Компютърната система на Софийската здравна каса е обект на нерегламентиран достъп, което заплашва данните на милиони българи, ползващи болнично лечение на територия на столица. Това се твърди в сигнал до вестник Галерия, засягаш информационната сигурност на СЗОК.
Разплитането на историята започва от кадрови промени, извършени в последните седмици по нареждане директора на Националната здравна каса професор Петко Салчев.
През месец януари е заведено дисциплинарно производство срещу шефа на отдела за информационно осигуряване на столичната каса. Според закона, за да се стигне до неговото уволнение, Националната здравна каса изпраща въпроси, на които чиновникът трябва да отговори, за да може да се защити. Оказа се, че въпросите са изградени на базата на информация, получена от конкретен служебен компютър.
Второто нарушение – дисциплинарната комисия, а в последствие и самият директор на НЗОК изискват информация за съдържанието на определен служебен компютър, но без да представят задължителните в случая документи, които да разрешават извършването на подобни действия.
Наистина само тези органи имат право по реда на Закона за държавния служител да извършат такова производство.
Всичко това веднага навежда към подозрения, че се извършва целенасочена акция, още повече, че искат обяснения по смешни въпроси- едно провинение квалифицирано като тежко (за да се стигне до уволнение) от дисциплинарна гледна точка са наличие на музикални файлове. Другото е за ползване на флаш памети, които в също време са закупени официално за служителите на СЗОК.
Големият въпрос обаче е защо е допуснат обществен достъп до компютър, използван от служител в отдел информационно осигуряване, на какво основание е осъществен той и как заплашва изтичане на лични данни на милиони здравноосигурени лица, лекувани в София.
Отговорът се крие в една нереализирана обществена поръчка от май 2020 година за даване на лиценз на фирма, в която ще изгради система за сигурност при работа с данни в мрежата на националната здравноосигурителна каса.
Иначе казано- който получи този договор, отговаря за достъпа до данните на милиони здравноосигурени българи. В конкурса се включват 2 фирми „Тимекс-БГ“ ООД и „Контракс“ АД.
Изненадващо обаче процедурата е прекратена през юли 2020 година и оттогава липсва официална информация да стартира нова процедура. Оказва се, че въпросната система, която трябва да повишава информационната сигурност и да парира евентуално изтичане на данни, не само функционира, без да има проведена обществена поръчка и сключен по законов ред договор, но даже е описана в мотивите за дисциплинарно уволнение на служители в столичната здравна каса. В тях е обяснено съвсем официално, че в СЗОК функционира система за анализ на правата и сигурността при работа с данни наречена dlp система.
Според отлично запознати експерти тя е в ръцете на една от фирмите, участвали в провалилата се обществена поръчка „Тимекс – БГ“ ООД. Възлагането на подобни поръчки за изключително чувствителна дейност без спазване законовата процедура, е меко казвано смущаващо, а всъщност твърде опасно. Мрежата осигурява достъпът до сигурността на най-високо ниво на информация в Касата, засяга лични данни на граждани, които са от категорията на най-високо чувствителните. Не само заради ЕГН-то и данни от лични документи, но и сведения за тяхното здравословно състояние.
В същото време служителите на информационното осигуряване в Касата нямат дори администраторски права върху компютърната система, за чието правилно функциониране отговарят. Те са предадени на външен изпълнител „Информационно обслужване“.
