Съдиите въстанаха срещу вкарването на нов антивирусен агент в компютрите им и обявиха страховете се, че чрез неговото администриране може да се нарушат всички правила за защита на личните данни, както и независимостта на съда.

С разпространено тази сутрин официално писмо на Съюза на съдиите се настоява за "незабавно спиране на въвеждането на антивирусен агент Trellix Endpoint Security Power Edition в съдилищата". "Известно ни е наличието на сериозни опасения в средите на съдийската общност, както и между системните администратори на съдилищата за рисковете за информационната сигурност, защитата на личните данни и независимостта на съдебната власт", пишат още от ССБ. 

Като основание за изпращане на писмото са посочени и съмнения за "несъответствие на процеса с изискванията за защита на личните данни на магистрати и страни по дела, за създаване на възможност за нерегламентиран и неподлежащ на контрол външен достъп до работните процеси по изготвяне на съдебните актове, за невъзможност на специалистите по информационни технологии в съдилищата до ресурсите на ново въвеждания програмен продукт, за неясна регулаторна рамка при изключване на административните съдилища и прокуратурата от процеса на внедряване на продукта".

ССБ твърди, че съдийската общност и съдийските организации бяха напълно изолирани от по съществото си административно-командния процес по въвеждане на посочения програмен продукт, съобщава "Сега". 

"Оскъдната информация, до която имаме достъп показва, че отговорите на служители на ВСС и на „Информационно обслужване" АД на сериозните възражения на системните администратори, страдат от редица значими несъответствия, неясноти и противоречия", пишат от съюза.

Оттам посочват и, че съгласно международните стандарти (ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на подобна критична технология трябва да бъде обосновано, прозрачно, риск-базирано и подложено на независим одит. Нито едно от тези принципни изисквания не е изпълнено при внедряването на агента, твърди ССБ.

Предоставената информация от ВСС и „Информационно обслужване" АД (ИО) на запитванията от съдилищата не давали убедителен отговор на основните пораждащи съмнения въпроси.

"ВСС/ИО многократно твърдят, че Trellix „не обработва лични данни", но заедно с това се посочва, че системата „събира телеметрия", обработва „метаданни на процеси", анализира „подписване, стартиране и компрометирани процеси". Тези процеси, съгласно член 4 GDPR, представляват обработка на лични данни, предвид връзката между обработваните данни и информация за титулярите на работните станции" предупреждават от Съюза на съдиите и посочват, че липсва DPIA (оценка на въздействието върху защитата на данните), което е адължително изискване по чл. 35 GDPR, ISO 27701 (изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори. 

В писмото се посочва и, че се позволява централизиран достъп на външен оператор до съдебната инфраструктура. "„Информационно обслужване" АД има 24/7 административен достъп до Trellix платформата и логовете, което представлява supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-анализ; противоречи на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки)", пишат от ССБ.

Посочва се, че липсва обучение за системните администратори и вътрешен капацитет в съдилищата, което означавало пълна технологична зависимост от външния оператор, което нарушава принципите на NIST CSF (функция GOVERN); принципа на институционална самостоятелност и автономност.

"Отрича се наличието на DLP модул, контрол на файлове и мониторинг на потребителска активност, но стандартните функционалности на EDR за отговор на инциденти позволяват дистанционно изпълнение на команди и извличане на информация", посочват съдиите и посочват, че това поражда обективни съмнения за непълно разкриване на реалните способности на продукта, чието въвеждане е започнало.

Натъртва се и, че липсват каквито и да е "разумни аргументи от обхвата на нововъдения агент Trellix да бъдат изключени прокуратурата, административните съдилища и ВАС".

ССБ пише още:

"Следните, неизчерпателно посочени обстоятелства, налагат незабавно спиране на внедряването на антивирусния агент:

Фактическа обработка на лични данни, независимо от отричането на такава в дадените до момента отговори.

Липса на абсолютно задължителна DPIA, предвид обработката на данни на магистрати, страни, включително и адвокати, свидетели.

Необоснована концентрация на административни права в „ИО" АД.

Липса на достъп на администраторите на съдилищата до отнасящите се до тях ресурси, наблюдавани чрез Trellix, включително по отношение на журналните записи за извършвани действия.

Неясна регулаторна рамка при изключване на прокуратурата и ВАС.

Съмнения за непълно разкриване на реалните функции на системата.

Липса на независим експертен одит (кибер, правен, GDPR)."

На тази основа ССБ настоява ВСС да предприеме незабавно спиране на внедряването на Trellix, до представяне на оценка на въздействието върху защитата на данните (чл. 35 GDPR); независим одит по ISO 27001 и NIS2; правен анализ на обхвата, включително ролята на ИО АД.

Настоява се и за провеждане на открито експертно обсъждане, което да включва съдийската общност, киберексперти, представители на академичните среди, Комисията за защита на личните данни;,външен независим одитор, неправителствени организации, медии.

ССБ иска пубикуване на цялостната документация, включваща технически спецификации, договори, одити, критерии за избор на Trellix, становища на ИО АД, всички решения на ВСС.

"Внедряването на Trellix в съдилищата, в настоящия непрозрачен и необоснован вид, не отговаря на международните стандарти, създава сериозни рискове за независимостта на съдебната власт, защитата на личните данни и информационната сигурност, и компрометира доверието в управлението на съдебната система. В редица съдилища съдиите изразяват несъгласие с начина на внедряване на посочения продукт. Спирането и прегледът на процеса не е институционална конфронтация, а необходима превантивна мярка", се заключава в писмото на Съюза на съдиите.