Фишинг измами, банкови измами, изнудване. Това са само част от престъпленията, които могат да се извършат с изтеклите лични данни и данъчноосигурителна информация от сървърите на Националната агенция за приходите (НАП), смятат юристи, с които Свободна Европа говори.
„Експертите наричат тази ситуация „дигитална катастрофа“, „дигитален Чернобил“. Мотивите за това са много, като най-същественото е, че поради тяхното естество това са данни, които не могат да бъдат променени от лицата“, смятат адв. Деница Люнчева и Юлия Пригонча от Асоциацията за защита на личните данни.
„Тук не става въпрос за пробив в една поща, на която можеш да си смениш паролата. Например ЕГН-то. Човек не може сам да го смени. И да, само по себе си изтичането на едно име или ЕГН не може да причини беда, но когато се комбинира с други данни, които дават достатъчна информация за определен човек, това може да се използва, за да му се навреди. Всъщност в това се състои и „радиационният ефект“ на хакерската атака срещу системата на НАП. Защото последствията от нея могат да продължат без контрол във времето“, обясняват те.
Засегнатите граждани биха могли да си потърсят правата включително и по съдебен път, напомня адв. Стефан Левашки. Шансът обаче искове срещу компетентните органи да имат успех не е ак толкова голям, защото е много трудно да се докаже откъде са изтекли данните на портърпевшия, каза адв. Николай Христов.
Измами, изнудване и как да се предпазим
Изтеклите данни на над 5 млн. български граждани може да се използват от злонамерени хора за измами и изнудване, предупреждават експертите.
Тук не става въпрос за пробив в една поща, на която можеш да си смениш паролата. Например ЕГН-то. Човек не може сам да го смени.
Адв. Николай Христов припомня, че в първите години след електронизирането на Търговския регистър е имало много случаи на изнудване. „Фирмите започват да си качват отчетите и е на един клик разстояние това да се види кой колко пари изкарва и декларира. Това дава възможност да започне рекет – вижда се, че един човек е богат, виждат се данни за адреса и семейството му“, каза Христов в телефонно интервю пред Свободна Европа.
Според него е силно вероятно да зачестят т. нар. фишинг измами, при които на потребителите се изпращат имейли от хора, представящи се за служители на НАП с искане да предоставят потребителски имена и пароли или друга лично информация, или да извършват плащания.
„Сега е възможно това нещо да се повтори, тъй като са изтекли имейл адреси. Изтичането на данъчноосигурителна информация прибавя някаква достоверност. Доста хора биха се подвели и биха били измамени“, предупреждава адвокатът.
Същият риск е изтъкнат и от експертите от Асоциация за защита на личните данни. „Сега, когато измамници разполагат с много чувствителна информация за хората, чиито данни изтекоха и се разпространяват публично в Интернет, те ще бъдат допълнително изкушени да я използват. Това може да се случи и след години, когато случаят вече е забравен и хората са с намалена бдителност“, пишат адв. Деница Люнчева и Юлия Пригонча в отговорите си до Свободна Европа.
„Известни са на обществото доста опити за фишинг измами чрез изпращането на фалшиви имейли от името на НАП или различни кредитни институции. Представяте ли си сега, в тази ситуация, да получите имейл от името на подобна институция за това, че дължите суми към нея? В него може да има множество истински ваши лични данни и вие да сте съвсем убедени, че мейлът изхожда от такава институция. Влизате на посочения в мейла линк и извършвате определено действие, към което той ви насочва, например плащате глоба, такса или нещо друго, което измамниците са успели да ви убедят, че дължите, понеже разполагат с достатъчно истински данни за вас“, обясняват те.
Люнчева и Пригонча виждат и сериозни рискове за бизнеса. „Историята познава и случаи, при които недобронамерени лица, само затова, че разполагат с бланката или данните на истинска фирма, успяват да се легитимират пред истинските партньори на фирмата – да сключват договори и да получават плащания. [...] Изтекли са данни и за възнаграждения на служители. Информация, която обикновено бизнесът защитава с клаузи за конфиденциалност. Това може да доведе и до нелоялна конкуренция, което може да се отрази на конкурентноспособността на бизнеса.“
Засегнатите трябва да прилагат обичайните защити – да не се доверяват на имейли и обаждания, да не си предоставят паролите и други лични данни.
Единственият начин за засегнатите от теча на данни да се предпазят от подобни сценарии е да са бдителни. „Да не се доверяват на всеки, който пише и им обещава награди от лотарии или ги заплашва с изтекли вноски по кредит или неплатени глоби. Дори ако в тези писма се съдържат техните имена и ЕГН. Трябва да подлагат всичко на съмнение и да го проверяват“, казват експертите от АЗЛД.
„Засегнатите реално няма какво повече да направят, от това да прилагат обичайните защити – да не се доверяват на имейли и обаждания, да не си предоставят паролите и други лични данни“, смята и адв. Христов.
Как да търсим правата си
Има и правни механизми, по които засегнатите от теча могат да търсят правата си, казват юристите.
„Имаме Закон за защите на личните данни, има и такъв европейски регламент (GDPR). Този регламент допуска физически лица да водят дела в рамките на местната правосъдна система срещу органите, които са оторизирани да защитават тези лични данни и могат да водят такива дела както за причинени им имуществени вреди, така и за неимуществени такива“, каза адв. Стефан Левашки.
Същата възможност изтъкват и експертите от АЗЛД. „Както GDPR, така и националното ни законодателство, дават възможност да се подават жалби до надзорния орган – Комисията за защита на личните данни и до съдилищата, да се предявяват искове пред съд, включително за обезщетения.“
Сред юристите се коментира възможността за завежсане на колективни искове на засегнати граждани. Изтъква се обаче фактът, че тази практика не е популярна в България и процедурите по тях вървят бавно и е възможно да бъдат блокирани от пречки от процедурен характер.
Николай Христов изтъква и друг проблем – трудно е да се докаже, че вредата е претърпяна именно заради изтеклите при тази хакерска атака данни, или информацията е взета от другаде. „Докато няма вреда, човек нищо не може да направи. Вреда много трудно би могла да се докаже, защото е почти невъзможно да се разбере откъде са изтекли данните на потърпевшия – дали от този теч или от някъде другаде. Ако започнат да се случват някакви злоупотреби с тези данни, единственият ни индикатор ще бъде времето на злоупотребите – да съвпада с изтичането на данни“, каза адвокатът.
