Течът в НАП и уроците от него

Потенциално най-големия теч на лични данни в историята на България е факт. Една от над 100 електронни услуги на НАП беше компрометирана, което доведе до изтичането на лични данни за милиони физически и юридически лица.

Тук няма да коментираме какви и колко са данните, източени от НАП, как точно е компрометирана услугата или други технически параметри. Ще говорим за това какви може да са последствията от теча и какви са поуките, които трябва да си извадим от случилото се.  Обикновено основните причини за подобни пробиви са комбинация от човешки и технически фактори. В случая най-вероятно става въпрос за уязвима система, която не е била тествана и следена с необходимото внимание. Например, липсва информация дали инцидентът е засечен от Security Operation Center към Министерство на финансите. 

Ефектите за засегнатите граждани и фирми

Течът е факт, а с него идва и следствието, че ваши лични данни може да циркулират свободно из интернет. Но за какво може да бъде използвана тази информация – или иначе казано, от какво да се пазите?

• Насочени атаки срещу вас: Освен, че се появявате на радара на киберпрестъпници, те знаят много повече за вас. Знаят имената ви, евентуално и доходите ви и могат да преценят как и с какво да ви изнудват. Подлагайте на съмнение всяко съобщение, което получавате, и в което се иска потвърждаване на данни или заплаха.
• Компрометиране на акаунти: Хакерите могат да се опитат да използват потенциално откраднатите данни за опити за достъп до профили в сайтове на засегнатите потребители, да разбиват пароли за социални медии и др.
• Препродажба на лични данни: Информацията може да бъде препродадена и в последствие – с нея да бъде злоупотребено.
• Кражба на online или offline самоличност: Онлайн и офлайн престъпници могат да се представят за вас пред различни институции, като злоупотребяват с наличната информация. Трудно ще бъде изтеглен кредит на ваше име, но може да има много други последици. Например, да бъде поискана „допълнителна информация“ от атакуващи, които да се възползват от наличната информация. Затова, следете кой е реалния подател на писмото (реалния имейл), а не просто кое е името му.

Какво може да направите?

Независимо дали сте частна или държавна организация, първото, което трябва да направите, е да вземете киберсигурността си насериозно. По данни на НСИ, под 20% от българските предприятия имат стратегия за защита на информацията си. А информацията е договори, оферти, интелектуална собственост, данни на служители и т.н. На практика информацията, това е бизнесът ви. Предвид значението на информацията за една организация, киберпрестъпниците стават все по-креативни, когато става въпрос за заобикалянето на защитата ви.

За да гарантирате базовата си сигурност, ви препоръчваме да приемете системен подход към защитата на ключови активи и информация. ИТ сигурността е процес, който включва технически, административни, човешки фактори и процеси. Само наличието на технически средства за защита е недостатъчно условие – те трябва да бъдат конфигурирани, поддържани, ъпдейтвани, управлявани и следени от хора с адекватни познания и опит.

Всяка държавна електронна услуга трябва да се контролира и тества от специалисти с признат опит през целият ѝ жизнен цикъл - проектиране, изготвяне, публикуване и експлоатиране. Недостигът на човешки ресурс може най-удачно да се компенсира с помощта на бизнеса с доказани компетенции от реалната практика на изпълнителите на всяка една система.