Можеше ли да бъде предотвратен НАПлийкс

Преди да се прехвърли отговорността върху някаква разцветка хакер, е редно държавата да обърне поглед към себе си

Ключови думи: наплийкс, нап, хакерска атака, лични данни, новини, мнение, експерти

Можеше ли НАПлийкс – хакерската атака, която доведе до изтичане на личните данни на над 5 млн. българи – да се предотврати? Отговорът дават ексклузивно за Флагман.БГ Живко Христов и Георги Тенев - консултанти по защита на личните данни. Ето какво казват те:

Много се изписа през изминалите дни за хакерската атака срещу НАП. Оставяйки чисто сензационния аспект на темата настрана, идва ред да обърнем внимание на реалния проблем, който се крие зад тази „теория на конспирацията“ и който касае минимум всеки един гражданин на Република България. Най-малкото, за да не бъде заметен този фрапантен случай под черджето, като се прехвърли отговорността върху някаква разцветка хакер.

Преди да се впуснем в сценарии тип „Парола Риба Меч“ е необходимо да си дадем ясната сметка, че отговорни в случая са българските институции, а не световният заговор. Не само НАП. И то не защото са направили нещо грешно, а защото са пропуснали да направят навреме необходимото и правилното.

Общият регламент за защита на данните (Регламент (ЕС) 2016/ 679 на ЕП и на Съвета от 27 април 2016), известен на широката общественост като GDPR, влезе в сила преди повече от 3 години от момента на пробива в НАП. След влизането в сила на GDPR, държавите членки на ЕС имаха 2 години гратисен период, през който да се подготвят и да приведат своите институции в адекватно ниво в съответствие с новите изисквания. Същото касае и бизнеса. 
Санкциите, достигащи и надхвърлящи 20 милиона евро, грозят в еднаква степен неизправните организации, в това число и държавните институции, при неизпълнение на изискванията на регламента. 

Какво беше необходимо и съвсем постижимо да се направи? 

На първо място бе необходимо да се извърши независим одит на цялостната дейност и организационна структура на съответният администратор на лични данни, за да се установи с какви категории лични данни борави, на какви категории физически лица са тези данни, за какви цели и срокове се обработват и съхраняват и на какво основание. 

Като следваща стъпка трябваше да се установи нивото на технически и организационни мерки, предприети в организацията с цел гарантиране сигурността на данните. Следва извършването на оценки на риска и въздействието върху личните данни, тяхната защита и правата и свободите на субектите на данни. 

Въз основа на това се дават конкретни предписания към организацията, за да избегне сбъдването на идентифицираните рисковe. 

После идва лесната част – да се изгради и внедри цялостна система за управление на личните данни в организацията, като се разпишат съответните процедури, политики и други необходими вътрешноадминистративни документи. 
По това време някъде следва да се определят и разпределят нивата на достъп и мерките за контрол и ограничаване на достъпа на всеки служител например, за да не може той докато си „цъка“ на работния компютър да изнесе цялата база данни. 

После (и след това поне веднъж годишно) служителите преминават специално обучение, за да знаят хем собствените си права, като субекти на данни, хем как да не компрометират сигурността на личните данни, с които работят по силата на тяхното занятие.

Сега, след като се е „обърнала каруцата“, следва да се извърши това горното, в описаните стъпки но в по-различен ред, започвайки от конкретното нарушение на сигурността на личните данни.

И за да е съвсем ясно – това е нещо, което е можело да се предотврати и затова е имало достатъчно време и възможности, а и ресурс. 

Кой е следвало да го направи – отговорните длъжностни лица във всяка една институция, натоварени с тази задача от своето ръководство или принципал. 

Да не забравяме, в Република България, от 2002 г. съществува Комисия за защита на личните данни, която доколкото ни е известно не е отказала съдействие на никого, поискал становище и съвет, как да приведе своята организация в съответствие с нормативните изисквания.

За пълнота ще добавим, че освен GDPR, към настоящият момент е в сила и още един регламент, касаещ специално обработването на лични данни от институциите, органите, службите и агенциите на ЕС. 

Дори без да се познава този акт на Съюза изглежда логично националните институции в отделните държави, доколкото регулярно взаимодействат в европейските, да трябва да се равнят по техните стандарти.