В понеделник България бе разтърсена от новината за гигантско изтичане на бази данни, свързани с данъчно-осигурителна информация. Медии получиха на е-пощите си линк към въпросните данни с милиони файлове, съдържащи ЕГН-та, имена, данъчни задължения, вноски и т.н. И с предупреждение от анонимните хакери: "Правителството ви е бавноразвиващо се. Състоянието на киберсигурността ви е пародийно". ДАНС, МВР и НАП веднага започнаха проверка на сигнала. Това е най-големият теч на лични данни у нас. Но не е никаква изненада, защото държавата от години безотговорно подценява и упорито пренебрегва така важната тема за киберсигурността. Примери много, но ето само два, описани в последните седмици в блога Duncheva.bg. Случките показват, че дори КЗЛД - комисията, създадена да защитава личните данни на българските граждани, е лесна за "пробиване" и "бавноразвиваща се" - ако използваме определението, дадено по-горе от анонимните хакери за правителството.
На 12 юли КЗЛД публикува на сайта си следния текст, с който изказва благодарност за подаден сигнал във връзка с информационната сигурност:
„По подадена от Bivol.bg (Биволъ) информация и след извършване на съответна проверка се установи, че съществува техническа възможност за достъп до информация, която е подавана до комисията под формата на жалби, сигнали и запитвания. КЗЛД благодари на Bivol.bg за сигнала, в резултат на който комисията извърши одит на информационната сигурност на сайта. КЗЛД ще предприеме всички необходими мерки за гарантиране на сигурността на информацията, която гражданите ѝ предоставят, и се извинява за евентуалните затруднения, които ще изпитат временно във връзка с подаването на жалби, сигнали и въпроси до институцията.
До пълното и гарантирано възстановяване на сигурността на подаваната през сайта информация жалби, сигнали и запитвания могат да бъдат подавани по някой от следните начини: лично, на хартиен носител – в деловодството на КЗЛД.
А ето за какво е сигналът, подаден от Биволъ:
Бял хакер три години моли КЗЛД да спре теч на лични данни от нейния сайт, който е уязвим и дава достъп до личните данни на над 14 000 лица, изпращали жалби или въпроси до комисията по различни поводи. Експертът е сигнализирал КЗЛД за проблема два пъти - през собствената ѝ система за сигнали и жалби, още през 2016 г. Там са завели преписки с входящи номера, но не са предприели нищо, за да запушат пробойните. В крайна сметка "белият хакер" се обръща към медиите, тъй като не вижда съдействие от страна на институциите.
В статията се поставя и въпросът как и до кого да се подава сигнал за проблем, свързан с киберсигурността. Например, ако при посещение в правителствената Информационна система за управление и наблюдение на средствата от ЕС в България (ИСУН 2020) на компютъра ти се лепне "троянски кон" - както се случи с мен на 16 юни.
В момента няма връзка с този номер
На 5 юли на сайта на Комисията за защита на личните данни се появи съобщение, с което комисията се извинява за технически проблеми с комуникациите в предните дни. В съобщението се казва дословно: „Комисията се извинява на всички, които са установили отсъствие на комуникация с институцията в работните дни от 1 до 4 юли. Стационарните телефони, електронната поща, институционалният сайт и предоставяните онлайн електронни услуги бяха прекъснати до 16:30 ч. на 4 юли 2019 г. поради независещи от КЗЛД технически причини“.
Първо, сайтът не работеше още на 30 юни. Второ, така и не се разбра какво е внесло смут в комуникациите. Трето, при поднасянето на лошите новини трябва да се спазват някои правила. На сайта на Microsoft има статия по въпроса, а в компютрите, ползващи софтуер на компанията – презентация. В рубриката "Съвети за малкия бизнес" със заглавие "Как да съобщите лоши новини на клиент" Манаса Реддигари пише: "Уверете се, че го чуват от вас – едно от най-лошите неща, които могат да се случат при съобщаването на лоши новини, е да научите, че вашият клиент heard about it through the grapevine" (поздравявам всички PR специалисти с тази песен).
А институциите у нас не изглеждат особено загрижени
по тези въпроси. Да видим от началото на юни колко европейски събития, свързани с киберсигурността, са минали без българско участие:
На 2-3 юли Агенцията на ЕС за киберсигурност, Европейската комисия и 23 държави членки се събират за първи път на високо ниво в Париж за Blue OLEx 2019. Участват ръководителите на националните органи за киберсигурност на държавите – членки на ЕС, няма данни за българско присъствие.
От 24 юни до 5 юли се провежда CONNECT University Summer School 2019. Български лектор няма.
На 6 юни ENISA публикува списъка на участниците в Европейското предизвикателство за киберсигурност, България няма отбор.
На 27 юни влезе в сила Регламент 2019/881 относно ENISA (Агенцията на Европейския съюз за киберсигурност) и сертифицирането на киберсигурността на информационните и комуникационните технологии, както и за отмяна на Регламент (ЕС) № 526/2013 (Акт за киберсигурността). Нито един правителствен сайт не информира за това.