Неоторизираният достъп до базата данни на НАП е осъществен заради уязвимост на една от е-услугите, които Агенцията предоставя - за възстановяване на ДДС, платено в чужбина, съобщи на пресконференция говорителят на НАП Росен Бъчваров, който представя информация за инцидента с информационната сигурност на Агенцията.

Към момента тази уязвимост е отстранена и възможностите за злоупотреба с тези данни са ограничени, а услугата е временно спряна и така ще остане до възстановяваването на информационната сигурност на НАП, обясни Бъчваров.

"Възстановяване на ДДС от чужбина", от която се вярва, че е осъществен пробивът. Комисията за защита на личните данни е уведомена, допълни той.

"Сравнихме данните, които циркулират в общественото пространство, сравнихме около 30% от тези данни, тоест не сме сравнили изчерпателно всичко, което е обявено публично и е достъпно публично. Можем да потвърдим, към настоящия момент, че това е информация, съхранявана от Националната агенция за приходите, тоест, тази информация, която циркулира публично, съвпада с информацията в базата данни на НАП. Информацията неправомерно, в противоречие на закона, е достъпена, получена и публикувана. Информацията е защитена по закон! Това са лични данни, това е данъчноосигурителна информация, тоест конфиденциална информация, която законът изрично защитава. Достъпът е осъществен заради уязвимост на една от електронните услуги, които Националната агенция за приходите предоставя - за възстановяване на ДДС, платен в чужбина. Чрез тази уязвимост, трето лице, за което малко по-късно ще коментираме, е осъществило нерегламентиран достъп до около 3% от информацията, съдържаща се в базите данни на Националната агенция за приходите", каза Бъчваров.

Към момента тази уязвимост е отстранена и възможностите за, най-общо казано, злоупотреба с тези данни, са ограничени. За да се получи това, беше наложено временно услугата "Възстановяване на ДДС, платено в чужбина", да бъде спряна. Тя в момента не функционира, защото основните подозрения на екипите на НАП и на правоохранителните органи е, че нерегламентираният достъп е осъществен чрез нея. Ще остане спряна толкова дълго, колкото е необходимо, за да възстановим информационната сигурност в нейния първоначален обем".

Данните за неоторизиран достъп са засечени още в края на месец юни, уточни Бъчваров. "Това, което се е случило е преди около 20 дни. Не сме упълномощени да ви дадем повече технически детайли, може би на този етап не е и технически необходимо", каза той и обясни, че технологията, по която е ставал този нерегламентиран достъп е известна на НАП и на специализираните служби. "Работим съвместно с колегите от ГД "Борба с организираната престъпност", специализираните звена от ДАНС и ДА "Електронно управление" .

Тяхната експертиза ни помага да извършим един пълен преглед на това, което се е случвало - опитите, достъпите, информационните системи, информационната сигурност, базата данни, движенията и всички останали детайли. Към настоящия момент е уведомена и Комисията за защита на личните данни поради спецификата на инцидента и поради риск от изтичане на определена информация, съставляваща защитени по закон лични данни", допълни Бъчваров.

Говорителят на НАП подчерта, че в следващите дни ще бъде потърсена и международна помощ по отношение системата за информационна сигурност на НАП и информационната система на НАП изобщо, за да може да бъде извършен цялостен одит на тези две системи - IT системата и съществуващата система за информационна сигурност.

Предстоят стъпки за подобряване на информационната сигурност на НАП, включително софтуерни и хардуерни промени, съобщи Бъчваров. 

"Първо, ще се извърши цялостен одит на информационната системата на НАП. Второ, цялостен одит на системата за информационна сигурност, чиято функция и роля е да гарантира неприкосновеността 

на данните.  Трето, разследване на конкретния инцидент и респективно разследване на престъпното деяние с помощта на правоохранителните органи, за да се изясни кой стои зад него, кой го е поръчал, какви са неговите цели и по каква механика е било извършено. Този одит ще обхване не само системите на НАП, а и на други ведомства", уточни Бъчваров. Той допълни, че първо трябва да се установят причините за уязвимостта, да се намалят рисковете пред информационната сигурност, така че данните да не бъдат занапред изложени на риск. "След това ще се коментират въпроси за персонална отговорност и следващи стъпки по отношение на реализиране на отговорност на длъжностни лица за настъпилата ситуация. Коментар на думите на хакерите няма да правим на този етап", посочи още Бъчваров.

Говорителят на НАП обясни, че не са упълномощени да коментират двете версии, по които работят специализираните служби, но каза че имат известни индикации, че става дума за атака, извършена извън територията на Република България. "Това е всичко, което сме упълномощени да кажем. Имаме повече данни, но не можем да ги споделяме на този етап публично", каза още Бъчваров.