Отговорността на медиите при изтичането на данните от НАП


Въпреки голямата дискусия за данните изтекли от НАП никой не обърна внимание на факта какво се случва с архива и данните за достъп до него. Очевидно голяма част от българските медии нямаха представа как би трябвало да се реагира при сигнал потенциално съдържащ поверителна информация.

Часове след получаването на email-a от медиите, цялото писмо, включително и линкът към данните и паролата за отваряне на архива, вече бяха публични и свалени на хиляди компютри от целия свят. Две телевизии публикуваха видео съдържание в което цялото писмо от “хакера” можеше да бъде лесно прочетено, впоследствие линкът се появи по хиляди страници в Интернет, включително и в коментарите на популярни български онлайн новинарски медии. Отделно стои въпроси колко пъти писмото е препратено от медиите към външни експерти, близки, познати и тн. Към днешна дата вече има онлайн търсачки, който могат да проверят по ЕГН дали има изтекли данни на определен човек. Течът вместо да бъде запушен се превърна в наводнение, което заля цялата страна и тъй като част от данните като име и ЕГН са трудни за смяна, проблемите, които това ще създаде ще бъдат актуални с години. Пример за това е пробивът на сайта за запознанства Ашли Мадисън (https://www.ashleymadison.com/) от юли 2015, публикуването на данните от който се свързва с значителен брой самоубийства, разводи, уволнения и оставки на публични личности.

Оставям настрана неспособността на властите и по-конкретно ГДБОП да премахнат достъпа до архива, който вече трети ден е достъпен онлайн на платформа за споделяне на файлове. Какво обаче трябваше да направят медиите след получаването на сигнала? Ето няколко стъпки, които според мен щяха да ограничат сериозно разпространението на личните данни на милиони българи


  • Да се определят оторизирани лица които ще има достъп до данните. Това накратко са
    • журналистите определени да отразяват случая,
    • специалисти привлечени да потвърдят истинноста на информацията и потенциалния ефект от изтичането, които задължително трябва да са подписали споразумение за поверителност (конфидециалност),
    • длъжностното лице по защита на данните, ако медията има такова
    • представители на органите на властта;
  • Да ограничи достъпа до писмото и последващата кореспонденция само до оторизираните лица. Това включва копиране на писмото на криптиран носител, изтриването на писмото от всички сървъри, използване на отделен адрес за комуникацията по случая;
  • Данните да се свалят на един или повече криптирани носители с цел да се избегне неоторизиран достъп до тях;
  • Прегледът на данните с цел потвърждаване на истинноста им да се прави на отделен компютър (виртуална машина) без връзка с мрежа. Тази практика освен че ще ограничи достъпа до тази машина само до оторизираните лица, ще предпази и редакцията от проникване на зловреден софтуер, който може да се съдържа в сваления файл. Добре е да има включен одитиращ софтуер който да записва всеки достъп до данните и всички извършени действия с тях;
  • При потвърдено наличие на лични данни или конфидециална информация е добре да се консултират с експерт в областта на законодателството и практиката на защитата на личните данни;
  • При публикуване на информация свързана със случая да се редактират всички изображения и видео с цел замъгляване или скриване на поверителната информация, включително и информацията за достъп до нея.

Последната точка се оказа най-трудна за част от българските телевизии и лично аз нямам обяснение какво наложи снимането на цялото писмо и публикуването му нередактирано в Интернет. В интерес на истината телевизията, на която писах, реагира сравнително бързо и видеото беше свалени в рамките на няколко часа.

В становището на Комисията за защита на личните данни от 25.04.2019 г. има следния текст

3. По правило, данните на лица, които не са публични личности, не са обект на журналистическо разследване и нямат пряко отношение към дебат от обществен интерес, следва да бъдат публикувани от съответната медия или журналист в анонимизирана форма. Ако това е неприложимо от гледна точка на осъществяването на свободата на изразяване и упражняването на правото на информация, тогава публикуването следва да се извърши при спазване на принципа за свеждане на данните до минимум.

За съжаление в бързането да се публикува, горния принцип не беше спазен и така медиите станаха съучастници в разпространението на данни за милиони българи. Ако торент тракерите позволяващи на потребителите си да споделят съдържание са незаконни, какво да кажем за сайтовете, който позволяват на потребителите си да публикуват коментари съдържащи линк и парола за откраднатите от сървъра на НАП данни. Разликата е че при едните се нарушават правата на издателските компании, а при другите правата на милиони български граждани и фирми. Хакерът изтеглил данните ги е споделил с ограничен кръг от медии, те обаче ги споделиха с целия свят и тепърва на всички нас ни предстои да усетим последствията от тяхната небрежност.

Наложи се да редактирам снимките за да почерня линка и паролата за достъп, както и адреса на една от статиите в коментарите на която ги има публикувани. За съжаление това е след дъжд качулка, но поне аз ще съм с чиста съвест, че поне съм положил усилия да намаля разпространението на изтеклите данни