За изтеклите лични данни на ~ 5 млн. българи от НАП и за възможните последици
Изтичането на данните от масивите на НАП за почти цялото активно население на България е безпрецедентна в световен мащаб заплаха срещу информационната сигурност на нацията.
(22.07.2019) В следващото изложение ще се въздържим от спекулации относно това дали Кристиян Бойков е кракнал* базите с данни на НАП; дали файлът '.~lock.DEC73_DETAILS.csv#' (който изглежда генериран в 11:49 ч. на 11.05.2019 г. от Windows-базирана машина с наименование 'DESKTOP-NSTGGRP' и потребителско име 'Kpuccc') е фалшифициран; и дали е налице опит работодателят „ТАД ГРУП“ ЕООД да бъде компрометиран от конкуренти. Вместо това ще се фокусираме само върху изтеклите лични данни на близо 5 млн. българи от НАП и върху възможните последици от това.
Обхватът. При население от малко над 7 млн. души, изтичането на лични данни за близо 5 млн. лица практически обхваща цялата активна част от българското население. Изтичането на лични данни с подобен обхват е безпрецедентна катастрофа в световен мащаб: без отношение към това дали наистина изтеклото количеството данни е „само“ 3% от масивите на НАП; и без отношение към това, че данни са изтичали дори от Централното разузнавателно управление (ЦРУ) на САЩ и от Федералната служба за безопасност (ФСБ) на Русия, например.
Причините. Обяснението, че от НАП са източени „само“ 3% от масивите, е голословна защитна теза на правителството, неспособна да санира безпрецедентния мащаб на допуснатия теч (засягащ практически целия български народ). Контратезата, че дори ЦРУ и ФСБ били обект на течове, услужливо пропуска обстоятелството, че масивите на американските и руските специални служби са както едни от най-строго пазените тайни в света, така и едни от най-търсените тайни в света; сравняването им с нещастната данъчна агенция на държавичка като нашата е неуместно и смешно; още повече, че осъщественото източване на данни от НАП не е дело на „вълшебник“ (както министър-председателят Бойко Борисов дебелашки квалифицира предполагаемия извършител), а е плод на систематична безстопанственост, неграмотност и простащина, позволили компрометиране на държавните информационни системи чрез злоупотребяването на почти учебникарска уязвимост.
Контекста. Горното на фона на почти 2 млрд. лв., прахосани за „електронизация“ на българското управление, където НАП се явава „лидер“ със своите „малко по-свързани“ регистри и с „малко по-големия брой“ електронни (или полу електронни) услуги за гражданите и бизнеса (част от които например, поради глупост или поради лобизъм, продължават да работят само през един единствен браузър – притежавания от частна извъневропейска компания Internet Explorer; т.е. трябва да сте клиент на тази компания, за да ползвате услугите). Дебелашка в този ред на мисли е и „констатацията“ на министър-председателя, че причина за кракването на масивите на приходната агенция е „големият брой електронни услуги“ – което трябва да внуши, че подобни течове били неизбежни при наличието на услуги и ако искаме да няма течове, трябва да се откажем от услугите (може би от услугите на електронното гласуване?). Дебелашка е и „похвалата“ към българското образование, което подготвяло подобни „вълшебници“; ако нашето образование по математика и информатика е все още на висота, то е не заради някаква далновидна държавна политика, а преди всичко заради реалния сектор (информатиката) и заради остатъците от смислени специалисти (математиката), които все още се борят срещу систематичното обезсмисляне на образованието в България.
Последиците. Източените информационни масиви са пуснати в internet и оттук нататък никой не може да проследи колко пъти са сваляни, копирани, споделяни. Случилото се е необратимо – данните няма да бъдат заличени и няма да престанат да съществуват в редица тематични форуми, облачни услуги, частни сървъри; и няма да престанат да бъдат достъпни за почти всеки желаещ да ги придобие – независимо от мотивите на това придобиване.
Въпреки, че не са съвсем прегледно структурирани (поради сваляне само на суровите материали), данните включват установъчна информация на данъкоплатците (паспортни имена, ЕГН-та, адреси, телефони, електронни пощи, пароли, IP-адреси и др.); такава относно тяхното имущество (банкови сметки, влогове, кредити, недвижима собственост, автомобили, ценни книжа, трудови и граждански договори, ДДС-кредити и др.); и такава относно тяхното поведение и здравен статус (наложени глоби, хазартни игри, болнични отпуски, престой в лечебни заведения и др.).
Повече от циничен е коментарът на правителствени представители, че с подобни данни „най-много съпругата ви да разбере, че криете от нея банковите си сметки“. Със станалата публично достояние информация могат да бъдат направени значително повече поразии – което е и основният мотив за написването на настоящата статия. Преценени „поотделно и в тяхната съвкупност“ (както юристите често се изразяват), данни като горните разкриват освен самоличността, така също значителни аспекти от социалния статус, подробности от личния живот, предпочитанията, проблемите и уязвимостите на хората. С различни способи от социалното инженерство** чрез подобна информация могат да бъдат реализирани всевъзможни сценарии за изнудване, измама, злоупотреба с господстващо положение и с безпомощност.
Като най-типични злоупотреби, които по наша преценка ще зачестят в следващите месеци и може би години, са свързани с отпускането на кредити в полза на титуляри, които нито подозират за случващото се, нито усвояват средствата. Специфичната привилегия, която чл. 417 от ГПК предоставя на банките, позволява такъв кредит да бъде обявен за предсрочно изискуем и събран принудително, преди изобщо предполагаемият длъжник да е в състояние да образува дело за установяване на факта, че неговият подпис не стои в искането за кредит и не той е усвоил средствата, които се претендира да бъдат върнати (ведно с лихвите и разноските по събирането). Отделен остава въпросът дали мнимият длъжник изобщо ще бъде в състояние да организира съдебната си защита, да покрие дължимите държавни такси, адвокатски хонорари и депозити за вещи лица (например за графично изследване на подписа му); да поддържа многогодишна битка с кредитодателя и съдебните изпълнители, които междувременно са запорирали всичките му доходи и спестявания, изнесли са имуществото му на публична продан и като цяло са разрушили живота му.
Горната хипотеза не е възможно да се случи без поне частичното съдействие на недобросъвестни банкови служители (които например „да пропуснат да забележат“, че лицето не се явява в банковия клон за подписване на кредитната документация). Дори и добросъвестни служители обаче могат да бъдат подведени, ако кредитът се отпуска дистанционно – когато от другата страна убедителен глас цитира уверено всякакви подробности от данните на този, за когото се представя. Питането за данни по лична карта, служебен телефон, рождена дата, моминско име и други такива нерядко се ползва като квази-аутентикация при различни банкови и небанкови процедури.
Въпросът става още по-горещ при т.нар. „финансови институции“, на които законът предостави правото да отпускат „бързи кредити“. Тези институции не разполагат с привилегиите на банките, но все пак могат да подадат искане за издаване на Заповед за изпълнение по чл. 410 от ГПК, срещу която ответната страна има право да възрази в 14-дневен срок от призоваването. Хора с ниско образование и такива, чиято възраст или здравословно състояние не позволява да осмислят значението на получените книжа, могат лесно да пропуснат този срок. Същото се отнася до лица, които пребивават в чужбина и няма кой да получи призовките им. На изпитание се поставя и почтеността на съдебните служители по призоваването, които понякога са мотивирани да не положат дължимите усилия за връчване на книжата. Така финансовите институции срещу „набързо“ отпуснат „бърз кредит“ също могат да се окажат с изпълнителен лист в ръцете си и да пуснат в ход съдебно-изпълнителната машина.
Въздържаме се от проследяването на по-изкусни сценарии – тук ще се ограничим само до най-повърхностните. Дори само те са достатъчно коварни – на фона на услужливото законодателство, предоставило всякакви „бързи“ и привилегировани инструменти в интерес на кредита, в замяна на неефективна, бавна и трудна за ползване Съдебна система в ръцете на гражданите; които като бонус очевидно получиха и една напълно пробита данъчна администрация, която е неспособна да опази информация, критична за сигурността на нацията. И лошата новина не е просто в случилото се; истинската лоша новина е, че не по-малко пробита е цялата държавна система, в която НАП с изтеклите „3%“ се явява само капка в океан от некадърност и безотговорност.
____________
* краквам – от англоезичното 'crack' (счупвам); професионален жаргон сред хакерските среди, означаващ разбиване, преодоляване защитите на информационна система; за разлика от хакването (явяващо се в същността си интелектуално усилие да бъде разбран начинът на функциониране, да се тестват слабости и същите да се отстранят или да се постигне технологично подобрение), кракването в повечето случаи е недобронамерен акт на кражба, фалшифициране или унищожаване на информация; оттук неправилно прилагане на положителното понятие 'hacker' (хакер) с отрицателното значението на 'cracker' (кракер) – разрушител, унищожител.
** социално инженерство – разнообразни способи за създаване на привидно благоприятен контекст, в който жертвата се подлъгва да осъществи определени действия, които при правилна преценка на контекста не би направила; които действия обикновено са от естеството да доведат до ощетяване на самата жертва лично или на трети лица, които зависят от действията на жертвата; известен пример за социално инженерство са т.нар. „телефонни измами“, при които пенсионери са подлъгвани да изхвърлят ценности през прозореца, мислейки, че по този начин съдействат на полицията, като хвърлят примамка за залавянето на престъпници.
