Не съсипвайте делото за хакването на НАП с обвинения за тероризъм
Цялата държавна машина е дремала и при явно престъпление като нищо ще оневинят Кристиян Бойков
6 074 140 души. От тях - 4 104 786 живи към 30 август 2019 година. Толкова са пострадалите при хакването на НАП, което превзе заглавията месец и половина по-рано.
От тези хора прокуратурата се е спряла на 1 015 039. Те са проверили дали са били сред физическите лица, чиито данни са изтекли, когато Кристиян Бойков ги разпрати до медиите. 665 158 действително са присъствали в списъците. Пардон, с 1 по-малко - защото въпреки че няколко години казвах на НАП, че не съм Маринов, а МарТинов, те не оправиха грешката. Така че е спорно дали мога да се броя за засегнат от хакването. Е, вероятно ще мине - ЕГН е верен.
На база на тези данни от прокуратурата са обвинили Бойков и шефа му в TAD Group Иван Тодоров в тероризъм. За целта поръчали сложно изследване - комплексна експертиза в областта на психологията и националната сигурност.
“Несъмнено изтичането на информация е довело до масов стрес у хората, засегнати от деяниято”, открили експертите. Което е горе-долу толкова трудно да се досети човек, колкото и че водата е мокра.
“Създаденият стрес от изтичане на конфиденциална информация пред обществото, а и възможното ѝ широко разпространение от социалните мрежи довежда до чувство на заплаха, на негативни преживявания и породена от тях личностна тревожност”, продължават с разсъжденията експертите.
А след това тотално изчистват вината от Бойков. Поне тази за тероризъм. Защото хакване безспорно има. Следи - колкото ви душа иска. Но в експертизата си вещите лица изрично са написали, че за засилването на ефекта са спомогнали медиите, които са отразили случая. “Реално така се внушават мисли, желания, страхове, притесения, принуждения или устойчиви модели на поведение и са с потенциал да превърнат населението на цели страни в психологически тълпи, поради което основателно са квалифицирани като “четвъртата власт”.
В този пасаж има един голям проблем. Кристиян е хакнал НАП. Само приходната агенция, поне така сочи обвинението. Момчето си е казвало и за други случаи, в такава компания е работило. След това е търсило как информацията да стигне до медиите. Бойков се е ровил, за да намери мейли на вестници, сайтове, телевизии. Даже, след като е пратил данните, се е кахърлил, че никой няма да им обърне внимание. Тоест той не е публикувал информацията. Направили са го журналисти. След като са проверили информацията, разбира се.
А след това дойдоха и изявленията от държавни лица. Те обясняваха, че Бойков не е променял информацията. Успокояваха обществото. С прост поглед се виждаше, че в данните няма номера на лични карти. В България заем можеш да изтеглиш само с ЕГН и номер на документа за самоличност. Имаше призиви от най-високо ниво Бойков да не бъде съден, а да го вземат в службите. “Беше тежко, но много добре обмислено решение да не си прекратя отпуска”, каза пък тогавашната шефка на НАП Галя Димитрова. Тя се върна повече от седмица след атаката.
Така излиза, че отговорните лица, които знаят повече от средния гражданин, по никакъв начин не са били притеснени. Дори напротив, единият бил в отпуск, другият прощава всичко и иска Бойков на работа в службите.
По делото е работено много. Открити са грешки на Бойков, а младежът безспорно е талант. Успял е да намери напълно безплатно програмата, с която хакна НАП. SQL Map е легитимен софуер. След това Бойков е поровил малко, за да открие пробойна. Тя се оказала в услугата за възстановяване на ДДС от чужбина. 20-годишният тогава хакер пуснал SQL инжекцията. Тя обикновено е 1 ред код, написан на SQL (компютърен език за структурирани запитвания - б.а.). Въпросният код се пуска в някое празно поле за дадена заявка (дори търсачка върши работа). Това я чупи и тя показва колоните и редовете на дадена база данни. А когато имаш имената на тези колони - лесно ги добавяш в нова SQL инжекция и това ти изплюва цялата база с тези идентификатори.
Така Бойков е осъществил престъпление. “Който неправомерно добави, копира, използва, промени, пренесе, изтрие, повреди, влоши, скрие, унищожи компютърни данни в информационна система или спре достъпа до такива данни, в немаловажни случаи се наказва с лишаване от свобода до шест години и глоба до десет хиляди лева”, гласи текстът от Наказателния кодекс. Но в него санкцията едва през 2022 г. бе увеличена до 6 години. Преди това бе до 3. А данните, които копирал, били от сървъра на приходната агенция, но като част от информационната система на НАП не се явявали критичната инфраструктура...
Освен Бойков, стигаме и до шефа му Иван Тодоров, който е обвинен за помагач. Той е бил разпитван за друго компютърно престъпление още през 1997 година. Тогава в публичен пост се хвали, че с няколко хитрости успял да си поръча компютър за 3000 долара, а е платил само митото. Ставало чрез източени кредитни карти. И това е описано по вестниците, сигналът дошъл от САЩ.
22 години по-късно при следващото разследване срещу Тодоров се оказва, че наказанието, което могат да му наложат за хакерството, е твърде ниско. Така първоначално бе спретнато обвинение за организирана престъпна група, а процесът отиде в закритата вече спецпрокуратура. Имаше и трети подведен под отговорност- търговския директор Георги Янков. Той беше обвинен за поръчител, но днес го няма по делото. От него са изчезнали и пръскачките на Народното събрание, които групата искала да хакне, но те се били прости маркучи.
Та оказва се от цялата тази история, че държавата чрез своя законодателен орган е дремала първо 5 години, за да въведе в Наказателния кодекс глава за компютърни престъпления. Те са вписани в него през 2002 година. След това се получава така, че наказанията, по първоначалния член, по който беше обвинен Бойков, са били вдигнати 3 години след хакването на НАП. Инфраструктурата на приходната агенция пък рязко се оказала критична. Дали с промяна на закон или след като веднъж са казали, че не е такава, от НАП са осъзнали, че грешат, не е ясно.
Самата НАП бе глобена от Комисията за защита на личните данни (КЗЛД). Получиха над 5,1 млн. лева санкция. От приходната агенция я обжалват. Делото е висящо, но констатациите, на чиято база бяха наложени санкциите, също бяха атакувани в съда. В края на февруари Административен съд - София-град, установил, че използваната в НАП система не е била обновявана и адаптирана към непрекъснато изникващите нови заплахи за информационната сигурност. Оказало се, че SQL инжекцията е била идентифицирана като критична заплаха за сигурността минимум от 2007 година. Разбира се, това е първоинстанционно решение и не е влязло в сила.
Интересно е и друго. Малко повече от година след атаката от всички живи 4 104 786 души, жертва на атаката, само 830 са подали жалби в КЗЛД. Така че масовата паника, изглежда, няма да мине, защото процентно това са 0,02 на сто от засегнатите. А Кристиян е пробил НАП, пратил е данните до медиите, но не ги е публикувал той. И докато за колективното бездействие на институциите, които нито са вдигнали наказанията за хакване, след като са хванали шефа му, нито след неговия “подвиг”, санкция няма да има, поне за Бойков може да се стигне до такава. Но не ѝ с това обвинение. Затова дори днес съдът да даде ход на делото, то шансът след това да го осъдят за тероризъм е много малък. След като всички други институции са зарязали хакването като престъпление, поне прокуратурата да го бори. Но с правилното обвинение. Защото чуе ли Кристиян “невинен”, то хакерите ще залеят държавата с много тежки атаки.