В НАП са наясно как е станал хакерският пробив, довел до изтичане на данни и са взели мерки. Това увери говорителят на приходната агенция Росен Бъчваров. "Временно е спряна услугата "Възстановяване на ДДС от чужбина", от която се вярва, че е осъществен пробивът. Комисията за защита на личните данни е уведомена, допълни той.

"Сравнихме данните, които циркулират в общественото пространство, сравнихме около 30% от тези данни, тоест не сме сравнили изчерпателно всичко, което е обявено публично и е достъпно публично. Можем да потвърдим, към настоящия момент, че това е информация, съхранявана от НАП. Това са лични данни, това е данъчноосигурителна информация, тоест конфиденциална информация, която законът изрично защитава. Достъпът е осъществен заради уязвимост на една от електронните услуги, които НАП нпредлага, за възстановяване на ДДС, платен в чужбина. Чрез тази уязвимост, трето лице, за което малко по-късно ще коментираме, е осъществило нерегламентиран достъп до около 3% от информацията, съдържаща се в базите данни на Националната агенция за приходите.

Към момента тази уязвимост е отстранена и възможностите за, най-общо казано, злоупотреба с тези данни, са ограничени. За да се получи това, беше наложено временно услугата "Възстановяване на ДДС, платено в чужбина", да бъде спряна. Тя в момента не функционира, защото основните подозрения на екипите на НАП и на правоохранителните органи е, че нерегламентираният достъп е осъществен чрез нея. Ще остане спряна толкова дълго, колкото е необходимо, за да възстановим информационната сигурност в нейния първоначален обем", продължи Бъчваров.

Той обясни, че тече  вътрешно разследване в структурите на НАП. Публикуваните данни касаят както физически, така и юридически лица, а засегнати са и няколко агенции, сред които Агенция “Митници”. 

Според резултатите от продължаващото разследване атаката е станала на 29 юни. Засегнати са данни, касаещи декларирани платени данъци и информация за транзакции.

В разследването участват ГДБОП и ДАНС, които работят съвместно с Държавната агенция “Електронно управление”. Уведомена е и Комисията за защита на личните данни. Не се изключва възможността за вътрешна намеса, стана ясно още от думите на Бъчваров.

Предстои извършване на цялостен одит както на системите на НАП, така и на системите за сигурността на гражданите. Не е ясно обаче кой ще понесе отговорност за случилото се. Бъчваров обяви, че тепърва предстои да се обсъдят последващите действия. След среща с ръководството на НАП, както и Министерство на финансите ще се реши кой и как точно да понесе отговорността.

Пред TrafficNews интернет експертът Димитър Ганчев заяви, че НАП държи архивите си на същите сървъри, на които има информация за обществен достъп. За справка, МВР например са добрият пример в това отношение и държат своите архиви на отделен сървър, до който липсва какъвто и да било достъп. Това пък намалява риска от подобен пробив и теч на данни, както се случи с агенцията по приходите.

По време на пресконференцията на въпрос на репортер от TrafficNews  за ползването на един и същ сървър за цялата база данни от НАП увериха, че това не е така.

“НАП притежава над 60 бази данни. Ние говорим за пробив в една от тях. Естествено, че тези бази данни се съхраняват на различни сървъри. Просто данните, които се съхраняват на въпросната база, са свързани по някакъв начин”, обясниха от НАП.

Снимка: БГНЕС