Дигитален Чернобил? GDPR катастрофа? Пореден пример за неспособността на държавата да защитава чувствителна информация в интерес на гражданите си? Или "нищо чак толкова страшно"?
Атаката срещу НАП може да се щампова по всевъзможни начини според перспективата на засегнатите страни. Няма спор, че изтичането на "гроздове" от милиони имена, адреси, единни граждански номера, данни за заплати, данъци, осигуровки, пенсии и трудови отношения на милиони частни лица е груб пробив в личния им живот. За съжаление, не е прецедент - ЕГН-тата на журналисти, социолози и бизнесмени се ползваха с подигравателна лекота за попълване на партийни регистрационни списъци преди всички избори, а нито партиите, нито ощетените получиха обяснение чия ръка е допуснала подобен гаф.
Ако има нещо "бяло и етично" в цялата криза, вероятно това е фактът, че масивът от данни не изтече незабавно за всеобщо публично ползване през торент-тракерите. Но въпреки всичко, рано или късно - изтече...
Щетите този път могат да се материализират по значително по-неприятни начини поради риска за документни злоупотреби, изнудване или "профилиране" на лица според наличната информация за финансовото им състояние.
Нещо повече: начинът, по който новината за този пробив беше разпространена през конкретни канали, се превърна в самостоятелен абсурден пробив, който несъзнателно умножи по 100 ефекта от вредите на оригиналния теч.
Първоначално, автор(ът)ите на хакерската атака разпространяват линк към незаконно придобитите данни до група от около 50 медии. Линкът води до архивиран файл със стотици документи, а той е защитен с парола, подсказана на журналистите от подателите на писмото.
Ако има нещо "бяло и етично" в цялата криза, вероятно това е фактът, че масивът от данни не изтече незабавно за всеобщо публично ползване през торент-тракерите.
Напротив, преценката за това кой чете, анализира, споделя и съхранява тези данни е оставена на съвестта на професионалистите в медиите. Етичният кодекс предполага уважение към неприкосновеността на личния живот на всеки, а само особено важен обществен интерес може да оправдае намесата на медиите в личния и семейния живот.
Уви, "защитната стена" започна да пропуска в рамките на по-малко от денонощие. И още как...
Най-малко две телевизии разпространиха кадри от оригиналното писмо в ефир, от които ясно се разчита не само конкретният линк към файла, но и упътването за достъп до него.
Колко чифта очи са видели репортажите, разпознали са линка, полюбопитствали са и са придобили данните за лично ползване - трудно може да се гадае. Но няма никакво съмнение, че мнозина биха проявили нездрав интерес към парите на роднини, съседи, колеги, работодатели или конкурентни бизнеси дори с пълното съзнание, че тази информация е придобита незаконно и не им се полага по право.
Докато Владислав Горанов свиваше рамене и признаваше, че Министерството на финансите няма власт да спре хостинга на разпространените файлове, всеки ТВ-зрител можеше да се самообслужи с НАПLeaks.
Гаф от бързане? Недоглеждане? Несъобразителност? Или няма нищо незаконно?
Според Наказателния кодекс - подсъдим е онзи, който "създава, набавя за себе си или за другиго, внася или по друг начин разпространява компютърни програми, пароли, кодове или други подобни данни за достъп до информационна система или част от нея с цел да се извърши престъпление". Когато чрез това деяние са разкрити лични данни, наказанието е лишаване от свобода до три години. Това е отговорността на хората, пробили защитите на НАП.
Журналистите - получатели на файловете, не носят каквато и да е отговорност за първоначалното изтичане на данните.
Новината за системната уязвимост в данъчната администрация е от висок обществен интерес, засяга милиони души и търговски дружества, а медиите са напълно свободни да съобщят на своята аудитория за случилото се и да задават въпроси на отговорните лица по всички етажи на институциите.
Правото е на тяхна страна и когато обработват тези лични данни с цел осъществяване на свободата на изразяване и правото на информация - но само при зачитане на неприкосновеността на личния живот. Журналистите имат право да четат данните, изтекли от НАП, за да проверят достоверността им, да оценяват мащаба на случилото се, да търсят връзки между базите данни, да анализират обществено-значимите последици, и т.н.
Бариерата обаче би трябвало да се спусне, преди събраните лични данни да бъдат извадени от конфиденциалното пространство на редакционното четене и да се публикуват за всеобщо ползване.
Отскоро Законът за защита на личните данни включва 10 правила за преценка дали разкритието на информация за личния живот на хората е правомерно или не (вижте ги в карето).
Критериите не са безспорни, дори бяха критикувани от правозащитници заради допускането на риск от цензура, злоупотреба и субективен натиск върху разследващи медии. В конкретния случай обаче дават ясна перспектива за прекрачената граница в отразяването на случая.
Да, изтеклите файлове от НАП съдържат данни за хиляди бивши и настоящи депутати, министри, магистрати и висши чиновници (т. 6 от правилата). Това са хора, длъжни да предоставят публична информация за промените в имотното си състояние всяка година.
Но хакнатите файлове съдържат и ЕГН-тата на техните непълнолетни деца. Съдържат данни от данъчни декларации на огромно множество от частни лица, които никога не са заемали властови позиции, не са извършили нищо противообществено и имат пълно право на неприкосновеност на личния живот.
Съдържат се данни за студенти, университетски преподаватели, журналисти, пенсионери, чуждестранни граждани и търговци. Съдържат и данни на покойници. Някои от хората в списъците вероятно няма да разберат за изтичането на личните им досиета, докато НАП не ги осведоми лично (което е длъжна да направи с всеки един от 5-те милиона души).
Никой от засегнатите не е допринесъл за разкриването на тази информация извън факта, че прилежно е внасял данъчната си декларация в НАП като добросъвестен гражданин. Нито един от милионите анонимни мъже, жени и деца не е давал разрешение ЕГН-то му да се споделя с произволни трети страни - още по-малко в национален телевизионен ефир или в публични канали като Facebook. A това се случи.
Несъзнателно, почти всеки медиен разговор по казуса "НАП" започва и завършва с признанието, че "лични данни се събират под път и над път", сякаш не си струва да се пазят.
Пробиват си път и пораженчески внушения с милиционерски привкус от типа: "Няма от какво да се страхуваш, ако няма какво да криеш".
А и да се страхуваш, вече е късно - Анушка строши шишето и разля олиото по телевизора.
Парадоксално, но новинарският поток в последните дни се превръща в среда за култивиране на неуправляемо, цинично отношение на публиката към собствените й права на защитено лично пространство. Това влиза в очевиден конфликт и с интереса на самите граждани, и с волята на законодателите - GDPR предвижда свирепи наказания за системни нарушения при обработката на персонални данни.
Ясно е, че проблемът не се изчерпва само с финансовото измерение. Много по-утежняващ фактор е щетата върху доверието между гражданите и властите, включително "четвъртата". Затова дори дребните грешки "на растежа" би трябвало да се признават и решават с бързина и адекватност. Онзи линк вече не присъства в репортажите по телевизиите, които бяха премонтирани, за да отстранят гафа.
Този случай ще е обица на ухото за всички. Крачката между безобидното любопитство и престъпното намерение понякога не е чак толкова голяма. А и на кого му трябват хакери, когато медиите поднасят крадените данни на тепсия?