„Комисията за защита на личните данни (КЗЛД) е съставила акт за един милион лева на „Български пощи“. Актът е за това, че дружеството „не е приложило подходящи технически и организационни мерки“ преди и по време на кибератаката от 16 април т.г. и така е позволило зловреден софтуер да криптира чувствителни бази данни. Няма изтичане на чувствителни данни, но преди и по време на кибератаката не са приложени подходящи технически и организационни мерки.
През последните месеци е била извършена обстойна проверка на КЗЛД на системите за защита на личните данни, както и цялата хронология на тежката кибератака, която причини щети за милиони на „Български пощи“ по-рано през април т.г.
Проверката е установила, че тогавашното ръководство е неглижирало, както обезпечаването на адекватна киберсигурност на дружеството, което оперира с личните данни на милиони българи, така и е подходило безотговорно в самия ден на атаката. От хронологията на събитията личи, че действията на служителите, които е трябвало да изключат достъпа до интернет, са закъснели с повече от 12 часа. В случай, че достъпът до глобалната мрежа е бил преустановен навреме, щетите са щели да бъдат в пъти по-малки.
„От 9-и до 19 май екипът от експерти на КЗЛД извърши пълна инспекция на всички сървъри и работни станции на „Български пощи“. След диагностиката е установено, че бекъпите на базата данни също са криптирани, което допълнително усложнява ситуацията. Бекъпите на информационните системи са съхранявани на същите дискови масиви, както и съответните продукционни бази данни, което е абсолютно недопустимо.
Целта на резервните копия е да пазят информацията в случай на атака и те категорично трябва да бъдат позиционирани на друго защитено място. Това е все едно да си държите резервния ключ за колата вътре в колата.
Председателят на КЗЛД Венцислав Караджов коментира, че актът е съставен заради липса на организационни и технически мерки за защита на личните данни на потребителите и че хората могат да бъдат спокойни, защото е видно от изследвания трафик между 1-ви и 16 април, че изтичане на лични данни няма.
„Външните нападатели не са имали непосредствен физически контакт с информационната система на „Български пощи“, което предполага използването на някакви агенти за проникване в нея, преди извършване на вредителските действия“, е записано в доклада. В резултат на неправомерния достъп е била нарушена способността на гарантиране на постоянна поверителност, наличност, цялостност и устойчивост на системите на дружеството.
„На 16 април старото ръководството на пощите установява пробив в системите, който по-късно се оказва, че е бил осъществен още на 9 април.
Според вицепремиера по ефективно управление в оставка Калина Константинова активирането на вируса съвпада с хирургическа точност с деня, в който започват да се раздават великденските надбавки на пенсионерите и заради това тя има всички основания да смята, че целта на атаката е да компрометира и възпрепятства именно тази кампания.
Константинова е на мнение, че актът на КЗЛД е напълно обективен и справедлив, затова и няма да обжалваме решението ѝ. В една правова, справедлива и развита европейска държава, решенията на независимите институции трябва да се изпълняват, а не да се използват създадени нарочно вратички в закона, които позволяват да се обжалва, докато изпадне актът по давност, подчертава принципалът на "Български пощи", каквато се явява Константинова.
От „Български пощи“ също приемат сериозно съставения акт от Комисията за защита на личните данни.
Новият изпълнителен директор Богдан Теофанидис още от първия ден на новото ръководство работи не просто за реанимирането на дружеството, но и за преобразяването му в сигурен, модерен и дигитализиран пощенски и административен оператор. Препоръките от акта вече се взимат предвид, а размерът на глобата ще бъде покрит от бъдещи компенсации и няма да се отрази на текущия оборот на предприятието, обясни Теофанидис.
Дигитализацията и модернизацията на клоновете на пощите е гарантирана с инвестицията от над 101 млн. лв. от Националния план за възстановяване и устойчивост. Част от тях са предвидени именно за подсигуряването на информационната сигурност на „Български пощи“ чрез осигуряване на актуален софтуер и хардуер, сигурни външни и вътрешни системи за сигурност, както и за обучение на служителите за работа с новите системи, допълни още директорът на „Български пощи“.
Ирина Дунчева
