4| 5449 |24.04.2020 НОВИНИ

23 технически уязвимости има в системата за разпределение на делата

При проверката на Централизираната система за случайно разпределение на делата (ЦССРД) са установени общо 23 технически уязвимости. Това става ясно от резюме на доклада от фирмата, изготвила одита, което Висшия съдебен съвет публикува на сайта си.

С високо ниво на риск (спрямо Common Vulnerability Scoring System) са 11 уязвимости (47,8%), свързани с достъпа до системата, както и такива, които в рамките на ЦССРД предоставят възможност за нарушаване на сигурността на системата чрез:

● Неоторизирано добавяне на нов съд;

● Неоторизирана редакция на чужд съд;

● Неоторизирана редакция на съдии от друг съд;

● Неоторизирана редакция на групи от съдии от чужд съд;

● Неоторизирано изтриване на инкрементални номера;

● Неоторизирано изтриване на отсъствия;

● Неоторизирано изтриване на регистрирани дежурства;

● Неоторизиран достъп до данни на потребители от чужд съд;

● Неоторизирано разпределение на дело на съдия от чужд съд.

Със средно ниво на риск са две уязвимости (8,7%), които дават възможност за нарушаване на поверителността на информацията в системата чрез:

● Разкриване на информация за съществуващи потребители;

● Разкриване на информация за съществуващи съдии.

С ниско ниво на риск има 10 уязвимости (43,5%), свързани с настройките за сигурност:

"Установените при одита уязвимости представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведе до неоторизирани промени в резултатите от разпределението на дела", пишат от фирмата-одитор.

Тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това.

В одитния доклад се споменава само за един неуспешен опит за неразрешено влизане в системата в късните часове на 4 октомври 2016 г и се прави извод, че установените проблеми представляват риск, като експлоатирането на част от тях би могло, при наличието на допълнителни предпоставки, в това число и предварително осигурен достъп, да доведат до неоторизирани промени в резултатите от разпределението на делата.
Освен, че констатициите в доклада доведоха до образуване на досъдебно производство, по което беше разпитван бившият правосъден министър Христо Иванов, Висшият съдебен съвет взе решение да прекрати договора за поддръжка с фирмата „Смарт системс“, изработила по времето на Иванов системата за случайното разпределение.