В НАП не са направили нищо за техническите и организационните мерки за защита на личните данни.

Това заяви Веселин Целков, член на Комисията за защита на личните данни (КЗЛД) пред журналисти по повод проверката в Националната агенция за приходите (НАП) след теча на данните на над 5 млн. души през юли месец, пише News.bg.

Проверката на Комисията показва, че не са предприети необходимите технически и организационни мерки за защита на личните данни. КЗЛД много внимателно е анализирала какви са причините, довели до хакерската атака, и всички мерки, които трябва да се вземат. Другата седмица ще има повече подробности.

Целков припомни, че преди няколко месеца от КЗЛД са направили запитване към НАП по повод на достъпа до информационните системи, съдържащи лични данни, и заради това, че не може този достъп да бъде осъществяван само с ЕГН. Отговорът от НАП бил, че са въвели втори идентификатор - рождената дата.

Проверката вчера е приключила. Приет е констативният акт и предстои и издаване на акт за установяване на административно нарушение. Накрая ще последва наказателно постановление. Санкцията ще бъде определена от наказващия орган - председателя на КЗЛД. Най-високата глоба, която може да бъде наложена, е в размер на 20 млн. евро или 4% от годишния оборот на НАП.

"Проблемът е в много държавни институции, не само в НАП. Основният проблем е липса на разбиране за важността на проблема от висшия мениджмънт на държавата", посочи Целков.

По думите му съществуването на Съвет по киберсигурност е една утопия от миналото.

"Кибератаките и кризите в една страна като България ще протекат за няколко секунди, а вие искате да се събере Съветът по киберсигурност, който включва много министри", недоумява Целков. Според него, докато се събере Съветът, кибератаката не само би могла да се случи, но и да приключи.

"Кибератаката започва с натискането на едно-две копчета и протича за една-две секунди", отсече той и допълни, че кибесигурността струва пари.

Целков изтъкна, че държавата не може да си позволи такива разходи и поддържане на постоянно високо ниво на експертното знание на служителите си. На въпрос какви трябва да бъдат тогава ефективните мерки, с които биха могли да бъде защити информацията, Целков призна, че те са много. Сред тях са, че администраторът е длъжен да предприеме подходящите технически и организационни мерки за защита на личните данни.

"Ако има пробив в сигурността, значи мерките не са подходящи, но ако няма такъв пробив, значи мерките са подходящи. В тази връзка Комисията не е институцията, която казва какво трябва да се направи", каза още Целков.