Народно събрание на Република България - Начало
Народно събрание
на Република България
  1. Начало
  2. История и факти
  3. Архив Народно събрание
Архив Народно събрание
Заседания / Новини / Контакти и правила / Документи / Законопроекти / Доклади / Стенограми

Временна анкетна комисия за изясняване на всички факти и обстоятелства около случая с източване на информация от електронната база данни на Националната агенция за приходите
04/09/2019
    ЧЕТИРИДЕСЕТ И ЧЕТВЪРТО НАРОДНО СЪБРАНИЕ
    Временна анкетна комисия за изясняване на всички факти и обстоятелства около случая с източване на информация от електронната база данни на Националната агенция по приходите





    ПРОТОКОЛ
    № 2

    На 04 септември 2019 г., сряда, се проведе редовно заседание на Временната анкетна комисия за изясняване на всички факти и обстоятелства около случая с източване на информация от електронната база данни на Националната агенция по приходите при следния

    ДНЕВЕН РЕД:

    1. Изслушване на ръководството на Комисията за защита на личните данни.

    Списък на присъствалите народни представители – членове на Временната анкетна комисия за изясняване на всички факти и обстоятелства около случая с източване на информация от електронната база данни на Националната агенция по приходите, и списъкът на гостите, се прилагат към протокола.
    Заседанието беше открито в 15,57 ч. и ръководено от председателя на Комисията господин Красимир Ципов.
    * * *
    ПРЕДС. КРАСИМИР ЦИПОВ: Имаме кворум. Откривам заседанието на временната анкетна комисия.
    Днешният дневен ред е от една точка:
    1. Изслушване на ръководството на Комисията за защита на личните данни във връзка с предприетите мерки и действия за извършване на проверка, установяване на административни нарушения от страна на Националната агенция по приходите.
    Наши гости са Венцислав Караджов – председател на Комисията, господин Цанко Цолов – член на Комисията, госпожа Розалина Каменова – началник отдел в Комисията, и Албена Петровска – главен инспектор.
    Уважаеми колеги, целта на днешното заседание е да изслушаме ръководството на Комисията, както споменах преди малко, именно във връзка с това как е преминала проверката във връзка с изникналия инцидент за теч на данни в Националната агенция по приходите, като ще дам думата първо на председателя на Комисията да ни запознае какво е предприето от страна на Комисията, след което ще отправим въпроси към него и към на представителите на Комисията за защита на лични данни.
    Заповядайте, господин Караджов.
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми господин Председател уважаеми народни представители! Освен мен това са ръководителят на проверката господин Цолов и екипът, Вие го представихте вече, който извърши проверката. Някои от членовете на екипа не присъстват по уважителни причини – служебни ангажименти, но наличните експерти са в състояние от отговорят на всички възникнали въпроси.
    Най-общо казано, за да не губя времето как точно се случи събитието, то беше публично оповестено, след уведомяване от страна на НАП за проблем с информационната сигурност, което задължение им е вменено по регламента в рамките на 72 часа от установяването, и в резултат на медийни публикации Комисията се самосезира. Беше взето решение да се извърши цялостна проверка на администратора, не само относно обявения чрез уведомлението теч на данни, тъй като този теч няма как да се случи без да има пропуски в работата на самия администратор, поради което решението беше за цялостна проверка в работа на администратора Национална агенция по приходите. В резултат на едномесечна проверка екипът излезе с определени констатации. Констатациите на екипа са следните: администраторът НАП поначало е предприел мерки за защита на физическите лица и чуждестранни граждани, като това, което е направил първоначално, за да информира тези граждани, е в английската версия на официалния сайт на страницата, където е създадена специална рубрика, посветена на неоторизирания достъп с обобщена информация за кръга на засегнатите лица, включително чуждестранни лица, вида на разкритите лични данни, описание на евентуалните последици от нарушението.
    Отделно данъчните администрации на държавите-членки, с които НАП обменя данъчна информация, и която информация е станала достъпна в резултат на хакерската атака, по реда на международните актове са уведомени за инцидента с информационната сигурност. Уведомена е също така Европейската комисия, специализираните служби към състава и Глобалния форум към Организацията за икономическо сътрудничество и развитие (ОИСР), както и компетентните органи за обмен на информация в държавите-членки на Европейския съюз в областта на ДДС и събиране на публични вземания.
    Отделно е подготвено писмо и изпратено до всички данъчни администрации, за чиито местни лица има индикация за неправомерно разкрити лични данни, с което се иска съдействие от съответния административен орган в данъчната администрация, който след предоставяне от страна на НАП на идентификационни данни да уведоми местните лица индивидуално. Търсенето съдействие е било необходимо поради факта, че има голям брой засегнати и чуждестранни лица и НАП не разполага с конкретните данни, за да ги уведоми и практически това е било невъзможно.
    По време на проверката екипът констатира, че в НАП не са предприети следните технически организационни мерки, които ние считаме, че са довели до възможността тези данни да бъдат достъпени. От гледна точка на организационна структура – да, съществува изградена структура за защита на личните данни. В нея са определени видовете потребители на информационната система на НАП, но в хода на проверката не са предоставени правила за отделните потребители, функционалните им задължения процедурите за тяхната дейност, не е достатъчно ясно разписан принципът на взаимодействие между тези потребители, тоест какви са правата на единия и на другия и как точно се извършва контролът или обменът на информация между тях, липсват процедури за взаимодействие на отделните потребители в системата в този смисъл.
    Продължителното самостоятелно разработване на приложения за електронни услуги към гражданите според нас е дебалансирало системата за защита на данните, като тежестта е изместена към функционалността на услугите в полза на гражданите за сметка на необходимата защита при обработване на данните на данъчнозадължените лица. Основните отговорности за информационната сигурност са съсредоточени единствено в ИТ дирекцията, като липсват разписани правила и процедури за защита изобщо на личните данни, а са налице само такива за информационна сигурност от гледна точка на киберсигурност. Вътрешните правила, най-общо казано, са прекалено общи и за всяка една от поддържаните в НАП информационни системи няма разработени правила за обработка на данните в самата система, а в НАП има много такива системи. Необходимо е да се има предвид, че киберсигурността е само част от мерките за защита на личните данни е задължително разработването на правила и процедури, регламентиращи мерките за защита на данните, категориите лични данни като цяло, и съобразно техния вид и чувствителност това се прави след като бъде извършена оценка на риска в самата организация, съобразно броя на физическите лица, чиито лични данни се обработват, вида на тези лични данни, доколко са чувствителни и така нататък, кой има достъп до тази информация и тези данни. Така че това се прави като част от оценка на риска.
    Към датата на неоторизирания достъп и разпространението на лични данни на 15 юли в политиките за формиране на профилите за достъп до приложенията, реализиращи електронни услуги на гражданите за съжаление не са предвидени достатъчно рестриктивни мерки за достъп до базите данни, като същите са достъпвали с изключително големи права базите данни на НАП. По този начин е възможно лесно хакване на базата с данни, тъй като хакването на услугата буквално е предоставило възможност за непосредствен достъп до базата данни. След като се е случил този неоторизиран достъп чрез хакването, в момента на проверката констатираме, че са ограничени тези привилегировани потребители и това по никакъв начин не е довело до проблем с функционалността на съответните приложения. Проблемът е, че ограничаването на тези права съобразно така наречения принцип „Privacy by Design“, което е неприкосновеност при проектирането, това ограничаване на правата е следвало да бъде направено към самия момент на проектирането, а не в резултат на тази хакерска атака.
    Освен това считаме, че е нарушен така нареченият основен принцип на отчетност, тъй като липсват одитни записи на отделните събития и дневници за привилегированите потребители, което значи, че няма информация какво този потребител е правил, кога е правил, кой го е правил, какво е достъпвал. Няма внедрена система за управление на тези привилегировани потребители с оглед контрол, управление и наблюдение на привилегирования достъп до така наречените критични активи, тоест базите данни.
    Отделно не е внедрена и система за управление и анализ на събитията, отразени в дневниците, с оглед одитиране на дейностите на потребителите в системата и осигуряване на анализ в реално време на сигналите за сигурност, генерирани от мрежовия хардуер и приложения, което е позволило да не се подава информация тогава, когато хакерът е влязъл, каква информация е теглил, много ли е било, малко ли е било, системата не е сигнализирала, защото го е нямало заложено вътре в нея като хардуер и като софтуер. Липсва методика за управление на риска, тоест идентификация на заплахите и оценка на самия риск, приложима за всяка една информационна система към момента на нейното първоначално въвеждане в експлоатация, както и последваща периодичност за оценка на този риск, когато евентуално има съмнение, че той би се изменил съобразно обстоятелствата.
    Считаме, че не са представени доказателства за извършен анализ на риска на системите и операциите по обработването и няма изготвени правила за функционални задължения за работа на всяка информационна система. Не са представени доказателства за извършена оценка на въздействието при идентифициран висок риск за всяка една от системите и предприетите мерки съгласно одобрен и публикуван такъв списък от Европейския борд и същия публикуван на страницата на Комисията за защита на личните данни.
    Липсват документирани правила и процедури за оценка на въздействието при защита на данните при първоначално стартиране на нови информационни системи и приложения. Няма данни за стартирала процедура по адаптиране на информационните системи към изискванията на общия регламент за защита на данни, който се води Регламент 679. Липсват процедури за управление на риска при въвеждане на нови системи или при промяна на вече съществуващи системи, така наречените електронни услуги, които те предлагат. Не са предприети действия за обновяване на операционните системи, тяхната сървърна система е в момента на ниво 2008 година.
    На тези системи, между другото, срокът на поддръжка в световен мащаб изтича януари следващата година. Няма изграден център за възстановяване на работоспособността на системите в реално време, което на практика предразполага към случая с Агенцията по вписванията, няма паралелен сървър, който да може в случай, че има хакерска атака или друг технически проблем, да може симултанно да вдигне системата и тя да работи и да се предоставят тези услуги. Има backup сървър, който правилно е направен, но това не решава проблема. Липсват политики за обработване на специални категории данни, липсват политики за повторно използване на личните данни на субектите, липсват политики и вътрешни правила за анонимизиране, архивиране и унищожаване на електронните данни, които се използват еднократно по различни заявки, примерно Народното събрание изисква от НАП да направи заявка във връзка с някакъв случай, който разследва, НАП прави проверката и след това тези данни не се унищожават. Няма правила, което, естествено, предразполага когато има такъв неоторизиран достъп, да се добие изключително голяма база данни с информация и такъв случай, между другото, е засечен от нашия екип. Липсват политики и процедури за обработка на данни на деца, повторно използване на такива данни и проследяващи механизми, и така наречените Cookies (бисквитки) за определяне срока на съхранение и задържане на данните. Липсват приети стратегии и политики за криптиране на данни от архиви или еднократно извършвани справки.
    Според нас е нарушен и принципът на независимост на длъжностното лице по защита на данните, тъй като неговата йерархична подчиненост е на дирекция „Сигурност“, а не на самия ръководител на институцията. Това лице поначало и Вие знаете много добре, в Комисията по вътрешна сигурност и обществен ред го обсъждахме, ролята му е да предоставя информация на ръководителя, който може да вземе решение, а директорът на дирекция може да резолира тази информация и тя да си остане в архив, без да стигне изобщо до директора и той да не може да реагира. Не е това ролята на длъжностното лице, многократно се опитахме да обясняваме и в частния, и публичния сектор, че тези лица трябва да бъдат пряко подчинени на министъра или на съответния заместник-министър, в чиито функции е разпоредено да може да взема тези решения.
    Служителите на НАП подписват декларация за неразпространение на информация, но в длъжностните им характеристики не открихме включени задължения за обработване на лични данни на физическите лица при изпълнение на конкретни служебни задължения, самите длъжностни характеристики изобщо не са актуализирани съобразно изискванията на регламента.
    И накрая считаме, че липсват вътрешни правила за обучение на самите служители относно самата им подготвеност да действат в случаи на незаконосъобразно обработване на лични данни. Това най-общо са констатациите на екипа.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря, господин Караджов.
    Предполагам, че това е залегнало и в мотивите на акта за установяване на административното нарушение, освен като констатации в рамките на извършената проверка.
    Уважаеми народни представители, имате думата за въпроси към представителите на Комисията за защита на личните данни.
    Заповядайте, господин Гечев.
    РУМЕН ГЕЧЕВ: Благодаря Ви.
    Съгласно и нашите правила, разбира се, ще помоля да ни бъде предоставен този доклад. То беше добре евентуално, не сте предупредени, да го имаме предварително, за да можем да систематизираме и подготвим въпросите, защото да Ви кажа, това, което чувам, е стряскащо. Искам да Ви поздравя за това, което сте направили, защото информацията, която давате, надминава поне за мен, очакванията за дереджето, на което се намира защитата на данни в НАП. Така че като погледнем доклада, тогава ще възникнат въпроси, които касаят не толкова проверяващите, в случая Вас, тъй като Вие правите услуга на парламента, а касаят организацията на работа в НАП. И най-важното, пак ще кажа, задачата на тази комисия е да си направим изводи и да вземем решения, които да не допускат за в бъдеще такива пробиви.
    Имам един въпрос: как изчислихте глобата, не е Ваша работа кой ще плаща глобата, защото ще имаме други обсъждания? Очевидно е, че е било странно, ако плащането на глобата е от Националната агенция по приходите само, но как стигнахте до това число, как го определихте, тъй като едва ли може толкова бързо да се определят загубите, които са нанесени в пазарно измерение? Това ще отнеме доста време и друг тип експерти. Така че, ако може да дадете светлина по този въпрос.
    Второ, след като се запознаем в подробности с този доклад, Вие казахте, че сте провели разговори и сте проверили работата с личния състав, нали така, който отговаря за тази система? Това според мен Вие сте спестили, но какво е Вашето мнение за квалификацията на този състав, тъй като Вие не може да не сте видели, че в този състав, който отговаря за софтуера на НАП и сигурността, има: специалист по спортна стрелба, специалист магистър по технология на металите, специалист магистър по механика и физика, специалист по аграрикономика, магистър по технология на хранително-вкусовата промишленост, магистър по геодезия, фотограметрия и картография, магистър по транспорт и енергетика. По мои сметки, които направих днес, 60 на сто са калинки, казано на български език. Въпросът ми е: Вие забелязахте ли такава висока концентрация на професионални калинки там, защото тия хора няма какво да правят? И какво се чудим, какво ще Ви правят те, някакви защити там на софтуера, и ще Ви обновяват сървърите, след като те са фотографи и картографи!? Това не може да не сте го забелязали. Така че споделете какво е Вашето впечатление.
    ПРЕДС. КРАСИМИР ЦИПОВ: Преди да дам думата на председателя на Комисията за защита на личните данни, искам да обърна внимание на народните представители, че никъде във вътрешните правила на анкетната комисия няма ангажимент към институциите, които изслушваме, да представят предварително доклад. Нека да сме наясно за това.
    Второ, искам да Ви помоля, господин Гечев, мисля, че не е необходимо в контекста на каквото и да е било заседание да даваме такива квалификации и оценки. В крайна сметка отговорността се носи от ръководителите на НАП за това какви кадри назначават.
    РУМЕН ГЕЧЕВ: Ама то се вижда.
    ПРЕДС. КРАСИМИР ЦИПОВ: Нека да оставим квалификациите на компетентните органи. Тази временна анкетна комисия не е предназначена да установи какво е качеството на кадрите в НАП, или пък в каквато и да е била друга държавна администрация.
    Заповядайте, господин Гечев.
    РУМЕН ГЕЧЕВ: Само една реплика, да Ви отговоря.
    Няма такъв човек, който ще ме ограничи като народен представител да казвам каквото мисля!
    ПРЕДС. КРАСИМИР ЦИПОВ: Нямам намерение да Ви ограничавам.
    РУМЕН ГЕЧЕВ: Аз се запознах с… Нека да завърша!
    Запознах с материалите. Това, което виждам, надминава всякакви скандали по техните назначения. (Реплика: „Господин Председател!“) Така че то е свързано. Недейте да редактирате моя въпрос. Питам колегите дали са забелязали тези квалификации.
    ПРЕДС. КРАСИМИР ЦИПОВ: Колегите от КЗЛД ще Ви отговорят, но понеже явно предизвикахме дебат, сега ще трябва да дам думата на всички вследствие на тази Ваша квалификация.
    Заповядайте, господин Манев.
    МАНОИЛ МАНЕВ: Избягвайки очакванията на господин Гечев, че ще тръгна да споря с него, документите в тази комисия, които се изискват, се изискват с решения на Комисията – протоколи и така нататък, гласуват се от състава на Комисията да бъдат или да не бъдат предоставени като писмени документи. Това е редът, по който сме приели да работим. (Реплика.) Има такова нещо, проверете си, да.
    На второ място, искам само да допълня въпроса Ви, който така провокативно зададохте на председателя на Комисията за защита на личните данни, има ли някъде в Закона за защита на личните данни изрично посочени какви специалности трябва да имат като професионална квалификация или дипломи служителите по защита на личните данни или те просто трябва да имат специализация в защита на личните данни? Благодаря.
    ИВАН ИВАНОВ: Благодаря.
    Уважаеми господин Председател, уважаеми колеги, уважаеми гости! Във връзка с казаното дотук, тъй като професор Гечев отвори темата, има ли от Ваша страна направени предписания и за персонална отговорност, освен тази глоба, която към днешна дата сте наложили на НАП, очевидно обжалват, тук ще се присъединя към изказаното мнение, защото именно в специализираната дирекция за мрежова и информационна сигурност работят още по-екзотични специалисти, като щурман-насочвач и техника и технология на опазване на околната среда. Господин Манев сам може да си направи сметката, че едва ли подобни тесни специалисти биха били особено полезни за опазване на информационната сигурност и на киберсигурността на такава сериозна агенции, каквато е Националната агенция за приходите, защото е изключително сериозно. И въпросът ми е В тази връзка необходимо ли е единствено и само данъкоплатци, защото бюджета на НАП го формират всички тук присъстващи в залата, включително и гостите, които са от журналистите, с техните данъци, и оттам ще дойдат… Тоест персоналната отговорност в случая Вие идентифицирали ли сте я и ще бъде ли санкционирана по някакъв начин? Благодаря.
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Манев.
    МАНОИЛ МАНЕВ: Тъй като колегата просто ми напомни, даде ми идея да допълня въпроса, който Ви зададох, за това има ли изисквания в Закона за квалификацията по диплома, да го допълня: на някои от Вас, на които е възложен контролът, проверката и така нататък по защита на личните данни, известно ли Ви е висше учебно заведение в България, което да издава диплома за завършено висше специалност магистър, бакалавър или каквото и да било, по темата защита на личните данни?
    Второ, възможно ли е да се намери на някъде в България човек със завършено такова образование – защита на личните данни?
    И трето, знаете ли закон Вие във Вашата комисия, на която е възложен контролът, знаете ли закон, според който да има ограничение и сегрегация на висшето образование, което е завършил човек, за да работи по темата защита на личните данни, специалист експерт или лице, отговарящо за това? Благодаря Ви.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря господин Манев.
    Заповядайте, господин Иванов.
    АЛЕКСАНДЪР ИВАНОВ: Благодаря Ви.
    Уважаеми господин Председател, въпросите, които са ми пряко към господин Караджов и господин Цолов, се уповават изцяло на изводите на направената проверка и доклада, който те днес развиха, и ще вляза в задочен спор с господин Гечев, защото този доклад за мен се уповава не на усещания и впечатления, а на преки констатации, които са отразени в доклада. Затова ще помоля и именно господин Караджов и господин Цолово да се придържат към доклада, а не да търсим някакви лични впечатления и усещания, както Ви призова господин Гечев, защото все пак сме парламентарна комисия, която работи с документи.
    Във връзка с това щях да Ви помоля, направи ми впечатление в изложението в началото, господин Караджов, че споменавайки разписаните правила в НАП, специално в отдела за боравене с личните данни, казахте че няма и не са установени такива, а впоследствие казахте, че са много общо написани. Може би там не можах да преценя точно какъв е коментарът по доклада Ви. И наистина ще помоля да се придържаме към доклада и да не се поддаваме на някакви лични впечатления и желания. Благодаря.
    РУМЕН ГЕЧЕВ: Чакайте отново! Аз Ви предлагам…
    ПРЕДС. КРАСИМИР ЦИПОВ: Господин Гечев…
    РУМЕН ГЕЧЕВ: Няма да се изказвам повече. Но дайте да се разберем колегиално! Ние не сме се събрали тук представители на ГЕРБ да правят анализи кой какво пита и къде пита! Аз съм достатъчно образован, за да знам какво питам! (Реплики.) Въпросът не е с БСП и ГЕРБ…
    ПРЕДС. КРАСИМИР ЦИПОВ: Уважаеми народни представители!
    РУМЕН ГЕЧЕВ: Въпросът е, че на 5 милиона души… (Реплики.)
    ПРЕДС. КРАСИМИР ЦИПОВ: Моля Ви да вземате думата тогава, когато Ви я дам!
    РУМЕН ГЕЧЕВ: Няма да замазвате нищо! Дошли сме да питаме! (Реплики.)
    МАНОИЛ МАНЕВ: Искате ли да Ви цитирам отпреди 2 минути изказването?
    ПРЕДС. КРАСИМИР ЦИПОВ: Господин Манев, ако обичате!
    МАНОИЛ МАНЕВ: „Никой няма право да ограничава народния представител какво да казва!“. Това го казахте Вие! (Реплики.) Точно така! И аз казвам това, което искам! Защото Конституцията ми дава право…
    ПРЕДС. КРАСИМИР ЦИПОВ: Уважаеми народни представители, ако обичате, нека да дадем възможност на представителите на Комисията защита на личните данни да отговорят на зададените въпроси. И Ви призовавам, наистина целта на тази парламентарна анкетна комисия е да установи определени факти и обстоятелства, свързани с теча на НАП, а не да дава квалификации, които още повече не са и работа на тази анкетна комисия.
    РУМЕН ГЕЧЕВ: Как не са?
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Караджов. (Шум и реплики.)
    МАНОИЛ МАНЕВ: Само с гласуване се взема решението на Комисията за констатации! (Шум и реплики.)
    ПРЕДС. КРАСИМИР ЦИПОВ: Ако обичате, господа!
    РУМЕН ГЕЧЕВ: Нищо няма да скриете, тъй като оттук ние тръгваме по медиите!
    РЕПЛИКА: Медиите са тук!
    ПРЕДС. КРАСИМИР ЦИПОВ: Нямаме никакво намерение да скриваме абсолютно, нищо за кой път трябва да Ви се обясни това?
    ИВАН ИВАНОВ: Може ли процедура?
    МАНОИЛ МАНЕВ: Последният депутат, който чухме да плаши с медии, не завърши добре!
    ПРЕДС. КРАСИМИР ЦИПОВ: Няма да Ви дам думата, господин Иванов! Първо да отговори на зададените въпроси председателят на Комисията защита на личните данни.
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми народни представители! По част от въпросите относно персонална отговорност – Комисията за защита лични данни не разполага с такава компетентност да изследва и да търси персонална отговорност вътре в самия администратор. Нашата компетентност е да проследим дали администраторът, тоест организацията или частноправният субект, било то фирмата, спазва изискванията и дотам се ограничават нашите задължения. След като констатираме, че тя не ги спазва, ние издаваме предписания със срок на изпълнение. Ако не бъдат изпълнени, санкционираме администратора. Същото е, ако установим, че нарушението е много съществено, засегнати са интересите на голям кръг физически лица, издаваме предписания и налагаме санкция.
    Да отговоря на въпроса как стигнахме до размера на глобата. Това са критериите. Колко голям обем, колко бройки физически лица са засегнати, какъв обем от лични данни са засегнати незаконосъобразно, има ли вина, която е допуснал самият администратор, тоест действал ли е правилно, не е ли действал правилно, в кои етапи на защита на личните данни е действал правилно и в кои не е действал правилно и защо, и това, което виждате от нашите констатации, ние сме го направили. Като цяло отчетът, който Ви дадох на Вас, трябва да допълня и да установя, че след извършването на незаконосъобразния достъп чрез хакерската атака НАП като администратор е действал много правилно, включително и се допита за въпроси, които считаше от съображения за висока степен на обществен интерес, да се допита до Комисията защита на личните данни как следва да действа, включително в случаите с чуждестранни физически лица, включително в случаите, когато трябваше да уведоми и българските физически лица поради големия обем от физически лица, които бяха засегнати. В процеса на проверката имаше пълно съдействие от страна на администратора НАП и от страна на неговите служители. Ние не сме констатирали липса на компетентност от страна на тези служители. Във въпросниците, които им бяха предоставени, за да отговорят на определени питания от страна на експертния екип, те са предоставили достатъчно информация, от която ние можем да съдим, че те имат добри познания върху това как работи системата и какви са ѝ проблемите. Проучили сме и докладите на инспектората на НАП и голяма част от проблемите, между другото, са констатирани в последните пет години от самите служители на НАП. Така че за мен въпросът с тяхната компетентност, макар, че не ни е работа, не можем да го поставяме под съмнение.
    Какви са изискванията за образование на лицата, които работят с лични данни – най-общо казано няма образователен ценз, но има изискване за професионална компетентност, тоест да са работили и да бъдат обучавани, ако не са работили, да минават през определени курсове на обучение. Между другото, голяма част от Вас тук няма да чуят за първи път предложението на КЗЛД, ние от две години предлагаме да се създаде национален обучителен център и именно и още 2016 година считахме, че липсата на достатъчно подготвеност в областта на защита на личните данни ще доведе до проблеми и действително се оказа, че такива проблеми се появяват не само в частния сектор, но и в публичния сектор. Така че това е най-общо отговорът на така поставените въпроси.
    А сега по този конкретен въпрос с това разминаване в информацията – колегата Цолов, който е ръководител на проверката, може да Ви отговори.
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Цолов.
    ЦАНКО ЦОЛОВ: Уважаеми господа и дами народни представители, относно въпроса за общата част и констатацията, че са прекалено общи. Става въпрос за правилата, които намерихме за информационна сигурност и за киберсигурност, които са създадени в Агенцията. Както знаете, от повече от година имаме такъв закон, а от месец вече имаме и наредба, която е създадена. Правилата, които намерихме, са общо за администрацията. Това, което ние очаквахме или хайде да го кажем така малко по-широко: огромни пари инвестираме в киберсигурност, в сигурност по принцип, а накрая санкциите ги търпят по Закона за защита на личните данни. Тоест в този случай, който ние разглеждаме, киберсигурността е част от защитата на личните данни. Това, което ние очаквахме и търсихме да намерим, е правила за всяка една система относно защитата на личните данни.
    Тук искам да отбележа, че видях държавата в НАП, огромни количества, огромни бази данни. Няма как дори в рамките на две години да пренапишат тези системи и няма как да се започне всичко отначало. Това са системи, които работят 24х7, няма как това, което искаме – говорим за „Privacy by design“ или „Privacy by default“, тоест за неприкосновеност по подразбиране или при проектиране, когато е трябвало да бъде направено в системата, в миналото такова изискване нямаше. Няма как това да го намерим сега, към този момент. Тоест това, което трябва да се направи, е поетапно, при първа възможност, когато се ъпдейтва системата, това да се случи, защото част от проникванията, които са, да, те се констатират с такива тестове, които е трябвало да бъдат направени при въвеждане на системата. Затова ние констатираме, че нямаме процедура за въвеждане на системата да изискваме такива тестове да се правят.
    А от друга гледна точка за образованието – не сме ние компетентните, които можем да определим образованието на хората, които работят в тази област. Това е дадено право на ръководителя на организационната единица, тоест компетентния орган по назначаването. Ние очакваме да намерим квалификация, длъжностното лице беше обучено. Всеки един служител при първоначалното въвеждане в администрацията преминава първоначално обучение, при което има и част за защита на личните данни. Това, което ние сме отбелязали, е, че искаме това обучение да бъде постоянно, да бъде периодично, план за такава дейност. Мисля, че това бяха въпросите.
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте сега за процедурния въпрос, господин Иванов. После госпожа Христова и господин Летифов.
    ИВАН ИВАНОВ: Благодаря, господин Председател.
    За съжаление ще Ви върна малко назад преди да отговорят от КЗЛД. Все пак този състав на Комисията е избран от Народното събрание с определена цел, да достигне до определени изводи. Така че информираността на всеки един от членовете на Комисията е изключително значение. Всички тези констатации, които ние направихме тук, днес, са базирани на информация и данни, които сме получили както от НАП, така и днес тук изложени от Комисията за защита на личните данни. Така че моля да не правите забележка. Да приключа дотук.
    И във връзка с тази процедура ще Ви помоля на следващото заседание, отсега да отбележите, да бъдат поканени представители на Държавна агенция „Електронно управление“, тъй като по закон приет скоро, за киберсигурност, те са ангажираните лица, които отговарят за киберсигурността в държавата, за да може да проведем с тях далеч по-компетентен разговор очевидно по отношение на служителите и техните изисквания за образование, подготовка и така нататък, които да отразяват нивото на киберсигурност в Агенцията за приходи. Защото, както тук присъстващите казаха, защита на лични данни е елемент от един по-голям процес, който включва в себе си киберсигурността. Така че нашите констатации, които са на база на предоставени данни, с които и Вие сте ни запознал днес, мисля, че не са далеч от истината за това, което се случва…
    ПРЕДС. КРАСИМИР ЦИПОВ: Уважаеми народни представители! По никакъв начин не съм искал нито да ограничавам народните представители във въпросите… Направих единствено бележка, че подборът на кадрите в държавната администрация е въпрос, който се отнася до органа по назначаване, в случая това е ръководството на НАП на средно и високо ръководно ниво. Нищо повече, нищо повече! Обръщам внимание, че нищо повече не съм направил като бележка на уважаемия господин заместник-председател!
    Второ, да, на следващото заседание имах и аз намерение да Ви предложа накрая на заседанието да поканим представители на държавна агенция „Електронно управление“ именно по отношение на този въпрос как се защитава сигурността на информацията не само в личните данни в държавната администрация. Така че отсега мога да заявя: на следващото заседание на Комисията ще поканим ръководството на държавна агенция „Електронно управление“, като преди самото заседание, в конкретния случай ще се съглася с Вас, господин Гечев, бихме могли да поискаме предварително някаква информация, за да можем да зададем въпроси по време на изслушването.
    ИВАН ИВАНОВ: В тази връзка може ли едно допълнение към процедурата ми, тъй като възникнаха ред въпроси от предоставената информация, която бе за служебно ползване, да поканите още веднъж представители на НАП, защото и към тях имаме очевидно доста сериозен куп въпроси.
    ПРЕДС. КРАСИМИР ЦИПОВ: Разбира се, че ще поканим, господин Иванов, като ще вземем, разбира се, и решение на Комисията. Възнамерявам отсега нататък в края на всяко едно заседание на анкетната комисия да чуя Вашите предложения кого трябва да поканим и да приемем решение преди да отправя поканата към съответните институции.
    МАНОИЛ МАНЕВ: Бих искал да попитам председателя, може ли след като свърши отговорът на даден въпрос, да изразим становище?
    ПРЕДС. КРАСИМИР ЦИПОВ: Разбира се, че можете да изразите отношение във връзка с отговора от страна на представителите на съответните институции.
    Извинявам се, госпожо Христова.
    Заповядайте, господин Манев. Ще Ви помоля обаче кратко. Процедурен въпрос от страна на господин Манев.
    МАНОИЛ МАНЕВ: В отговор на това, което казаха в отговора си Комисията, държа да установим две много важни истини, които представителите на Комисията знаят перфектно от работата по Закона за класифицираната информация.
    Първо, сигурността на системите е част от сигурността на личните данни, а не обратното, това е законът, написано е в закона и е ясно и Комисията за защита на личните данни проверява системите – всички системи, в които се съхраняват лични данни, като част от защитата на личните данни, които са приоритет на проверяваното лице оператор на лични данни. Това трябва да се изясни, за да заработим всички по-добре в тази комисия.
    На второ място, всички изисквания, които са свързани с лицата, имащи право да бъдат оператори на лични данни, да съхраняват лични данни и така нататък, и така нататък, са посочени в Закона за защита на личните данни. И дали администрация, дали не е администрация, след като в този закон няма посочени изисквания към тези лица, ние не можем… Има професионална подготовка, която се провежда в курсове. И тук е мястото да завърша и затова взех думата, защото това е най-важният момент, който дебатираме и от създаването на Закона, и от влизането на последните директиви, и работата по последните директиви в тази връзка – за обучението, което трябва да се провежда по защита на личните данни. И тук е мястото да подкрепя представителите на Комисията, че такава обучителна институция трябва задължително да има, че обучението, което се извършва от хора, нямащи право, нямащи квалификация, нямащи умения да извършат такива обучения и да издават сертификати, което не е достатъчно контролирано, също е много важен елемент от проблема, за който говорим. И на този проблем съм съгласен, че решението му се крие в създаването на институция, която да извършва това обучение първоначално, последващо и във времето за преквалификациите на всички тези служители. Въпрос на нас, народните представители, законодателя, е най-накрая да го решим този въпрос конкретно, точно и ясно законодателно.
    И завършвам, няма да Ви губя времето, но мисля че това, което говорим в момента, е важно за нашата работа – на комисията, и на хората срещу нас, че при извършването на проверки от Комисията, тъй като тази практика, особено по новите текстове в Закона и в новите промени на Закона – последните, много е особено това, при извършването на проверки от Комисията тя задължително взема под внимание всички елементи, но основната ѝ задача и основното ѝ фиксирано в Закона задължение е да установява достъпа до личните данни, не изградените системи за сигурност, а само изградените системи за сигурност, свързани с достъпа до лични данни. И цялостни изказвания, цялостни становища по темата за защита на компютърния, на физическия достъп и така нататък, и така нататък, са само във връзка и единствено със защита на личните данни!
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря Ви, господин Манев.
    Заповядайте, госпожо Христова и след това господин Летифов.
    ДОРА ХРИСТОВА: Благодаря, господин Председател.
    Уважаеми гости, уважаеми колеги! Моят въпрос е към Комисията за защита на личните данни. Искам да Ви попитам кога последно е правена проверка на НАП, дали се спазват изискванията и евентуално ако са правени такива проверки какви констатации и предписания са дадени на НАП и дали са изпълнени?
    Вторият ми въпрос, който искам да задам, тъй като Вие няколко пъти споменахте за така наречените от Вас „привилегировани потребители“. Доколкото разбрах от това, което казахте, че една е причината за проблема в системата на НАП е именно дадените им от една страна големи правомощия на тези потребители, и второ, че не се изготвят протоколи и няма хронология, история на действията, които са извършвали, влизайки в системата на НАП. Може ли да обясните кои са тези привилегировани потребители, каква е тяхната роля, какво изпълняват, в каква връзка са влизали в системата? Благодаря.
    ПРЕДС. КРАСИМИР ЦИПОВ: Господин Летифов, заповядайте.
    ХАЛИЛ ЛЕТИФОВ: Благодаря, господин Председател.
    Уважаеми колеги, уважаеми представители на Комисията за защита на личните данни! Въпросът ми в някаква степен съвпада с на колежката Христова – за привилегированите потребители, но ще допълня само този въпрос. Вие казахте, че системата, първо, е изключително натоварена – 24/7 тя работи нон-стоп, че системата за сигурност общо-взето е остаряла, някои моменти са от 2008, доколкото си спомням казахте, които преди това развитие на технологиите са музейни експонати, буквално са музейни експонати. От тази гледна точка сте направили, предполагам, препоръки към НАП. Но в същото време казахте, че това ще отнеме две години тази информация или този обем целият да се преработи. Важно е какъв е срокът, в който ние гарантираме на българските граждани, че техните лични данни, защото НАП е универсален носител на лични данни, повече от него надали някой в държавата носи лични данни, какъв е срокът, в който ние можем да гарантираме на българските граждани, че, първо, сме обновили системата, след това, доколкото ние говорим за самата система, че тя има очевиден проблем, това го решаваме. И, от друга страна, доколко вината за това изтичане на данни е в самата система, в остарялата сигурност, в някаква степен може би и неглижирането на тази сигурност и прехвърлянето на отговорност от институции в институции, и колко има лични физически грешки като тези привилегировани потребители, ако може да го кажем в процент? И каква е препоръката за да се занули тази субективност?
    Някой да направи обобщена информация, както и Вие казахте, и да остави тази справка и който реши да я вземе, просто трябва да влезе да си я събере и да си я вземе. Това ми е притеснението, ние дължим този отговор така или иначе. Какво препоръчахте на НАП и какъв е този срок, в който ние можем да кажем, че сме поправили щетите? Благодаря .
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря и аз, господин Летифов.
    И нека и аз да се възползвам за едно уточнение във връзка със зададените въпроси от колегите. Правилно ли разбрах, че сте установили, че операционната система и софтуерът, с които работи на НАП, е остарял, и поради тази причина са създадени условия на тези преди привилегировани потребители да се възползват от този общ достъп, който им е предоставен?
    Заповядайте да отговорите.
    ВЕНЦИСЛАВ КАРАДЖОВ: Аз съм юрист, колегата като информатик ще може по-детайлно да влезе в нещата, но най-общо казано, това, което и Ви казах, НАП са приоритизирали обслужването на физическите граждани чрез електронни слуги. Това е най-общо казано. И тези услуги обаче са написани на един език, който работи към 2008 година и оттам нататък, ако осъвременят системата, не може да работи тази услуга, функционалността на тези електронни услуги се изрязва, поради което и затова ние търсихме данни, ИТ служителите и техните вътрешни разработчици, които, между другото, се оказа, че сега се уволнени, какви доклади са направили и какво точно са препоръчали. Не ги намерихме. Поради това ние считаме, че се приоритизира тази функционалност на системата за сметка на защитата на личните данни на информацията и почти сме убедени, че оттам идва основният проблем Така, че санкцията идва и за това, защото ние считаме, че НАП са създали условия приоритизирайки стратегически една от функциите на НАП за обслужване на граждани за сметка на защита на информацията на тези граждани.
    За привилегированите потребители колегата технически ще Ви обясни как стоят нещата. А иначе проверка на НАП ние сме правили още една. Знаете, тогава възникна проблемът с обработване на единните граждански номера. Имаше опити на бели хакери да докажат, че единният граждански номер като математически алгоритъм е лесно разпознаваем и за да го направят това, на тях им трябваше сигурна система, от която могат допълнително да извлекат информация за това кой стои зад определен единен граждански номер. В конкретния случай и тогавашният министър на вътрешните работи, главният прокурор, министър-председателят, моя милост и така нататък бяха използвани за да се докаже, че има начин да се разберат тези персонални идентификационни номера за физическите лица, тъй като една от тези услуги на НАП, предоставяща информация за здравноосигурителния статус, предоставяше след като бъде въведен правилния единен граждански идентификатор, номер, информация кое е лицето, примерно Венцислав Караджов. Въвеждайки моя ЕГН излиза информация, че В. Караджов е с непрекъснат здравен статус. Оттам определени лица, които очевидно имаха намерение да достъпят тази информация, си бяха поиграли известно време, за да могат да намерят достъп до всяко едно от тези физически лица и това беше възможно, защото те са намерили сигурен източник на информация, който достоверно може да каже кой стои зад определения единен граждански номер. И проверката, която ние направихме на НАП, беше да предприемат действия такава идентификация да не бъде възможна. В момента ние все още разговаряме с НАП какви точно действия трябва да предприемат, защото най-лесното действие е да се премахнат имената на физическите лица и просто да се каже, че този единен граждански номер е с непрекъснат здравен статус.
    Проблемите в този конкретен случай на системата бяха, че тази информация се използва публично от болници, от общопрактикуващи лекари и така нататък. Но за нас не съществува проблем лицето като покаже личната си карта и удостовери единия си граждански номер, да се установи, че този единен граждански номер е с непрекъснат статус, но няма нужда да се предоставя допълнителна информация, която позволява на лица с нездрав интерес да установят кой е този единен граждански номер, макар че ЕГН е създаден за идентифициране на лицата, той е създаден с цел да се идентифицира за определени услуги било то от държавните органи, било то от нотариуси и така нататък, а не от всеки, който има нездрав интерес – да разбере кой е ЕГН на това лице и после да се опитва по един или друг начин да злоупотребява с тази информация. Така, че и по този повод се работи. Иначе други проверки освен тази засега съществени на НАП ние не сме извършвали от наша страна.
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Цолов.
    ЦАНКО ЦОЛОВ: Аз ще отговоря на въпросите, свързани с операционната система и привилегированите потребители.
    Първо за операционната система. И двете версии, а сървърът, който се използва… Това е вече много технически. Да приемем, че това е версията 2008 година, а на базата данни, която се използва, е предходната версия. В НАП имат всичките така наречени пачове, тоест ъпдейти върху тези системи. Отново се връщаме върху това кое е по-важно. Всеки един ъпдейт рискува да наруши функционалността, това го знае всеки един, който работи в сферата на ИТ. И тук поставихме въпроса за наличието на дублиращия топъл резерви „Disaster center”, тоест ако нещо се скапе в продукционната база, веднага да можем да предложим другата услуга.
    Дали това е основният проблем за теча, не бихме се ангажирали да приоритизираме нещата, но всеки един пач, който се поставя върху някаква операционна система или база данни, той е свързан, голяма част от тях, със сигурността – констатирани пробиви, които се запушват с тези пачове. Тоест потенциално това е вероятност да се случат пробиви в системата. Не сме констатирали, че това е задължително условието, което е било, но това разстройва системата, създава условия да се осъществи теч.
    Другият въпрос – привилегировани потребители. Много е технически въпросът, но приемете така: под потребител в този случай се разбират освен лица всяко едно приложение, което досяга базата данни. Приемете, че имаме една услуга, която обслужва гражданите, примерно възстановяване на ДДС, съвсем произволно избирам една. Тази услуга досяга базата данни точно така, както ще я досегне един оператор с определени права. Тези права са разпоредени и са дадени. Когато се разработват тези системи и когато тежестта е дадена върху функционалността, се дават големи права. На всеки един ИТ специалист ако му кажете, че съществува система за сигурност, той ще се мъчи да я махне, защото тя му пречи. Това трябва да се знае. Тук трябва да се намери балансът между защита и функционалност. Това, което ние констатирахме, сме го отразили в нашите констатации. След като е извършен анализ е казано потенциално ето това е наборът от услуги, от които е нужно да стане проникването, виждайки правата, които са дадени да досягат базата данни и всяка една справка, която е намерената там, те са намалили и са ограничили тези права на досег и в тестовия режим, пак казвам, когато ние напуснахме НАП, там още работеше тестовият режим, на отделно приложение бяха го пуснали. Тези приложения работеха, не беше нарушена функционалността, тоест тук имаме едно завишаване на правата, безсмислено завишаване на правата, което дава основание ако се проникне в базата данни, да има досег до доста голям ресурс, което е нарушение на нашия принцип „Privacy by design“, тоест не сме проектирали вярно системата. Нашето изискване, което намерихме, беше поетапно, при всеки един update направете това, снемете тези разширения, не само това, всяко едно поле, което досяга базата, трябва да бъде тествано по какъв начин може да се влезе през него, защото тъй наречените SQL инжекции или друго, което четете в медиите, минават през най-обикновени текстови полета. Тези тестове ги нямаше.
    А иначе първото, огромното е, пак казвам там има изградена система, работи. Но за да работи тази система, за да има функционалности, които да гарантират електронната услуга, днес прочетох, че за тази година даже повече от 50% сме подали декларации по електронен път, за да работи тази система тук е позволено да се нарушат някои препоръки за сигурност.
    Колкото за срока, който поставихте кога можем да очакваме – цялостно системата, да кажем, ние ще я приведем към условията, които изисква Законът за защита на личните данни, не е лек срокът. Това, което ние сме казали, е 6 месеца за изпълнение на нашето предписание. Предписанието има конкретни неща.
    За операционните системи председателят каза, че са активни и се поддържат ъпдейтите за тях до 2020 година, тоест тези системи, които те използват в момента, са работещи. Но трябва, ние сме поискали, направете си процедура, при която, когато ъпдейтвате, да гарантирате, че няма да нарушите функционалността и това да бъде ясно разписано за всеки един състав, който обслужва системата.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря и аз.
    Други въпроси? Отношение ли искате да вземете госпожо Христова? Заповядайте.
    ДОРА ХРИСТОВА: Първо искам да създам всъщност допълнение към първия въпрос. Разбрахме, че не са извършвани проверки и защо не са извършвани, защото в НАП се съхранява голяма информация от лични данни за всички граждани на страната. Няма ли въведени изисквания на определен период от време да се извършва такава проверка от Вас, за да за да има някаква сигурност защото се оказва, че системата няма вътрешен одит в НАП, доколкото разбираме, са извършени тестове на системата от техен вътрешен одит, няма, което за мен е безумно, дублиращ сървър, ако нещо се скапе системата, за да за да не прекъсва работата на НАП, така разбрах от доклада. Във всяка една частна фирма, ако щете, винаги си има сървър, който е в готовност, ако се скапе системата, да започне да работи.
    И освен това казахте, че за 6 месеца трябва да се изпълнят предписанията. Вие знаете, че от 1 януари вече много голяма част от информацията ще се подава към НАП и вече НАП ще изготвя декларациите на физическите лица със съвсем някакви малки изключения, които ще бъдат подавани от физическите лица, което означава, че много информация от първи януари ще се подава към НАП. Така че как ще се гарантира сигурността на тази система на НАП? И за мен шест месеца е много малко за да се отстранят или изобщо ако се тръгне към смяна на някаква система или функционалности?
    ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Караджов.
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми народни представители, НАП и със сегашната структура и софтуер вече е предприел необходимото. Рестриктивните мерки са заложени. Не трябва да оставате с убеждението, че тази информация в момента е разграден двор. Въпросът е, че те са го допуснали чрез тези действия, които ние Ви казваме, те са дали възможност с този привилегирован достъп, ако някой хакне системата, той направо да отиде в базата данни с всички права на оператор и да прави с тази система каквото иска, Ето това е бил основният проблем. Сега, като са направени необходимите рестрикции, с тази система, те вече могат да гарантират едно значително ниво на сигурност и поверителност на информацията. Разбира се, ние искаме те да направят повече, защото софтуерът и хардуерът през 2019 година позволява да се направи много повече. За това обаче те трябва да редизайнът, да пренапишат програмите си, да ги препроектират и това вече отнема много време. Ето за това говорим.
    Относно този Дизастър център, колегата ще Ви дообясни как какво са констатирали.
    ЦАНКО ЦОЛОВ: Не е точно разбирането да кажем, че няма архивиране. НАП поддържа целия набор от архиви, които са необходими. Това е ежедневен архив. А това, което констатирахме, беше, че на всеки два часа се прави архивиране, incrementing, тоест добавяне към някакъв архив.
    Това, за което ние говорим, е втори работещ център, такъв какъвто го виждаме в НАП, който в реално време може да поеме функционалността. Това го няма. Има център, в който се съхранява. Тоест ние имаме резервен сървър, там няма да загубят информация, два часа ще бъде времето за нещо, което можем да загубим.
    ПРЕДС. КРАСИМИР ЦИПОВ: Само да уточним, става дума за електронните услуги, нали така?
    ЦАНКО ЦОЛОВ: За електронните услуги.
    ПРЕДС. КРАСИМИР ЦИПОВ: Не е за целия сървър на НАП. Нека да правим разлика, госпожо Христова, защото смятам, че е важно.
    ЦАНКО ЦОЛОВ: Само за електронните и говорим само за един от сървърите им, този, върху когото имаме сведения, че е досегнат. Това е.
    Съществува още нещо, освен тези бекъпи, които правят, архивирането на документите, те поддържат и дълговременен архив, в който могат да възстановят абсолютно цялата система на НАП, ако нещо се срине сградата, да кажем. Така че, пак казвам, те имат изградена система. Държавата там не е на голо.
    Лично моето мнение, въпреки, че това не е на нашата комисия работа, това, което се направи, този център за киберсигурност, този съвет за киберсигурност, с тази координация, липсва към този момент, не само на НАП, липсва на всички институции, както и на нас ни липсва това. Защото част от защитата минава през всички тези доставчици на интернет, които доставят, те са първите, които трябва да констатират това.
    ПРЕДС. КРАСИМИР ЦИПОВ: Уважаеми господин Цолов, мисля, че това е работа на едни други компетентни органи – да дават своето становище по тези въпроси.
    Господин Димитров, заповядайте.
    ЕМИЛ ДИМИТРОВ: Благодаря, уважаеми господин Председател.
    Няма да засягам въпроса с калинките, най-малкото защото може да се окаже, че половината калинки са назначени по някое друго управление и ще отидем в „нашите калинки по-калинки ли са от Вашите“. Така че нека това да го избегнем.
    ПРЕДС. КРАСИМИР ЦИПОВ: Моля Ви, господин Димитров! Не влизайте и Вие в този дебат, моля Ви!
    ЕМИЛ ДИМИТРОВ: Само да обясня, защото беше много интересно, а никой не обясни защо НАП е стигнал до това състояние. Ще се опитам да го кажа преди да задам въпроса. Ако в едно горско стопанство, където е пълно с лесовъди, кажеш, че трябва да има такава система, трябва да им издават фактури, или ще е лесовъд, или ще е някой от счетоводителите, то няма какъв друг да е. Ако в един гараж тръгнат, защото издавали фактура, за да карат било мебели, било картофи, и трябва да има и там такъв, който да отговаря, нищо чудно да е директорът на гаража, който е шофьор със С категория и утре ще кажем: абе, вижте сега, нещо тук не се връзват нещата. Ние нямаме университет за такива хора. Така че е ясно как ще се случи. Няма да мерим нашите калинки с Вашите, защото не знаем точно кои са и кога са назначени.
    Щом в НАП обаче е такова състоянието, какво смятаме, че е в останалите институции? Всичко, което Вие изискахте, струва пари, и то много пари. Ако в НАП го няма, значи го няма и другаде, защото на НАП на и митниците доста пари дадоха за развитие на системите. Но всички институции, които имат някакви масиви, бази данни и така нататък, са създавани по програми преди изискванията на Закона за защита на личните данни. И нещо, което не са го искали от Вас навремето, да кажат Вие защо го нямате, отговорът е много лесен: когато ние купувахме тази програма, въвеждахме, тези изисквания ги нямаше.
    Къде е големият проблем в НАП? Че те в желанието да бъдат широко достъпни до всички български граждани и фирми, да не да се разкарваш да чакаш на опашка, да ти дадат входящ номер, да ти приемат документите, да си губиш времето, да можеш дистанционно всичките тези неща да ги свършиш, така отвориха системата, че всеки може да се свърже и хората бяха много доволни. Но в един момент ако каже НАП „искаме по-съвременни версии на компютрите“, целият бизнес ще каже: ама вижте сега, Вие толкова усложнявате, сега заради Вас трябва да си купя компютър, сега за да ползвам Вашите услуги… То това не е услуга“. И миналия път го казаха, за съжаление Комисията беше засекретена. Проблемът беше достъпност до системата, функционалност на системата и сигурност. Ако искаме тя да е максимално достъпна с програми от осемдесет и коя година, е нормално, че сигурността може би ще страда. Ако кажем, че искаме да е максимално достъпно, но по съвременните системи, изведнъж ще се окаже, че хората трябва си купят компютри. И ние сега от едната страна казваме: „НАП, спрете с услугите, за да са сигурни“, от друга казваме: „Моля Ви се, разширявайте услугите, хората го искат, те вече свикнаха с това“.
    Очевидно проблемът е много голям и ще трябват много пари. Всичкото, което сте установили, нямам никакво съмнение, че е така. Проблемът е, за да има някакъв ефект от цялата комисия днес, знаем какво се е случило в НАП, сигурни сме, че този проблем съществува и в други институции, защото всичките им системи във времето са направени, подобрявани, нови версии така нататък, върху някакви стари задания. Какво е състоянието в останалите институции, смятате ли и там да направите проверка, макар и тематична, макар и методологична, за да се види какво да се случи, защото днес е НАП, утре ще са други? Миналия път си позволих да кажа, че и сайтът на парламента беше атакуван, пък не сме искали оставката на председателката, най-малкото защото не е и програмист. Това се случва навсякъде. (Реплики.) Няма значение, лични данни ще намерят. (Реплики.) Тогава като ги има навсякъде страдаме, че сега там са излезли, защо е малка глобата? Като не, значи, че… Опозицията ще прави каквото сметне за необходимо и това е нейно законово задължение.
    За мен изводът е: Къде в България в останалите системи сме сигурни, че тази гаранция я има и колко ще ни струва, приемаме, че днес е датата, случило се е, това е поводът да стане, ние да почнем да ъпгрейдваме системите? Ще дам пример с Америка. Имаха много служби, много разузнаване, всичко работеше много добре. 100 годишна традиция, 150 годишна традиция, докато нападнаха двата небостъргача. Тогава казаха: много ни е добра системата, но вижте какво се случи! Обединяваме 17 министерства в едно, правим едно своеобразно ново министерство, подчиняваме го, защото досега системата очевидно, въпреки, че сме си я харесали, се оказа, че не е работеща. В момента Вие установихте, че в НАП това се е случило. Утре може да се случи в митниците, може да се случи в НОИ, може да се случи в Здравната каса. Хора, които не държат много тяхното здравословно състояние във времето да се знае, кой какви болести е имал или се е лекувал, да станат обществено достояние, някой да ги извади. Ще страдат невинни хора.
    Какво смятате отсега нататък да направите като предложение, защото това ще струва и пари? Това е нещото, което нас ни вълнува. Това се е случило, ние не можем да го върнем. Ще ги накажем, но то може да се случи навсякъде другаде. Утре всеки директор на институция ще каже: Ама Вие ме слагате директор на тая институция по програми от 1988 година и утре почвате да ме питате защо аз не съм променил програмите през 1988 година? Не съм бил тука изобщо и не знам. А с моето постъпване мога ли автоматично да ги променя? Не мога. Значи Вие с поставянето на поста на другия ден ме правите потенциален престъпник, защото така става. Хората няма да искат да вземат постове, след като на другия ден ще бъдат санкционирани за това, че програмите, когато са създадени, не са били зададени тези параметри, а сега като ги проверяваме, виждате ли, защото ги няма, ги наказваме. Благодаря Ви.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря и аз, господин Димитров.
    Заповядайте, господин Караджов.
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми народни представители, поначало Комисията не прави само спорадични проверки, ние правим и секторни проверки, примерно правихме проверка на сектор „Образование“, сектор „Здравеопазване“ и така нататък. И там сме констатирали и съответните нередности и сме дали срокове пак по същия начин – шестмесечни, които се изпълняват и се въвеждат съответните изисквания там, където са констатирали, че трябва да се въведат.
    Аз не бих казал, че Законът едва ли не възпрепятства кадърни хора да заемат определена държавна позиция. Напротив, изискванията за Закона са да бъде законосъобразно и добросъвестно поведението. Едно такова добросъвестно поведение изисква като подстъпи съответният ръководител, на него първо да му се докладва какво е състоянието на информационната сигурност на системата и съответно да бъде уведомен какво трябва да се направи. И той трябва да вземе решение как да го направи и в какви срокове, евентуално ако се наложи поетапно съобразно ресурсите. Но не може нещата да седят на ниво от 2008-ма година и тези програми януари 2020 година изтичат от световна поддръжка. Разбирате ли за какво говоря? Няма да има изобщо ъпдейт. Тук не говорим за пачове и така нататък, а че изобщо няма да има ъпдейт. При тази ситуация някой е трябвало да докладва и някой е трябвало да обяви поръчка, да направим други действия, така че тази система да бъде своевременно заменена. Още 2018 година влезе общият регламент в действие. Така че за това говорим, че има приоритизиране на функционалността на системата за сметка на сигурността и затова когато влезе в сила Законът за защита на личните данни, ние казахме „Да, няма проблем длъжностните лица по защита на личните данни да съвместяват тази позиция примерно на юрист или на някой друг в администрацията и едновременно с това да извършват дейност по защита на личните данни“. Но това не трябваше да става принцип на назначаване на длъжностни лица, а то стана, защото нямаме допълнителни бройки, нямаме подготвени хора и така нататък. А сега като съвместяват тази дейност, тези длъжностни лица не могат да отделят необходимото внимание върху наблюдение на системата, изработване на необходимите доклади и в конкретния случай това длъжностно лице дори да е изработило доклада, то не е могло да го представи на ръководителя, защото е било подчинено на директора на дирекция.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря, господин Караджов.
    Госпожа Георгиева, заповядайте.
    БОРЯНА ГЕОРГИЕВА: Благодаря Ви, господин Председател.
    Господин Караджов, все пак по-рано чух един въпрос, на който, за съжаление, не успях да разбера отговора, и бих искала да Ви попитам и аз. Защо на Националната агенция по приходите не е правена проверка от Комисията за защита на личните данни преди този особено неприятен случай? И ако беше направена такава проверка, може би щях да се установят доста нередности много по-рано, които щяха да попречат на този случай.
    ВЕНЦИСЛАВ КАРАДЖОВ: Малко се отклоних, извинявам се, че не отговорих на въпроса. Комисията прави проверки по сектори, тоест тематични проверки въз основа на примерно брой подадени жалби до Комисията от предходни години и въз основа на сигнали, подадени до Комисията, които тя е разгледала и така нататък. За НАП нямаше такива индикации, такива подадени жалби и сигнали в такъв голям обем, че да налага цялостна проверка на системата. Напротив, проблемите бяха в телекомуникациите, образованието, здравеопазването, бързите кредити и така нататък. Комисията разполага с доста ограничени ресурси. Нашият проверяващ екип са има-няма 15-20 човека. Ние трябва да приоритизираме нашата дейност съобразно конкретните факти, които има при нас, а конкретните факти са подадените жалби и сигнали! Тези сигнали и жалби в сектор „Телекомуникации“, в сектор „Кредити“, в сектор „Здравеопазване“, „Образование“ бяха наистина преобладаващи, докато за НАП имаме една или две жалби на година, които ние разглеждаме, които не са дори бих казал със съществено засягане на правата и интересите на физически лица.
    ПРЕДС. КРАСИМИР ЦИПОВ: И все пак допълнете, че миналата година сте извършили частична проверка във връзка с казуса, за който споменахте.
    ВЕНЦИСЛАВ КАРАДЖОВ: Извършвана е, да. Аз вече обясних за конкретната проверка, която сме извършили, и по която работим, за да постигнем общ резултат за единния граждански номер, но тя не е цялостна проверка на НАП, тя е по конкретен сигнал.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря.
    И други въпроси?
    Заповядайте, господин Гечев.
    РУМЕН ГЕЧЕВ: Благодаря Ви.
    Вашият доклад ни дава доста материали за разговори с представителите на НАП в бъдеще. Още веднъж искам да Ви благодаря за информацията, тъй като тук има и журналисти, искам само да кажа, че това, което Вие сте установили, най-вероятно е, че в доклада на НАП пише, че 2013 година те са направили одит на системата, фирмата „ИТ управление и анализ“ ООД, 2013 г., на управлението, това е техният доклад, оттогава НАП не са правили нов одит, това са шест години. Те са направили вътрешен одит, правили са по един вътрешен одит 2014 година в Пловдив – по техни данни, цитирам, 2015 година Видин, Монтана, Враца и Търново, 2016 година само в Бургас, 2017 година в Търново и във Варна, и 2018 година в Търново и във Варна.
    Първо, това е много малка извадка, Вие сте я забелязали сигурно, това би трябвало да Ви е направо впечатление, че това, което трябва да прави всяка организация – вътрешен контрол, е доста символичен, изненадващо. Най-странното е, че в Търново три пъти правят вътрешен одит от тези пет-шест града, във Варна два пъти. Други цели региони на страната и техните поделения няма. Това дали сте го забелязали?
    Второ, въпросът е към Вас, Вие видяхте ли и направихте ли оценка, макар че, колега Председател, това ще бъде въпрос на разговори и дискусии с представителите на НАП, няма да посочвам сега число, тъй като то е стряскащо, искам да го проверя още веднъж, пак ще отида в секцията да прочета, защото сметката ми е притеснителна и искам да я проверя и няма да я обявявам, но Вие сте видели тук, като казахте, че от 2008 година се използва така да се каже, основната конфигурация на една система, която се ъпдейтва, нали така? Без да се ангажирам с числото, много милиони договори има с фирми, които са идвали да подобряват системата. Това не е Ваша работа, но Вие питахте ли ги за тези договори какво са правили?
    Ще отворя една скоба за загрявка. Много интересно е, за Ваша информация също, че тези интересни договори, ако въобще сте гледали, са подписвани масово през декември месец, преди да дойде Дядо Мраз, от които няма резултат. Да кажем, че много милиони са похарчени, другия път ще Ви кажа точно колко, а тези фирми какво са правили там, не знам, за да стане това, което стана. Не са ли видели тия експерти, влязох във всички фирми да ги видя кои са, днес имах време, много интересно, много интересни фирми има от тях, но ще стане дума после. Какво са правили тези фирми за милиони левове?! Вие забелязахте ли нещо, питахте ли ги не са ли идвали там софтуерни фирми нещо да правят?
    ПРЕДС. КРАСИМИР ЦИПОВ: Приключихте ли?
    Моля Ви за кратък отговор и Ви предлагам да се ориентираме към приключване. Има ли други въпроси?
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми народни представители, работа на Комисията за защита на личните данни е да следи сигурността на системата за защита на лични данни, а не дали са подписвани договори или не. Ние не сме сметна палата, ние констатираме, че не е направено това, това и това. И това, което не е направено, е довело до това и съответно сме наложили санкцията.
    Дали те са подписвали или не договори с някого и за какви неща, нас не ни интересува. Нас ни интересува резултатът. Той е ясен, няма го. Ние сме го констатирали.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря Ви, господин Караджов.
    Господин Манев, заповядайте.
    МАНОИЛ МАНЕВ: Аз ще бъда наистина кратък, но това, което трябва пак да напомням и да казвам днес е, че всъщност изслушването на Комисията за защита на личните данни, доведе до това да направим един извод и по отношение на това, което се е случило в НАП във връзка с изтичането на лични данни. И там имаме освен пробиването на системата, един много важен пункт, който днес трябваше да подчертаем с дебела червена линия: критериите, обучението, възможностите, нивото на хората, които се занимават със защита на личните данни, страда от една обективна необходимост: създаване на критерии за тяхното обучение дали от Комисията или от някой друг, университети, институт, унифициране на това обучение по работата за защита на личните данни, което също беше възложено, обсъждано, дебатирано с Комисията неведнъж и накрая в това, което чух и от колегата, когато говорим за лични данни и изобщо когато се занимаваме с някакви такива изслушвания трябва и да се обучаваме. Това, което имахте предвид, предполагам, когато говорихме за ъпдейтването на системата, ставаше въпрос за световния ъпдейт на една световноизвестна система. А това, което колегата имаше предвид с това, което са правили фирмите, е подобряване на работата на системата на НАП, не за компютърната конфигурация, за която Вие говорихте, а за други договори и други неща. Така че когато сме пред комисия, когато сме пред хора, които не са тесни специалисти, може би трябва да си обясняваме по-надълбоко и нашироко нещата.
    Ако имаше създадени критерии в обучението на персонала, който отговаря за лични данни, ако беше осъществено това обучаване на обучители, обучаване на хората, или издаване на сертификати, за което е имало предложение не от една и от друга страна по време на обсъждане на Закона, нещата щяха да бъдат различни, тоест днес можем да излезем оттук и с извод, че и Комисията по защита на личните данни има неща, които за цялостната система, не само за НАП може би вече е време да предприеме, защото и колегите се върнаха в парламента и тяхната експертиза може да ни свърши работа, защото когато обсъждахме закона, тях ги нямаше. И тяхната експертиза ни липсваше и сега можем да ги ползваме като експерти, защото ние имаме проблем точно с това – сертифицирането, обучението и възможността на персонала, отговарящ за защита на личните данни в цялостната система – частна, държавна, публична да бъде на някакво ниво, което е зададено, което е определено с някакви стандарти. Неудобно ми е пред професор аз да говоря за стандарти в обучението, но все пак е важно да го отбележим. Благодаря Ви.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря и аз, господин Манев.
    Да благодарим на представителите на Комисията за защита на лични данни, макар че в заключение искам да отбележа: говорихме по какви ли не теми, но не и по отношение на това какъв е характерът на засегнатите лични данни, какъв е обемът на извършеното нарушение чрез този неправомерен достъп. Искам да помоля народните представители в следващо заседание да не се отклоняваме от темите, все пак викаме на изслушване представители на институциите.
    Господин Гечев, искам да Ви уверя, че колкото е необходимо, толкова пъти ще извикаме НАП, колкото е необходимо толкова пъти ще извикаме и Държавна агенция „Електронно управление“, колкото е необходимо, толкова пъти ще извикаме и разследващите от Министерството на вътрешните работи, включително и от прокуратурата. Искам да Ви уверя за това. Няма необходимост в присъствието на компетентни органи, на които не им е това работата, ако мога така по-простичко да се изразя, да даваме определени квалификации, само защото журналисти присъстват на заседанието. Мисля, че това не е конструктивният подход.
    И в заключение да завърша с това: не съм имал абсолютно никакво намерение да ограничавам нито един от народните представители за каквото и да е било. Искам да Ви благодаря, че така бяхте активни това заседание и да предложа да вземем решение, по което предполагам, че ще има консенсус, на следващото заседание да изслушаме представителите на Държавна агенция „Електронно управление“.
    Заповядайте.
    БОРЯНА ГЕОРГИЕВА: Господин Председател, мисля че на предната комисия коментирахме и присъствието на началника на ИТ отдела на НАП, да го повикаме.
    РУМЕН ГЕЧЕВ: Да, уволнените…
    БОРЯНА ГЕОРГИЕВА: Няма значение, той носи отговорност.
    ПРЕДС. КРАСИМИР ЦИПОВ: Ще го повикаме.
    РЕПЛИКИ: Те са двама.
    ПРЕДС. КРАСИМИР ЦИПОВ: Добре, и двамата ще ги повикаме, ще отправим покана да присъстват на заседанието.
    Заповядайте.
    РУМЕН ГЕЧЕВ: Благодаря Ви.
    Ще предложа, аз съм сигурен, че няма да има ограничения, и ще постигнем резултати. Ако има на моменти напрежение, то е заради това, че проблемът е голям и българската общественост, и фирми, и граждани са много ядосани. Ще намерим решение. От това, което прочетох от доклада на НАП, още веднъж благодаря и за този доклад, защото той в голяма степен потвърждава изводите от НАП, между редовете, които се четат, но те са дали точно информация от НАП, това, което досега сме искали, това, което видяхме, подписали са се, дали са правилно.
    Но тъй като стана дума тук за системата от 2008 година, че конфигурацията не е сменяна до 2019, и са подписвани много договори, миналия път ние поискахме, аз Ви предложих да дадат договорите от последните три години – за изпълнение на поръчки с външни изпълнители на софтуерни услуги. Затова на базата на техния доклад аз виждам, че нещата са много сериозни, тъй като са харчени страхотно много държавни пари, а резултатът е нула, губим не знам дали с 10 на 0 или 12. Затова моля да се върнат назад в конфигурацията от 2008, от 2009 година досега, по същия начин таблицата с кои софтуерни фирми са сключвали договори и на каква стойност, за да можем да си направим извода за тези 10 години колко голяма е сумата, която ние сме похарчили и защо резултатът е нулев. Благодаря Ви.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря.
    Заповядайте.
    МАНОИЛ МАНЕВ: Одеве меко и тактично се опитах да обясня нещо, че софтуерни услуги и софтуерни услуги по защита на системата са две коренно различни неща… (реплика.)
    Да съм Ви прекъснал днес Вас двамата?
    ПРЕДС. КРАСИМИР ЦИПОВ: Ако обичате, колеги, моля Ви!
    РУМЕН ГЕЧЕВ: Какво пише в договора?
    МАНОИЛ МАНЕВ: Софтуерните услуги са едно нещо и в тази връзка изказвам обратното становище, че ако ще иска някой някакви договор, то те трябва да бъдат свързани с темата на Комисията, а тя е пробивът в сигурността на системата и да поискате договори, които са свързани само с осигуряване на сигурността на системата. Благодаря.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря и аз.
    Колеги…
    РУМЕН ГЕЧЕВ: Това не може да го гласуваме, първо, и, второ, тази информация не може да бъде спряна, тъй като веднага ще събера подписи ще изпратя като народен представител искане на шефа на НАП и съгласно Конституцията тя ще ми напише таблиците от А до Я!
    МАНОИЛ МАНЕВ: Ама разбира се, само че не през тази комисия! Ще си го направите като народен представител.
    РУМЕН ГЕЧЕВ: Това няма да преценявате Вие! Аз съм преценил като заместник-председател, че искам информация.
    ПРЕДС. КРАСИМИР ЦИПОВ: Уважаеми господа, ако обичате, ще поискаме във всяко едно нещо, за което народните представители – членове на Комисията, ще вземем решение. И наистина Ви моля, смятам, че е необходим…(Реплика.) Никой няма повече права…
    МАНОИЛ МАНЕВ: Кой каза, че заместник-председателят на тази комисия има повече права от народен представител, член на тази комисия?! Ако някой ми го обясни това, аз ще напусна с… (Реплики.) За да ми обясните какво и кой Ви даде право на Вас да думкате по масата и да ми казвате, че Вие сте заместник-председател, изчервен и ядосан на това, че аз изказвам становище и мнение в тази комисия? Кой в това Народно събрание, в Конституцията, в Правилника на това Народно събрание определи, че членът на Комисията има по-малко права да изявява своето волеизявление тук от заместник-председателя на Комисията? Кой го каза това?!
    ПРЕДС. КРАСИМИР ЦИПОВ: Надявах се, че ще завършим с някакъв конструктивен тон, за съжаление не е така. Благодаря още веднъж на представителите на Комисията за защита на лични данни.
    В заключение да Ви помоля примерно до другата сряда или до края на другата седмица в петък ще може ли да предоставите на вниманието на народните представители от Комисията това изложение, което направихте на заседанието?
    ВЕНЦИСЛАВ КАРАДЖОВ: Уважаеми господин Председател, уважаеми народни представители, това са констатации, които ние сме предали на НАП, така че те съществуват черно на бяло, приети са с решение на Комисията. За нас не съществува проблем още утре да Ви ги представя.
    ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря Ви. Ще бъдем удовлетворени.
    Закривам заседанието до следващия път.
    (Закрито в 17,27 ч.)

    ПРЕДСЕДАТЕЛ:
    Красимир Ципов

    Стенограф:
    Антон Лазаров
    Форма за търсене
    Ключова дума