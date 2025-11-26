ССБ настоява ВСС да спре внедряването в съдилищата на антивирусния агент Trellix поради липса на сигурност за личните данни и не само

УС на Съюза на съдиите настоява в писмо до членовете на Висшия съдебен съвет за спиране на внедряването в съдилищата на антивирусния агент Trellix заради липсата на прозрачен и отговарящ на стандартите за информационна сигурност и на защита на личните данни процес на избор на този програмен продукт.

В писмото се казва, че в средите на съдиите и на системните администратори на съдилищата са възникнали сериозни съмнения за несъответствие на процеса с изискванията за защита на личните данни на магистрати и страни по дела, за създаване на възможност за нерегламентиран и неподлежащ на контрол външен достъп до работните процеси по изготвяне на съдебните актове, за невъзможност на специалистите по информационни технологии в съдилищата до ресурсите на ново въвеждания програмен продукт, за неясна регулаторна рамка при изключване на административните съдилища и прокуратурата от процеса на внедряване на продукта. Съюзът на съдиите в България настоява за провеждане на открито експертно обсъждане с участие на всички заинтересовани и засегнати институции, както и за публикуване на документите по внедряване на програмния продукт.

Публикуваме пълния текст на писмото да членовете на Висшия съдебен съвет

Уважаеми членове на Висшия съдебен съвет,

С настоящото писмо настояваме за незабавно спиране на въвеждането на антивирусен агент Trellix Endpoint Security Power Edition в съдилищата. Известно ни е наличието на сериозни опасения в средите на съдийската общност, както и между системните администратори на съдилищата за рисковете за информационната сигурност, защитата на личните данни и независимостта на съдебната власт.

Съдийската общност и съдийските организации бяха напълно изолирани от по съществото си административно-командния процес по въвеждане на посочения програмен продукт.

Оскъдната информация, до която имаме достъп показва, че отговорите на служители на ВСС и на „Информационно обслужване“ АД на сериозните възражения на системните администратори, страдат от редица значими несъответствия, неясноти и противоречия.

Съгласно международните стандарти (ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на подобна критична технология трябва да бъде обосновано, прозрачно, риск-базирано и подложено на независим одит. Нито едно от тези принципни изисквания не е изпълнено при внедряването на агента.

Предоставената информация от ВСС и „Информационно обслужване“ АД (ИО) на запитванията от съдилищата не дават убедителен отговор на основните пораждащи съмнения въпроси:

Относно обработката на лични данни

ВСС/ИО многократно твърдят, че Trellix „не обработва лични данни“, но заедно с това се посочва, че системата „събира телеметрия“, обработва „метаданни на процеси“, анализира „подписване, стартиране и компрометирани процеси“.

Тези процеси, съгласно член 4 GDPR, представляват обработка на лични данни, предвид връзката между обработваните данни и информация за титулярите на работните станции.

Липсата на DPIA – грубо нарушение на GDPR и ISO 27701

DPIA (оценка на въздействието върху защитата на данните) е задължително изискване по чл. 35 GDPR, ISO 27701 (изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори.

Позволява се централизиран достъп на външен оператор до съдебната инфраструктура

„Информационно обслужване“ АД има 24/7 административен достъп до Trellix платформата и логовете, което представлява supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-

анализ; противоречи на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки).

Липсва обучение за системните администратори и вътрешен капацитет в съдилищата

Това означава пълна технологична зависимост от външния оператор, което нарушава принципите на NIST CSF (функция GOVERN); принципа на институционална самостоятелност и автономност.

Неубедителност и несъответствие в твърденията относно функциите на Тrellix

Отрича се наличието на DLP модул, контрол на файлове и мониторинг на потребителска активност, но стандартните функционалности на EDR за отговор на инциденти позволяват дистанционно изпълнение на команди и извличане на информация.

Това поражда обективни съмнения за непълно разкриване на реалните способности на продукта, чието въвеждане е започнало.

Липса на разумни аргументи от обхвата на нововъдения агент Trellix да бъдат изключени прокуратурата, административните съдилища и ВАС

Следните, неизчерпателно посочени обстоятелства, налагат незабавно спиране на внедряването на антивирусния агент:

Фактическа обработка на лични данни, независимо от отричането на такава в дадените до момента отговори. Липса на абсолютно задължителна DPIA, предвид обработката на данни на магистрати, страни, включително и адвокати, свидетели. Необоснована концентрация на административни права в „ИО“ АД. Липса на достъп на администраторите на съдилищата до отнасящите се до тях ресурси, наблюдавани чрез Trellix, включително по отношение на журналните записи за извършвани действия. Неясна регулаторна рамка при изключване на прокуратурата и ВАС. Съмнения за непълно разкриване на реалните функции на системата. Липса на независим експертен одит (кибер, правен, GDPR).

На основа на изложеното настояваме ВСС да предприеме незабавно:

Спиране на внедряването на Trellix, до представяне на оценка на въздействието върху защитата на данните (чл. 35 GDPR); независим одит по ISO 27001 и NIS2; правен анализ на обхвата, включително ролята на ИО АД.

Провеждане на открито експертно обсъждане, което да включва: