Има вреда, но няма виновни. Този извод може да се направи от приетия от парламента в четвъртък доклад на временната комисия за разследване на изтичането на личните данни на около 6 милиона българи от базите данни на Националната агенция за приходите (НАП) през миналата година.
В доклада не е изведена по ясен и категоричен начин отговорността за кибератаката на ръководствата на Министерството на финансите и НАП, твърди БСП, чиито депутати подписаха доклада с особено мнение. Според левицата отговорността на МФ и агенцията по приходите за теча е ясно установена от Комисията за защита на личните данни, която глоби НАП с 5.1 млн. лв., но не и в доклада на парламентарната комисия. Междувременно, НАП обжалва в съда глобата на КЗЛД, а отделно тече и наказателен процес за кибератаката.
Румен Гечев от БСП посочи, че няма поемане на отговорност и каза, че „дори портиерът не е бил уволнен“.
Красимир Ципов от ГЕРБ каза, че системите на НАП са разработвани предимно от служители на агенцията и заяви, че пряко отговорните лица – ръководителят на отдела за информационна сигурност и ръководителят на инспектората, вече не са служители на НАП. „Води се досъдебно наказателно производство“, припомни Ципов и посочи, че едно от обвиненията на Апелативната специализирана прокуратура е за кибертероризъм.
По думите на депутата в последните години са установени много нови форми на престъпления, свързани с компютърните технологии, а санкциите в Наказателния кодекс явно не е достатъчно адекватни. Ципов бе категоричен, че не може да се предвижда лишаване от свобода за 5 години за престъпление, което засяга милиони граждани.
Затова анкетната комисия предлага да се въведат по-строги наказания за киберпрестъпления. Предлага се в Наказателния кодекс да се създаде нова дефиниция за деянията, свързани с компютърни престъпления, както и да се приемат нови състави на престъпления, които да отразяват новите форми на престъпни посегателства.
Друга идея е да се измени Законът за защита на личните данни, така че КЗЛД да има право да реализира персонална административнонаказателна отговорност спрямо съответните администратори на лични данни, както и по отношение на оправомощени от тях длъжностни лица.
В доклада има и анализ на уязвимостите на информационните системи на НАП, независимо че още миналата година Министерството на финансите направи одит на системите си и планира да вложи десетки милиони левове за усъвършенстването им.
Установено е, че през последните 20 години цялата комуникационна и информационна инфраструктура на държавната администрация е изграждана поетапно като самостоятелни системи. Това е попречило на интегрирарането на новите софтуери със старите.
Анкетната комисия е установила още, че в някои случаи се използва софтуер без поддръжка от производителя и така уязвимостите не могат да бъдат отстранени. Констатирани са и слабости по отношение на антивирусния софтуер, непълен щат на ИТ специалистите в държавната администрация.
В същото време изпълнителният директор на НАП Галя Димитрова разясни какви са действията за подобряване на информационната сигурност на НАП. Тя обясни, че НАП е първата държавна администрация, която от 18 февруари тази година е изпълнила изискванията на Наредбата за минимална мрежова информационна сигурност. По думите ѝ мерките, които са предприети, намаляват значително възможността за нови атаки.
Анкетната комисия в парламента предлага още да се направи пълен одит на информационните системи на всички централни и общински администрации.