Последни новини
Home / Избрано / Проблемите около хакването на НАП не са един и два, а (много) повече. Какво да правим?

Проблемите около хакването на НАП не са един и два, а (много) повече. Какво да правим?

Defakto.bg
Вени Марковски, статията е от блога на автора, публикаваме с разрешение.

Вени Марковски, председател на УС на „Интернет общество – България“

Използването на откраднатата информация е неправомерно и незаконно, защото – независимо от факта, че е била открадната! – тази информация подлежи на специална защита не само от българските закони, но и от тези на Европейския съюз. Личните данни не престават да бъдат такива в момента на открадването им или в момента на публикуването им – и това е важно да се знае.

Десетина дни след като стана известно, че огромни бази с информация са били откраднати (хакнати) от Националната агенция по приходите, за което писаха всички български, а и много световни медии, вече може да се направят някои изводи и да се дадат съвети.

Някои мои колеги от ИТ-бранша се нахвърлиха* още от самото начало, когато нищо не бе известно, върху НАП и държавата. Други бяха по-точни – обърнете внимание на публикациите на Димитър Ганчев и Божидар Божанов, двама от най-добрите експерти, с които България разполага. Аз също писах нещо, на 24-и юли.

Междувременно прокуратурата излезе с няколко съобщения, което беше едновременно правилно и може би не толкова правилно действие. Правилно беше, защото е добре обществото да знае какво работят в МВР. Неправилно беше, защото бяха споделени повече факти около разследването, отколкото беше необходимо. И друг път се е случвало МВР и прокуратурата да говорят повече, отколкото трябва. Спомняте си вероятно времето на министъра Цветанов, когато той обявяваше пред камерите или от трибуната на Народното събрание кой е престъпник, кой – крадец, кой – убиец и кой – детеубиец. България все още изплаща обезщетенията на обявените от министъра за престъпници, а всъщност невинни хора.

Да видим какви са проблемите:

Първи проблем: хакването на базата данни на НАП.
Изключително голям проблем на данъчната администрация – бяха откраднати лични данни на милиони български граждани.

Втори проблем: реакцията на НАП
На практика се оказа, че единственият човек от НАП, който говореше с медиите, бе човекът за връзки с обществеността. Трябваше да се появи някой от началниците и да обясни на хората какво се е случило и какви мерки ще бъдат взети. Такава информация излезе, което е добре, но не биваше да оставят на предна линия само говорителя.

Трети (четвърти и пети) проблем: използването на откраднатите бази данни

Стана известно, че отделни лица и поне един сайт, “Бивол”, рекламиран от някои хора във Фейсбук като “издание”, са публикували форма, чрез която може да се направи справка по ЕГН. ИТ-експертът Красимир Гаджоков, който е един от хората, споделили  тази форма, твърди, че тя пазела тайната на ЕГН, но обикновеният потребител ще трябва да избере дали да се довери на думите му или да предпочете да ползва справката чрез сайта на НАП.  Публикувалите подобни форми или разполагат с базата данни, или имат достъп до нея, за да правят справките. ИТ-експертът Красимир Гаджоков предположи на стената си във фейсбук, че хората, които правят такива справки “биха могли да правят API calls до интерфейс…, направен от някой друг някъде другаде…, а да получават само отговорите в кой файл се намира хеша на ЕГН-то.”
Така или иначе, използването на откраднатата информация е неправомерно и незаконно, защото – независимо от факта, че е била открадната! – тази информация подлежи на специална защита не само от българските закони, но и от тези на Европейския съюз. Личните данни не престават да бъдат такива в момента на открадването им или в момента на публикуването им – и това е важно да се знае.
За някои хора третият проблем е дори по-голям от първия – защото хакване може да се случи на всяка институция или компания, независимо от мерките, които са взели за защита на сървърите си. Но използването на вече откраднатата информация с цел да се правят “услуги” е на практика не само насърчаване и на бъдещи кражби, но и в контекста на съобщението от прокуратурата за наличието на някаква връзка между сайта “бивол” и файл на компютъра на един от обвинените, е факт, върху който обикновеният потребител трябва да се замисли.

“Установено е, че между 10.07.2019 г. и 12.07.2019 г. – три дни преди публикуването на базата данни на НАП в интернет, на служебния компютър на К.Б. са правени търсения в тази база данни с единни граждански номера на няколко лица: министър – председателя Бойко Борисов, главния прокурор Сотир Цацаров и народния представител Делян Пеевски. Непосредствено преди това търсене е извършено търсене с единните граждански номера на други две лица, както и за адвокатска кантора „Авиора консулт“. Резултатът от тези търсения Бойков е съхранил във файл, именуван „Търсене за бивол“. След тези действия от него е извършено търсене в базата данни на НАП с единния граждански номер на Емил Радев – евродепутат. Резултатите от тези търсения са обменяни от Бойков с друго лице.” (Из съобщение на прокуратурата)

Показателен е и друга подробност – на 26-и юли “изданието” съобщи, че е премахнало възможността за справка чрез сайта – може би някой все пак е успял да го убеди, че  нарушава закона, защото в обясненията си в коментари на фейсбук-стената си пишеха, че някои граждани са се усетили и са подали жалба до Комисията за защита на личните данни. От другите две търсачки, които са ми известни, едната е сторила същото, но третата си работи и в момента, 27.07. По-късно ще пусна и картинки от компютърния екран от тези сайтове.

Снимка от тв екран (Нова телевизия)

Четвъртият  проблем е свързан с разпространяването на информационните масиви в хакерските форуми.
От редакцията на ZDnet са се свързали с българин, подвизаващ се с псевдонима Instakilla, който е обяснил, че той я е публикувал, след като видял препратката към файла в предаване по Нова телевизия. Попитан от редакторите на ZDnet защо е споделил данните на своите сънародници, след като и той е българин и може да бъде заловен от властите, човекът отговаря: “Аз не съм оригиналният хакер, не се чувствам отговорен за каквото и да е.”
ZDnet е проверила, че файловете отговарят на свалените от НАП.
Ще бъде интересно да се види дали ГДБОП ще установят кой е Instakilla и дали ще намерят текст, под който да го подведат под отговорност.

За голяма изненада, един от хората, популяризиращи мястото, където е публикуван zip файла с базите, е сравнително известен човек, който при това работи с бази данни!? По-късно ще публикувам и картинка от стената, където е пуснал препратката.

Петият проблем е за Нова телевизия и за това, че са пуснали нередактирана връзка към откраднатите бази данни, от която Instakilla се е възползвал. Не знам дали КЗЛД ще се самосезира, но няма да се изненадам, ако го стори.

Шести проблем: реакцията на прокуратурата
Прокуратурата публикува не едно, не две, не три, а цели четири съобщения, при това в рамките на една седмица. Въз основа на досегашния опит, който гражданите имат с публичността на държавното обвинение, това може да има обратен на търсения ефект и да задълбочи съмненията сред хората, особено когато тези съобщения се погледнат и в контекста на твърденията от страна на зам.-главния прокурор Иван Гешев** към медии, политически партии и конкретни политици за едва ли не някаква връзка между тях и хакването. Г-н Гешев обяви в интервюто си по БНТ, че то било “координирана атака срещу държавата”. В публикуваните четири съобщения от прокуратурата обаче няма подобна информация.

Седми проблем: какво е известно и кой за какво е обвинен
До момента от прокуратурата и от медиите знаем, че има обвинени трима души (нарочно не им пиша имената); беше съобщено и името на търговското дружество, в което те работят, бяха пуснати и снимки как ГДБОП изнасят техника от офиса им. Но няма доказателства, че те са хакерите, проникнали в сървърите на НАП. Това може да се види в текста на третото съобщение от прокуратурата:

“От анализираните данни към момента може да се направи заключение, че той е разполагал с базата данни на НАП преди разпространението й в Интернет пространството.”

Това, че някой е разполагал с базата данни на НАП не е гаранция, че той е човекът, който я е свалил от сървърите им. В прокуратурата са наясно с това.
Обвиненията обаче са по малко използвания текст на чл. 108а от НК – тероризъм и ще бъде интересно да се види дали те ще преминат през съда или ще се наложи прокуратурата да пренаписва обвинителния акт.
Важното, което всеки трябва да знае: обвинените не са виновни, не са престъпници, не са “известни на полицията” хора – те са невинни до доказване на противното с влязла в сила присъда. Това е аксиома в наказателното право.

Осми проблем: какво да правят хората – и засегнатите, но и останалите
НАП публикува някои препоръки.
Част от експертите, които бяха интервюирани по медиите, също дадоха съвети, някои от които са полезни.
В случая обаче бе задължително някой представител на държавата да излезе и да обясни подробно какво може и какво е задължително да се направи.
Много важно е да се знае, че според НАП не се налага да си сменяме личните документи:

“Няма непосредствен риск някой да се разпореди с имуществото Ви или да поеме задължения от Ваше име, заради неправомерно разпространените данни. Това потвърдиха от Нотариалната камара, банките, дружествата за бързи кредити и лизинг и Агенцията по вписванията.
Съветваме Ви да бъдете предпазливи, когато някой контактува с Вас по телефон или имейл и да не давате на никого финансова информация.
За допълнителна сигурност можете да смените паролата на електронната си поща и ПИК кода от НАП.”

Ето и моя скромен принос със съветите – те са елементарни, но  е добре всеки от нас да ги последва (в произволна последователност), за да минимизира щетите от хакването и кражбата на информация:
– Проверка дали нашите данни са сред откраднатите информационни масиви (https://check.nra.bg/).
– Ако са там и човек има фирма или имот – добре е да се абонира за известяване чрез SMS на евентуални промени. Става чрез регистрация в Търговския регистър и службата по вписванията. Струва 6 лева за 2 години. Включва 500 съобщения.
– Макар и да няма връзка с хакването на НАП, давам още един съвет, защото излезе информация, че в компютрите, иззети от ГДБОП, е имало и списък с пароли за достъп до електронна поща: смяна на паролата за достъп до електронната поща. Също така, да използвам случая – задължително е да включите и втора стъпка за удостоверение, че човекът, който въвежда първата паролата е истинският потребител. Става със SMS или – още по-добре! – с някое от приложенията, които генерират еднократни пароли през няколко секунди (напр. Google Authenticator). Ако доставчикът ви на електронна поща не предлага подобна втора стъпка, поискайте да я въведе, но ако я няма и отказва да я въведе, помислете за смяната му с друг, който я поддържа. Услугата е безплатна.
– Не си проверявайте ЕГН-то в сайтове, различни от този на НАП!
– Не се подвеждайте да си сваляте и четете откраднатите бази данни – това е престъпление само по себе си. А дори и да не ви пука за закона, помислете, че е и неморално.
– Следете за повече информация официалния сайт на НАП, където има актуална и меродавна информация: https://nra.bg/
– Не се подвеждайте по сензационни материали, бомбастични заглавия и търсене на евтина популярност от съмнителни “издания”.

Сигурен съм, че има и други проблеми; възможно е да допълня този текст в следващите дни.

_____
* – Вижте например публикациите на Красимир Гаджоков във фейсбук – туктук и тук, например.
** – Цялото му интервю по БНР е тук.

About De Fakto

Проверете също

Въпросите към кандидата Гешев*

Иван БРЕГОВ, ИПИ* Мандатът на настоящия главен прокурор Сотир Цацаров е към края си, а …

ВАС задължи кадровиците да накажат Мирослава Тодорова

Мирослава Тодорова да бъде наказана – това задължително указание дава тричленен състав на Върховния административен …

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.