През тази седмица в парламента започна разглеждането на поредните промени в Наказателния кодекс, които този път завишават драстично наказанията за така наречените компютърни престъпления. А от доклада за разглеждането на предложението в правната комисия на Народното събрание се разбра, че дотук се е стигнало след като Европейската комисия е образувала наказателна процедура срещу България заради прекалено ниските и несъобразени с посочените в Директива 2013/40/ ЕС минимални наказания за този вид престъпления.
Бездействието на държавата по транспонирането на Директива 2013/40/ ЕС, която урежда материята с компютърните посегателства, е меко казано странно. Още повече след грандиозния скандал от юли миналата година, когато
базите данни на НАП бяха хакнати
и от тях изтече информация за над 5 милиона български данъкоплатци.
Още тогава се заговори, че НК трябва да бъде променен и наказанията за хакерите – завишени, защото се оказаха повече от символични. Основният състав за „бъркане” в чужда информационна система, например, и до ден днешен предвижда до две години лишаване от свобода, които лесно могат да бъдат заменени и с обикновена глоба.
След „хакването” на НАП бе сформиран и специален съвет по киберсигурност, а неговият председател - вицепремиерът Мариана Николова, обяви, че ще иска драстично увеличение на санкциите в тази област.
Оттогава обаче мина
повече от година, през която просто нищо не се случи.
Почти веднага след скандала с изтеклите данни от НАП бяха арестувани трима души и обвинени в „кибертероризъм”.
Обвиненията обаче още ги няма в съда – за последно за тях се чу през февруари т.г., когато соченият от прокуратурата за тартор на организирана престъпна група за киберпрестъпления Иван Тодоров, собственик на "Тад груп", бе освободен от ареста (след почти 7-месечен престой) срещу 100 000 лева гаранция. Другите двама, сочени като негови съучастници - търговският директор на фирмата Георги Янков и компютърния специалист Кристиян Бойков - отдавна също са на свобода.
Около делото за пускането на Тодоров под гаранция се разчу, че прокуратурата е поискала изготвянето на сложни експертизи, за които се разчита и на съдействие от Европол. От февруари обаче по тази тема също цари пълно мълчание.
НАП все още не е платила
грандиозната глоба от 5.1 млн. лв.,
която й бе наложена от Комисията за защита на личните данни - заради нарушенията, направили възможно изтичането на данните. Приходната агенция я обжалва, но делото се влачи вече цяла година... едва на първа инстанция в Административен съд София-град. Следващото заседание е насрочено за 10 ноември и едва тогава (евентуално) ще стане ясно дали е готова техническата експертиза, която да установи дали НАП е взела всички предохранителни мерки за опазване на "горещата" информация, или е имало пропуски, улесняващи хакерските атаки.
Върхът на безочието обаче е друг: съобщението на ЕК за стартиране на наказателната процедура срещу България е изпратено още през октомври 2019 г., но управляващите едва сега седнаха да мислят за адекватен ремонт на НК.
Какво се предлага?
След последните изменения в тази част на Наказателния кодекс от 2017 г., в момента за незаконно проникване в чужда компютърна система се предвиждат до 2 години затвор (това е максимумът) и дори няма глоба. Ако проникването е извършено повторно, извършено е от повече от две лица или пък засяга държавна тайна - наказанието е до 3 години лишаване от свобода и глоба.
За незаконна обработка на данни в чужда компютърна система (изтриване, добавяне, копиране и прочие, включително и при блокиране на системата), наказанията също са до две години лишаване от свобода и до 3000 лева глоба.
По-високи са санкциите ако престъплението е довело значителни вреди или тежки последици, имало е за цел да осигури имотна облага, ако е бил въведен компютърен вирус или някаква копираща данни програма ( до 3 години лишаване от свобода) или ако престъплението е засегнало повече от една информационна система - тогава наказанието от 1 до 4 години.
А най-високи - от 5 до 8 години затвор - ако посегателството върху системите е извършено по поръчение на престъпна група или е била засегната критична инфраструктура (каквато се оказа, че базите на НАП не са).
Проектът за ремонт на Наказателния кодекс предвижда замяна на двегодишните наказания с 6-годишни, на тригодишните - със 7 години лишаване от свобода, а най-тежките санкции стават 12 години затвор. Размерът на глобите също скача, като най-солената от тях ще бъде 20 000 лева.
„Накървавяването" на наказанията
се обяснява с драстичния ръст на киберпрестъпленията у нас през последните години, ако се съди по жалбите и сигналите в ГДБОП: през 2015 г. - 57, а през 2019 г. - 2822 броя. Днес, в условията на пандемия, ситуацията със сигурност е още по-критична, защото едва ли има редови българин, в чиято електронна поща да не пристигат седмично поне по 4-5 менте съобщения от банки, частни съдебни изпълнители, адвокатски кантори, куриерски фирми. Които веднъж отворени, осигуряват на хакера безпрепятствен достъп до всичко, което му трябва. Или за да рекетира "пациента", или да опразни банковите му сметки.
Вярно е, че наказанията за компютърните престъпления в българския Наказателен кодекс изглеждат фрапиращо ниски на фона на тяхната обществена опасност. Но защо трябваше да бъде застрашена и националната сигурност – с „пробива” на база данните на НАП - че управляващите да се сетят откъде и накъде духа вятъра?
Друг е въпросът, че за пореден път реакцията на управляващите е от типа "Пременил се Илия, огледал се - пак в тия!" В смисъл такъв, че дори и наказанията да станат "Доживотен затвор" и "Глоба в размер на 10 млн. евро", ефектът ще е никакъв. По една много семпла причина - санкционирането на престъпниците има смисъл тогава, когато е бързо. Точно като в бизнес поговорката
"По-добре малко пари сега, отколкото много никога!"
За да се случи това, материално-техническата база и интелектуалния капацитет на разследващите полицаи, наблюдаващите прокурори и "раздаващите справедливост" съдии бъде поне на нивото на киберпрестъпниците. Нещо, което по нашите географски ширини все още си е мисия невъзможна. Защото качеството на техниката, с която разполагат органите на досъдебното производство, както и нивото на юридическото и "меверейско" образование, са си все там - в каменната или бронзовата епоха. И затова обвинителните актове срещу компютърните престъпници се броят на пръсти. Влезлите в сила ефективни присъди - също, но... с уговорката, че става дума за пръстите само на едната ръка.
