Hekerski vdor v podatke bolgarske nacionalne agencije za prihodke (NAP) se je zgodil konec minulega meseca. Javnost je zanj izvedela po zaslugi neznanega ponudnika podatkov o milijonih Bolgarov, ki se je z ruskega elektronskega naslova oglasil bolgarskim medijem. Da gre za verodostojne podatke, so bolgarski dacarji ugotovili že prejšnjo nedeljo, ko so opravili delno primerjavo javno objavljenih na spletu s svojimi. Bolgarski finančni minister Vladislav Goranov je nato priznal, da je vdor v davčno upravo zajel okoli tri odstotke njene baze podatkov. Ob opravičilu vsem državljanom je poudaril, da ti niso bili označeni kot tajni ter da finančna stabilnost države ni bila v ničemer ogrožena.

NAP je na svoji spletni strani minuli teden objavil, da so bili v računalniški vdor zajeti osebni podatki 5,1 milijona državljanov, med njimi več kot milijona pokojnih. Ker je Bolgarov sedem milijonov, gre torej tako rekoč za vse polnoletne osebe. Po vdoru so tako javno na voljo osebni podatki ljudi z imenom, matično številko, naslovom, telefonsko številko, elektronsko pošto in podobnim ter še podatki o letnih prihodkih, socialnem zavarovanju, plačilih davkov in izmenjavi davčnih informacij s tujino ter tudi zabeleženi davčni prekrški in podatki drugih služb, kot je carinska ali zavod za zaposlovanje. NAP je državljanom obljubil, da jim bodo prek posebne aplikacije v kratkem omogočili vpogled, ali so bili njihovi podatki zajeti v hekerskem napadu.

Svojo jezo nanje je zaradi njihovega slabega varovanja med drugimi stresel bloger Asen Genov, ki je za CNN dejal, da bi morali biti besni vsi sodržavljani. »Te informacije so sedaj prosto na razpolago vsem. Mnogi so si že naložili datoteke in prepričan sem, da ne samo Bolgari,« je zapisal ob navedbi, da se je sam brez posebnega računalniškega znanja z lahkoto dokopal do ukradenih datotek.

Je bil na delu »etični heker«?

Bolgarska policija je minuli teden aretirala 20-letnega računalničarja Kristiana Bojkova zaradi suma, da je izvedel hekerski napad, mu zaplenila računalniško opremo, a so ga naslednji dan izpustili iz pripora. Na opremi so sicer našli šifrante, uporabljene v napadu, vendar gre po navedbah nekaterih medijev za tako imenovanega etičnega hekerja, torej računalničarja, ki za potrebe določenega podjetja ali lastne dobre volje testira možnosti kibernetskega vdora v njihove informacijske sisteme. Preiskovalce naj bi do njega po navedbah sofijskega tožilstva pripeljal eden od njegovih uporabniških naslovov, prek katerega je bila davčni upravi ukradena ena izmed datotek.

Bojkov, ki je pred dvema letoma odmevno vdrl na stran bolgarskega ministrstva za izobraževanje in to v televizijskem intervjuju upravičil kot »državljansko dolžnost« pri odkrivanju ranljivosti državnega informacijskega sistema, je tokrat zanikal kakršno koli vpletenost, a obtožb ni rešen. Najprej so mu očitali računalniški kriminal proti ključni državni infrastrukturi z zagroženo kaznijo do osmih let zapora, zdaj ga bremenijo le blažjega kaznivega vdora v državni informacijski sitem. Preiskava je sicer šele na začetku, po navedbah bolgarskih medijev pa policija ne izključuje možnosti, da je vdor izvedla organizirana hekerska skupina, lahko tudi iz tujine, pri čemer bi po mnenju odgovornih v NAP lahko izkoristili vrzeli v sistemu izpolnjevanja zahtevkov za povrnitev davka iz tujine. Nejasnost so nekateri izkoristili za ugibanje, da gre za rusko raboto kot odgovor na bolgarske nakupe ameriških vojaških letal.

Vladne baze podatkov sicer veljajo za hekerski zlati rudnik, saj vsebujejo številne na črnem trgu vredne podatke, ki ostajajo unovčljivi precej let, v ameriških medijih ocenjujejo strokovnjaki. Informacije, ki jih država hrani o posamezniku, so lahko veljavne tudi čez 20 let, njeni informacijski sistemi pa so slabo varovani že pred amaterskimi hekerji. Evropska unija je lani z zakonodajo o varovanju podatkov zelo zaostrila skrb zanje in določila visoke globe za slabo upravljanje, a prav Bolgarija je že pred zadnjim vdorom veljala za državo, ki je polna varnostnih vrzeli v informacijskih sistemih. Še zdaleč pa ni osamljena. Zelo odmeven in opozarjajoč je bil po navedbah CNN denimo vdor v podatkovno bazo ameriškega urada za veterane leta 2006, ko je bilo kompromitiranih več kot 26 milijonov vojaških veteranov in aktivnih vojakov.