Снимка: Pixabay

В рамките на месец и половина с две кибер атаки хакери се добраха до личните данни на милиони български и най-вероятно и на чуждестранни граждани. Става въпрос за скандалното източване на масив от лични данни на над 5 милиона пълнолетни лица в България от Националната агенция за приходите (НАП), по което се води разследване, и за пробив в системата с кредитни карти на Банка ДСК, чрез който са разкрити лични данни на над 33 хиляди клиенти на кредитната институция.

И по двата случая вече има наложени от Комисията за защита на личните данни (КЗЛД) санкции. За приходната агенция сумата е 5.1 млн. лева, а за кредитното институция е 1 млн. лева. И двете постановления са издадени на 28 август.

Глобата за НАП

Националната агенция по приходите ще трябва да пати 5.1 млн. лева глоба заради теча на лични данни (GDPR) на 4 милиона и 100 хиляди българи. Това обяви в ефира на БНТ в четвъртък председателят на КЗЛП Венцислав Караджов. Той уточни, че сумата няма да бъде увеличена заради индивидуални жалби на пострадали.

Дали НАП ще обжалват тази глоба е въпрос на мениджърско решение, каза Караджов. По закон санкцията може да достигне 20 млн. лв.

За размера на глобата е взето предвид отговорното поведение на агенцията след действията по кражба на информация от базата им данни. „Някои казват, че това е киберпрестъпление, за мен това си е кражба", каза Караджов. По неговите думи, по закон санкцията на НАП може да стигне 20 млн. лв. Комисията, обаче, е отчела действията на администратора като отговорен администратор и прави всичко възможно да минимизира щетите. „Санкцията не е, за да накаже админастратора, а да направи така, че да несе повтаря това поведение, което е незаконосъоразно", подчерта Караджов.

Нека припомним, че след като се завърна от отпуска в разгара на скандала с източването на данните на НАП, изпълнителният директор на приходната агенция Галя Димитрова поиска оставката на ръководителя на звеното за информационни системи в НАП и на отговорния ръководител на ИТ сигурността, с което стана ясно, че ръководството на приходната агенция не се чувства отговорно и няма вина. Още повече, че на първата си пресконференция след отпуската, Галя Димитрова заяви, че финансовият министър Владислав Горанов не е поискал оставката й, а настоява за решения за справянето с проблема.

По думите на Караджов, обаче, „проблемът е, че НАП е трябвало да направят повече отколкото са правили и затова е тази санкция".

„Повече от това няма да бъде наложено на агенцията, нито пък и на банката, тъй като причината за самото нарушение е едно и също. Освен това ние сме установили безспорно всички физически лица, които са пострадали чрез този теч на информация и нямаме други страни и друга първопричина за извършеното нарушение", обясни председателят на КЗЛД.

Санкцията се обжалва по съдебен ред

Актът за установяване на административно нарушение, съставен срещу НАП от Комисията за защита на личните данни (КЗЛД), е оспорен в законовия 3-дневен срок, съобщи в четвъртък  приходната агенция. Наказателното постановление, с което комисията налага санкция в размер на 5,1 млн. лв., също ще бъде обжалвано пред съда.

От съобщението до медиите става ясно, че мотивът за оспорването на акта е, че неоторизираният достъп, кражбата на данни и последващото им публично оповестяване са резултат от действия, представляващи престъпление по смисъла на Наказателния кодекс, осъществени независимо и въпреки предприетите от НАП технически и организационни мерки за защита.

От НАП обмислят и предприемането на съдебни действия спрямо извършителите на хакерската атака срещу сървърите на агенцията, като е възможно както присъединяването на агенцията в наказателното производство, така и воденето на гражданско дело.

Така финансовата претенция в размер, покриващ наложената на приходната агенция имуществената санкция, ще бъде насочена към извършителите на престъпното посегателство. В случая навярно се визират трима души, срещу които специализираната прокуратура води разследване - собственикът на "ТАД груп" Иван Тодоров, търговският директор Георги Янков и служителят, за който се твърди, че е извършил източването Кристиян Бойков.

Санкцията за Банка ДСК

Е в размер на 1 млн. лева и е заради неправомерно разкрити и достъпени от трети лица лични данни на общо 33 492 клиенти на банката в 23 270 кредитни досиета. В тези досиета се съдържа информация и на свързани с клиентите трети лица - в това число роднини, съпрузи, продавачи на имоти, наследници или гаранти. Преди да бъде издадено постановлението за санкцията на 28 август, е направена щателна едномесечна проверка със съдействието на банката, уверяват от КЗЛД.

„В този случай не става въпрос за хакерска атака, а за кражба на хард диск. Банката тепърва трябва да увадоми всички засегнати клиенти", препоръча Караджов.

За разлика от казус с НАП, при ДСК не е известно информацията да е достигала до широк кръг лица, а самата проверка на КЗЛП започва, след като самата банка уведомява КЗЛД и съдебните органи.

По-късно в разпратено до медиите съобщение от банката, се казва, че става въпрос за недигитална кражба на данни. "Банка ДСК приема глобата и си сътрудничи с органите за по-нататъшно подобряване на своите мерки за защита на личните данни," се казва в съобщението. В него се уточнява, че санкцията ще бъде обжалвана по съдебен в законния срок.

Добре е да се знае

През следващата седмица НАП ще пусне в експлоатация справка за това какъв вид лични данни са били разкрити за български граждани. Проверката ще може да бъде извършена чрез идентификация с персонален идентификационен код (ПИК), издаден от приходната агенция, или с електронен подпис. Такава справка ще може да се направи и в офисите на НАП в страната след представяне на лична карта. Юристи съветват да се изчака тази справка, преди да се предпиремат индивидуални искове, тъй като данните от справката ще бъдат възприети от съда като официален държавен документ.

Още по темата:

Прокуратурата и ДАНС подхващат хакерската атака в НАП

За първи път България получава финансиране от ЕС за реакция при кибер инциденти

Кибератаките няма да подминат България