Висшият съдебен съвет (ВСС) публикува резюмето на одитния доклад на "АМАТАС" ЕАД (четете в прикачения файл), който стана повод за началото на разследване за евентуални опити за пробиви на системата за случайно разпределение на делата. Одиторите са открили общо 23 уязвимости в системата и са ги обособили в три групи - с висок, среден и нисък риск.

Одитът бе предмет на дълги обсъждания и коментари първо от главния прокурор Иван Гешев, който нарече системата "пробита" и изрази съмнения дали изобщо е имало правосъдие през последните 5 години, така и от пленума на Висшия съдебен съвет и министъра на правосъдието Данаил Кирилов.

Централизираната система за случайно разпределение на делата физически е разположена на сървър на Висшия съдебен съвет. Достъпът до нея е ограничен до конкретни ползватели и други технически лица, отговарящи за нейната техническа поддръжка и се осигурява посредством три слоя на защита.

При одита е направен анализ на конфигурацията на сървъра, на който е разположена системата, на базата данни, на кода на приложението и на журналните записи за използване на системата. За тестването са използвани автоматизирани и полуавтоматизирани софтуерни решения, извършени са оценки и проверки от страна на експерти по киберсигурност, пише в резюмето на доклада.

Одитните действия са извършени по начин, който да осигури опазването на нормалната функционалност на системата.

При одита са установени общо 23 технически уязвимости, нивото на риск на които е изчислено спрямо Common Vulnerability Scoring System. Изброяват се и основните уязвимости, които са установени. Те са разделени в три групи - с високо, средно и ниско ниво на риск.

С високо ниво на риск - 11 (47,8%) са уязвимости, свързани с достъпа до системата, както и такива, които в рамките на системата предоставят възможност за нарушаване на сигурността на системата по няколко начина.

Това може да стане чрез неоторизирано добавяне на нов съд, неоторизирана редакция на чужд съд, неоторизирана редакция на съдии от друг съд, редакция на групи от съдии от чужд съд, изтриване на инкрементални номера, неоторизирано изтриване на отсъствия, изтриване на регистрирани дежурства, достъп до данни на потребители от чужд съд, разпределение на дело на съдия от чужд съд.

Одитът оценява със средно ниво на риск - 2 (8,7%) други уязвимости, които в рамките на системата осигуряват потенциална възможност за нарушаване поверителността на информацията в системата. Начините за това са описани в доклада: разкриване на информация за съществуващи потребители, както и за съществуващи съдии.

С ниско ниво на риск - 10 (43,5%) са оценени уязвимости, свързани с настройките за сигурност на системни елементи - част от системата и предварително изискващи достъп до сървъра.

Това са уязвимости тип "Hotlinking", недостатъчна продължителност на заключване на акаунт (Local Group Policy), възможност за добавяне на компютър / устройство към домейн контролер (Local Group Policy), възможност за генериране на системни доклади от операционната система (Local Group Policy), възможност за вписване като "batch job" (Local Group Policy), опция за заместване на токен на процес (Local Group Policy), за спиране на операционната система (Local Group Policy); за блокиране на Microsoft акаунти (Local Group Policy), за преименуване на посетителски акаунти (Local Group Policy) и за форматиране на закачени преносими устройства (Local Group Policy).

Освен това в доклада се посочва, че тестовете за оценка на сигурността не са установили техническа възможност за достъп до системата отдалечено, без съответното лице да бъде предварително и ръчно оторизирано от лицата, отговорни за това.

Одитиращото дружество не е имало задача да извършва проверки за установяване на действителни нарушения на сигурността на системата, в т.ч. за осъществен неоторизиран достъп и за извършени манипулации при разпределението на дела от системата, и такива проверки не са извършвани.

На база резултатите от одита е констатирано, че системата за разпределение на делата е разработена с фокус върху нейната функционалност. В същото време, тя не е защитена с достатъчно надеждни контроли за сигурност от техническа гледна точка, съответстващи на нейното предназначение и отговарящи на добрите практики и стандарти по информационна сигурност, тъй като системата използва остарели технологии, подчертават одиторите.

Въз основа на констатираните уязвимости, с одитния доклад са дадени конкретни препоръки за тяхното отстраняване, както и за цялостното подобряване на сигурността. Специални препоръки са дадени по отношение на уязвимостите, свързани с достъпването на системата, доколкото такива уязвимости са една от най-често срещаните причини за компрометиране на информационни системи и същите могат да позволят на външни лица да достъпят директно базите данни и по този начин да извършат нерегламентирани дейности, с които да нарушат интрегритета на тези данни.

Разследването, за което на 16 април бе разпитан и бившият правосъден министър Христо Иванов, започна, след като на 3 април говорителят на главния прокурор Сийка Милева обяви на пресконференция, че Софийската градска прокуратура е започнала досъдебно производство по сигнал на ВСС. Шестима от членовете на съвета са сезирали държавното обвинение, след като са получили резултатите от изготвен одитен доклад за проверка на сигурността на системата и имало ли е пробиви в нея.

Главният прокурор Иван Гешев първи коментира темата, като обяви, че "системата е пробита" и изрази съмнения, че през последните 5 години, докато тя е функционирала, изобщо е имало някакво правосъдие. Той дори нарече ситуацията "коронавирус в съдебната система".

Тогава главният прокурор посочи като отговорни сегашния лидер на "Да, България" Христо Иванов, който през 2015 г. беше министър на правосъдието, и съдия Калин Калпакчиев, който по същото време беше член на съдебния съвет, под чийто натиск според Гешев била създадена централизираната система. Това станало като фирмата - изпълнител Smart systems била определена без обществена поръчка, а в продължение на 4-5 г. работата на системата не била одитирана. Гешев намеси и името на председателя на Върховния касационен съд.

Лозан Панов "и две три присъдружни негови дами", които по думите му "се хвърляха като Матросов на амбразурата да не се извърши одит на тази система".

И тримата посочени са сред критиците на избора на Гешев и на негови методи на работа.

Министърът на правосъдието Данаил Кирилов свика извънредно заседание на пленума на ВСС в четвъртък (9 април), за да бъде обсъдена темата. Заседанието, продължило 9 часа, завърши с няколко решения. Едно от тях е да се прекрати договорът с фирмата Smart systems и да е търси друга, която да отстрани уязвимостите.

Одитният доклад е бил изготвен при клауза на конфиденциалност. След продължителни спорове дали резултатите от него трябва да бъдат публикувани, за да не се стига до спекулации по темата, ВСС в крайна сметка реши да поиска разрешение от наблюдаващите прокурори по случая, тъй като докладът вече е част от материалите по делото. Такова разрешение бе получено както за целия доклад, така и за части от него.

Окончателното решение на ВСС обаче бе да се изиска резюме от фирмата за киберсигурност "Amatas" ЕАД, изготвила доклада. Целта да не бъде публикуван целият текст на доклада беше, за да не се съдържа и оповестява конкретна информация за начините, по които може да бъде проникнато нерегламентирано в системата.

До решението се стигна, след като 4 часа членовете на ВСС изслушваха "на тъмно" двама експерти по киберсигурност, участвали в изготвянето на одита.