---

П Р О Т О К О Л
№ 3

На 19 септември 2019 г., четвъртък, в Народното събрание – площад „Княз Александър I“ № 1, зала 3, от 15,30 ч., се проведе редовно заседание на Временната анкетна комисия за изясняване на всички факти и обстоятелства около случая с източване на информация от електронната база данни на Националната агенция по приходите при следния
ДНЕВЕН РЕД:

Точка единствена. Изслушване на ръководството на Държавна агенция „Електронно управление“.

Списъците на присъствалите народни представители – членове на Временната анкетна комисия и на гостите се прилагат към протокола.
Заседанието беше открито в 14,00 ч. и ръководено от председателя на Комисията – господин Красимир Ципов.

* * *
ПРЕДС. КРАСИМИР ЦИПОВ: Добър ден, колеги!
Откривам заседанието на Временната анкетна комисия за изясняване на фактите и обстоятелствата около случая с източване на информация от електронната база данни на Националната агенция по приходите.
Днешният дневен ред е от една точка:
Изслушване на ръководството на Държавна агенция „Електронно управление“.
Наши гости са: Атанас Темелков, Красимир Симонски и Васил Грънчаров.
Подлагам на гласуване дневния ред на заседанието.
За – …, против и въздържал се – няма.
Дневният ред се приема единодушно.
Уважаеми колеги, да Ви информирам, че дойде, така както поискахме, от ръководството на Комисията за защита на личните данни тяхното изложение, което беше представено на предишното заседание на Комисията.
Който желае, нека да заяви пред Секретариата на Комисията желание за копие от предоставената информация от Комисията за защита на личните данни.
Уважаеми господин Темелков, преди да Ви дам думата, идеята на днешното заседание е членовете на Анкетната комисия да получат информация относно това: какво прави Държавната агенция „Електронно управление“, какви мерки е предприела, включително и във връзка с инцидента, и какво въобще е състоянието на защитеността на данните в сървърите на държавната администрация.
Имате думата да представите информация от страна на ръководството на Държавната агенция, след което, уважаеми колеги, предлагам да преминем към въпроси, и отговори от страна на представителите на Държавната агенция.
Заповядайте, господин Темелков.
АТАНАС ТЕМЕЛКОВ (Председател на Държавна агенция „Електронно управление“): Благодаря, господин Ципов.
Уважаеми господа народни представители! Искам съвсем накратко да Ви запозная със състоянието на мрежата информационна сигурност в системата на държавната администрация. Темата е доста обширна и много неща биха могли да бъдат казани по нея. Аз ще се опитам съвсем накратко да обясня какво прави Държавната агенция по принцип за мрежовата и информационна сигурност, както и около събитието за което стана въпрос.
През последните години киберсигурността се превърна в ключов фактор за устойчивото развитие и просперитета на държавата, бизнеса, обществото и запазването на демократичните свободи на гражданите. Пробивите в информационните системи, изтичането на лични данни от информационните активи представлява един от най-сериозните проблеми пред сигурността в национален и световен мащаб. Приомите, техниката, процедурите и технологиите за пробив се развиват изпреварващо във времето, като крайният резултат остава един и същ – нарушено доверие на гражданите.
Наблюденията показват, че нарушенията в мрежата информационна сигурност остават в класацията на въззивностите с най-висок приоритет, с принос над 70% за компрометиране на данните, докато хакването, кражбата остават типно решение № 1 по брой на инциденти, представляващи над 82% от докладваното решение. Според публикации относно изтичането на лични данни за първата половина на 2019 г., в света са били регистрирани над 3800 пробива, посредством които са били разкрити над 4 милиарда записи с конфиденциална и лична информация.
Състоянието на мрежата информационна сигурност в държавната администрация е в пряка зависимост от състоянието и развитието на информационните ресурси, с които тя разполага. По отношение на развитието на информационните ресурси Държавната агенция провежда политика за преминаване от използване на хоризонтални системи и споделени ресурси на електронното управление. Посоката е централизирано планиране и управление на споделените информационни ресурси при децентрализираното им използване и отговорност за наличието и сигурността на данните от административните органи.
В административните органи към момента съществува голямо многообразие от информационни системи с различно предназначение в зависимост от конкретните функции, които осигуряват. Тези системи са въвеждани в различно време и с различна степен на зрелост по отношение на оперативната съвместимост и мрежовата и информационна сигурност. Системите все още са силно фрагментирани, което налага допълнително усилие за тяхната интеграция.
Съгласно обобщената информация, от 495 администрации през 2019 г. в експлоатация са 5900 информационни системи, от тях 3484 – или това са около 69%, е осигурена техническа поддръжка, гарантираща тяхната работоспособност. Допълнителен анализ показва, че за 90% от информационните системи с общо предназначение е осигурена техническа поддръжка, докато специализираните системи за такива са налични само за 46% от тях. Тук искам да вметна за ролята и отговорността на тези, които управляват тези системи. За тези 90%, за които е осигурена техническата поддръжка, това общо взето са системите, обработващи икономическа информация, финансово-счетоводни задачи, заплати, човешки ресурси и други, докато за специализираните като че ли отговорността и отношението към тях е по някакъв повод подчинена.
Отбелязва се напредък по отношение на развитието на хоризонталните системи на електронното управление. Средномесечно към момента се извършват над два милиона транзакции за достъп до удостоверителна, справочна информация през средата за междурегистров обмен. В рамките на една година представените през тази система справки са се увеличили над 20 пъти. Очакваният месечен обем от транзакции през следващата година е да достигне 20 милиона месечно, което още веднъж е 10 пъти увеличение на броя на транзакциите.
Регистрирани са над 23 хиляди активни профила на административни органи, физически и юридически лица в системата за сигурно електронно връчване. До настоящия момент през системата са връчени над 84 хиляди броя съобщения, свързани със заявяване на електронни административни услуги, подаване на жалби, писма и други.
От 1 ноември миналата година влезе в сила задължително използване на електронен документооборот, като към 31 юли 2019 г. реалната част в електронния обмен на документи са 586 администрации и 356 други структури. Въвеждането на безхартиен обмен на документи между администрацията съкращава времето за регистрацията на един документ до връщането на отговор средно шест пъти и спестява в пъти разходи и хартия.
Обезпеченост на администрацията с хардуер. Информационните технологии са навлезли нормативно във функционирането на държавната администрация, като на практика почти няма административен процес, който в една или друга степен да не е зависим от работоспособността на един или повече информационни ресурси. До момента в администрациите са налични 118 950 бр. работни станции, като 77% от тях са в централната и специализираната администрация, а 22 е в общинската. Има малък ръст всъщност спрямо 2013 г., когато тази техника е била около 114 хиляди бр.
Анализът на данните за експлоатационния период показа, че над 46% от работните им станции следва да бъдат обновени в краткосрочен план с цел да отговарят на минималните изисквания на мрежовата и информационна сигурност и на динамика на работните процеси. Администрациите разполагат с 5535 сървъра от различни класове спрямо 5870 в 2013 г., като 72% от тях са в централната администрация, а 27 са в общинската.
Голяма част от тях са предвидени и доставени назад във времето за работа при възможност за циклично максимално натоварване, което води до неефективната им експлоатация по отношение на електроенергия, поддръжка, лицензии и други. Сумарно в администрациите са налични около 8 хиляди виртуални и физически сървъра. Общият брой на сървърите е твърде висок,. съпоставен с общия брой на администрациите, наличните информационни системи, както и броят на обслужващия персонал.
В резултат на провежданата политика за централизация и използване на споделените ресурси за подмяна и развитие на хардуера, в Проектобюджета на централната администрация за 2020 г. са предвидени финансови средства в размер на 42 млн. лв. От тях: 59% са за работни станции, 7,4% - за сървъри, 8% - за дискови устройства и 25% - за мрежово оборудване. Това е в резултат на усилията на Държавната агенция да централизира сървърните ферми на едно и също място, а да се насочат администрации към доставяне на периферна техника.
На работните станции в администрацията са инсталирани над 122 хиляди бр. операционни системи. От тях: 97 са различни версии на Microsoft и 14 са други, които са Оупън сорс. Инсталирани са 148 хиляди бр. офис пакети. От тях: 75 отново са на Microsoft, 24% са други Оупън сорс пакети. За осигуряването на минималните изисквания на мрежовата и информационна сигурност с оглед функционалност, целесъобразно е преминаването към по-високи версии за 16% от използваните офис пакети в администрациите.
В административните органи са осигурени и инсталирани антивирусен софтуер за 94 хиляди бр. работни станции и 4364 сървъра. През 2018 г. държавната администрация е инвестирала близо 5 млн. лв. за антивирусни продукти и системи. През 2019 г. ще изтекат лицензионните права на 237 администрации, а 50 администрации са в състояние на риск поради това, че не разполагат с подобни системи.
Финансова обезпеченост. Разходите за мрежова и информационна сигурност са част от общите разходи за електронно управление. В Закона за държавния бюджет на Република България за 2018 г. за първи път в отделно приложение бяха определени целевите средства за електронно управление. За 2018 г. те са в размер на 109 милиона. С различни корекции и допълнения към този закон, разходите в края на годината достигат до 133 милиона.
През месец септември 2018 г. във връзка с подготовката на представянето на проектобюджетите за 2019 г. са съгласувани бюджетите на 39 централни органа, като бюджета за 2019 г. е в размер на 119 млн. лв. Като цяло през последните години България е инвестирала годишно в електронно управление около 0,1% от брутния вътрешен продукт. Само за сравнение: страни като Белгия, Италия, Австрия, Норвегия и Холандия инвестират в електронното управление между 0,6% и 0,8% от брутния вътрешен продукт, докато страни като Швеция и Великобритания инвестират между 1,4% - 1,5% от брутния вътрешен продукт за електронно управление.
Човешки ресурси. Данните от Доклада за състоянието на администрацията за 2018 г. сочи, че общият брой на служителите в администрацията, отговорни за ИКТ, е 2987, което е около близо 2% от общия брой заети в държавната администрация. Около 30% от администрациите нямат осигурен необходим административен капацитет за работа по електронно управление, като основната причина за това са липса на квалифицирани или недостатъчно обучени кадри, ниското заплащане и щатна длъжностна осигуреност.
Над 64% от администрациите използват външен изпълнител за осигуряване на експлоатацията и поддръжката на информационните системи. Забелязва се тенденцията администрациите да се доверяват повече на външния изпълнител, отколкото да полагат усилия за създаване на собствен капацитет. През второто тримесечие на 2019 г. средното месечно трудово възнаграждение за наетите лица в икономическа област, създаване и разпространение на информация, творчески продукти, далекосъобщения и така нататък, е 3053 лв., докато данните за възнаграждението в държавната администрация за хората, заети в ИКТ технологиите, е 1300 лв. Независимо от това се вижда, че всъщност възнаграждението е три пъти по-високо от това, което е в държавната администрация. Продължава високото текучество на кадри, включително поради липса на възможност за конкурентно заплащане спрямо частния сектор, на стимули и механизъм за придобиване и поддържане на реалния практически опит в администрацията.
Мрежова информационна сигурност. В световен мащаб продължава да е в сила тенденцията за увеличаване както на броя на инцидентите в киберсигурността, така и нарастване на тяхната сложност. В периода 1 януари 2019 г. – 31 август 2019 г. националният екип за реагиране при инциденти с компютърна сигурност констатира непрекъснато усложняване на обстановката и киберсигурността на страната. Статистиката за този период е свързана с регистрираните инциденти с мрежова и информационна сигурност в централната и териториалната администрация с висок и среден приоритети, така както следва: DDoS атаки – 13 на брой за тази година само от началото на годината; криптиращ софтуер – 4 случая; опит за проникване – 3 случая; проникване – един; неоторизиран достъп до информация – 9; кражба на лични данни, в случая разполагаме със случката в НАП – един; зловреден код – 4; уязвимости от различен характер – 2; измамни сайти и така наречения fishting – 9; други – 6; ескоул инжекции – 2. Или общо 54 бр. са регистрираните инциденти с мрежата информационна сигурност с висок и среден приоритет.
По данни на статистиката, които води Екипът за нарушения в българското интернет пространство за периода 1 януари – 31 август, са регистрирани 1263 инцидента, което е увеличение спрямо същия период на миналата година с 34%; за 2018 г. е с 13% повече от 2017 г.; с 277% повече, отколкото през 2016 г. и с 273% спрямо 2015 г. Спрямо 2014 г. размерът е още по-висок.
В сравнение със световния мащаб, броят на докладваните нарушения за първото полугодие за 2019 г. е с 54% по-висок от този спрямо 2018 г. Тоест очаква се в близките месеци и години процентът на нарастване на регистрираните нарушения и в българското интернет пространство да нараснат също, както е тенденцията в световен мащаб, тоест ние сме някъде около 34%. Това, което е по статистика в рамките на света е около 50% и няколко, тоест тепърва предстои следващата вълна.
Посочената статистика и брой на инциденти с висок приоритет в централната и териториална администрация за периода 1 януари 2019 г. – 31 август 2019 г. е с около 10% нарастналост спрямо миналата година.
Наблюдава се рязко увеличение на броя на засегнатите от ape10 в българското дясно пространство, което от началото на тази година е 6,5 пъти; 27 пъти спрямо 2017 г.; 390 пъти спрямо 2016 г. През 2019 г. за даване на указания и препоръки за разширяване инцидентите и за преустановяване на нарушенията от Националният екип за реагиране при инциденти с компютърна сигурност е подготвил и изпратил 14 043 имейла, което е с 10 пъти увеличение спрямо миналата година. Тоест тази година има само за няколко месеца 10% увеличение на съобщенията, които сме изпратили за предупреждение за инциденти.
Данните от статистиката също така показват, че рязко нараства относителният дял на инциденти със значително увреждане на въздействащо устройство в мрежата информационна сигурност с висока степен на опасност. Най-голям процент на регистрираните инциденти е дължащ се на злонамерен код, следван от инциденти, дължащи се на измама.
Националният екип за реагиране при инциденти с компютърна сигурност изпраща бюлетин до служителите в публичната администрация, отговаряща за мрежова и информационна сигурност. Бюлетинът съдържа статистика на инцидентите за предходния месец, информация и препоръки за по-добри практики.
Най-значителният инцидент, разбира се, през тази година е свързан с кражбата на лични данни от Националната агенция за приходи. След настъпването на инцидента на 15 юли съгласно чл. 21, ал. 4 от Закона за киберсигурност, от Националния екип за реагиране при инциденти е получено уведомление от НАП. Във връзка с инцидента – два часа след получаването на Доклада, по мое разпореждане двама служители бяха изпратени в НАП с цел запознаване с фактическата обстановка и оказване на помощ.
С оглед на факта, че в случая бяха налице предположения за евентуално компютърно престъпление, започна съвместна работа с екипите на Държавна агенция „Национална сигурност“ и Главна дирекция „Борба с организираната престъпност“ в МВР, в резултат на което са установени индикации за налична уязвимост в програмния код от тип „ескала инжекси“. След установяване на това обстоятелство, веднага е спряна работата на приложението. По-нататъшниге действия по случая са съобщени от МВР в съответствие с чл. 14 от Закона за киберсигурност.
Една от мерките, предприети от ръководството на НАП по този случай, е назначаването на нова външна специализирана организация с доказана компетентност в тази област. Съгласно чл. 35, ал. 4 от Наредбата за минимални изисквания за мрежи информационна сигурност, НАП следва да предостави резултатите от одита на националния компетентен орган, в случая Държавната агенция. След получаване на одитния доклад, Държавната агенция ще извърши анализ на констатациите, съдържащи се в него и на тази база ще предприеме съответните последващи действия.
Между другото, днес бяхме запознати устно с част от резултатите от одита.
Нормативна база за киберсигурност.
ПРЕДС. КРАСИМИР ЦИПОВ: И какви са тези резултати?
АТАНАС ТЕМЕЛКОВ: Общо взето резултатите, с които днес бяхме запознати,: има пропуски в инфраструктурата на Агенцията от гледна точка на липса на допълнително електрическо захранване – липсват дизел агрегати; имат проблеми с климатичните инсталации; северното помещение, в което в момента са инсталирани сървърите, не отговаря на условията; има опасност, използва се стар газ за пожарогасене, който трябва да бъде подменен, тъй като е и опасен и е спрян от производство този газ за гасене; имат пропуски в мрежовата архитектура, която навремето е съответствала на съответната архитектура, но с течение на времето поради това, че е трябвало да бъдат правени различни надграждания, на практика е довело до това, че тази архитектура е силно нарушена и има съответната опасност за възникване на инциденти.
Разбира се, имат и доста други забележки, но най-фрапиращото е това, че имат доста голям брой електронни услуги, които са надграждани във времето и в резултат на това надграждане вероятно и в други приложения, освен това, което се е случило, може да бъдат открити впоследствие някакви слаби места.
Разбира се, това е съвсем накратко. Докладът е доста голям. Очакваме да го получим. Това е все още неофициална информация, защото това е устен доклад. След като го получим писмено, ще може съответно да се произнесем.
ПРЕДС. КРАСИМИР ЦИПОВ: Продължете.
АТАНАС ТЕМЕЛКОВ: Връщам се на нормативната база за киберсигурност. През октомври 2018 г. чрез Закона за киберсигурност, с което се транспонират напълно разпоредбите на Директива (ЕС) 2016/1148 относно мерки за високо ниво за сигурност в мрежата и информационните системи. С приемането на Закона се установи цялостна система за координация и взаимодействие между административните органи, както и правила за докладване на инциденти в киберсигурността, засягащи административните органи и доставчици на цифрови услуги на национално ниво, както и между държавите – членки от Европейския съюз.
Със Закона за киберсигурността на административните органи се възлага отговорността за сигурността на използваните от тях мрежови и информационни системи. На основание чл. 3, ал. 2 от Закона за киберсигурност с постановление на Министерския съвет е приета Наредба за минималните изисквания на мрежова и информационна сигурност. Наредбата има за цел да доразвие и конкретизира разпоредбите на Закона относно минималните изисквания и критериите за оценка на мрежовата и информационна сигурност.
Предприети мерки за повишаване нивото на мрежова и информационна сигурност. Предприети мерки във връзка със случая в НАП. Освен това, което съобщих за изпратените представители на Държавната агенция в Националната агенция по приходи, на 18-и, след като вече беше изяснен общо взето какъв е случаят, беше свикано извънредно заседание на Експертния съвет…
ПРЕДС. КРАСИМИР ЦИПОВ: Юли.
АТАНАС ТЕМЕЛКОВ: Юли, извинявам се, да. Тоест три дни след инцидента, след като стана горе-долу ясно какво е положението, беше свикано извънредно заседание на Експертния съвет по интеграция на информационните ресурси, който е към Държавната агенция. В Съвета участват всички IT ръководители от всички министерства, включая и второстепенни разпоредители, и общинската администрация.
Една от основните функции на Съвета е да разглежда предложения на технологични решения, модели за интеграция и взаимодействие, споделено ползване на информационни ресурси. По време на срещата участниците бяха запознати със случая, като бяха направени препоръки за преглед и предприемане на последващи действия и мерки. Изброени са, няма смисъл да ги чета,те са доста.
ПРЕДС. КРАСИМИР ЦИПОВ: Ще помолим тази информация впоследствие да я представите.
АТАНАС ТЕМЕЛКОВ: Те са доста технически и мисля, че не е редно тук да ги разглеждаме, и организационнии – също.
На 18 юли, същият ден, се проведе аудиоконференция с участниците от Междуведомствената оперативна група по Закона за киберсигурност и по възприетите правила за действие има такава група, която на практика оценява всяко едно събитие. На практика тази Междуведомствена оперативна група е задължена да осъществява взаимодействието на всички органи, имащи отношение по мрежова и информационна сигурност и да предлага мерки за решаване на съответния инцидент. Така че още същия ден беше направена такава среща.
На 19-и отново се проведе такава, вече присъствена, като отново пак беше разгледан случаят, съответно имаше и доклади от колеги от ГДБОП, които реално са участвали в работата по инцидента.
Във връзка с усложнената обстановка, Държавната агенция подготвя указания за повишаване нивото на мрежова и информационна сигурност. Същите бяха изпратени за изпълнение до централната и местната администрация. Заедно с това беше поставена задача на администрациите да изготвят планове за изпълнение на указанията и да допълнят данни за степента за използването им до 23 август, срокът беше 23 август. Тоест съвсем кратък срок.
За доуточняване изискванията към плановете, Държавната агенция проведе среща с всички главни секретари на ведомствата от централната администрация. В Държавната агенция бяха създадени екипи, които да извършат преглед на изготвените планове и в случай на необходимост да окажат помощ за тяхното коригиране.
Тези планове ги прегледахме, имаме и бележки към тях. Някои от тях бяха върнати за доработване, други бяха актуализирани, на трети оказахме помощ. Така или иначе плановете…
ПРЕДС. КРАСИМИР ЦИПОВ: Има ли администрации, които не са Ви предоставили такива планове.
АТАНАС ТЕМЕЛКОВ: Много малко.
ПРЕДС. КРАСИМИР ЦИПОВ: На централно или на териториално ниво?
АТАНАС ТЕМЕЛКОВ: На териториално ниво. Общо взето, лесно се справихме с тях.
На 10 септември, пак във връзка с провеждането на Закона, Наредбата за мрежова и информационна сигурност, включително и с резултатите от това, което показа проверката по подготовката на плановете, от ръководството на заместник министър-председателя се проведе Кръгла маса по въпросите за киберсигурността, като тя беше преди всичко насочена към така наречените оператори за съществени услуги, които имат отношение по Закона за киберсигурност.
Регулярни мерки. През 2018 – 2019 г. Държавната агенция създаде регистър на информационните ресурси, който следва регулярно да се актуализира от административните органи. По този начин ще имат възможност да осъществяват дейностите си по отношение на управление на информационните активи в съответствие с изискванията на чл. 8 от Наредбата за мрежова и информационна сигурност, минималните изисквания за мрежова и информационна сигурност. Между другото, в този регистър са разписани абсолютно всички средства с всички техни подробности, включително срокът на придобиване, на версии, на софтуери, документация и така нататък. Така че това е едно достатъчно добро техническо средство, по което биха могли при попълване на достоверна информация, всяка една администрация регулярно да си прави съответния анализ и оценка на риска.
Освен предвидените мерки, непосредствено след случая в НАП, Държавната агенция регулярно изпълнява дейностите си по чл. 12, т. 3 от Закона за киберсигурност, свързани с издаването на методически указания, насочени към повишаване нивото на мрежова и информационна сигурност от администрацията. Тези указания се изготвят на базата на резултатите от проведените проверки, както и по конкретни поводи, свързани с различни инциденти, които се откриват, както и по подготовката за провеждане на избори.
През 2019 г. са изпратени до централните и териториалните администрации примерни стандарти и оперативни процедури за действия в случай на инциденти с мрежова и информационна сигурност. Това е едно доста полезно нагледно средство, с което всяка една администрация би могла да се ориентира какво трябва да направи, с кого да взаимодейства, какви са телефоните, какви са най-бързите мерки, които трябва да се вземат в случай на инцидент с мрежова и информационна сигурност.
Препоръки и указания за превантивни мерки за повишаване нивото на мрежовата и информационна сигурност са изпращани през 2015 г., 2016 г., 2017 г., 2018 г. – общо седем на брой, в зависимост от конкретната обстановка и промяната на съответните заплахи.
През месец март 2019 г. се проведе Национално учение „Киберсигурност 2019 г.“ с цел повишаване на подготовката и взаимодействието на националните структури по киберсигурност, създадени в съответствие със Закона за киберсигурност, за реагиране при масирани кибератаки, мащабни кибератаки и киберкризи, установяване на процедури за взаимодействие между избирателни комисии и компетентни в сферата на киберсигурността органи на изпълнителната власт в процес на подготовката на провежданите избори. Между другото, в това учение участваха, включително на ниво областни администратори, така че за първи път се проведе такова учение с цел указване и организиране на взаимодействие в случай на инцидент.
Наред с Националното учение, екип от държавната агенция взе участие в още осем други международни учения, провеждани под егидата на Европейския съюз и НАТО. В резултат на тези участия се повиши степента на подготвеност на Националния екип за реагиране при инциденти.
Мерките по отношение на информационните системи за повишаване нивото на мрежовите и информационна сигурност са включени и в Проекта на Закон за изменение и допълнение на Закона за електронно управление, който след няколко дни може би ще мине на второ четене.
ПРЕДС. КРАСИМИР ЦИПОВ: Има ли още много информация, която трябва да предоставите, господин Темелков?
АТАНАС ТЕМЕЛКОВ: Имам, господин Ципов, още…
ПРЕДС. КРАСИМИР ЦИПОВ: Хайде да Ви помоля да я посъкратите, за да минем към въпроси.
АТАНАС ТЕМЕЛКОВ: Имаме Доклада, който ще изпратим.
РУМЕН ГЕЧЕВ: Ние можем да четем.
ПРЕДС. КРАСИМИР ЦИПОВ: Някакви изводи, ако имате само като заключение само тях да пресъздадете и да преминем към въпроси.
АТАНАС ТЕМЕЛКОВ: Тъй като има доста информация в оставащите страници, бих искал да резюмирам следното нещо: системите, които са налични в държавната администрация са изграждани през последните 20 години – 15 – 20 години, поетапно като самостоятелни системи, удовлетворяващи функциите на съответната администрация. Необходимостта за предоставяне на електронни услуги са довели до значителни промени в първоначалната архитектура на изгражданите системи, което в много от случаите е извършено чрез надграждане от различни изпълнители, допускане на компромиси в сигурността на системата с цел удовлетворяване на изисквания на достъп до информация.
Липсата на нормативно регламентиран единен системен интегратор е довела до въвеждането на разнообразни архитектури и технически решения в администрацията, които не способстват за интеграция на оперативната съвместимост.
Голяма част от проектите са финансирани по оперативни програми и след завършване на гаранционния срок не се осигурява от административните органи финансови средства за поддръжка.
В резултат на обжалване на обществени поръчки в редица случаи системи са функционирали в продължителен период без поддръжка и ъпдейт на системен софтуер и хардуер.
Поради ненавременно подменяне на хардуер и софтуер, функционират системи с уязвимости, за отстраняването на които е необходимо цялостно рестартиране на системата, в някои случаи изграждане на нова.
Преодоляването на тези слабости може да се извърши само чрез комплексни мерки, включващи спазването на единната архитектура, която през миналата година разработи Държавната агенция, изграждане на споделените ресурси на базата на единната електронна съобщителна мрежа за държавната администрация за национална сигурност и така наречения държавен хибриден частен облак, промяна на отношението на всички административни органи по въпросите за мрежовата и информационна сигурност.
И не на последно място – изграждане на нов културен начин на поведение по отношение на киберсигурността у всички нас. Благодаря за вниманието.
ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря Ви.
Да преминем към въпроси.
Заповядайте, господин Иванов.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Благодаря, уважаеми господин Председател.
Уважаеми колеги, уважаеми гости! Уважаеми господин Темелков, аз слушах внимателно Вашето изложение. Разбира се, ако е възможно да оставите някакво копие от него, за да се запознаем, защото е очевидно, че голяма част от него не чухме. Във Вашето изложение до голяма степен се правеше анализ на състоянието на електронните системи в държавната администрация. В крайна сметка работата на Комисията е да установи случилото се в НАП, кое е довело до него и какви действия да предприемем впоследствие, за да избегнем такива подобни случаи.
През миналата година беше приет един Закон за киберсигурност, който би трябвало да бъде основополагащ и върху него да се работи най-усилено, като основният акцент и основната тежест по закон се пада именно на Държавната агенция „Електронно управление“. В чл. 12, т. 1 е записано, че „Председателят на Държавна агенция „Електронно управление“ провежда държавната политика в областта на мрежовата и информационната сигурност“. По-надолу в Закона са записани други Ваши изисквания в този член.
Аз искам да запитам следното: от влизането на Закона до днешна дата в колко държавни администрации са извършени проверки съгласно Закона – физически проверки имам предвид? Правена ли е проверка в НАП – в частност такава превантивна проверка, каквато е дадена по закон да бъде извършвана от Вас? Изобщо Вие планирали ли сте, имате ли във Вашия график за тази година, и за предходните месеци изобщо да се извършват такива проверки? На колко административни органи е направена оценка съгласно чл. 12, ал. 3, т. 3 от Закона и изпълняват ли се указанията, които са дадени в тези оценки?
Последно искам да Ви запитам: когато отидохте в НАП, имате ли нагледна информация, защото аз ще цитирам Вашите колеги от Комисията за защита на личните данни, които бяха тук, които са направили проверка на място, очевидно доста обстойна, и това, което научихме, е, че хардуердната система, която е осигурявала тази услуга на гражданите, е от 2008 г. – отпреди 11 години. Установихте ли, че ръководството на дирекцията, която трябва да осъществява мрежовата и информационната сигурност, е окомплектована от юрист, еколог и щурман насочвач и каква е тяхната компетентност в случая да осигуряват мрежовата и информационната сигурност? Дотук ще спра.
ПРЕДС. КРАСИМИР ЦИПОВ: Нека да дадем възможност за отговор.
Може би само една корекция да внеса: може би не е хардуер, а по-скоро софтуерът беше от 2008 г.?
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Софтуерът и хардуерът.
ПРЕДС. КРАСИМИР ЦИПОВ: Добре.
Заповядайте, господин Темелков, да отговорите.
АТАНАС ТЕМЕЛКОВ: Благодаря.
Извършени са проверки – в Доклада го има, на най-критичните администрации в периода 2018 – 2019 г., на 15 администрации е направена проверка, включително в това число и на НАП.
РУМЕН ГЕЧЕВ: Извинете, кога точно?
АТАНАС ТЕМЕЛКОВ: На НАП е проведена миналата година месеците ноември – декември. Протоколът е издаден месец декември.
ПРЕДС. КРАСИМИР ЦИПОВ: Имате предвид 2018 г.?
АТАНАС ТЕМЕЛКОВ: Да, 2018 г.
ПРЕДС. КРАСИМИР ЦИПОВ: Но да уточним, че това е по Наредбата за мрежова и информационна сигурност.
АТАНАС ТЕМЕЛКОВ: Точно така.
Искам да уточня, че към този момент действаше предишната Наредба за мрежова и информационна сигурност, така че тя е извършена по нея и съответно предписанията са дадени по нея. Това, което е извършено тогава, е извършено на базата на проверка по документи, среща с хората – интервюта, и на тази база са направени съответните препоръки. Такива са направени и в други администрации, които ние считаме, че са критични.
ПРЕДС. КРАСИМИР ЦИПОВ: Дайте няколко примера.
АТАНАС ТЕМЕЛКОВ: Примерно това са Агенцията по вписванията, НОИ, Агенцията по кадастър – 15 са такива. Имаме протокол, може да Ви го предоставим, записано е съвсем в едно изречение какво трябва да направят.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Пак през 2018 г. са правени?
АТАНАС ТЕМЕЛКОВ: Да, през 2018 г.
Не сме извършили последваща проверка, защото тази проверка трябваше да бъде извършена в рамките на шест месеца. В това време влезе новата Наредба за минималните изисквания на мрежова и информационна сигурност, в която на практика има нови изисквания.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Кога влезе в сила новата наредба?
АТАНАС ТЕМЕЛКОВ: Юли месец.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Юли.
РУМЕН ГЕЧЕВ: Тази година?
АТАНАС ТЕМЕЛКОВ: Но по тази наредба, срокът за изпълнение по самата наредба е четири месеца след влизането й в сила, тоест крайният срок е 19 ноември. В същото време се случи този инцидент, за който говорите. След като беше назначена одитна комисия, на практика мисля, че не е редно едновременно пет или шест органа да правят проверки. Ще изчакаме одитния доклад, за да може да вземем съответните решения.
Препоръки са дадени в тези протоколи – във всеки един от протоколите, включително за подобряване на инженерната инфраструктура. Тази препоръка се среща в почти всички, защото в голяма част от тези администрации са изградени съответните центрове за данни доста назад във времето и по една или друга причина някои от нещата не са в най-добро състояние.
Най-честият проблем е свързан с климатичните инсталации, поддръжка на системата за пожарогасене, които обикновено са с газ, който вече на практика не се употребява.
По отношение на хардуера, за който Вие ме попитахте, за НАП. Ние тази констатация не сме я извършили, тъй като сме правили проверка по съответни документи, но така или иначе – това е факт. Между другото, аз исках да обясня и това, че съществува доста сериозен проблем по отношение на надграждането на подобен тип системи от гледна точка на това, че до настоящия момент в доста администрации тази дейност се е възлагала на различни организации във времето. Възлагана е най-вече поради причини в Закона за обществените поръчки – един е правил системата, друг след това печели поддръжката, трети прави доставка на хардуера. На практика това е липсата на единен системен интегратор, който по някакъв начин някой божи ден трябва да се появи. Не е възможно, не е целесъобразно един да изгражда системата, друг да я поддържа, трети да я развива. Това не е добра практика и трябва да бъде преустановено, иначе непрекъснато ще оставаме в тази ситуация различни хора да носят отговорност за нещо, което друг е направил.
Що се отнася за кадрите в дирекцията. Този въпрос не мога да разбера защо го задавате, той вероятно има и друг подтекст? Но трябва да кажа нещо друго: хората в ИКТ частта всеки изминал ден ще намаляват по най-различни причини. Ние като държава, като общество трябва да намерим начин как да запълним този вакуум. И това, че са завършили някакъв тип базово образование, не им пречи по никакъв начин в следващите години да получат допълнителна специализация. Дали тези хора, които Вие ги съобщавате, извинявайте, са получили такава квалификация чрез някакви курсове, чрез някакво обучение, аз не мога да твърдя, но истината е нещо друго.
Доста хора, осенени от желанието да се развиват в ИКТ частта пренебрегват висшето си образование и продължават да се развиват чрез различни курсове и методи на обучение, и една голяма част от тях са водещи. Така че това не пречи, ако някой е завършил икономика, да работи в частта „Киберсигурност“ стига да е положил съответните усилия, съответните образователни курсове и тестове, за да получи съответната квалификация.
Друг е въпросът, че ако погледнем формално през законите, в които се движи администрацията, вероятно може би не стои добре този проблем. Но така или иначе, включително и тези срещи, които направих по повод на в НАП с така наречените бели хакери, там образованието е доста интересно.
ПРЕДС. КРАСИМИР ЦИПОВ: На белите хакери.
АТАНАС ТЕМЕЛКОВ: Да, на белите хакери.
ПРЕДС. КРАСИМИР ЦИПОВ: Като например?
АТАНАС ТЕМЕЛКОВ: Например повечето нямат никакво образование, останали са единствено със средно образование, завършен I – II курс на някой от университетите и на практика сега са водещи в тази дейност! Така че може би тук трябва да положим някакво усилие да търсим развитие и възможност за възнаграждение на такъв тип хора. Това е, което мога да кажа.
ПРЕДС. КРАСИМИР ЦИПОВ: Колеги, преди доуточняващите въпроси, нека да обърна внимание, че Законът за киберсигурност влезна втората половина на ноември месец.
АТАНАС ТЕМЕЛКОВ: Точно така, да.
ПРЕДС. КРАСИМИР ЦИПОВ: Инцидентът е от месец юли тази година, тоест малко повече от шест месеца след влизането в сила на този закон, а подзаконовата нормативна база по него, доколкото си спомням, беше точно със срок средата на тази година.
АТАНАС ТЕМЕЛКОВ: Да.
ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, господин Иванов, и после господин Гечев.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Благодаря уважаеми господин Председател.
Уважаеми господин Темелков, аз неслучайно зададох тези въпроси, защото е от изключителна важност какъв е общият поглед именно на органа, който по закон и преди това наредби на Министерския съвет, е имал ангажимента да отговаря за този сектор от държавната политика. Не искам да влизам в подробности, говорим конкретно за казуса НАП.
Когато направих тези проверки по документи, включително и по старата наредба, там е имало стандарти, които е трябвало да се изпълняват. Допускам, че най-малко по документи е било установено това нещо, че този хардуер и софтуер, включително ще отворя една скоба и за персонала, има известни въпросителни. Защото частният сектор е едно, а в държавната администрация имаме Закон за държавния служител, където има минимални базови изисквания за служителите с какъв ценз трябва да бъдат. Най-малко в проверката сигурно е било установено, че дори с такова неспецифично образование, касаещо киберсигурността, може да се завършат някакви курсове. Това нещо беше ли установено по някакъв ред вътре в протоколите, в това, което е записано като резултат от проверката, и в крайна сметка предписания бяха ли дадени на НАП да отстрани съответните слабости и пропуски, които Вие сте установили? От Ваша страна бяха ли дадени такива указания и срокът, в който да бъдат отстранени? Благодаря.
АТАНАС ТЕМЕЛКОВ: Дадени са препоръки, но конкретно с персонала – техният образователен ценз, не сме се занимавали.
ПРЕДС. КРАСИМИР ЦИПОВ: То не Ви е и работа.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: Не говоря само за персонала. Говоря изобщо като цяло дали са дадени препоръки както по отношение на инженерната инфраструктура, която касае работата на цялата Агенция за приходи, аз мисля, че той е компонент – персоналът и неговата компетентност, от цялостната работа по отношение на киберсигурността – ИКТ, както Вие го казвате? Благодаря.
Дадена ли е такава препоръка и с какъв срок на изпълнение? Другото е наша работа – вече като дойдат тук НАП, да ги питаме. Въпросът е Вие дадохте ли им такава препоръка и срок за изпълнение? Благодаря.
ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, за да отговорите.
АТАНАС ТЕМЕЛКОВ: Аз ще прочета препоръките.
ПРЕДС. КРАСИМИР ЦИПОВ: Накратко, ако обичате, не в подробности и детайли.
АТАНАС ТЕМЕЛКОВ: „Ръководството на НАП да предприеме необходимите действия за цялостно изпълнение на изискването на Закона за електронно управление, Наредбата за общите изисквания към мрежова и информационна сигурност и свързаните с тях вътрешни правила и процедури относно спазване на изискванията на МИС с цел недопускане на инциденти и срив на поддържащите информационни системи.“ Това е препоръката.
ИВАН ВАЛЕНТИНОВ ИВАНОВ: А срок някакъв дадохте ли им?
АТАНАС ТЕМЕЛКОВ: Ами, вижте, този срок няма как да бъде изпълнен от днес за утре. Доставката и подмяната само на този хардуер, знаете, че обикновено отнема поне минимум три месеца като процедура и поне още толкова месеца по писане на изискванията.
ПРЕДС. КРАСИМИР ЦИПОВ: Имаше ли някакви общи нормативно установени срокове в тази наредба?
АТАНАС ТЕМЕЛКОВ: Да. Всъщност ние сме длъжни по закон, по наредба шест месеца след установяване на тези неща, да отидем на последваща проверка, но Ви казах преди това…
ПРЕДС. КРАСИМИР ЦИПОВ: За това питаме, за това питаме.
АТАНАС ТЕМЕЛКОВ: Във връзка с влизането на новата наредба, тъй като няма смисъл да проверяваме нещо по старата наредба, във връзка с това, че в новата наредба бяха дадени четири месеца срок за отстраняване, затова отложихме тази проверка.
ПРЕДС. КРАСИМИР ЦИПОВ: Тоест плановете са били сега към месец октомври – ноември да проверите дали са изпълнени Вашите препоръки. Правилно ли Ви разбирам?
АТАНАС ТЕМЕЛКОВ: Абсолютно правилно.
ПРЕДС. КРАСИМИР ЦИПОВ: Професор Гечев.
РУМЕН ГЕЧЕВ: Благодаря Ви.
Уточняващи, господин Темелков. Вие казахте, че през декември 2018 г. сте получили, така да се каже, резултатите от проверката на документи и интервюта. Ако правилно съм разбрал, Ваши експерти не са тествали системата на НАП на място, защото казахте документи и интервюта. Моят въпрос е: тествали ли сте или не на място информационната система или само сте гледали документи? Ако са само документи, естествено, това поставя други въпроси, защото те могат да Ви изпратят едни превъзходни документи – защо се доверявате Вие на документи? Тези интервюта, къде бяха проведени – при Вас или на място в НАП? Това е единият уточняващ въпрос.
Вторият уточняващ въпрос, е: даже и на документи и на интервюта – може би малко се застъпват, като направихте предписания през декември, видяхте тези предварителни резултати от такива документи и интервюта, до месец юли Вие проверихте ли какво са направили те преди да изтече информацията, защото са изминали приблизително седем месеца? Какво сте направили за тези седем месеца от Коледа на 2018 г. до този злощастен ден – 15 юли 2019 г.?
АТАНАС ТЕМЕЛКОВ: Ние нямаме отговорност, че нямаме възможност да правим тестове на самата система, защото, за да направим тестове на самата система това означава, че трябва да ни бъдат дадени акаунтите и административни права. Ние такава възможност нямаме и не препоръчваме на никой да му бъдат давани такива права. Тоест тези тестовете, когато се провеждат, би следвало да се провеждат от експлоатиращия състав на самата администрация, а тези, които проверяват или правят одит, съответно правят записи на това, което се е случило. Така че ние не сме имали такъв ангажимент и такова тестване не сме правили.
Що се касае, къде са се провеждали интервютата? Интервютата бяха в сградата на НАП. Там, при техни условия, при наличие на техни документи се изисквани, гледани, разсъждавани,, правени са няколко срещи в различни кабинети и в зали, така че по този начин е извършена проверката.
По втория въпрос. На практика през този период се изпратени поне – по мой спомен сега, без да чета и да се връщам по документите, има поне две препоръки по отношение на мрежова и информационна сигурност, свързани с конкретни събития, включително има и отговор, в който по наше указание, по наша методика доста голяма част от администрацията са си направили самооценка на състоянието на мрежовата и информационна сигурност. Тоест има една доста разгърната таблица, по която са зададени въпроси и там на тези въпроси се дава отговор – „Имате ли това? Имаме. Кога е обновена? Тогава. Какъв е срокът за ъпдейт на софтуера? Такъв. Имате ли план за възстановяване? Имаме. Къде Ви е планът? Еди къде си.”
ПРЕДС. КРАСИМИР ЦИПОВ: Става дума за основните структури на централната държавна администрация.
АТАНАС ТЕМЕЛКОВ: Точно така.
Така че през този период – от Нова година до сега, поне три такива действия сме извършили и то, разбира се, не само в НАП, а за цялата администрация. Тези данни, които съобщих в Доклада, те са на базата на тези отговори.
ПРЕДС. КРАСИМИР ЦИПОВ: Други въпроси?
Колегите от ВОЛЯ, имате ли въпроси?
КРЪСТИНА ТАСКОВА: Нямаме.
РУМЕН ГЕЧЕВ: Аз имам, ако другите колеги нямат.
ПРЕДС. КРАСИМИР ЦИПОВ: Заповядайте, професор Гечев.
РУМЕН ГЕЧЕВ: Благодаря Ви.
Ние питаме, но сме се разбрали с колегите, че сме добронамерени, в смисъл, че всеки път повтаряме, че нашата задача е да не допуснем повече такива неща.
Като питахме за кадрите, няма как да не кажа, защото сме и колеги: проверявайки Държавната агенция – и председателят, и заместник-председателят, не е моя работа да давам лична оценка, но Вие сте хора с голям опит и сте квалифицирани в тази сфера и затова питах: дали Вашите екипи са правили проверка на място.
АТАНАС ТЕМЕЛКОВ: На място.
РУМЕН ГЕЧЕВ: Ние тук понякога водим спорове за квалификацията на хората, няма защо да отваряме тази дискусия, защото тя е сложна, но е вярно, че в Европейския съюз, когато се назначава в държавните институции, там има изисквания за ценз. Всеки може да влезе и да види. Ако има курсове и други, те също се документират, държавата си прави изпити и така нататък. Но това не е Ваш въпрос. Просто в самия НАП се натъкнахме на такива екзотични професии и затова реагирахме по такъв начин. Наистина първата отговорност е на тези организации, но тук има следните притеснения:
Първо, в държавните институции – и Вие казахте, че сте забелязали, че основната им платформа, система, е от 2008 г. – нали така, те са я надграждали след 2008 г.? Тук, ако може да дадете оценка – Вие самите казахте, че това е проблем, и е странно, че държавните институции са забелязали за лични данни, и Вие сте забелязали, че от 2008 г. не е нужно да си специалист по компютри. Ние ползваме компютри – не сме компютърни инженери или софтуерни, но няма как да надграждаш 11 години една стара система? Тя има някакви граници и очевидно тези граници са пробити.
Второ, Вашите колеги от другата Агенция казаха, че всъщност проблемът е, че там няма дневник. И тук искам да Ви подчертая една голяма опасност за държавните институции, която със сигурност Вие имате предвид. Те казаха, че няма така наречен електронен дневник кой кога е влизал в системата, кога е излизал, какво е ползвал? Оттук възниква следният въпрос: ние установяваме сега на 15 юли, че е изтекла информация, благодарение на това, че тази информация излезе в медиите, нали така? Тоест нашите държавни органи не са установили този проблем, а го установиха медиите, за голямо съжаление. То не се случва само в България, прав сте, случва се и в други страни, но медиите го установиха.
И тук тревожният извод – не само моя, а и на много колеги, е следният: ние не само че нямаме никаква гаранция, за съжаление, аз съм сигурен, че информация е текла и преди това, просто тя не е засечена, тъй като това е единственият случай, който е излязъл в медиите и ние го разследваме. Каква ни е гаранцията, че като няма дневник кой влиза и кой излиза, естествено там може да са влизали 1000 души или трима, тоест тази информация може да е изтичала много преди това и то в други размери?
Аз искам да Ви задам един въпрос: какво може да направи държавата да реши и другия проблем, защото от световната практика се вижда, че в повечето случаи информацията излиза не от пробив на хакери, а излиза от износ на флашки – нали така, поръчват си фирми, поръчват си други… И затова, пак казвам, без да съм компютърен специалист, но все пак като хора тук, които се интересуваме и ползваме компютри, Вие ще изискате ли от държавните институции да имат система, в която при всяко аблодване, данлодване, влизане с флашки да има някакъв дневник?
Защото какъв е смисълът на антихакерските атаки, след като Иванчо отива с флашката и вади цялата информация?
ПРЕДС. КРАСИМИР ЦИПОВ: Професоре, много от държавните администрации имат такива правила, изпълняват такива изисквания. Сега да Ви кажа, наистина прав сте. В болшинството от случаите, които поне са станали медийно достояние през последните години, има може би такъв тип теч на информация, но и в годините назад нека да припомним за някои други случаи, като например разработката „Червей” в Министерството на вътрешните работи, по която, за съжаление, така и не разбрахме какво точно се случи. Така че нека да не правим някакви генерални изводи една или друга администрация какво прави. Да, прав сте. Необходимо е там, където не са предприети съответните мерки, съответните действия, да бъдат предприети.
Заповядайте, да отговорите, господин Председател.
АТАНАС ТЕМЕЛКОВ: Аз благодаря на господин Гечев. Тъй като виждам, че се интересувате от тази тема, позволявам си днес да Ви поканя във време, удобно за Вас, на по-дълъг разговор в Агенцията.
РУМЕН ГЕЧЕВ: Благодаря.
АТАНАС ТЕМЕЛКОВ: Заповядайте, сигурно има какво да си кажем и какво да обясним.
Искам да се опитам да намеря до няколко дни, но скоро имаше една информация, че в Съединените американски щати има системи, които работят от 70 години и поводът беше за това, че са пишели на „Коболт”, който вече е почти мъртъв език и те работят, те са свързани с човешки ресурси.
Тоест, откога работи една система, не е важно по отношение на промяната на хардуера, стига тя да бъде достатъчно добре изградена и да бъде поддържана. Така че, това, че сървърите са били от 2007 г., това е проблем и е създало вероятно проблем и притеснение на хората, които ги експлоатират, но не е най-важният. Важното нещо тук всъщност е общото разбиране по отношение на мрежовата и информационна сигурност и подценяването на някои от елементите.
А подценяването там в НАП изцяло се дължи на това, че е имало много голям натиск по отношение на предоставянето на повече на брой електронни услуги с цел обслужване на гражданите и непремерения риск. Общо взето това е, което се е случило там.
Що се касае за тези логове. Няма система, в която да няма логове. Във всяка една система се знае кой, кога и за какво е влизал. Това, че тези логове, които в момента се съдържат в системата, не може да се даде обяснение на всички събития, това е друг въпрос. Но така или иначе всяка една система има лог. Иначе нямаше да се намери съответното име на съответния изпълнител, за да се види. Друг е въпросът, че от тези логове може би липсва информация, която в момента ни е потребна. Това пак отново е свързано със самата архитектура, описание и спазването на документите.
Между другото, това нещо в новата Наредба е записано достатъчно обстойно с един стандарт, в който е казано кои логове как трябва да се съхраняват и къде се съхраняват. Така че отново пак е въпрос на спазване на трудовата дисциплина.
ПРЕДС. КРАСИМИР ЦИПОВ: Само и от мен един уточняващ въпрос: може ли да припомните, може би повече от две години вече продължава процедурата по обжалване на обществените поръчки за централизирана доставка на софтуерни продукти за Министерския съвет и администрацията. Понеже споменахте, че голяма част от липсата на възможности за така наречения ъпдейт се дължи на някакви подобни причини?
АТАНАС ТЕМЕЛКОВ: Този случай вече е обществено известен. Всъщност втора година се обжалва този процес по доставка на софтуерните лицензии за софтуерите на Microsoft, с които всички ние работим, включително и Вие в Народното събрание и всички ние страдаме от това нещо в момента. Да, има все още някаква поддръжка, но този момент в един момент ще спре. Така че това също трябва да намери някакво решение по отношение на Закона за обществените поръчки. Не може някой да обжалва нещо, което е стратегически важно за държавата.
ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря.
Колеги, други въпроси?
РУМЕН ГЕЧЕВ: Аз имам още един въпрос, ако няма други.
ПРЕДС. КРАСИМИР ЦИПОВ: Господин Манев, Вие искате ли нещо да питате или не?
МАНОИЛ МАНЕВ: При тази висока експертиза отсреща и при този труд да се обясни на аналогови хора цифрови проблеми, само ще си мълча и ще слушам колегите.
ПРЕДС. КРАСИМИР ЦИПОВ: Добре. Благодаря Ви.
Заповядайте, професор Гечев.
РУМЕН ГЕЧЕВ: Благодаря Ви.
Един аналогов въпрос. Вие споменахте, че има проблем с външните изпълнители. Разбираемо е, че при ниските заплати повечето държавни институции започват да сключват договори с външни фирми, нали така? За Ваше сведение, направихме си труда, че за последните три години НАП са сключили договори за около 50 млн. лв. С Вашите колеги от „Информационно обслужване” – за 40 млн. лв. Тъй като сега правителството – това не е Ваш проблем, разбира се, за в бъдеще ще е и Ваш проблем, и може би като се видим ще кажете и Вашата теза, аз Ви благодаря за поканата и ще дойда, защото трябва да сме колкото се може по-образовани депутатите, когато взимаме решение, но чувам изказвания от правителството: да се пренесе сега тежестта от Държавната агенция на практика към „Информационно обслужване?
Тук има някакъв конфликт на интереси или може би някакво неразбиране, но това пролича от новините. Това, разбира се, е проблем, който вече касае парламента, ако трябва да се променят някакви нормативни актове, но въпросът ми е следният: по този закон тук е разписано какви институции, какви отговорности имат. Вашите отговорности са ясни и те са много големи.
Възниква следният въпрос: ако примерно институция като НАП, защото ние тук сме се събрали заради НАП, но то касае и другите структури, те като са подписвали множество договори с външни изпълнители не само по сигурност, те са по системни софтуерни продукти, за конкретни цели, но сигурно и по сигурност имат, кой носи отговорност? Примерно Вие, когато проверявате – да кажем НАП – какво става, ако фирмите, които са сключили договори с държавни институции – НАП в случая, те са сключили договори и в тези договори, предполагам, сега като ги видим, ще разберем в детайли, те са поели някаква отговорност. Ако на мен ми се плащат пари като частна фирма във Вашата агенция да инсталирам софтуер, там във всеки договор има права и задължения.
В задълженията какво става, ако аз – частната фирма, в държавната институция прилагам някаква система за информационна сигурност – мрежова или някаква друга, и тя е пробита от някакъв хакер, да речем, няма значение откъде е? Тоест и при Вас трябва да възниква този въпрос, на който в момента не мога да си отговоря, кой носи отговорност в случая – примерно в НАП? Ако е външна фирма, НАП ли носи отговорност, Вашата Агенция ли, как стоят нещата примерно по този въпрос?
ПРЕДС. КРАСИМИР ЦИПОВ: Само и аз да допълня въпроса на Професора: ако имате представа, разбира се, да кажете колко са сървърите в НАП?
АТАНАС ТЕМЕЛКОВ: Хващате ме неподготвен, не мога да Ви кажа в момента.
ПРЕДС. КРАСИМИР ЦИПОВ: Не, не искам някаква точна цифра или число, а ориентировъчно.
АТАНАС ТЕМЕЛКОВ: Приложенията, които в момента работят, са над 150.
ПРЕДС. КРАСИМИР ЦИПОВ: Над 150.
АТАНАС ТЕМЕЛКОВ: Приложенията, софтуерът.
ПРЕДС. КРАСИМИР ЦИПОВ: Приложенията.
АТАНАС ТЕМЕЛКОВ: Нали разбирате, че само да ги изброите Ви трябва един час, а пък камо ли някой да ги помни наизуст…
Въпросът по отношение на третите страни, е записано в Наредбата как стои,така че всъщност отговорността си е на съответния изпълнител, собственикът на системата, но Вие добре задавате този въпрос. Ако има единен системен интегратор, всички тези въпроси просто няма да бъдат задавани. Те ще бъдат негов ангажимент, негова отговорност да синхронизира всички действия на всички заинтересовани страни в процеса на изграждане, развитие, поддръжка и мрежова и киберинформационна сигурност. Тоест отговорността ще бъде там.
Ние няма да имаме конфликт с „Информационно обслужване”, защото те не взимат наши функции, а на практика ние ще им възлагаме изпълнение на част от тези задължения, стига законът да бъде написан достатъчно добре, ясно и категорично, за да има възможност да работим добре.
РУМЕН ГЕЧЕВ: Да, но Вие в Доклада си казахте и исках да го потвърдите. Това е добра новина. Вие препоръчвате вместо да има множество договори на институции, да има с една фирма, която да поема цялостното обслужване. Така ли е, правилно ли разбирам за системата?
АТАНАС ТЕМЕЛКОВ: Общо взето по отношение на определени системи – задължително, защото не можем да възложим всичко в цялата администрация на една компания, но на критични системи би следвало така да се разглежда. Държавата има пет хиляди системи, никой не разчита, че тези пет хиляди системи ще бъдат хвърлени в полезрението на „Информационно”, те няма как да се справят, но важните, критичните системи задължително.
ПРЕДС. КРАСИМИР ЦИПОВ: Благодаря Ви.
Други въпроси, колеги?
Ако няма, да благодарим на ръководството на Държавната агенция „Електронно управление”.
Моля Ви, господин Темелков, в един разумен срок да ни предоставите в писмен вид информацията, която изчетохте като Ваше експозе.
Благодаря Ви още веднъж.
Колеги, закривам заседанието на Анкетната комисия.

(Закрито в 15,07 ч.)


ПРЕДСЕДАТЕЛ:
Красимир Ципов