"10 неща, които трябва да знаете за #НАПЛийкс и едно, за което не искате да мислите", такова заглавие Боян Юруков* сам е избрал за коментара си, посветен на най-мащабния хакерски пробив в личните данни на българите. Юруков публикува текста в блога си, като в него успява компактно, достъпно и синтезирано да акцентира върху основните факти и проблеми, които следват от изтичането на данни от сървърите на НАП. TrafficNews публикува целия коментар без редакторска намеса. 

1. Масивът на #НАПЛийкс съдържа данни за 6 млн. български граждани – 4.66 млн. живи и 1.38 починали. Пълнолетното население на България е 5.8 млн., а тези в трудоспособна възраст са 4.2 млн.

2. В мейла си до медиите хакерите дават да се разбере, че имат още толкова данни изтеглени от сървърите на Министерството на финансите. Макар да използват руски мейл, далеч не може да сме сигурни, че са руснаци.

3. Има 57 папки, някои от които са системна информация за базата данни на НАП.

4. Някои от таблиците включват потребителски имена, пароли и други данни за работата на служители на НАП и други държавни структури. Има и доста лични сертификати на граждани.

5. Ако сте работили или плащали някакъв данък в последните 10 години, то е почти сигурно, че най-малкото ЕГН-то, името, адреса и дохода ви е в базата. Основната част от данните обхващат последните 10 години.

6. Освен данъчни декларации, данните включват плащания по заеми, номера на превозни средства, граждански договори, данни на много българи зад граница получавали пенсии или отказали се от здравно осигуряване, IP адреси и информация дали играете хазара.

7. Базата съдържа индикации за сигнали между НАП и европейски институции и елементи от разследвания.

8. Течът на данните е бил възможен заради неспазването на елементарни мерки за сигурност в администрацията – нещо, за което предупреждаваме отдавна.

9. Макар данните да не донесат пряка вреда за повечето хора, те може да навредят на текущи данъчни разследвания, както и да се използват от телефонни измамници или за изнудване.

10. В същото време публичността на тази информация, колкото и вредно да е за националната сигурност, ще даде възможност на изследователи да направят по-добра картина за доходите на населението, безработицата и социалните придобивки. Също така ще подпомогнат журналистически разследвания в имотното състояние на публични лица и отказа от проверки на самите служби в злоупотреби като #АпартаментГейт

Първото, което следва да се направи сега, е да се понесе политическата и професионалната отговорност. Горанов следва да подаде незабавно оставка заедно с ръководителите на отговорните за този пропуск структури. Трябва да има криминално разследване как се е допуснало това и обвинения, макар последното да е малко вероятно предвид в какво се е изродила прокуратурата ни.

Паралелно с това следва да се направи одит на цялата информационна инфраструктура на обществения сектор. Правила и закони, които определят как следва да се пазят данните, кой следва да има достъп до какво има, но не се спазва, както стана ясно. Време е да започне администрацията сериозно да мисли за електронно управление и съпътстващите мерки за сигурност, системи за проверка и достъп.

Не на последно място обаче, трябва да разберем, че този теч на данни е стряскащ само защото вече не може да си затваряме очите за състоянието на държавните бази данни. Истината е, че почти всеки в администрацията е имал достъп до същата информация, а заедно с тях и познатите им. Хазарта започва една от последните си песни с „Имам човек в НАП…“. Е, доста хора имат човек тук и там. Един мой приятел разказваше как започнал успешен консултантски бизнес в България и скоро след това дошли „гости“ заедно със служител на НАП в неприкрит опит да разберат какво прави фирмата и дали може да се присвои.

Сега вече няма нужда да „имаш човек“ или поне не за доходите от 2007-ма насам. Въпрос на време е някой да пусне публична търсачка за информацията. Не съм съгласен, че трябва да се направи, но толкова хора имат вече архива, че е неизбежно.

И тук идваме към точката, за която не искате да мислите – какво правим с тази информация? Не тази, че са хакнали НАП, а с това, че всички ще знаят доходите ви. Нормално е да сте бесни. Трябва да сте бесни. Ако не защото личната ви информация е навсякъде, то най-малкото защото администрация за милиарди е позволила това. Само бесните хора могат да свършат нещо.

По-важен е въпроса дали следва всички да го знаем това? Не само сега и занапред Дали го искаме? В Швеция техният аналог на НАП прави публични всички данъчни декларации в края на годината. Отделни може да се видят с телефонно обаждане, но условието е, че отсрещната страна ще разбере, че сте видели декларацията им. Заедно с това публикуват детайлни справки за доходите по възрастови групи, региони, професии, нива на квалификация и прочие. Тази прозрачност в доходите е помогнала на много компании да поемат инициативата и сами да информират служителите си колко взимат колегите им на същото ниво.

Ние обаче не сме Швеция и това не е прозрачност. Това е престъпно нехайство. Макар голяма част от данните наистина да не заплашват пряко населението, части от тях и цялата им съвкупност наистина са проблем за националната сигурност.

Някой ще направи портал позволяващ лесна проверка. Всеки ще може да види доходите на съседа, колегата, известни и небезизвестни личности. Как това ще се отрази на взаимоотношенията ни, на обществения и политическия живот?

Какво следва от тук?

Допълнение!

НАП са излезли със съобщение, че „само 3%“ от данните им били откраднати. Така изглежда се опитват да изкарат, че само 3% от населението е засегнато. Всъщност, личните данни на над 95% от работещите в България са в онзи архив. Макар НАП да има наистина много повече данни, това не означава, че ЕГН, име и доходи за 10 години назад на милиони не са изтекли заедно с друга защитена информация.

Нещо повече – изложеното до тук обхваща само това, което знаем. Хакерите твърдят, че имат още толкова данни, които предвид, че не са публикували, може да съдържат много по-вредна за засегнатите и за държавата като цяло информация. Възможността за измами и изнудване са само най-очевидните рискове.

 

*Боян Юруков е старши програмист и технически ръководител в немска компания за финансови услуги. Отговаря за интегрирането на системите за търговия на някои от най-големите банки, корпорации и фондове в света.

Боян Юруков е роден в Добрич през 1984. Години наред прекарва в Пловдив. След това заминава за Германия, където живее и учи, а след това започва работа.

По-разпознаваем е с блога си, в който освен общи теми, обсъжда различни политически и социални аспекти. Занимава се с редица информационни проекти включващи теми като организацията на избори, престъпност, безследно изчезнали, замърсяване и енергетика. 

От 2009 година усилено популяризира ползата и същността на отворените данни като инструмент за прозрачност и социална промяна. С работата си е направил достъпни за анализ и визуализизация десетки информационни източници от държавната администрация.