Договореното като одит на системата за разпределение на делата не включва задача за проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела.

Такива проверки не са и извършвани. Въпреки това, по време на тестовете за оценка на сигурността са забелязани журнални файлове със следи от потенциално злонамерена дейност спрямо системата на ЦССРД от страна на IP адрес с локация гр. София.

Опитите за неоторизиран достъп до базата данни са се състояли между 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като са използвани автоматизирани инструменти. Няма информация относно получения отговор от страна на сървъра.

Това се посочва в резюмето на доклада за извършен одит от страна на "Аматас" ЕАД, публикуван от ВСС днес.

ВСС остави за закрити врата дебата по одита на разпределение на дела

ВСС остави за закрити врата дебата по одита на разпределение на дела

Канят и експерт от "Информационно обслужване"

Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това.

Одитът на информационната сигурност на Централизираната система за случайно разпределение на делата (ЦССРД) бе извършен в периода 17 февруари - 9 март 2020 г., а докладът беше изпратен на Софийската градска прокуратура, която образува досъдебно производство за компютърни престъпления. По разследването бе разпитан и бившият правосъден министър Христо Иванов.

Висшият съдебен съвет вече реши да прекрати договора за поддръжка с фирмата "Смарт системс", изработила системата за случайното разпределение, а главният прокурор Иван Гешев сезира Европейската комисия (ЕК) за системата за случайно разпределение на делата.

Гешев възмутен: €10 000 струва делото да попадне при конкретен съдия

Гешев възмутен: €10 000 струва делото да попадне при конкретен съдия

Това може да бъде сравнено с коронавирус в съдебната ни система

Одитът е извършен с цел установяване на налични уязвимости на системата, като е симулирана дейност от злонамерен нападател, за да се установи до какви ресурси може да се осъществи достъп, както и какви промени може да нанесе по системата. С цел да се предотвратят проблеми по отношение на нормалното функциониране на системата, за целите на одита продукционната среда е репликирана в тестова такава, обяснява резюмето от доклада.

Централизираната система за случайно разпределение на делата физически е разположена на сървър на Висшия съдебен съвет. Достъпът до нея е ограничен до конкретни ползватели и други технически лица, отговарящи за нейната техническа поддръжка и се осигурява посредством три слоя на защита.

На база резултатите от одита е констатирано, че ЦССРД е разработена с фокус върху нейната функционалност. В същото време, системата не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии.

Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела.

В одитния доклад се дават и конкретни препоръки за отстраняването на уязвимостите, както и за цялостното подобряване на сигурността на ЦССРД.

При одита са установени общо 23 технически уязвимости нивото на риск, на които е изчислено спрямо Common Vulnerability Scoring System.

Данаил Кирилов: Информатиците не са проверявали записите от системата за дела

Данаил Кирилов: Информатиците не са проверявали записите от системата за дела

Лозан Панов настоя да се публикува докладът

Установените уязвимости са, както следва:

С високо ниво на риск - 11 (47,8%) - уязвимости, свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез:

  • неоторизирано добавяне на нов съд;
  • неоторизирана редакция на чужд съд;
  • неоторизирана редакция на съдии от друг съд;
  • неоторизирана редакция на групи от съдии от чужд съд;
  • неоторизирано изтриване на инкрементални номера;
  • неоторизирано изтриване на отсъствия;
  • неоторизирано изтриване на регистрирани дежурства;
  • неоторизиран достъп до данни на потребители от чужд съд;
  • неоторизирано разпределение на дело на съдия от чужд съд.

Със средно ниво на риск - 2 (8,7%) - уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в ЦССРД чрез:

  • разкриване на информация за съществуващи потребители;
  • разкриване на информация за съществуващи съдии.

С ниско ниво на риск - 10 (43,5%) - уязвимости, свързани с настройките за сигурност на системни елементи - част от ЦССРД и предварително изискващи достъп до сървъра:

  • уязвимост тип "Hotlinking";
  • недостатъчна продължителност на заключване на акаунт (Local Group Policy);
  • възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy);
  • възможност за генериране на системни доклади от операционната система (Local Group Policy);
  • възможност за вписване като "batch job" (Local Group Policy);
  • възможност за заместване на токен на процес (Local Group Policy);
  • възможност за спиране на операционната система (Local Group Policy);
  • възможност за блокиране на Microsoft акаунти (Local Group Policy);
  • възможност за преименуване на посетителски акаунти (Local Group Policy);
  • възможност за форматиране на закачени преносими устройства (Local Group Policy).