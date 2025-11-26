УС на Съюза на съдиите настоява в писмо до членовете на Висшия съдебен съвет за спиране на внедряването в съдилищата на антивирусния агент Trellix заради липсата на прозрачен и отговарящ на стандартите за информационна сигурност и на защита на личните данни процес на избор на този програмен продукт.
В писмото се казва, че в средите на съдиите и на системните администратори на съдилищата са възникнали сериозни съмнения за несъответствие на процеса с изискванията за защита на личните данни на магистрати и страни по дела, за създаване на възможност за нерегламентиран и неподлежащ на контрол външен достъп до работните процеси по изготвяне на съдебните актове, за невъзможност на специалистите по информационни технологии в съдилищата до ресурсите на ново въвеждания програмен продукт, за неясна регулаторна рамка при изключване на административните съдилища и прокуратурата от процеса на внедряване на продукта. Съюзът на съдиите в България настоява за провеждане на открито експертно обсъждане с участие на всички заинтересовани и засегнати институции, както и за публикуване на документите по внедряване на програмния продукт.
Публикуваме пълния текст на писмото да членовете на Висшия съдебен съвет
Уважаеми членове на Висшия съдебен съвет,
С настоящото писмо настояваме за незабавно спиране на въвеждането на антивирусен агент Trellix Endpoint Security Power Edition в съдилищата. Известно ни е наличието на сериозни опасения в средите на съдийската общност, както и между системните администратори на съдилищата за рисковете за информационната сигурност, защитата на личните данни и независимостта на съдебната власт.
Съдийската общност и съдийските организации бяха напълно изолирани от по съществото си административно-командния процес по въвеждане на посочения програмен продукт.
Оскъдната информация, до която имаме достъп показва, че отговорите на служители на ВСС и на „Информационно обслужване“ АД на сериозните възражения на системните администратори, страдат от редица значими несъответствия, неясноти и противоречия.
Съгласно международните стандарти (ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на подобна критична технология трябва да бъде обосновано, прозрачно, риск-базирано и подложено на независим одит. Нито едно от тези принципни изисквания не е изпълнено при внедряването на агента.
Предоставената информация от ВСС и „Информационно обслужване“ АД (ИО) на запитванията от съдилищата не дават убедителен отговор на основните пораждащи съмнения въпроси:
- Относно обработката на лични данни
ВСС/ИО многократно твърдят, че Trellix „не обработва лични данни“, но заедно с това се посочва, че системата „събира телеметрия“, обработва „метаданни на процеси“, анализира „подписване, стартиране и компрометирани процеси“.
Тези процеси, съгласно член 4 GDPR, представляват обработка на лични данни, предвид връзката между обработваните данни и информация за титулярите на работните станции.
- Липсата на DPIA – грубо нарушение на GDPR и ISO 27701
DPIA (оценка на въздействието върху защитата на данните) е задължително изискване по чл. 35 GDPR, ISO 27701 (изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори.
- Позволява се централизиран достъп на външен оператор до съдебната инфраструктура
„Информационно обслужване“ АД има 24/7 административен достъп до Trellix платформата и логовете, което представлява supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-
анализ; противоречи на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки).
- Липсва обучение за системните администратори и вътрешен капацитет в съдилищата
Това означава пълна технологична зависимост от външния оператор, което нарушава принципите на NIST CSF (функция GOVERN); принципа на институционална самостоятелност и автономност.
- Неубедителност и несъответствие в твърденията относно функциите на Тrellix
Отрича се наличието на DLP модул, контрол на файлове и мониторинг на потребителска активност, но стандартните функционалности на EDR за отговор на инциденти позволяват дистанционно изпълнение на команди и извличане на информация.
Това поражда обективни съмнения за непълно разкриване на реалните способности на продукта, чието въвеждане е започнало.
- Липса на разумни аргументи от обхвата на нововъдения агент Trellix да бъдат изключени прокуратурата, административните съдилища и ВАС
Следните, неизчерпателно посочени обстоятелства, налагат незабавно спиране на внедряването на антивирусния агент:
- Фактическа обработка на лични данни, независимо от отричането на такава в дадените до момента отговори.
- Липса на абсолютно задължителна DPIA, предвид обработката на данни на магистрати, страни, включително и адвокати, свидетели.
- Необоснована концентрация на административни права в „ИО“ АД.
- Липса на достъп на администраторите на съдилищата до отнасящите се до тях ресурси, наблюдавани чрез Trellix, включително по отношение на журналните записи за извършвани действия.
- Неясна регулаторна рамка при изключване на прокуратурата и ВАС.
- Съмнения за непълно разкриване на реалните функции на системата.
- Липса на независим експертен одит (кибер, правен, GDPR).
На основа на изложеното настояваме ВСС да предприеме незабавно:
Спиране на внедряването на Trellix, до представяне на оценка на въздействието върху защитата на данните (чл. 35 GDPR); независим одит по ISO 27001 и NIS2; правен анализ на обхвата, включително ролята на ИО АД.
Провеждане на открито експертно обсъждане, което да включва:
- съдийската общност;
- киберексперти;
- представители на академичните среди;
- Комисията за защита на личните данни;
- външен независим одитор;
- неправителствени организации;
- медии.
Публикуване на цялостната документация, включваща:
- технически спецификации;
- договори;
- одити;
- критерии за избор на Trellix;
- становища на ИО АД;
- всички решения на ВСС.
Внедряването на Trellix в съдилищата, в настоящия непрозрачен и необоснован вид, не отговаря на международните стандарти, създава сериозни рискове за независимостта на съдебната власт, защитата на личните данни и информационната сигурност, и компрометира доверието в управлението на съдебната система. В редица съдилища съдиите изразяват несъгласие с начина на внедряване на посочения продукт.
Спирането и прегледът на процеса не е институционална конфронтация, а необходима превантивна мярка.
Гр. София, От името на Управителния съвет
26.11.2025 г. на Съюза на съдиите в България