Защитата на личните данни и учудващото нехайство на държавата и бизнеса в България

В България има Закон за защитата на личните данни, но подобно на много други закони и наредби той е само на хартия. Българската държава и бизнеса, не само че не могат и не знаят как да пазят личните данни, но за съжаление дори не си правят труда да проверят как става това.

През месец ноември 2007 г. публикувах в Интернет пространството кратка статия озаглавена „Данните за компрометиране на сигурността в редица компании и организации през изминалата година са много тревожни“. Тогава, един от водещите български портали за ИТ новини TechNews.bg, цитиран от много други сайтове, публикува редактиран вариант на същата статията. Редакторите бяха прозрели ясно основната идея на написаното и за да привлекат вниманието на читателите дори още повече – бяха променили заглавието на „Кражбите на лични данни ще зачестяват в България“. По-малко от година след въпросната статията можем безусловно да кажем, че прогнозите се сбъднаха. Интересно е защо държавната администрация и големите бизнес потребители не предвидиха опасността и продължават да я пренебрегват? Мнозина си задават въпроса:

Има ли въобще защита на личните данни в България?

Краткият отговор е – НЕ, а дългият следва по-долу.

С голямо съжаление трябва да отбележим, че въпреки наличието на законова база за защита на личните данни, българските граждани не са защитени от кражба и злоупотреба с данните им, както в държавните организации, така и във всички сфери на бизнеса. Лесно можете да се убедите в това, само като потърсите изрази като „ЕГН списък“, „ЕГН адрес“ или други подобни в Google. Ако се върнем към разкрития по темата в близкото минало, ще открием случаи като:

• получаване на писма по време на предизборни кампании без получателите да са давали имената и адресите си за целта
• публикуването в Държавен вестник на ЕГН-тата и адресите на собствениците на парцели за отчуждаване във връзка с разширяването на южната дъга на околовръстното шосе на гр. София
• опит на варненец да продаде за 400 лв. данните на над 450 000 съграждани
• и много др.

За да се убедите, че ситуацията е дори още по-лоша, можете да посетите страницата на Търговския регистър и в „Справки>Вписвания, заличавания и обявявания“ да потърсите последните регистрирани фирми или които решите вие – по част от името им. След като видите резултата, просто кликнете върху името на фирмата, която ви интересува. Това, което ще получите са всички документи за регистрация на съответната фирма, сканирани заедно с подписи, ЕГН-та, адреси, лични карти и т.н. Фрапантни случаи като тези не са рядкост и се оказва, че държавните органи и повечето българи не познават Закона за защита на личните данни и го престъпват постоянно без някой по-късно да им търси отговорност за това.

Здравната каса, няколко банки и регистри – това е само началото

Наскоро медиите обявиха данни за открадването на милиони лични данни от сървърите на Националната здравно-осигурителна каса (НЗОК). Това се случи след неколкократно констатираните случаи на кражби на средства от клиенти на български банки атакувани от хакери, изнасяне фирмени данни от общини, агенции за недвижими имоти и др.

Проблемът с личните или по-общо казано с чувствителните данни е много сериозен, но се оказва, че в България получаването на достъп до чужди лични или служебни данни въобще не е трудна задача. Причината за това е, че няма установени практики за контрол на достъпа до входящата и изходящата информация в организациите и фирмите, липсват ефективни наказания на държавни и частни служители, масово се използват нелегални софтуерни продукти със съмнителен произход, липсват записи на историята за ползването на информация, не се следи използването на външни памети и крайни устройства, неправомерно се копират файлове и др.

Проучванията в световен мащаб доказват, че по-големия процент от кражбите на чувствителни данни се извършва от вътрешни лица и служители. Единствения начин те бъдат заловени и да понесат отговорност за действията си е внедряването на:

Стандарти за сигурност

Според международния стандарт ISO 17799 има 12 секции за информационна сигурност, но ако направим проучване колко от фирмите и организациите в България покриват поне половината от тях, то резултатите ще са отчайващи.

Повечето от нас никога не биха престъпили Закона чрез използване на чужди лични или служебни данни, но за съжаление това не важи за всички. Опитите на престъпниците да откраднат чувствителна информация могат да бъдат осъществявани по различни начини – хакване на компютърни системи, социален инженеринг, открадване на физически носители и др.

Дълго пропагандираната грешна теза, че използването на антивирусен софтуер за защитата на данните в компютърните системи е достатъчно и няма нужда от други защити, се сгромолясва всеки път, когато научим от медиите за поредната кражба на лични или служебни данни. Проблемът със сигурността на данните е комплексен и включва не само антивирусна защита, а и трите компоненти на сигурността на информацията – конфиденциалност, цялост и достъпност. Всички те се реализират чрез прилагане на стандарти и поставяне на ясни цели за постигане и поддържане в организациите и фирмите. В този смисъл, защитата на информацията и в частност на личните данни, не е задача само ИТ отделите, а също на мениджърите и отделните служители. Ръководителите на отговорни длъжности, които заявяват, че защитата на информацията и личните данни не е толкова сериозен проблем колкото медиите и професионалистите се опитват да го представят, обикновено пренебрегват вземането на превантивни мерки, за да се спестят малко финансови средства. Мнението им, обаче, рязко би се променило, ако някой ден установят, че някой е теглил кредити от тяхно име, източил е банковите им сметки, заличил е информацията за алергия на детето им към определени лекарства в някоя клиника и т.н.

Заключение

Пробивите в сигурността и кражбата на лични или други чувствителни данни от държавните и частните организации водят до множество негативни последици. Физическото ограничаване на достъпа и използването само на антивирусен софтуер за защита на данните, които са съхранени в компютърните системи не е цялостно решение. Внедряването на стандарти за сигурност, заедно с използването на софтуерни и други инструменти за контрол по прилагането им, могат да доведат до запазване на конфиденциалността, цялостта, достъпността на информацията. Световната практика показва, че спестените пари от сигурност на информацията, рано или късно се заплащат, но ако е късно, сумите са в десетки, стотици или хиляди пъти по-големи, а понякога нанесените загуби са невъзстановими.