В България има Закон за защитата на личните данни, но подобно на много други закони и наредби той е само на хартия. Българската държава и бизнесът не само, че не могат и не знаят как да пазят личните данни, но за съжаление дори не си правят труда да проверят как става това.
През ноември 2007 г. публикувах в интернет пространството кратка статия, озаглавена „Данните за компрометиране на сигурността в редица компании и организации през изминалата година са много тревожни“ (статията е публикувана в TechNews.bg тук, бел.ред.).
По-малко от година след въпросната статия можем безусловно да кажем, че прогнозите в нея се сбъднаха. Интересно е защо държавната администрация и големите бизнес потребители не предвидиха опасността и продължават да я пренебрегват? Мнозина си задават въпроса:
Има ли въобще защита на личните данни в България?
Краткият отговор е “не”, а дългият следва по-долу.
С голямо съжаление трябва да отбележим, че въпреки наличието на законова база за защита на личните данни, българските граждани не са защитени от кражба и злоупотреба с данните им, както в държавните организации, така и във всички сфери на бизнеса. Лесно можете да се убедите в това, само като потърсите изрази като „ЕГН списък“, „ЕГН адрес“ или други подобни в Google. Ако се върнем към разкрития по темата в близкото минало, ще открием случаи като:
- получаване на писма по време на предизборни кампании без получателите да са давали имената и адресите си за целта;
- публикуване в Държавен вестник на ЕГН-тата и адресите на собствениците на парцели за отчуждаване във връзка с разширяване на южната дъга на околовръстното шосе на гр. София
- опит на варненец да продаде за 400 лв. данните на над 450 000 съграждани
- и много др.
За да се убедите, че ситуацията е дори още по-лоша, можете да посетите страницата на Търговския регистър и в „Справки>Вписвания, заличавания и обявявания“ да потърсите последните регистрирани фирми или които други решите – по част от името им. След като видите резултата, просто кликнете върху името на фирмата, която ви интересува. Това, което ще получите, са всички документи за регистрация на съответната фирма, сканирани заедно с подписи, ЕГН-та, адреси, лични карти и т.н.
Фрапантни случаи като тези не са рядкост и се оказва, че държавните органи и повечето българи не познават Закона за защита на личните данни и го престъпват постоянно без някой по-късно да им търси отговорност за това.
Здравната каса, няколко банки и регистри – това е само началото
Наскоро медиите обявиха данни за открадване на милиони лични данни от сървърите на Националната здравно-осигурителна каса (НЗОК). Това се случи след неколкократно констатираните случаи на кражби на средства от клиенти на български банки, атакувани от хакери, изнасяне на фирмени данни от общини, агенции за недвижими имоти и др.
Проблемът с личните или по-общо казано с чувствителните данни е много сериозен, но се оказва, че в България получаването на достъп до чужди лични или служебни данни въобще не е трудна задача. Причината за това е, че няма установени практики за контрол на достъпа до входящата и изходящата информация в организациите и фирмите, липсват ефективни наказания на държавни и частни служители, масово се използват нелегални софтуерни продукти със съмнителен произход, липсват записи на историята за ползване на информация, не се следи използването на външни памети и крайни устройства, неправомерно се копират файлове и др.
Проучванията в световен мащаб доказват, че по-големият процент от кражбите на чувствителни данни се извършва от вътрешни лица и служители. Единственият начин те бъдат заловени и да понесат отговорност за действията си е внедряването на
Стандарти за сигурност
Според международния стандарт ISO 17799, има 12 секции за информационна сигурност, но ако направим проучване колко от фирмите и организациите в България покриват поне половината от тях, то резултатите ще са отчайващи.
Повечето от нас никога не биха престъпили Закона чрез използване на чужди лични или служебни данни, но за съжаление това не важи за всички. Опитите на престъпниците да откраднат чувствителна информация могат да бъдат осъществявани по различни начини – хакване на компютърни системи, социален инженеринг, открадване на физически носители и др.
Дълго пропагандираната грешна теза, че използването на антивирусен софтуер за защита на данните в компютърните системи е достатъчно и няма нужда от други защити, се сгромолясва всеки път, когато научим от медиите за поредната кражба на лични или служебни данни.
Проблемът със сигурността на данните е комплексен и включва не само антивирусна защита, а и трите компонента на сигурността на информацията – конфиденциалност, цялост и достъпност. Всички те се реализират чрез прилагане на стандарти и поставяне на ясни цели за постигане и поддържане в организациите и фирмите. В този смисъл, защитата на информацията и в частност на личните данни не е задача само на ИТ отделите, а също на мениджърите и отделните служители.
Ръководителите на отговорни длъжности, които заявяват, че защитата на информацията и личните данни не е толкова сериозен проблем, колкото медиите и професионалистите се опитват да го представят, обикновено пренебрегват вземането на превантивни мерки, за да се спестят малко финансови средства. Мнението им обаче рязко би се променило, ако един ден установят, че някой е теглил кредити от тяхно име, източил е банковите им сметки, заличил е информацията за алергия на детето им към определени лекарства в някоя клиника и т.н.
Пробивите в сигурността и кражбата на лични или други чувствителни данни от държавните и частните организации водят до множество негативни последици. Физическото ограничаване на достъпа и използването само на антивирусен софтуер за защита на данните, които са съхранени в компютърните системи, не е цялостно решение. Внедряването на стандарти за сигурност, заедно с използването на софтуерни и други инструменти за контрол по прилагането им, могат да доведат до запазване на конфиденциалността, целостта и достъпността на информацията.
Световната практика показва, че спестените пари от сигурност на информацията, рано или късно се заплащат, но ако е късно, сумите са в десетки, стотици или хиляди пъти по-големи, а понякога нанесените загуби са невъзстановими.
Авторът на статията инж. Ивайло Тинчев е управител и собственик на фирма „Бизнес Софтуер Дистрибутор“ ЕООД (www.bsd.bg).
Статията е публикувана с незначителни съкращения, заглавието е в редактиран вариант.