Близо три години след грандиозното изтичане на лични данни за милиони български граждани и фирми планират тестове за проникване в системата на Национална агенция за приходите. Припомняме, че по средата на 2019 г. линк към масива на НАП от близо 11 GB беше разпратен от анонимен мейл до различни медии и това бе квалифицирано като най-големият теч на лични данни в България.
Днес държавната компания „Информационно обслужване“ пусна обществена поръчка за извършване на тестове за проникване в системите (penetration test) без деструктивен ефект, които представляват опити за дистанционно идентифициране на уязвимости в сигурността или грешки в конфигурацията на софтуера на информационните системи и електронните услуги. Прогнозната й стойност е 225 000 лв. без ДДС. Процедурата е открита, а единственият критерий за възлагането й е най-ниска цена.
Целта е да се идентифицира и анализира степента на уязвимост и рискът за сигурност на 20 информационни системи, услуги и информационни активи на НАП.
От изпълнителя ще се изисква да даде списък на лицата, които ще извършат тестовете. От своя страна те пък ще попълват декларация за опазване на станалата им известна защитена информация.
При пробите за всяка тествана система или устройство може да се приложи „заобикаляне“ на наличните системи за сигурност чрез етични методи за хакерство. Целта на теста е да се получи достъп до чувствителна информация или до компютърните системи, устройства и активи на НАП, което може да доведе до нарушаване на правата на достъп до системите, компрометиране на информацията в тях или друг нежелан ефект.
Те ще се провеждат на място в НАП под наблюдението на служител от дирекция „Мрежова и информационна сигурност на системите“.
Един месец след финализиране на тестовете трябва да бъде унищожена цялата информация, която е станала известна на служителите от съответната фирма.
