Шест дни преди изтичането на крайния срок, в който държавната фирма "Информационно обслужване" трябва да приключи с одита на системите на НАП, от които изтекоха данните на над 5 милиона български и чуждестранни граждани, неочаквано се заговори за втора одитираща фирма. Коя ще е тя и дали ще я има, е пълна загадка.
За "втори одитори" говорят както от НАП, така и вицепремиерът с ресор киберсигурност Марияна Николова. От Министерството на финансите обаче уточниха пред Свободна Европа, че това по-скоро е "едно добро намерение".
За какво става дума
Десет от системите на Националната агенция по приходите (НАП) са изработени от държавната фирма "Информационно обслужване" (ИО). И въпреки че пробивът, при който след хакерска атака изтекоха милиони лични данни, е от система, която не е разработвана от държавната компания, специалисти коментираха, че е странно "Информационно обслужване" да се самоодитира.
"Най-малкото може да има още редица места, които са потенциално пробити. Ако ги проверява специалист, който ги е разработвал, дори да предположим, че е добросъвестен той може да не си намери грешката", коментират от бранша.
На този етап обаче по всичко личи, че именно ИО ще направи одита в цялост.
"Тепърва ще установяваме какви точно са пропуските и на кого са. Това, което сме предприели веднага след установяването на изтичането на информация, е че с целия наличен ресурс, който имаме, сме разпоредили на "Информационно обслужване" да извърши одит на системите и анализ на здравината, за да може в бъдеще да се предотврати такъв пропуск“, заяви преди месец и половина министърът на финансите Владислав Горанов.
От писмени отговори до Свободна Европа на вицепремиера Марияна Николова, която впоследствие оглави Съвета по киберсигурност към правителството, стана ясно, че резултат трябва да има на 15 септември.
Отново по информация на Николова, НАП е отправила искане системите, изработени от "Информационно обслужване" да бъдат одитирани от трета страна, защото част от тях са изработени от държавната фирма.
Според говорителя на НАП дори има такава фирма. Но той не посочи името й. "Не е редно да се самопроверява фирмата, разработвала части от системата на НАП. Затова ние сме помислили за този въпрос", каза Росен Бъчваров, без да дава повече информация.
Отново според експерти този въпрос е съществен, защото проверката на системите всъщност е боравене с много чувствителна информация, с която може да бъде злоупотребено.
"Да допуснем, че има недобросъвестни фирми, защото в момента държавата се съмнява именно в това, че ТАД груп са били подобна фирма. Не може сигурността на данните на една държава да бъде оставена в ръцете на случайни хора", твърдят IT експерти.
От "такова нещо не е стигало до мен" до "има такъв казус"
Потърсен за коментар, директорът на "Информационно обслужване" проф. Михаил Константинов обясни, че всичко по одита ще се прави след ваканцията. Приоритетна, по думите му, е сигурността на изборите. За разлика от Николова, Константинов не спомена краен срок, в който "Информационно обслужване" трябва да приключи с одита.
На въпрос има ли втора фирма и как "Информационно обслужване" ще работи с нея, Константинов каза: "Такова нещо не е стигало до мен". Малко по-късно се обади в редакцията на Свободна Европа и уточни, че е проверил и "да, има такъв казус".
В средата на миналата седмица обаче той беше уточнил, че нито знае коя е фирмата, нито дали е избрана.
От Министерство на финансите пък, под шапката на което е приходната агенция, бяха лаконични в последния работен ден на миналата седмица: "Има добро намерение за втора фирма. Такава засега обаче няма. Не се знае и дали ще има".
Неофициално от МФ твърдят също, че не са склонни да поверят одит на системите на НАП на външна фирма. "А сега, че има възможност някой да не види грешката – надяваме се да си я види", казват от ведомството.
Така ситуацията се оказва патова – от една страна твърденията на институциите са, че искат да открият всички евентуални пробойни в сигурността на информацията, за да не се случва втори теч като безпрецедентния от НАП, но от друга засега изглежда са поверили сигурността само на разработчиците на системите. Отделен случай е, че проверка на системите не може да се повери на малка фирма, отново от гледна точка на сигурността.
От администрацията уточняват, че има и друг вариант: да се избере "много скъпа международна фирма", но пък на този етап е било преценено, че това не е необходимо.
На този фон Германия, Белгия и Сингапур са спрели временно обмена на данни с НАП, заради несигурност в системите, след хакерската атака.