейл адреси и на полетна информация“.

Според експерта по киберсигурност атаката не е акт на друга държава, за което подсказва начинът, по който е била реализирана.

„Системата не е била добре защитена и няма как да претендираме, че атаката е била много сложна“.

Интервюто с Росен Бъчваров и със Спас Иванов можете да чуете в звуковия файл.