Как България беше хакната
Данните на почти всеки възрастен в балканския народ са откраднати в нарушение на данъчната агенция
Томас Самсън / AFP / Getty Images
Правителството на България разкри, че сериозно нарушение на данните на сървъри в националната му данъчна агенция може да е засегнало повече от пет милиона души - в страна с общо население от едва 7,1 милиона.
Смята се, че хакерите са се насочили към Националната агенция за приходите (НАП) при атака в края на юни, която може да продължи известно време, Ню Йорк Таймс доклади.
Според технически новия сайт Следващата мрежа , откраднатата информация включва данни за карти, ПИН номера, адреси и дори данни за доходите.
Пробивът се пази в тайна до тази седмица, когато редица български информационни агенции получиха имейл, в който поеха отговорност за масовия пробив.
Авторът на имейла, който твърди, че е руски хакер, предложи на медиите достъп до откраднатите данни, но разкри мотива за атаката. Описвайки българското правителство като корумпирано, в имейла се казва, че нарушението е компрометирало повече от 110 бази данни, включително критично поверителна информация, Ройтерс доклади.
Финансовият министър Владислав Горанов оспори твърденията, като настоя, че изтеклата информация не е класифицирана и не застрашава финансовата стабилност. Въпреки това той се извини на нацията и подчерта, че всеки, който се опита да използва данните, ще попадне под въздействието на българското законодателство.
Във вторник българските власти арестуваха 20-годишен гражданин по подозрение за участие в нападението. Той беше идентифициран от адвоката си като Кристиян Бойков, служител на американската компания за киберсигурност TAD Group, която има офис в българската столица София.
В изказване на правителствено заседание в сряда премиерът Бойко Борисов определи Бойков като магьосник, Пазителят доклади. Служителят по киберсигурност направи и национални новини през 2017 г., след като разкри пропуски в сайта на българското министерство на образованието, допълва вестникът.
Изследователят по киберсигурност Веселин Бончев, асистент в Българската академия на науките в София, каза пред Ройтерс, че е безопасно да се каже, че личните данни на практически цялото българско пълнолетно население са били компрометирани при последната атака.
Той отбеляза, че като първото публично известно голямо пробив на данни в България, атаката вероятно ще разпали дебат за очевидно слабата инфраструктура за киберсигурност на страната.
Причината за успеха на атаката изглежда не е сложността на хакера, а по-скоро лошите практики за сигурност в НАП, каза Божидар Божанов, главен изпълнителен директор на фирмата за киберсигурност LogSentinel.
The Inquirer съгласява се, че нарушението може да се дължи на уязвимости в онлайн системата за подаване на данъци на агенцията и като цяло лоши практики за киберсигурност и добавя, че подобни проблеми обикновено са малко тема в правителствата, които са склонни да се сблъскат с големи и сложни наследени системи.
От гледна точка на киберсигурността, наследената система може да се определи като всяка система, която е достатъчно стара, за да увеличи уязвимостта на потребителя към текущите технологични заплахи. Тези системи може да останат в сила, за да се избегнат разходи за надграждане, тъй като определени приложения разчитат на по-старата версия, за да функционират, или просто в резултат на неправилно самодоволство.
Сега НАП е изправена пред глоба до 20 млн. евро (22,43 млн. долара) за хакването съгласно регламентите на Европейския съюз GDPR, които влязоха в сила през 2018 г. Съгласно новия закон за защита на данните НАП може да бъде глобен до 4% от годишния му оборот.
И като Ал Джазира доклади, това не е блъф. По-рано този месец British Airways беше наказана с глоба от £183 милиона - еквивалентна на 1,5% от оборота на авиокомпанията - заради хак, който доведе до компрометиране на личните данни на 500 милиона клиенти.
