Пробит ли е софтуерът, през който се разпределят делата в съдилищата в България? В петък от държавното обвинение съобщиха, че започва разследване, след като шестима членове на Висшия съдебен съвет (ВСС) са сезирали главния прокурор за констатациите на външния одит на системата, която се използва от 2015 г.
Иван Гешев заяви, че системата била толкова пробита, че „все едно пет години не сме имали правосъдие“.
Източници на „Капитал“ споделиха съдържанието на дългия 50 страници доклад, който имаме основателни причини да смятаме, че е автентичният документ.

Анализът е изготвен от фирмата за киберсигурност Amatas.

Одитът разкрива редица слабости в сигурността на системата. В документа обаче не се съдържат никакви данни, че случайното разпределение е било компрометирано или някой е експлоатирал слабостите на системата. Има информация за един потенциален опит – от края на 2016 г., който според експертите е бил неуспешен.

Констатациите на IT експертите, които без съмнение са притеснителни, силно се разминават с шума, който беше вдигнат от прокуратурата и мнозинството във ВСС. От няколкото публични изяви на представители на двете институции изглежда, че по-скоро зад скандала прозира опит за разчистване на сметки на политическата сцена и вътре в съдебната система, отколкото реална загриженост за информационната сигурност .

Парадоксалното в целия случай е, че фирмата, разработчик на системата, която беше посочена с пръст от ВСС и главния прокурор, само преди няколко месеца е била наета от прокуратурата да надгради информационната ѝ система.

Какво става ясно от проверката

Докладът, станал повод за проверката от прокуратурата, посочва общо десет уязвимости на системата за
случайно разпределение на дела.

„Всеки, който има електронен подпис, може да прави всичко – да разпределя дела, да манипулира данни“, заяви Иван Гешев в петък.

Основната констатирана слабост е при автентикацията в системата. Замисълът на софтуерът е влизането да става с двойна проверка – веднъж с електронен подпис, а след това с въвеждане на потребителско име и парола.

При разработването на програмата обаче е направен пропуск – липсва проверка дали използваният електронен подпис има право на достъп до централизираната система за разпределение на дела или не. Така всеки с електронен подпис може да мине през първата защита.

Това е проблемно, доколкото двуфакторната автентикация на практика става еднофакторна.
От доклада не става ясно дали от подобни влизания остават следи в журнала (т.нар. log файлове).
При всички положения в системата не може да влезе всеки, който има електронен подпис. Освен това той трябва да се е сдобил с чуждо име и парола. Дори и да го направи обаче, той вече е оставил своята самоличност преди това, идентифицирайки се с електронен подпис.

Следващата серия от констатирани проблеми са свързани с това, че веднъж получен достъп до системата, при ръчно въвеждане на конкретен конкретен адрес в браузъра може да се стигне до функционалности, които би трябвало да са в правомощия само на оторизирани потребители (например с администраторски права):

  • може да се добавя нов съд (примерно Районен съд – Ню Йорк)
  • да се редактира името на съществуващ съд (Районен съд – Монтана, да бъде прекръстен на Районен съд – Михайловград)
  • да редактира параметрите на съдии (три имена, ЕГН, вид дела, които разглежда)
  • да редактира параметрите на различните групи дела (примерно групата „дела по Закона за движение по пътищата “ да бъде прекръстена на „дела по Закона за собствеността на гражданите“)
  • да изтрива отсъствия на съдии (това е периодът, в който даден съдия е изключен от разпределение – поради отпуск, болничен, командировка)
  • изтрива дежурства на съдии
  • да има достъп до профилите на съдиите (три имена и вид на разглежданите дела)
  • съдия от един съд да разпредели дело на конкретен съдия от друг съд. Този пропуск изглежда най-стряскащ, но в действителност няма реално приложение, защото през него (например) съдия от Кубрат може да възложи дело от съда си на съдия от Добрич – нещо, което няма как да остане незабелязано.

Експертите отбелязват, че системата позволява да се използват слаби и предвидими данни за достъп – парола и потребителско име.

Проверката на ползвания уебсървър също е констатирала уязвимости, но от по-ниско ниво на критичност.

Стандартна аматьорщина

Всички тези слабости на системата са проблемни, като ИТ експерт с опит в държавната администрация ги определи като „стандартна аматьорщина: „Може да разпределяш дело на съдия в друг съд, но това е бъг, който би бил хванат лесно… в момента, в който съдията в Исперих види, че трябва да гледа бургаско дело“, коментира още той.

В действителност всяко разпределение генерира публичен протокол, в който всяка една от възможните промени ще бъде видима. В тези протоколи е записано какво дело се разпределя, между кои съдии, кои съдии са изключени от разпределението и каква е причината за това. На протокола се изписва името на човека, който извършва разпределението, но освен това протоколът се подписва с електронен подпис.

На практика, ако се извърши манипулация, страните по делото ще могат да видят това.

В доклада се споменава, че при преглед на логовете на системата е било установено „съмнителна активност“ от IP адрес в София през октомври 2016 г. Заключението е, че „тази атака не е приложима и опитите на потенциално злонамереното лице не са били успешни“.

В петък говорителят на главния прокурор Сийка Милева заяви, че служители на ВСС са възпрепятствали проверката: „Освен това IT специалистите не са съдействали при одита и са отказали достъп до сървъра за случайно разпределение.“

В доклада обаче е записано, че е направен анализ на конфигурацията на сървърите, на които е разположена системата, на базата данни, на изходния код на приложението и наличието и управлението на журналните записи за използване на системата.

От документа става ясно, че тестовете са направени в сградата на ВСС, като на експертите е „предоставен достъп до сървърите, на които е разположена системата, както и потребителски имена и пароли“, а също така и „изходният код на системата и нейната документация.“

Единствените ограничения, които експертите посочват, са, че при тестовете са внимавали да запазят нормалната функционалност на системата и базите данни, както и че не им е било разрешено да изнасят документацията, както и да имат дистанционен достъп до сървъра.

Пет години по-късно

Темата за случайното разпределение на делата се превърна в международен скандал преди пет години, когато независима проверка показа, че ползваният тогава от повечето съдилища софтуер Law Choice няма и базови нива на защита.

Повод за проверката бяха множество съмнения в разпределението на делата в Софийския градски съд. Ставаше дума основно за концентрацията на граждански и търговски дела с висок обществен интерес при определени съдии.

Покрай тези съмнения гръмна скандалът с несъстоятелността на дружеството „Белведере“, провокирало гнева на тогавашния френски посланик в София Ксавие Лапер дьо Кабан.

През 2014 г. ВСС сформира работна група по спешност и избира временно решение на проблема до въвеждането на изцяло нова система за разпределяне на делата като част от цялостната трансформация към електронно правосъдие.

В доклада се препоръчват две фирми – „Смарт системс 2010“ и „Кодинов“. И двете от десетилетия работят по информационните системи в съдилищата.

Преди половин година – през август 2019 г., тогавашният главен прокурор Сотир Цацаров възлага на „Смарт системс 2010“ договор за надграждане на унифицираната информационна система на прокуратурата. Това е софтуерът, който съдържа информация за абсолютно всички преписки. Дружеството е работило още по модула за случайно разпределение на дела в прокуратурата, както и по различни функционалности на Единната информационна система за противодействие на престъпността.

Решението е прието единодушно от тогавашния състав на съвета, като чак през втората половина на 2015 г. „Смарт системс 2010“ интегрира системата. Тогава е извършен тест за нейната функционалност и са отправени конкретни препоръки от 11 експерти, сред които и университетски преподаватели, както и представители на ВКС, ВАС и главния прокурор.

Фирмата е еднолична собственост на Марин Кошутов е изпълнител на най-различни ИТ поръчки – както в съдебната система, така и в държавната администрация. Преди половин година – през август 2019 г., тогавашният главен прокурор Сотир Цацаров възлага на „Смарт системс 2010“ договор за надграждане на унифицираната информационна система на прокуратурата. Това е софтуерът, който съдържа информация за абсолютно всички преписки. Дружеството е работило още по модула за случайно разпределение на дела в прокуратурата, както и по различни функционалности на Единната информационна система за противодействие на престъпността.
Уж временното решение се оказва постоянно в продължение пет години, като основната причина за това е, че съдебният съвет на няколко пъти рестартира поръчката за въвеждане на единна информационна система за съдилищата.

Временно решение, което продължава дълго

Пред БНР в неделя главният прокурор Иван Гешев повдигна въпроса защо системата е функционирала „пет години, без да се проверява нейната сигурност?“

През 2016 г. в плановете за изпълнение на препоръките от докладите на ЕК по мониторинговия механизъм е записано като ангажимент за Висшия съдебен съвет и Инспектората на всеки шест месеца да извършват одит на системата.

През април 2017 г. тогавашният състав на ВСС взима решение да възложи независим одит на сигурността на софтуера за случайно разпределение на дела. Решението е разпределено на ресорната комисия по Информационни технологии. Оттам изискват съдействие от БАН и Техническия университет, а от Инспектората към ВСС искат да посочи какви проблеми са срещали със системата при проверките, които са правили при съдилищата.

Няколко месеца по-късно мандатът на съвета изтича. През септември 2017 г. е избран нов състав на ВСС, но темата за случайното разпределение на делата се появява в дневния ред година по-късно – през февруари 2019 г., когато става ясно, че договорът за поддръжка на системата е приключил.

Вероятно това даде повод на Иван Гешев да попита в едно от трите интервюта, които даде по темата от петък до неделя: „Защо пет години една фирма поддържа тази система без пари. Търговска фирма се явява филантроп, това може би е първият такъв случай в съдебната система.“

В действителност през февруари 2019 г. ВСС констатира, че договорът за поддръжка е бил до края на 2017 г. и в продължение на една година – 2018 г., „Смарт системс 2010“ са поддържали системата безплатно.
През април 2019 г. членовете на съдийската колегия Боян Новански, Боряна Димитрова и Стефан Гроздев и на прокурорската – Огнян Дамянов, Пламена Цветанова и Георги Кузманов, внасят предложение да се извърши външен одит на системата.

Този петък пред БНТ главният прокурор Иван Гешев даде свой прочит на обсъждането при гласуването на предложението: „Интересно ми е защо г-н Лозан Панов и присъдружните му дами от ВСС, доколкото чета протоколите през 2019 г., са се хвърляли като Матросов на амбразурата срещу това да се извърши техническа експертиза на тази система за случайно разпределение на делата“, обобщи последвалата дълга дискусия главния прокурор Иван Гешев.

В действителност от протоколите се вижда, че Лозан Панов не е взел отношение по въпроса. В действителност е гласувал против, както и Атанаска Дишева (която вероятно главният прокурор визира), но също така и членовете на прокурорската колегия Калина Чапкънова и Светлана Бошнакова, които миналата година бяха сред издигналите кандидатурата на Гешев за ръководител на държавното обвинение.

От дискусията се вижда, че Атанаска Дишева не се противопоставя на одита, а поставя въпроса защо ще се прави проверка на система, която се очаква да бъде сменена само след няколко месеца.

Три месеца по-късно – през юли 2019 г., министърът на правосъдието Данаил Кирилов внася като извънредна точка на заседание на ВСС предложение за обявяване на обществена поръчка за независим одит на системата. Инициативата на Кирилов идва няколко седмици след емблематичното му посещение му във ВКС, когато той се опита да убеди журналистите, че има проблем със системата за случайно разпределение на делата и е необходима намесата на „бял хакер“.

Лозан Панов гласува против включване на допълнителна точка в дневния ред с мотив, че това е станало с устно предложение на министъра на правосъдието. След това той напуска заседанието (малко след като това са направили Сотир Цацаров и Данаил Кирилов) и не е участва в гласуването по същество. В крайна сметка решението е взето само с един глас против. Противно на казаното от Гешев той не е нито на Лозан Панов, нито на Атанаска Дишева или Олга Керелска, а на представителя на прокурорската колегия Калина Чапкънова.

Какво следва

От Amatas отказаха да коментират констатациите в доклада, позовавайки се на договора с ВСС, който им забранява да изнасят информация. От „Смарт системс 2010“ не отговориха на молбата за коментар.
Темата за случайното разпределение ще бъде обсъждана на заседание на пленума в четвъртък.

Същевременно от прокуратурата направиха заявка, че ще информират ЕК и обществото за развитието на разследването.

Ако се съди по публикациите в медиите на депутата от ДПС Делян Пеевски (от които разбираме, че зад всичко стои Иван Костов), които до момента без изключение съвпадат с линията на поведение на държавното обвинение, случаят ще бъде използван, за да бъде продължен огънят срещу опонентите на Гешев в съда и съдебния съвет.

Тази публикация е част от ежедневния преглед на печата на правна тематика

Коментирайте

avatar