Какво са установили одиторите в системата за случайно разпределение на делата – това може да се види в резюмето от доклада им, което днес беше публикувано на сайта на Висшия съдебен съвет.

Проверката на системата беше разпоредена през пролетта на миналата година, а преди три седмици стана ясно, че експертите са установили общо 23 уязвимости – 11 с висок риск, 10 с нисък и две със среден. Споменава се само за един неуспешен опит за неразрешено влизане в системата в късните часове на 4 октомври 2016 г.

Докладът беше изпратен на Софийската градска прокуратура, която образува досъдебно производство за компютърни престъпления.

А Висшият съдебен съвет реши да прекрати договора за поддръжка с фирмата „Смарт системс“, изработила системата за случайното разпределение.

Кадровиците търсят нова фирма, която да отстрани уязвимостите и да извършва поддръжката до въвеждането на Единната информационна система на съдилищата, в която ще има и модул за случайно разпределение.

„Лекс“ публикува резюмето от доклада от проверката.

В изпълнение на сключен договор с Висшия съдебен съвет, през периода 17 февруари 2020 г. – 9 март 2020 г. от страна на „АМАТАС“ ЕАД е извършен одит на информационната сигурност на Централизираната система за случайно разпределение на делата (ЦССРД), с оглед ограничаване на вътрешни и външни уязвимости. Одитът е извършен с цел установяване на налични уязвимости на системата, като е симулирана дейност от злонамерен нападател, за да се установи до какви ресурси от тестваната система такъв нападател би могъл да осъществи достъп, както и какви промени може да нанесе по системата. С цел да се предотвратят проблеми по отношение на нормалното функциониране на системата, за целите на одита продукционната среда е репликирана в тестова такава.

Централизираната система за случайно разпределение на делата физически е разположена на сървър на Висшия съдебен съвет. Достъпът до нея е ограничен до конкретни ползватели и други технически лица, отговарящи за нейната техническа поддръжка и се осигурява посредством три слоя на защита.

При одита е направен анализ на конфигурацията на сървъра, на който е разположена ЦССРД, на базата данни, на кода на приложението и на журналните записи за използване на системата. За тестването са използвани автоматизирани и полуавтоматизирани софтуерни решения, извършени са оценки и проверки от страна на експерти по киберсигурност.

Одитните действия са извършени по начин, който да осигури опазването на нормалната функционалност на системата.

При одита са установени общо 23 технически уязвимости, нивото на риск на които е изчислено спрямо Common Vulnerability Scoring System.

Установените уязвимости са, както следва:

С високо ниво на риск – 11 (47,8%) – уязвимости, свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез:

  • неоторизирано добавяне на нов съд;
  • неоторизирана редакция на чужд съд;
  • неоторизирана редакция на съдии от друг съд;
  • неоторизирана редакция на групи от съдии от чужд съд;
  • неоторизирано изтриване на инкрементални номера;
  • неоторизирано изтриване на отсъствия;
  • неоторизирано изтриване на регистрирани дежурства;
  • неоторизиран достъп до данни на потребители от чужд съд;
  • неоторизирано разпределение на дело на съдия от чужд съд.

Със средно ниво на риск – 2 (8,7%) – уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в ЦССРД чрез:

  • разкриване на информация за съществуващи потребители;
  • разкриване на информация за съществуващи съдии.

С ниско ниво на риск – 10 (43,5%) – уязвимости, свързани с настройките за сигурност на системни елементи – част от ЦССРД и предварително изискващи достъп до сървъра:

  • уязвимост тип „Hotlinking“;
  • недостатъчна продължителност на заключване на акаунт (Local Group Policy);
  • възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy);
  • възможност за генериране на системни доклади от операционната система (Local Group Policy);
  • възможност за вписване като „batch job“ (Local Group Policy);
  • възможност за заместване на токен на процес (Local Group Policy);
  • възможност за спиране на операционната система (Local Group Policy);
  • възможност за блокиране на Microsoft акаунти (Local Group Policy);
  • възможност за преименуване на посетителски акаунти (Local Group Policy);
  • възможност за форматиране на закачени преносими устройства (Local Group Policy).

Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела.

Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това.

В рамките на договорно определения обхват, одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от ЦССРД, и такива проверки не са извършвани. Въпреки това, по време на тестовете за оценка на сигурността са забелязани журнални файлове със следи от потенциално злонамерена дейност спрямо системата на ЦССРД от страна на IP адрес с локация гр. София. Опитите за неоторизиран достъп до базата данни са се състояли между 22:38 ч. и 22:47 ч. на 4-ти октомври 2016 година, като за същите са използвани автоматизирани инструменти. Няма информация относно получения отговор от страна на сървъра.

На база резултатите от одита е констатирано, че ЦССРД е разработена с фокус върху нейната функционалност. В същото време, системата не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии.

Въз основа на констатираните уязвимости, с одитния доклад са дадени конкретни препоръки за тяхното отстраняване, както и за цялостното подобряване на сигурността на ЦССРД. Специални препоръки са дадени по отношение на уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните причини за компрометиране на информационни системи и същите могат да позволят на външни лица да достъпят директно базите данни и по този начин да извършат нерегламентирани дейности, с които да нарушат интрегритета на тези данни.

23
Коментирайте

avatar
нови хронологично най-добре оценени
advokat
advokat
25 април 2020 17:32
Гост

Изобщо да изчезне Разпределението на делата. Попадам на съдия, командирован от Административен съд – в Районен – тоест мирови съдия, като човека си няма хал-хабер от вещно право – специфики на документи и изобщо. Разбирате ли – бъркате ми в моя джоб, защото аз работя с клиенти. Ако клиентът е доволен – ще ми продължи договора и ще ми даде нещо друго – аз може да не съм гений, но с труд и постоянство – печеля. Когато се назначават съдии на случаен принцип – те са неподготвени. Как може да събереш почитател на романи, почитател на фейлетони и почитател на… Покажи целия коментар »

анонимен
анонимен
25 април 2020 0:35
Гост

Егати одита. Дрън та пляс. Нищо конреетно. Явно Боко ще трябва да се обърне към белите хакери.

анонимен
анонимен
25 април 2020 0:31
Гост

Просто пеевско- боковата мафия си пуска пипалата.

анонимен
анонимен
25 април 2020 0:30
Гост

Хайде да слезнем на земята. Търсят цаката на Панов. Даже и палатата ще му вземат.

разни глупости
разни глупости
24 април 2020 18:20
Гост

Резюмето, може да се резюмира, че е „дрън, дрън, па пляс“….
Всички ги интересуват два въпроса:
1. Имало ли е намеса при случайното разпределение на делата?
2. В какво се изразява тази намеса и какво е било манипулирано, ако е имало такава намеса?
И отговор на тези два въпроса аз не видях….така че експертизата им е на добро ниво, на тези ангажирани експерти

Анонимен
Анонимен
24 април 2020 22:50
Гост

Не бързай с изводите! По-кротко да не запееш друга песен!

анонимен
анонимен
25 април 2020 0:19
Гост

И най вече да се установи по логовете кой кога и за какво ровил там.

Гейтс
Гейтс
24 април 2020 17:34
Гост

И това резюме е достатъчно, за да се пробват разни келеши да проникнат в системата, която още явно си стои отворена.

Анонимен
Анонимен
24 април 2020 17:35
Гост

Само ни дайте IP-то.

Анонимен
Анонимен
24 април 2020 18:11
Гост

И като проникнат, какво? Ще разпределят дело, а кой ще подпише протокола, който се прилага към делото и се вижда на сайта на ВСС?

Анонимен
Анонимен
24 април 2020 19:45
Гост

Протоколът може да се подпише от този, които има интерес от манипуирането. Не бива да си въобразяваме, че някой друг извън персонални състав на конкретния съд има интерес от манипулиране на разпределение в чужд съд

анонимен
анонимен
25 април 2020 0:22
Гост

Никой не мисли за това. Просто в момента търсят изкупителна жертва.

Хошев
Хошев
24 април 2020 16:57
Гост

Българска работа

Щилян
Щилян
24 април 2020 16:57
Гост

Глупости

Василева
Василева
24 април 2020 16:56
Гост

Е кякво се сърдите после че снимат нецензурни клипове в палатата. Всичко в правораздавателната система е цирк

Анонимен
Анонимен
24 април 2020 18:02
Гост

Какъвто мат`рялът, такива и политиците му, и правосъдието му, и образованието му, и държавата му, и всичкото му.

JJ Oper
JJ Oper
24 април 2020 16:55
Гост

Сега ще се влачат с това с години

Равиоленска
Равиоленска
24 април 2020 16:54
Гост

Защо всичко в тая скапана държава трябва да отива на съд…

Линкаря
Линкаря
24 април 2020 16:53
Гост

Нищо не могат да свършат бе еййййййй. Една услуга да иска да и се свърши на държавната администрация и до съд ще стигнат

Pompeo
Pompeo
24 април 2020 16:52
Гост

Какво ни занимавате с това. Нищо не разбираме. Да ги съдят едните и да наемат други и да се свърши

just saying
just saying
24 април 2020 16:52
Гост

Така, така. Това през октомври 2016 г. изглежда е опит на някои хакер да проникне – използвани са автоматизирани инструменти, т.е. не е някой лаик. Just saying…

Тошков
Тошков
24 април 2020 16:51
Гост

Офф пак ли това

Haralampi
Haralampi
24 април 2020 16:51
Гост

Едно нищо