Vulnerabila ANAF

Cu toate ca Ministerul finantelor Publice a chelutuit milioane de euro pentru realizarea unui sistem informatic eficient si sigur, serverele pe care se afla stocate bazele de date ale Agentiei Nationale de Administrare Fiscala nu sunt sigure. ZIUA a reusit sa patrunda in reteaua informatica, care nu este publica, a Ministerului Finantelor Publice si a vizualizat baza de date a ANAF. Mentionam cu nu am folosit nici o aplicatie speciala sau sistem hardware prin care sa fim acuzati de incalcarea legii. Demersul nostru nu se vrea decat un semnal la adresa autoritatilor asupra deficientelor care se inregistreaza la nivelul Directiei Generale de Tehnologia Informatiei. Cea care s-a ocupat de cheltuirea banilor pentru realizarea sistemelor informatice si care administreaza serverele Ministerului Finantelor Publice.
Bresa de securitate
O bresa in sistemele de securitate ale serverelor Ministerului Finatelor Publice permite oricarui utilizator al unui calculator conectat la Internet sa acceseze baza de date administrata de Agentia Nationala de Administrare Fiscala. In acest fel, se pot obtine informatii complete despre persoane fizice. Ne referim aici la nume, prenume, adresa completa, cod numeric personal si obligatiile financiare pe care o persoana fizica le are in raport cu Ministerul Finantelor Publice. In mod normal, o astfel de baza de date trebuie protejata atat prin folosirea unor softuri specializate de protectie si limitare a accesarii neautorizate cat si prin montarea unor dispozitive hardware, tip firewall. Se pare ca acest lucru nu exista in sistemul informatic de la Finante sau daca a fost instalat nu e administrat corect. Ca urmare, serverele pe care se gasesc informatii cu caracter secret sunt foarte usor de accesat. Acest lucru permite celor interesati sa afle date confidentiale despre o anumita persoana si, folosind aceste date, sa influneteze anumite decizii sau sa supuna santajului persoana respectiva. Ne referim aici la datele de identificare ale oricarui contribuabil, adresa de domiciliu, codul numeric personal si informatii despre obligatiile platii unor impozite si taxe catre bugetul de stat.
Pe picior gresit
In momentul in care am solicitat raspuns la intrebarile adresate ANAF-ului, nu anuntasem, inca, institutia despre vulnerabilitatile pe care le avea in sistemele informatice. In foarte scurt timp, Dorin Tiganas, purtatorul de cuvant al Agentiei de Administrare Fiscala, ne-a furnizat raspunsurile. Numai ca din dorinta de a dovedi cat de importanta e functia pe care o ocupa si institutia la care lucreaza, a ocolit unele intrebari, dar a trimis precizari la alte probleme care nu ne interesau.
Oricum, Tiganas a tinut sa explice in detaliu faptul ca baza de date a ANAF care priveste persoanele fizice contine informatii secrete la care nu pot avea acces decat institutiile abilitate.
Practic, prin raspunsurile trimise de ANAF, institutia recunoste negru pe alb ca baza de date vizualizata de reporterii ZIUA pe Internet contine informatii secrete. Pentru a lamuri definitiv aceast aspect l-am contactat din nou pe purtatorul de cuvant de la ANAF si i-am pus la dispozitie o mostra (o pagina in format HTML) din baza de date cu persoane fizice care se afla pe unul din serverele Ministerului Finatelor Publice si i-am solicitat un punct de vedere. Dupa 24 de ore, reprezentantul ANAF a recunoscut ca am pus pe jar pe multi functionari din minister si a incercat sa ascunda bresa din sistemele de securitate informatice printr-o explicatie lamentabila.
Explicatii balbaite
Culmea e ca prin aceste explicatii, Tiganas isi contrazice, in 48 de ore, propriile raspunsuri furnizate in prima faza. Indiferent de modul cum purtatorul de cuvant a incercat sa acopere gravele deficiente din sistemele informatice ale Ministerului Finatelor Publice si ale Agentiei Nationale de Administrare Fiscala, problema este grava si nu poate fi trecuta cu vederea de autoritati. Am incercat sa obtinem informatii despre un contribuabil, persoana fizica, dupa indicatiile primite de la Dorin Tiganas. Am introdus pe motorul de cautare aflat pe pagina oficiala a ANAF codul numeric personal al mai multor persoane si rezultatul interogarii bazei de date a fost nul. Nu a fost afisata absolut nici o informatie. In aceste conditii, se confirma suspiciunile noastre ca sistemele informatice de la ANAF sunt extrem de slabe.
Raspunsul Agentiei
Iata o parte din raspunsul primit de la ANAF :
"Precizam ca, in conformitate cu prevederile art.11 alin. (2) din Ordonanta Guvernului nr. 92/2003 privind Codul de procedura fiscala, republicata, cu modificarile si completarile ulterioare, informatiile referitoare la impozite, taxe, contributii si alte sume datorate bugetului general consolidat, altele decat cele care se publica pe site, pot fi transmise numai autoritatilor publice, autoritatilor judiciare competente, autoritatilor fiscale ale altor tari in conditii de reciprocitate, precum si in alte cazuri prevazute de lege.
De asemenea, divulgarea unor date personale ar insemna o incalcare a dispozitiilor regasite in art. 12, alin.(1), lit. d) din Legea nr. 544/2001, cu privire la exceptarea de la accesul liber al cetatenilor a informatiilor ce vizeaza datele personale, furnizarea acestor informatii fiind interzisa si prin Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare. Informatiile cu caracter personal sunt, de altfel, clar definite in Legea nr.677/ 2001, la art. 3, lit. a): "orice informatii referitoare la o persoana fizica identificata sau identificabila; o persoana identificabila este acea persoana care poate fi identificata, direct sau indirect, in mod particular prin referire la un numar de identificare ori la unul sau la mai multi factori specifici identitatii sale fizice, fiziologice, psihice, economice, culturale sau sociale".
Investitii intr-o retea neprotejata
Cristian Marin, sef Serviciu Comunicare si Relatii Publice in Ministerul Finantelor Publice, ne-a comunicat faptul ca "MFP a avut fonduri alocate pentru investitii prin programul PHARE, iar investitiile s-au realizat in anul 2006.
Achizitiile pentru dezvoltarea retelelor de comunicatii LAN, MAN si WAN ale MFP au fost in valoare totala de 2,3 milioane euro si au constat din echipamente active de retea LAN, MAN, WAN (switch-uri, router-e, firewall-uri, platforme centralizate de management de retea), componente pasive LAN (prize de retea, cabluri de retea, patch-pannel-uri) in valoare de aproximativ 1,5 milioane Euro si servicii de telecomunicatii (legaturi inchiriate de date, acces Internet, servicii de telecomunicatii la nivel central si teritorial) in valoare de 0,8 milioane euro.
Echipamentele active de retea includ module specializate pentru criptarea transmisiilor de date iar serverele au instalate sisteme de operare si software specializat pe functionalitati, fiecare strat software avand incluse caracteristici de securitate tipice. Acestea sunt in continuare intr-un proces de configurare si reconfigurare astel incat sa se implementeze niveluri superioare de securitate, in conformitate cu politicile de securitate propuse de consultantii externi cu 2 ani in urma."
Bazele de date cu informatiile despre persoanele fizice au fost obtinute de Ministerul Finantelor Publice de la Centrul National de Administrare a Bazelor de Date privind Evidenta Persoanelor (CNABDEP), care este organ de specialitate al Ministerului Administratiei si Internelor.
Prin bresa de securitate descoperita de ziarul ZIUA in sistemele informatice ale Ministerului Finantelor Publice, cei care raspund de preveneria accesarii neautorizate a serverelor de la MFP pot fi trasi la raspunde deoarece nu au respectat procedurile INFOSEC si COMSEC.
Vinovatul DGTI
Din raspunsurile primite de la ANAF, rezulta ca responsabil pentru serverele Ministerului Finantelor Publice este o directie special infiintata in cadrul ministerului. Ministerul Finantelor Publice ne-a informat ca "Directia Generala Tehnologia Informatiei raspunde de proiectarea, procurarea, implementarea si administrarea in productia curenta a retelelor LAN, MAN si WAN ale MFP. Nu a fost realizat, inca, un Intranet al MFP. Actuala arhitectura a sistemului informatic al MFP este una distribuita, in tehnologie client-server, avand servere de baze de date si de comunicatii in fiecare dintre cele 400 de locatii ale MFP din teritoriu. Din motive de securitate a informatiilor, accesul utilizatorilor interni este permis numai in reteaua locala, la serverele si aplicatiile informatice locale si este protejat conform gradului de securitate cerut de fiecare aplicatie in parte. Comunicatiile de date intre locatii au loc ierarhizat si numai intre servere, la nivel de aplicatii. Actualul proces de migrare a sistemului informatic catre o arhitectura centralizata, in tehnologie Web, are ca tema, printre altele, si crearea unui Intranet al MFP. Peste aceasta infrastructura de comunicatii a fost pus in functiune un sistem de mesagerie electronica care permite autentificarea, semnarea si criptarea cu ajutorul certificatelor digitale a mesajelor transmise. Acest sistem este utilizat si pentru transportul datelor intre locatii in vederea acualizarii bazelor de date ale MFP.
Raspunsuri neconvingatoare
Purtatorul de cuvant de la ANAF sustine ca "pana la inceputul anului 2006, listele cu contribuabilii carora li s-a emis si transmis acte administrative fiscale contineau pe langa nume si adresa si CNP. Odata cu aparitia Ordinului ministrului Finantelor publice nr.94 / 2006 s-a introdus motor de cautare pe baza CNP. Pe de alta parte, sunt pareri diferite asupra faptului daca CNP este sau nu o informatie secreta, dat fiind faptul ca la persoanele juridice Codul unic de inregistrare fiscala este informatie publica, in baza careia orice cetatean se poate informa asupra unor date publice ale firmelor (ex. daca are datorii, daca a depus bilanturi daca exista etc). La fel si in baza CNP se diferentiaza persoanele cu acelasi nume si, mai mult, daca acestea exista."
Datele personale nu sunt publice
Datele personale nu pot fi accesate decat de functionari publici autorizati. Nu intra in categoria informatiilor publice urmatoarele:
- informatii privind activitatile comerciale sau financiare, daca publicitatea acestora aduce atingere principiului concurentei loiale;
- informatii cu privire la datele personale
- orice informatie prin care se incalca secretul fiscal: informatii privind impozitele, taxele si contributiile datorate de un contribuabil (persoana fizica sau juridica) bugetului general consolidat, datele de identificare ale unui contribuabil, precum si situatia obligatiilor restante la bugetul general consolidat, in alte conditii decat cele prevazute in Legea nr. 161/2003, cu modificarile ulterioare; aceste informatii pot fi trimise doar autoritatilor judiciare competente, potrivit legii; autoritatea care primeste informatii fiscale este obligata sa pastreze secretul asupra informatiilor primite, nerespectarea obligatiei de pastrare a secretului fiscal atragand raspunderea potrivit legii; informatii cu caracter fiscal pot fi comunicate in alte situatii decat cele amintite doar in conditiile in care din acestea nu reiese identitatea vreunei persoane fizice sau juridice.
"In concluzie, informatiile la care faceti referire nu au carater public, nu pot fi accesate decat de functionari publici autorizati si nu intra sub incidenta prevederilor Legii nr. 544/2001 privind liberul acces la informatiile de interes public", ne-a mai precizat reprezentantul ANAF.

---

Despre autor: