истемата за обмен на информация между агенция "Митници" и НАН – Българска акцизна централизирана информационна система (БАЦИС) не е била манипулирана, но ако това се е случило, то няма как да се докаже. Това е основният извод след продължилото три часа изслушване в парламента, провокирано от данни, изнесени миналата седмица от БСП, че има риск за финансовата сигурност на страната.
Причината е, че в централизираната система за контрол на акцизните стоки не оставят следи влизанията или направените промени, защото това са параметрите, зададени при изграждането й.
Пред депутатите от вътрешната и бюджетната комисия за доклада на ДАНС и прокуратурата за заплаха за финансовата сигурност на страната от 2016 година говориха финансовият министър Владислав Горанов, главният прокурор Сотир Цацаров, директорът на Агенция "Митници" Георги Костов, неговият заместник Борислав Борисов, както и агентът от ДАНС по киберсигурността Николай Николов. В четвъртък председателят на парламента Цвета Караянчева поиска разсекретяване на материали по казуса, като за днешното обсъждане това вече беше факт.
Изказванията на представителите на институциите бяха белязани от противоречия, те не отговаряха на въпросите конкретно и докрай. Но от тях се разбра, че констатираните проблеми в системата, отразени в доклада на ДАНС и прокуратурата, са били отчасти отстранени. Те са свързани с това, че всички служители на Агенция "Митници" са можели да влизат с една и съща универсална парола (по това още се работи), както и че от това не остава следа. Последното е променено още лятото на 2016 година.
На практика от дискусията нямаше смисъл, защото нови данни не бяха представени. Още в петък прокуратурата съобщи, че на два пъти е отказала да образува разследване поради липса на данни за престъпление, а от друга – заседанието беше използвано за политически реплики между управляващите и опозиция ден преди дебатите по внесения от БСП вот на недоверие. По време на дебатите дори председателят на вътрешната комисия и зам.-лидер на ГЕРБ Цветан Цветанов поиска от главния прокурор коментар на мотивите на вота на недоверие. Изказването му бе посрещнато от бурни реакции от депутатите от левицата, които един през друг му казаха да се въздържа от подобни предложения, внушения и коментари. Самият Цацаров заяви, че дори и да поискат това от него, не би коментирал политически въпроси.
Цацаров: БАЦИС е развален водомер, през който не се знае какво минава
"На практика сме изчерпвали всички възможни средства за доказване – снемали сме обяснения, изисквали сме документи, стигнало се е до положение, при което е иззет и копиран целият харддиск на основния компютър. В крайна сметка изводът е системата позволява манипулация и тя така я позволява, че от нея очевидно не остават следи. За да започнем производство, трябва да имаме конкретно виновно лице", обясни още главният прокурор защо обвинението не е започнало разследване по случая. Той определи системата като "развален водомер, пред който не се знае какво минава".
"Липсата на лог файлове за одит на системни процеси, осъществяващи комуникации, достъп и други в интегрирано комуникационно устройство за наблюдение и контрол (ИКУНК), не позволяват да се определи еднозначно нерегламентиран достъп и манипулации. Производство се започва и обвинение има, когато е извършено престъпление от конкретно лице. В конкретния случай това е недоказуемо", допълни той.
Цацаров коментира задочно и изказване на представител на Българската петролна и газова асоциация – Андрей Делчев, по-рано в понеделник пред Би Ти Ви. Делчев твърди, че за определен период са били заличени компютърни маркирания на операции в БАЦИС. Главният прокурор отрече такава информация да се е появила в някои от разпитите.
"Те говорят по телевизията, но не и пред разследващите. С изключение на две от фирмите, които са подписали сигнала и са членове на тази асоциация, обективността изисква да кажем, че нито един от големите вносители и производители на гориво у нас не изнесе и отрече съществуването на данни за умишлено манипулиране на системата и на загубата записи, каквото се твърди днес от представител на тази асоциация", коментира главният прокурор.
Той заяви, че прокуратурата нямала абсолютно никакви съмнения в констатациите от доклада, защото той не съдържал противоречия и прокуратурата го приемала изцяло.
Горанов и Костов: Митниците и системата работят добре
Встъпителните изказвания на Горанов и Костов изобилстваха от статистика за добрата работа на митниците и постоянния ръст в събираемостта на акцизи за фиска. Костов обясни пред депутатите, че през 2012 г. приходите от акциз са били 4 млрд. 47 млн. лв., като след въвеждането на системата БАЦИС ръстът е 23.1 процента. "Тази година приходите от акциз са 4 984 млрд. лв., а ръстът е 930 млн. лв.", каза Костов.
Иначе от изслушването на двамата се разбра, че осем от констатациите за БАЦИС в доклада на ДАНС са отстранени, последната е в процес на отстраняване, като срокът за това е 1 юли 2018 г. Миналата седмица финансовият министър каза, че всички слабости в системата са отстранени отдавна.
Това, което предстои да се оправи до края на първото шестмесечие на годината, е въвеждането на индивидуален акаунт, за да не става влизането с една и съща слаба парола от всички. До момента това е направено в 47 ИКУНК-а и предстои да се направи в останалите до 140.
Финансовият министър се съсредоточи в обвинения, че причините за проблемите в системата са в правителството преди поемането на управлението от ГЕРБ през 2009 г., както и в периода, в който партията не е била в управлението през 2013 г.
"Искам да заявя категорично, че, първо: твърдението, че от лятото на 2016 г. до деня, в който се посочиха мотивите за вота, не са предприети никакви действия и системата не е коригирана, са неверни", каза министърът в отговор на обвинения на левицата.
По думите му не само през 2016 г., а впоследствие и 2017, и 2018 г. продължавали действията по усъвършенстване на системата. "Това, че 2016 г. в нея са констатирани отделени рискове, не се отрича, но е факт, че всички констатации от 2016 г. са отстранени", коментира още Горанов.
"Това, че системата работи и е от полза на българската митническа администрация, е безспорен факт и питам аз: По-добър ли е контролът и по-добър ли е бил контролът тогава, когато системата не е съществувала?"
По думите му Наредбата за монтиране на измервателни уреди в данъчните складове е приета чак през 2010 г., т.е. три години след влизането на страната в ЕС, когато е трябвало да се случи. След това е обявена поръчка за изграждане на БАЦИС през 2012 г., която е започнала да работи в началото на април 2013 г. По думите му отговорността за системата трябвало да се раздели между него и Петър Чобанов, който бе финансов министър в кабинета на Пламен Орешарски.
Горанов бе попитан от Румен Гечев от БСП как не е забелязал проблема в системата от 2013 г. до 2016 г. На което министърът отговори само, че са били факт констатираните от ДАНС слабости и те са били отстранени.
Той посочи, че нито в доклада на ДАНС, нито в изводите на прокуратурата се съдържа нито една от посочените в публичното пространство констатации за манипулации и за извършване на закононарушение. Данни за подобни манипулации не са налични и анонсите в тази посока Горанов окачестви като чисто политически провокации с оглед нагнетяване на напрежение около предстоящото гласуване на вот на недоверие към правителството.
Друго противоречие в дискусията бе, че Димитър Георгиев, шеф на ДАНС, заяви, позовавайки се на доклада на ръководената от него агенция, че влизането в ИКУНК или отдалечения достъп е ставал с една и съща слаба парола от всички митничари, което създава опасност за лесна манипулация. Зам.-директорът на Агенция "Митници" Борислав Борисов пък заяви, че всеки митничар е влизал с електронен подпис, имал е своя парола, като парола имало за всеки конкретен митнически пункт. По тази причина той отрече възможността митничар от Калотина да може да влиза в системата на Дунав мост например.
След комисията Георгиев обясни за "Дневник", че влизането в конкретен компютър става чрез електронен подпис на митничар, но след това влизането в БАЦИС става с лесна и еднаква парола, откъдето е дошла разликата в изказванията им.
БСП: Защо не се усъмнихте в обществената поръчка?
Прокуратурата е трябвало да бъде сезирана за провеждането на търга по избор на фирма по изработването на БАЦИС през 2012 г. твърдят депутатите от левицата. Консорциум "Айдом и Ай Би Ес" е спечелил обществената поръчка за изработването на системата.
От БСП зададоха въпроса и как поръчката е била приета като изпълнена, като след това са оправяни неща в системата, които все още не са готови докрай.
Представителите на Агенция "Митници" бяха попитани кой е бил в комисията, която е одобрила фирмата, изработила системата, и как тази комисия е допуснала тя да се изгради с такива слабости, както и дали е направено умишлено. Според Борислав Борисов системите в агенцията се приемат от надзорен съвет. Той отказа да коментира умисъл в това решение, но пък каза, че такъв нямало от митниците.
От документа става ясно, че е подготвен по искане на прокуратурата след сигнал от "Българска газова и петролна асоциация".
Сигналът визира постоянно променящите се изисквания към подаваните от икономическите оператори данни, което затруднява търговската дейност. Също така, споменато е и умишлено заличаване на данни, подавани и съхранявани на БАЦИС, с цел прикриване на незаконни действия на икономически оператори (ИО), пише в документа от ДАНС.
От ДАНС са поискали от компании, които търгуват с горива и енергийни продукти, информация за констатирани от тях нередности. От документа става ясно, че от "Лукойл" се говори за "изчезване" на електронен акцизен данъчен документ. В останалите отговори от фирми най-често се казва, че такива данни нямат. Проверката е посочила, че след този случай няма други констатирани нередности от същия вид, по данни на митниците.
В хода на проверката на ДАНС са разпитани и 18 служители на Агенция "Митници", които имат отношение към внедряването на системата БАЦИС, работата с нея и комуникационните системи на агенцията. В резюметата на получените от служителите отговори най-честите отговори са или че не им е известно да има, или че няма възможност за заличаване или промяна на подадени данни към БАЦИС.
Следва "разяснителна" част от доклада по свършеното от ДАНС. В тази част се казва, че през септември 2015 г. е регистриран инцидент, свързан със загуба на данни от измервателни устройства. Инцидентът е в резултат на действия от служител на агенция "Митници", предприел мерки за освобождаване на пространство на сървър на БАЦИС. Оказва се, че след това е констатирано, че данните от измервателните уреди на два икономически оператора, които се подават към системата, не се записват на сървъра на БАЦИС. За този случай има доклад от митническия служител, както и проверка от инспектората в митниците. Не става ясно какво е установила проверката.
В доклада на ДАНС се казва още, че по време на проверката, провеждана от агенцията, се получават данни за нефункциониране на интегрирани комуникационни устройства за наблюдение и контрол (ИКУНГ). Това са устройствата, които се използват за изпращане на данни в БАЦИС, постъпващи от измервателните устройства в данъчните складове.
В доклада на ДАНС има препратки към други документи, които са част от проверката, но не са достъпни. Следват три страници, в които има 9 констатации за "слабости и уязвимости" на системата и 4 извода. Ето факсимилета от тази последна част от доклада на ДАНС.
Състоянието на системата БАЦИС ДАНС описва така:
– Налице са значителни технически уязвимости, които поставят под съмнение достоверността и точността на получените от Агенция „Митници” данни.
– Всички устройства за наблюдения и контрол в БАЦИС се достъпват и администрират от служител на АМ с една и съща слаба парола.
– Операционната система на устройствата за наблюдение и контрол не се актуализира за предпазване от установени уязвимости. Не е предоставена и детайлна информация за устройствата за наблюдения и контрол.
– Достъп до устройствата за наблюдения и контрол може да става чрез най-обикновените средства за мрежова комуникация Skype и ICQ.
– Служителите от Агенция „Митници“ не са предоставили информация за наличието на система за мониторинг в „реално време”, която да дава информация какви събития и какъв е статусът на мрежата от устройства за наблюдения и контрол.
– В операционната система на устройства за наблюдения и контрол не се водят логфайлове за одит на системни процеси, осъществявани комуникации, достъп и др.
– Само за три дни – от 24 до 27 април 2016 година 33 броя устройства за наблюдения и контрол не са функционирали по неизяснени в различни данъчни складове в страната. Липсва детайлна информация дали преминалите през това време на нефункционирането на устройства за наблюдения и контрол акцизни стоки са отчетени по установения ред.
По нататък в доклада си ДАНС прави следните изводи:
– Изградената система БАЦИС и администрирането ѝ е уязвимо към различни деструктивни въздействия.
– Използването на една и съща парола за осъществяване на достъп до устройства за наблюдения и контрол за всички данъчни складове в страната, позволява системата на национално ниво да бъде лесно дестабилизирана.
– Липсата на логфайлове за одит на системни процеси, осъществявани комуникации, достъп и др. в устройствата за наблюдения и контрол, не позволява да се установи еднозначно наличието на нерегламентиран достъп и манипулации.
– Налице е инсталиран софтуерен продукт Team Viewer 11, позволяващ отдалечен достъп както от компютъра, използван за администриране на устройствата за наблюдения и контрол , така и от други компютри, включително и такива, които не са част от контролната информационна система на Агенция „Митници
– В текущата версия на софтуера, използван за автентикация (ZENwork), са налични множество уязвимости, позволяващи осъществяването на неоторизиран достъп.
– По време на извършената проверка е установено, че работната станция работи под операционна система Windows ХP, която е със спряна поддръжка от производителя, поради установена невъзможност да бъде осигурена надеждна защита.
– Доловени са признаци, че част от съдържанието, съхранявано на магнитния носител, е изтрито. Не бе открито приложението ICQ, което е видяно по време на извършеното посещение в сградата на Агенция „Митници”.
На основание на това ДАНС обобщава:
– Налице са технически възможности за манипулиране или неоторизирано достъпване на компютърна система, използвана за контрол и мониторинг на ИКУНК, използвана в Агенция „Митници”.
– При работата с проверената компютърна система не са спазени общоприети „добри практики” за мрежова и информационна сигурност.
– Съществуват условия за създаване на заплаха за финансовата и икономическата сигурност на страната, поради наличие на възможност за манипулиране на количеството стоки, подлежащи на акцизнооблагане.
– Налице са признаци, че служителите от Агенция „Митници” са изменили съдържанието на анализираната компютърна система с цел прикриване на допълнителни уязвимости в нея.
От събраните в хода на работата по проверката материали е видно, че при експлоатирането на БАЦИС са констатирани редица проблеми, пише още в доклада на ДАНС.
Установени са нереализирани функционалности.
Видно е, обаче, че от страна на ръководството на АМ е създадена необходимата организация проблемите да бъдат констатирани своевременно и отстранявани, съвместно с разработчика. Изготвен е проект „Усъвършенстване на БАЦИС”, чието изпълнение се очаква значително да подобри работата на системата, завършва доклада на ДАНС.
Докладът е изпратен на Софийската градска прокуратура. Тя потвърждава констатациите и изводите на ДАНС, но отказва да образува досъдебно производство за престъпление от НК, защото констатираните слабости не позволяват да се направи извод дали БАЦИС е била обект на деструктивно кибер въздействие.
"Използването на една и съща парола за осъществяванетона достъп до устройствата за наблюдения и контрол за всички данъни'складове в страната, позволява системата на национално ниво да бъде дестабилизирана", завършва прокурор Варадинова.
Прокурската преписка е преустановена.
