Национальное налоговое агентство Болгарии (NRA, National Revenue Agency, Bulgaria)

История

2019: Арест ИБ-специалиста, обвиняемого в краже данных 5 млн граждан из NRA

В Болгарии был арестован специалист по информационной безопасности, которого обвинили в краже персональных данных и финансовых данных 5 миллионов граждан из Национального налогового агентства (NRA). Об этом 25 июля 2019 года сообщили в Panda Security. По заключению компании, этот инцидент стал самым крупным нарушением данных в Болгарии с населением около 7 миллионов человек.

Среди украденных данных – имена, сведения о доходах, налоговые декларации, платежи по медицинскому страхованию и многое другое.

По сведениям из болгарской прессы, подозреваемый работал исследователем в сфере информационной безопасности, осуществляя поиск уязвимостей в ИТ-сетях для предотвращения кибер-атак. В 2017 году он уже попадал в новости, когда обнаружил важные дыры безопасности на сайте Министерства образования Болгарии.

До своего ареста он также был очень активен в соцсетях, регулярно публиковал статьи по информационной безопасности и о взломах.Догнать и перегнать: Российские ВКС прирастают новыми функциями 7.8 т

Данная кибер-атака вновь вызвала дебаты о слабых стандартах информационной безопасности страны. Премьер-министр Болгарии сказал, что арестованный был «волшебным» хакером, и что страна должна нанять для своей защиты такие «уникальные мозги», как у арестованного.

Тем не менее, некоторые эксперты, которые проверяли украденные данные, заявили, что используемые тактики были достаточно простыми, и это больше указывает на недостаточность адекватной защиты, нежели на великие способности хакера.

Бизнес-организация страны BIA предупредила о возможных недостатках защиты данных у NRA еще несколько лет назад. Она потребовала, чтобы NRA отправила подробную информацию об украденных документах каждому пострадавшему человеку и компании.

В соответствии с положениями GDPR, NRA может столкнуться со штрафом до 20 миллионов евро или 4% своего общего годового оборота. Санкция будет зависеть от числа пострадавших лиц, а также от объема украденной информации, но санкций пока не было.

GDPR применяется к любой компании, которая обрабатывает персональные данные граждан Евросоюза. Таким образом, соблюдение его требований является обязательным условием во избежание экономических потерь и ущерба репутации, которые могут стать следствием инцидента с нарушением данных.

Для оптимизации процессов соблюдения требований этого закона, Panda Adaptive Defense имеет модуль, специально разработанный для того, чтобы помочь соответствовать требованиям GDPR: Panda Data Control. Этот модуль имеет множество преимуществ:

• Обнаружение и аудит: Он автоматически идентифицирует корпоративные файлы, которые содержат персонально идентифицируемую информацию, а также пользователей, сотрудников или подрядчиков, компьютеры и серверы, которые могут иметь доступ к этой информации.
• Мониторинг и обнаружение: Отчеты и оповещения в реальном времени, предлагаемые модулем Panda Data Control, о несанкционированном и подозрительном использовании, передаче и извлечении файлов с персональными данными, помогают внедрить проактивные средства контроля доступа и обработки.
• Упрощенное управление: Модуль Panda Data Control – это модуль, который интегрирован в Panda Adaptive Defense и Panda Adaptive Defense 360. Он не требует того, чтобы компании внедряли еще что-либо, кроме стандартной защиты, а потому данный модуль можно быстро и сразу активировать без сложных и громоздких настроек.
• Демонстрация руководству, ответственному в компании за защиту данных (DPO) и всем другим сотрудникам вашей организации строгих мер безопасности для защиты всей персонально идентифицируемой информации, находящейся в состоянии покоя, используемой или перемещаемой между конечными устройствами и серверами.