Bingo! Вашето ЕГН е в данните. Този надпис излезе, след като пуснах десетте числа в търсачката, споделена масово в социалните медии през последните дни – и потвърди, че моите данъчни и осигурителни тайни вече не са тайни.

#НАПлийкс – пробивът в системите на Националната агенция по приходите, извършен от хакер или хакерска група, доведе до източване на големи масиви от данни. Колко точно? Хакерите твърдят, че са източили 21 гигабайта с милиони записи за граждани и фирми, в т.ч. чуждестранни, а около 50 медии получиха достъп до 11 гигабайта.

Просто „база данни“

Несъмнено споделянето на ЕГН е признак за ниската ми дигитална култура. Но не изпитвам притеснения, че информацията за доходите ми, които не са впечатляващи, за ипотеката, адреса и работодателите ми през последните 10 години е станала достояние на неизвестни. Само раздразнение, че не съм успяла да се разпореждам и печеля от този актив. Със сигурност и аз, като милиони други, съм просто „база данни“.

Разбира се, данните може и да са чувствителни за мнозина – едва ли всеки иска заплатата му да е публично известна, както и имотите и тяхното местонахождение, ЕГН-тата на непълнолетните му деца, платените данъци и др. Ами ако медия или политически противник свери данните с разходите за американски университет за детето с такса от 50 000 долара годишно, нови коли, скъпи почивки и други екстри? Или друг с престъпни намерения реши да ги използва за

рекет, отвличания и зловредни деяния – като например фалшиви пълномощни пред банки, нотариуси и всякакви институции, които използват лични данни…

Само че с подобни информационни масиви разполагат и банките, маркетингови компании, мобилни оператори, фирми за бързи кредити, колцентрове. Списъкът може да бъде продължен. А, да не забравяме телефонните измамници. Някой знае ли откъде клановете си набавят данните и информацията за хората, които изнудват – едва ли си играят на „бели“ и „черни“ хакери, просто плащат, за да пазаруват данни и телефонни номера. Срещу кеш „вътрешен човек“ – чиновник, служител на частна компания или човек от системата на МВР – може да ги осигури. Дори видеотеките в зората на демокрацията изискваха ЕГН и лични данни, когато никакъв GDPR още не съществуваше.

Днес флакони с парфюм, мебели или чифт обувки ни преследват из нета, само защото сме оставили следи при сърфирането си. За тази територия напълно важи максимата: „Всички средства са позволени в името на таргетираните реклами – било то от фирми или политици!“

Изтеклата от НАП информация обаче е особено притеснителна заради фирмите, тъй като дава предимства на конкуренцията с данни за обороти, кореспонденция, брой служители и т.н. Този пробив може да се тълкува и като икономически шпионаж, следователно като нарушение на Закона за защита на конкуренцията.

Но хакерската атака и изтеглянето на толкова голям обем информация може да е само за да се прикрие осигуряване на точно определени данни.

Просто хипотеза. Според добре осведомени източници истинската цел на пробива, осъществен от хакерска група, е била да се добере до „бухалките“ на данъчните, свързани с методиката, по която се прави оценка на риска, проверките и обектите на оценка. Другото е за димна завеса.

Проф. Михаил Константинов, шеф на „Информационно обслужване“, се яви по bTV в опит да изкара цялата работа като разбито мазе, от което са откраднати една-две щайги с компоти. Проникването било в „някакъв сървър на НАП с хаотично кумулирани работни файлове“. Пробита е информационна система на НАП, която те (служителите – б.а.) са си създали и те си обслужват, обяви той.

Читател на „Тоест“ обаче посочи един друг аспект на #НАПлийкс:

отговорността на медиите.

След като близо десетки медии получават линк с архива от данни, „две от тях – Телевизия „Европа“ и „Нова телевизия“ (и не само – б.а.), излъчват в ефир репортажи, в които ясно се вижда съдържанието на имейла – линк към архива и паролата, за да се отвори“. И интернет, в т.ч. социалната мрежа Facebook, е залят от връзки към репортажите, снимки на съдържанието на имейла и хиляди хора добиват достъп до архива.

Защо тези медии разпространиха данните на всички нас, пита читателят. Ироничният отговор е – защото им е поръчано да са дистрибутори. Верният – саморекламираха се.

Етичният кодекс допуска, че само значим обществен интерес би оправдал подобна медийна намеса в личния живот, а Законът за защита на личните данни прецизира 10 критерия за преценка, при които това да стане.

Къде е Съветът за електронни медии (СЕМ)?

Какво прави СЕМ? С разпространението на линковете е нарушена личната неприкосновеност на милиони българи, която, съгласно чл. 10, ал. 4 от Закона за радио и телевизия, доставчиците на медийни услуги следва да защитават и гарантират. За подобно нарушение законът повелява имуществена санкция.

СЕМ даже не забелязва проблема – и фактът, че е зает със себе си, тъй като се попълваше парламентарната квота, не е извинение. Парламентарната квота впрочем е запълнена с предложената от ГЕРБ (чрез председателя на парламентарната Комисия за медии и култура Вежди Рашидов) Галина Георгиева, с диплома по аграрна икономика от изнесен факултет на УНСС във Враца и успех 3,89. Тази жена с невзрачен медиен опит, предимно административен, ще е един от петимата членове на СЕМ, но едва ли е проблем предвид опита на останалите от медийния регулатор.

Впрочем нейната кариера, както сама обяснява на изслушването в парламентарната Медийна комисия, е стартирала в „Нова телевизия“. Запитана ще успее ли да се абстрахира от политическите интереси на партията, която я предлага, Георгиева отговаря: „Като млад и образован човек за себе си бих могла да кажа, че съм политически неангажирана, но отговорна към ситуацията в страната.“ На въпрос докъде е границата на свободата на словото и що е то, отговорът ѝ е също така подобаващ: „Да, правото се ползва, то е дадено и се ползва. Упражняването му ме връща към въпроса на госпожа Саватева и това е не само Конвенцията за защита на човека, чл. 8 и всичките членове, които описват какъв да е медийният изказ, така че той да е съобразен със ЗРТ или с Директивата. В този смисъл е чисто човешка черта, индивидуална.“ Както и глупостта впрочем.

Комисията за защита на личните данни (КЗЛД),

за чието съществуване мнозина българи научиха покрай #НАПлийкс, се събуди от институционалната си летаргия. Нейният председател Венцислав Караджов, избран преди време от БСП, съобщи по bTV, че Комисията ще прави проверка в НАП, но след края на разследването.

Иначе какво прави КЗЛД – приема жалби и сигнали от граждани в случаи на злоупотреба с лични данни и пише Стратегия с хоризонт до 2022 г. На среща между НАП и КЗЛД бе договорено Националната агенция за приходите да пусне сайт и приложение, в които всеки ще може да провери дали личните му данни са станали публично достояние при нерегламентираното източване на информация. Няма да е по-рано от десетина дни, а дотогава всички ЕГН-та вече ще са джуркани в търсачката на #MINFINLEAK.

Само че в този случай НАП си затваря очите за GDPR, който гласи, че „когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, администраторът, без ненужно забавяне, съобщава на субекта за данните за нарушението на сигурността на личните данни“. Така че данъчните би следвало да ни уведомят персонално за посегателствата над личните ни данни и за мерките, предприети за защитата им. Но е необходимо и публично обяснение защо НАП не е в критичната национална инфраструктура, поради което не са правени никакви тестове за уязвимост на системите ѝ.

Деструкция на държавата

При всеки скандал виновните трябва да понесат отговорност. Вторият човек в ГЕРБ Цветан Цветанов напусна всички постове заради превенция, както се оказа, а тук са уязвени системите на данъчната администрация. Оставката на шефа на американските служби след „Уикилийкс“ не я видяхме, заяви министърът на финансите Владислав Горанов. Само че там нямаше киберпрестъпление и злоупотреба с лични данни, имаше вътрешен човек – редник Челси (Брадли) Манинг, младши анализатор от военното разузнаване, осъден на 35 години затвор за разкриване на разузнавателна информация. Манинг излежа само седем години в затвора, тъй като президентът Барак Обама го помилва въпреки най-голямото изтичане на поверителна информация в историята на САЩ. Вътрешен човек имаше и в скандала с масовото подслушване – Едуард Сноудън от ЦРУ.

Оставките на Горанов и шефката на НАП Галя Димитрова са минимумът за понасяне на отговорността.

Скандалът бе достатъчен, за да промени твърде бързо мантрата за стабилността, която премиерът Бойко Борисов непрекъснато… мантрира. Не сме защитени – нито домовете ни, нито възрастните хора по селата, нито децата от дрогата, нито личните ни данни от злоупотреби с тях. Каква стабилност е това?

Твърде бързо за виновник беше набеден един млад, едва 20-годишен, компютърен специалист – Кристиян Бойков. Прокуратурата го пусна от ареста срещу най-леката мярка – подписка. Преди ден Светлин Наков, който е основател на СофтУни, разви хипотезата, че файлът, сочен от разследващите като улика срещу Бойков, е бил подпъхнат или фалшифициран. Тоест – че Кристиян е мюре. Бойков изглежда като най-удобния виновен, който властта да ни представи, а разследващите – да пречупят, за да изтръгнат признание. Симпатичен поради младостта и гениалността си – и затова някак сме склонни да му простим „лудорията“.

Прекалено лесно е това обяснение за #НАПлийкс, твърде го омаловажава. И най-важното – не изисква оставки.

Остава ни да се надяваме, че нито бял, нито черен хакер ще „тества“ за уязвимост системите на някой ТЕЦ – или, опазил Бог, на АЕЦ „Козлодуй“.

Заглавна снимка: © Димитър Механджиев

Емилия Милчева

Емилия Милчева

Журналистка. Вярва в критичния ум, любопитството и щипката лудост.