Резюме на одитния доклад на фирмата АМАТАС, открила „уязвимости“ в централизираната система за случайно разпределение на делата в съдилищата е публикувано на страницата на ВСС. Анонс за скорошната публикация направи вчера и представляващият съвета Боян Магдалинчев.
Случва се, след като след бурен дебат, част от който „на закрито“, на 9 април мнозинството в Пленума на ВСС реши, че не може да направи публично достояние доклада – веднъж защото сигурността на системата е държавна тайна, втори път заради започналото разследване и тегнещата над него следствена тайна. Преценено бе обаче да се възложи на фирмата изпълнител да изготви резюме и то бъде публикувано след получаване на разрешение от наблюдаващите прокурори. В същото време дни преди това и обвинител №1 Иван Гешев, и правосъдният министър Данаил Кирилов, и кадровици в интервюта и изявления споделяха колко е „пробита“ системата, как можели да се заличават съдии и съдилища, включително че и седмокласник можел да разпределя съдебните дела. Иван Гешев дори сравни скандала по размери с пандемията от COVID-19 и се роди мълвата за „коронавируса в Темида“. Кадровиците решиха да обявят поръчка за отстраняване на „уязвимостите“ и да прекратят договора за поддръжка на системата с разработчика Смарт Системс.
На вчерашното заседание на Пленума обаче се оказа, че бедствието явно не е толкова голямо, след като „чувствителната информация“ от доклада ще бъде достъпна за всички кандидати в новата обществена поръчка, съдилищата продължават да работят с нея, а след „поправките“ й тя явно трайно ще остане за ползване от ВАС и административните съдилища, които не са включени в заданието за Единната информационна система на съдилищата.
Резюмето повтаря вече известното: установени са общо 23 технически уязвимости, като 11 от тях са „с високо ниво на риск“. Те, според доклада, са свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез:
● неоторизирано добавяне на нов съд;
● неоторизирана редакция на чужд съд;
● неоторизирана редакция на съдии от друг съд;
● неоторизирана редакция на групи от съдии от чужд съд;
● неоторизирано изтриване на инкрементални номера;
● неоторизирано изтриване на отсъствия;
● неоторизирано изтриване на регистрирани дежурства;
● неоторизиран достъп до данни на потребители от чужд съд;
● неоторизирано разпределение на дело на съдия от чужд съд.
„Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела.
Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това„, пише още в резюмето. Подчертава се, че експертите не са имали за задача да установяват дали е имало действително извършени нарушения на сигурността на системата, включително неоторизиран достъп. Но по време на тестовете са забелязали един опит за външно проникване през октомври 2016 г., неуспешен. За други констатирани опити или прониквания в резюмето не се говори.
Откакто гръмна скандалът магистрати, ежедневно работещи със системата, неведнъж се опитваха да обяснят, че освен „компютърната“ сигурност – с чиято проверка са се занимавали от АМАТАС, случайното разпеределение на делата се подсигурява и с ред други действия, включително на хартия и „безследна“ манипулация в нея не е възможна. Технологията подробно бе описана от съдията от СГС Атанас Атанасов.
Нещо повече – членове на ВСС от предния му състав напомнят за дългите обсъждания при формулирането на заданието към разработчика на системата и настройването й така, че разпределението да е гарантирано „случайно“ и защитено от манипулации (установени при проверката на работата на ръководството „Янема“ в СГС).
В крайна сметка, след скандала, предизвикан от група кадровици, побързали да сезират прокуратурата, резултатите са: образувано дело, по което на разпит вече ходи бившият правосъден министър Христо Иванов на Великден. И обявяване на обществена поръчка за „поемането“ на системата от нова фирма.