НАП и източените данни на български граждани

Табела от сградата на НАП в София, снимка: БГНЕС

През м. юли 2019 г. огромна база данни от Националната агенция по приходите (НАП) беше пусната в Интернет. Разследването може би ще установи кой е хакерът, пуснал данните, а може би и кой е човекът, който ги е свалил от сървърите на НАП (не е задължително да е един и същ).

Още когато излезе информацията за хакването, аз писах във Фейсбук, че стореното – сторено, но по-важно е как ще реагира НАП. Повторих това и в интервю за бТВ радио. Малко след интервюто, се чух с г-н Росен Бъчваров, говорител на НАП, който ме потърси с коментар на написаното и казаното от мен в предишните дни. Разговорът ни бе по същество, но самият факт, че той ме потърси, говори за това, че човекът се занимава с работата си действително като добър професионалист.

На 24-и юли НАП публикуваха подробен документ, засягащ някои от важните въпроси, свързани с откраднатите данни. Пускам го по-долу поради важното му значение, а и за да ми е по-удобен за цитиране. На следващия ден пуснаха и сайт, където човек може да провери дали неговите/нейните лични данни са били сред откраднатите. Проверката е на адрес: https://check.nra.bg/

Моите бележки бяха следните:

– Хакване може да се случи на всеки.
– Изтичането на лични данни е неприятно, но не е възможно да се “върне” обратно.
– НАП трябва да изпълнят препоръките* за такива случаи: информиране на засегнатите; активиране на специална услуга за известяване, ако данните се появят някъде; комуникация с нотариуси, банки и търговския регистър с цел предотвратяване на по-нататъшни злоупотреби.
– В НАП работят читави хора; не бива да се слагат под един общ знаменател отговорните за проблема и решаващите го.
– Ако НАП иска (и може, разбира се!), ще използва случая, за да направи от лимоните лимонада, а не да се мръщи от киселия им вкус. Демек – може да използват по-добре парите, които им плащаме всяка година, за да наемат повече хора, техника и т.н. и да сведат подобни рискове до минимум.
Никой не е застрахован от подобни хакове. В САЩ преди няколко години откраднаха данните на милиони служители на правителството, вкл. и пръстови отпечатъци, данни за близките им, информация за допуска им до класифицирана информация и т.н.
Въпросът е не дали, а кога НАП ще възприеме методите и средствата за реакция в такива случаи. В момента това е трудно да се случи, но тъкмо в такива кризисни моменти си личи най-добре колко подготвена е една или друга служба, една или друга институция и едни или други хора. В тази криза НАП и служителите в нея имат шанс. Какъв ще бъде той, зависи от тях.

Ето и документа от НАП, публикуван на 24-и юли, в който те отговарят както на бележките, така и на препоръките*, които направих на 21-ви юли:

НАЙ-ЧЕСТО ЗАДАВАНИ ВЪПРОСИ

Най-често задавани въпроси по повод неоторизирания достъп до данни на НАП

1.      Как да проверя има ли мои лични данни, които са незаконно разкрити?

Можете да направите проверка в новата електронна услуга, която ще бъде публикувана в сайта на НАП веднага, след като експертите сравнят дали публикуваните данни не са били манипулирани.

Гражданите, чиито номера на валидна лична карта, датата на издаване и валидността й е била неправомерно разкрита, в комбинация с трите им имена, ЕГН и адрес, ще бъдат лично информирани от НАП възможно най-бързо.

Общият брой на тези граждани е 189.

За всички останали физически лица, за които има незаконно разпространени лични данни, няма необходимост да сменят личната си карта.

2.     Възможно ли е някой да продаде мой имот или кола без да разбера?

Продажбите на имоти и автомобили в България стават задължително в нотариална форма и с нотариална заверка на подписите. Процедурата изисква участие на нотариус, който има достъп в реално време до база данни на документите за самоличност в страната, включително снимките на притежателите им.

Нотариусът може и трябва да се увери, че купувачът и продавачът, които са се явили при него, са същите хора от базата данни от първичните регистри в Република България, т.е извършва се проверка за идентичност на страните. Също така, нотариусите имат достъп до компютърна база данни с пълномощни, издадени да послужат пред банките и пред Агенцията по вписванията, както и достъп до базата данни за моторни превозни средства и техните собственици.

Дори някой да е узнал Вашите лични данни, за да продаде имот или автомобил, то трябва да извърши едно или повече престъпления.

Освен това, за продажбата на имоти и автомобили задължително се представят нотариален акт или регистрационен талон, чиято актуалност се проверява в реално време, и без тях сделка не може да се осъществи.

НАП е информирала Нотариалната камара в България за разпространението на чувствителна информация, като нотариусите ще изповядват сделки с повишено внимание.

Според Нотариалната камара, има достатъчно гаранции, че опити за незаконно прехвърляне на имот или превозно средство ще бъдат парирани от нотариусите в страната.

Вижте по-подробна информация, предоставена от Нотариалната камара на Република България. 

За Ваше спокойствие, бихте могли да активирате SMS известяване за сделки с Ваши имоти – услуга, предоставяна от Агенция по вписванията – http://sms-imot.registryagency.bg/. Агенцията по вписванията предлага SMS известявания и за движенията по фирмени партиди, като повече за това можете да видите на сайта й.

3.     Възможно ли е някой да получи кредит или лизинг от мое име?

Банковите и финансови институции, които отпускат кредити или лизинги, са длъжни по закон да се уверят, че сключват договора с лицето, чиито лични данни са посочени в документа за самоличност. Отпускането на кредит/лизинг на някого другиго изисква извършването на едно или повече престъпления, освен злоупотребата с чужди лични данни.

Банките и финансовите институции, отпускащи кредити (вкл. бързи кредити) и лизинги, са информирани от НАП за неоторизирания достъп до данни, като им е препоръчано да работят с повишено внимание при идентифицирането на клиенти.

От Асоциация на банките в България заявиха, че и към момента има достатъчно надеждни механизми за установяване самоличността на лицата, кандидатстващи за банков кредит.

От Българска асоциация за лизинг потвърждават, че техните членове извършват задължително, както идентификация по документи, така и лична идентификация на всеки свой клиент, така че сключване или промени по договор за лизинг не могат да се случат без личното присъствие или надлежната електронна идентификация с валиден електронен сертификат.

От Асоциация за отговорно небанково кредитиране (АОНК), в която членуват компании в сектора за т.нар. „бързи кредити“, уверяват, че и към момента членовете на асоциацията прилагат значителен брой надеждни мерки за проверка на самоличността на новите кредитоискатели и текущите кредитополучатели, поради което до злоупотреби с чужди лични данни не би могло да се стигне.

Дори предварителното одобрение за кредит/лизинг да става онлайн, задължително е да се сключи писмен договор, подписан на хартия или електронно от страните. Финансовата институция трябва да се увери, че лицето, чиито данни от документа за самоличност са вписани в договора, е същото, което го сключва.

Няма риск за неоторизиран достъп до електронното банкиране, защото такива данни никога не са се съхранявали в НАП.

4.     Има ли риск при сделки, сключени с пълномощно, заради неправомерно разпространените данни?

При сделките с пълномощно една или повече от страните не участва лично. Сделките с имоти и коли задължително се сключват с нотариално заверено пълномощно, т.е. пълномощното е подписано и подпечатано от нотариус и описано в неговите нотариални книги, след като се е уверил лично, че действително упълномощителят е този, чиито данни са вписани в документа. Всички останали нотариуси имат достъп до компютърна база данни на издадените пълномощни и могат да проверят дали всеки документ е истински.

Вижте по-подробна информация, предоставена от Нотариалната камара на Република България.

5.    Възможно ли е някой да прехвърли фирма с дългове на мое име?

Подобен опит ще е съпроводен с извършването на едно или повече престъпления. Сделките с цели предприятия или с дялове на търговски дружества изискват нотариална заверка и писмен договор. В случая с продажба на цяло предприятие се изисква и удостоверение от НАП. Нотариалната камара в България е информирана от НАП за изтичането на чувствителни данни и сделките в следващите месеци ще се извършват с повишено внимание, като нотариусите имат достъп до всички пълномощни, издадени да послужат пред Агенцията по вписванията.

6. Има ли риск да станат публично известни мои заболявания или данни за медицинското ми досие и лечение?

Не. Информацията на НАП, която е неправомерно разпространена, се отнася до здравно-осигурителния статус на гражданите, т.е за това, дали са плащани здравно-осигурителни вноски. Данните от медицинското Ви досие не са събирани от НАП и не са били разкрити, тази информация е защитена.

7.    Има ли в неправомерно разкритите данни информация за персоналния ми идентификационен номер (ПИК) от НАП.

В  незаконно разпространените към момента данни няма информация за персонални идентификационни кодове, издадени от НАП.

Независимо от това, Ви препоръчваме да смените своя ПИК от НАП. Това става безплатно в портала  за електронни услуги на приходната агенция – https://inetdec.nra.bg/eservices.html или в произволно избран от Вас офис на НАП.

8.     Изтекла ли е информация за електронния ми подпис и може ли някой да злоупотреби с него?

Не. Електронният подпис на физическо или юридическо лице се използва с парола и отделно изисква достъп до физически носител (най-често e записан на USB устройство). Не съществува риск за вашия електронен подпис, заради неправомерно разкритите данни на НАП.

9.      Общи препоръки

  1. Бъдете внимателни, ако някой контактува с вас по телефон или имейл и в следствие на това иска от Вас да направите нещо с финансов или личен характер.
  2. Не давайте на никого информация за банкови сметки, за дебитни или кредитни карти, независимо за кого се представя човекът, който се свързва с Вас.
  3. Предупредете близките и роднините си, че лични данни за Вас са станали публично достъпни и ги посъветвайте никога да не правят нещо с финансови последици, ако не са се свързали предварително директно с Вас.
  4. За Ваша допълнителна сигурност, можете да смените паролите на електронната поща, която ползвате.

5. Ако имате данни, че някой се опитва незаконно да придобие Ваше имущество или да поеме задължение от Ваше име, свържете се незабавно с районното управление на полицията по местоживеене.

6. Допълнителна информация по въпроси, свързани с незаконно разпространените лични данни можете да получите от НАП на телефон 0700 18 700 (на цената на градски разговор от стационарен телефон и по стандартната тарифа на съответния мобилен оператор).

В заключение: реакцията на НАП по информиране на гражданите не беше бърза, но е професионална. Закъснението се дължи, доколкото разбирам, на един факт: че НАП трябва да се убеди какви данни има източени, да провери дали източените данни отговарят на истинските, да е сигурна в това, което публикува. Това изисква време. Реакцията им в такива случаи трябва да е бърза, но и точна.

Други любопитни факти и препратки:

  • Потребителите, ползващи браузъра Firefox, ако посетят сайта на НАП, получават служебно съобщение, което ги предупреждава, че е имало хакване на данни и им предлага да проверят адреса на електронната си поща.
  • Божидар Божанов е писал по темата в блога си.
  • Без значение дали избирателно пуснатата информация в медиите е вярна или не, е добре да направите следното (в произволна последователност):
    – Проверка дали вашите данни са сред откраднатите информационни масиви (https://check.nra.bg/).
    – Ако са там и имате фирма или имоти – абонирайте се известяване на евентуални промени. Става чрез регистрация в Търговския регистър и службата по вписванията. Струва 6 лева за 2 години. Включва 500 съобщения.
    – Променете паролата за електронната си поща, както и включване на втора стъпка за удостоверение, че човекът, който въвежда първата паролата е действителният потребител. Става със SMS или – още по-добре! – с някое от приложенията, които генерират еднократни пароли през няколко секунди (напр. Google Authenticator). Ако доставчикът ви на електронна поща не предлага подобна втора стъпка, поискайте да я въведе, но ако я няма и отказва да я въведе, помислете за смяната му с друг, който я поддържа. Услугата е безплатна.
    – Не си проверявайте ЕГН-то в сайтове, различни от този на НАП! Много важно, защото в Интернет се появиха вече доста, които се рекламират като “надеждни” и “сигурни”.
    – Не се подвеждайте да си сваляте и четете откраднатите бази данни – това е престъпление само по себе си, а да не говорим и че неморално.
    – Следете за повече информация официалния сайт на НАП, където има актуална и меродавна информация: https://nra.bg/
    – Не се подвеждайте по сензационни материали, бомбастични заглавия и търсене на евтина популярност от съмнителни “издания”.

_____
* Те са:
— Извинения;
— Съвети какво да направим (включване на известия за промени по регистрите, т.е. възможна злоупотреба с изтеклите лични данни и др.п.);
— Обещание държавата да поеме разходите по предходната точка;
— Информация за това, че НАП са осигурили допълнителна и безплатна услуга за мониторинг на Интернет за появата на личните ни данни;
— Обещание за подпомагане на гражданите с всички сили и средства на държавата, ако се стигне до злоупотреби с източените от НАП наши лични данни.
Това са минималните действия! Никой не може да ограничи НАП и държавата в желанието им да се покажат добросъвестни слуги на всички български данъкоплатци!
Отделно от действията на НАП (Ало?! Кога?!), вероятно ще трябва да има и законодателна иницатива, с която да се уредят подобни случаи, на каквито тепърва ще ставаме свидетели (в добрия случай) или (по-вероятно) жертви. Държавата трябва да поеме своята отговорност, защото това е част от договора, който ние, гражданите, сключваме с нея.
И, разбира се, НАП трябва да си оправят дупките в софтуера, да го актуализират навреме и да осигурят адекватно заплащане за ИТ-специалистите си.

Създаден на: 24.07.2019

Затвори

 

This entry was posted in Bulgaria, IT in Bulgaria, общество and tagged . Bookmark the permalink.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.