Редица пропуски и риск от дългосрочен срив е установила Комисията за защита на личните данни при проверката в НАП заради теча на данни след хакерската атака отпреди седмици.
Не са предприети действия за обновяване на операционните системи, сървърната система е на ниво 2008 г., а срокът на поддръжка в световен мащаб изтича януари 2020 година. Това са част от констатациите на Комисията за защита на личните данни от извършената цялостна проверка на НАП, съобщи председателят й Венцислав Караджов пред парламентарна анкетна комисия за теча на данни от приходната агенция.
НАП са приоритизирали обслужването на физически лица чрез електронни услуги, уточни Караджов. Тези услуги са написани на език, който е на ниво 2008 г. и ако се осъвремени системата, не може да работи съответната услуга.
Също така в НАП не са предприели редица техническо-организационни мерки, за да предпазят личните данни на гражданите. Сред тези мерки са разписването на различни видове протоколи за работа, правила и процедури за защита на личните данни, както и права и задължения за контрола, обмена и обработката на информацията.
КЗЛД е дала 6 месеца за изпълнение на даденото на НАП предписание
"Било е възможно лесно хакване на базата данни, тъй като хакването на услугата дава непосредствен достъп до базата данни", подчерта той. КЗЛД е констатирала нарушения при отчетността – липсвала отчетност за привилегированите потребители, съобщи още Караджов. По думите му "когато хакерът е влезнал, системата не е сигнализирала, защото не е било заложено като хардуер и софтуер".
Той посочи и пропуски по отношение на оценката на риска, също липса на документирани правила и процедури. "Няма паралелен сървър, липсват политики за обработване на специални категории данни, за повторно използване на личните данни, за архивиране и унищожаване на данни, което позволява при неоторизиран достъп да се придобие изключително голям обем информация", съобщи още председателят на КЗЛД.
Караджов посочи още, че след теча на данни НАП е оказал пълно съдействие при действията на комисията. Установено е било още, че голяма част от проблемите са били констатирани в последните пет години от служители на НАП, но явно, никакви ответни мерки не са били предприети.
По принцип КЗЛД има правомощия да прави секторни проверки, прави и проверки според броя сигнали и жалби. За НАП не е имало индикации да се налага проверка, обяси Караджов. Към момента такива секторни проверки са извършени в областта на телекомуникациите, образованието, здравеопазването и бързите кредити, където са били дадени съответните препоръки.
На следващото заседание анкетната комисия ще покани за изслушване ръководството на Държавна агенция "Електронно управление".















