27 юли 2019

Изтичането на лични данни от НАП

Поддържането на информационната сигурност е доста отговорна и трудна задача. Дори да давате най-доброто от себе си, ако сте в такава роля, не сте застрахован от изтичане на данни от организацията, в която работите. Но в случая с изтичането на данни от НАП за мен има доста притеснителни неща, които ще се опитам да обобщя в настоящата бележка.

Процеси за разработка и внедряване на продуктов софтуер. Наивно е да се мисли, че има абсолютно сигурни софтуерни приложения. По-скоро има приложения, които още не са разбити. При разработката на приложения е важно да се отдели внимание как се ограничават щетите, ако приложението бъде пробито, както и на регулярните процеси, които гарантират че състоянието му отговаря на текущите разбирания за сигурност (нови възможности за пробиви се появяват ежедневно). От това, което излезе като коментари от казуса с НАП, оставам с впечатление, че: 

  • Използвана е уязвимост в приложение, чрез което са достъпни данни от други приложения (недобре обмислен дизайн); 
  • Използваната уязвимост е известна от 2012 година (липса на регулярни процеси за одитиране на софтуера). 

В този контекст дежурните оправдания, че заплатите на IT хората в администрацията са ниски спрямо тези на сектора и поради тази причина, хората, които са наети, толкова си могат, леко увисват. Двете точки по-горе са основно управленски проблем, не технически. Решението му е да имаш адекватни процеси.

От техническа гледна точка има доста автоматизирани решения, които помагат за прилагането на такива процеси – анализиране на слаби места в IT инфраструктура, анализиране на софтуерен код спрямо известни атаки, penetration тестове. По отношение на процесите са важни следните неща:

  • Ясно разписани критерии за одобряване/внедряване на софтуер, които са еднакви както за вътрешни, така и за външни разработчици (включително за out of the box решения), с които всички разработчици са запознати 
  • Контролна функция в организацията, която проверява изпълнението на дефинираните критерии на регулярна база.
  • Одитираща функция в организацията, която се грижи критериите да са актуални. 

В резултат на пробива, НАП помолиха Информационно обслужване да им направят одитиране на информационните системи, но в контекста на тук написаното, това е по-скоро реактивно действие, което не решава основния проблем с процесите. НАП е обществена институция и най-малко дължи обяснение какво е научила от пробива и до какви промени в процесите за внедряване на софтуер ще доведе инцидентът.

Процеси за работа с лични данни. НАП има законово основание да събира лични данни без изрично съгласие на хората, което не означава, че нейните служители не трябва да спазват някакви базови правила въведени от GDPR за обработване на лични данни. От това, което се появи в медийното пространство, оставам с впечатление, че изтеклите данни са някакви моментни експортирания от базата данни, които са съхранявани на вътрешни файлови сървъри. Аз бих очаквал, когато служител на НАП анализира данни от информационната система във връзка с конкретна задача, да прави минимум следното: 

  • Да ограничи анализа само до данните, до които има нужда. Честно казано експорт на данни за над 1 милион души, не ми се струва добра практика. Ако анализът предполага обобщаване на такъв обем от данни, най-вероятно могат да се ползват BI инструменти в самата информационна система, вместо да се наливат в инструменти извън нея. 
  • Ако се налага експортиране на данни от информационната система, да ограничи достъпа до тях само до хората, които са ангажирани със задачата. Фактът, че странично приложение е имало достъп до тях, води до допускането, че и голяма част от служителите на НАП също са имали достъп до тях.
  • Да използва експортираните данни само за нуждите на анализа и да ги премахне след приключване на задачата. В медиите се появи информация, че част от данните са за периоди от преди повече от 10 години. За моите разбирания, това е повече от оперативния интерес на НАП, така че е вероятно съответните експорти са направени доста отдавна. 

Както и в предишната точка, всичко се свежда до съществуването на адекватни процеси, тяхното прилагане и навременно актуализиране.

Политическа отговорност. С оглед на казаното дотук ми се струва, че най-малкото ръководителят на НАП трябва да си подаде оставката. Не знам дали има министър, който е натоварен със стратегията за информационни технологии в правителството, но ако има такъв, е добре да си намери друга работа, по-възможност извън IT сектора. Изказванията на различни политически лица по казуса и техния опит да отклонят вниманието считам меко казано за неуместни, но спокойно мога да отлича министъра на финансите в категорията цинизъм и неадекватност. Дали трябва да носи политическа отговорност за това? Не мога да преценя.

GDPR. Това изтичане на информация е своеволен тест до колко GDPR работи в България. За момента имам смесени чувства по отношение на НАП, тъй като им отнема повече време отколкото е нормално. Само за сравнение, алтернативни форми на проверка за изтекли данни се появиха почти веднага след теча. Интересно ми е как ще се справи Комисията за защита на личните данни с казуса. Ако НАП е причината да изтекат данни, то в целия скандал има още няколко организации, които помогнаха за достигането на бедствено положение и очаквам Комисията да вземе отношение по това.

Българските медии са далеч от цветущо положение, но се опитвам да си представя какво IQ трябва да имат журналистите, за да изтъпанчат в национален ефир линк за сваляне на данните и съответната парола. Въпреки всякакви етични кодекси, в търсене на сензацията, медиите са тези, които направиха данните общо достъпни и са отговорни за тяхното масово разпространение в разрез на разпоредбите по GDPR. Много се надявам Комисията за защита на личните данни да глоби провинилите се медии подобаващо.

На хората, които по една или друга причина са свалили данните, мога да им обърна внимание, че е добре да ги премахнат. Не защото тези данни се ползват със законова защита и който ги съхранява без да е оторизиран подлежи на някакво санкциониране. А защото в тези данни има записи за техни приятели. Едва ли някой от тях иска данните им да се съхраняват от трети лица без тяхно съгласие и най-малко трябва да им се уважи това желание.