Аспекти на информационната сигурност – поглед през ЗДОИ

Автор: Атанас Карашенски - софтуерен архитект, Милена Недева - експерт отворени данни

Резюме

В настоящето изследване са представени резултатите от проучване, засягащо отделни аспекти на информационната сигурност на данните събирани, съхранявани и обработвани от българските съдилища. Оценката е извършена чрез завления, подадени до всички български съдилища на основание Закона за достъп до обществена информация и отразява отношението на отделите им за инфoрмационно обслужване към практики и процедури, имащи отношение към информационната сигурност.

Поради спецификата на събиране на данни, анализът се фокусира само върху определени аспекти на информационната сигурност, а именно - процедури за оторизиране на служители, наблюдение и контрол на фигурата на системния администратор и осъществяваната от него дейност, осигуряване на резервни копия на данните и процедури за възстановяване при настъпване на непреодолими събития (disaster recovery).

Положителен резултат от усилията на Министерство на правосъдието и Висшия съдебен съвет е унифицирането в значителна степен на деловодните системи и системите за споделен достъп до файлове. 

Данните, събрани по време на проучването показват, че е необходимо да се положат специални усилия за подобряване на сигурността на резервните копия и за наблюдение и контрол на служителите, имащи отношение към информационната сигурност.

Съдържание

Въведение

В последните две десетилетия информационните системи се развиват експоненциално, което позволи съхраняването и обработката на големи обеми от данни. Успоредно с увеличението на скоростта на обработка достъп нарастна и желанието на потребителите да извършват все по-голяма част от работата си онлайн. Предоставянето на удобства за хората обработващи и съхраняващи данни, както и на ползвателите на тези данни създава предизвикателства по отношение гарантиране на сигурността на данните. 

Различни проучвания сочат, че най-съществените пробиви от данни се случват след неволна или недобронамерена намеса от страна на "вътрешен" човек. Доста често за желаещите да извършат неоторизирана промяна на данни в дадена система е по-ефективно да окажат някаква форма на натиск върху подходящ човек, отколкото да търсят начини за пробиването ѝ.

Системният администратор в организации, чиято дейност не е свързана с разработване на софтуер и/или хардуер имат статут, който им позволява безпроблемен достъп до данните и системите, които администрира. Липсата на достатъчно експертиза от страна на останалите служители прави достъпът му и безконтролен.

От гледна точка на даните, съдилищата са отделните части на разпределена система за съхранение и управление на данни, администрирана от различни хора от различни организации. За да се осъществи безпроблемното и ефективно управление на тази система, необходимо е тези организации - българските съдилища - да имат консистентен и системен подход.

Обхват и дефиниции

Съдилищата в България, към настоящия момент са 182 на брой. От една страна, пълен одит на място на системите и практиките във всеки един съд, определено е извън обхвата на този проект. От друга страна, смятаме, че е необходимо да се изследват всички съдилища, за да може да се обхванат, в максимален обем съществуващите практики.

Изследването си поставя за цел да направи външен оглед на информационните системи на съдебната система на Република България, като се фокусира върху следните аспекти:

  • Степен на унифициране на информационните системи, използвани от различните съдилища, като важна предпоставка за ефективно администриране.
  • Управлението на потребители и техните права за достъп, в това число и наблюдението на фигурата на системния администратор, като важни елементи в сигурността на информационните системи.
  • Защита на данните от загуба, неволно или умишлено увреждане или модифициране. Наличие на процедури за възстановяване работата на отделните съдилища от настъпване на събития с непреодолима сила.

Дефиниции

  • Одитна следа – хронологичен запис на действията извършени с дадена система от потребителите.
  • Журнален (лог) файл – хронологичен запис на събитията, регистрирани от една или повече системи.

Задачи на проучването

Основните задачи на изследването са подчинени на основната цел и са обективирани във въпроси, зададени към съдилищата в България: (Приложение 1 – Въпросник).

  1. Да се установи множеството от използвани информационни системи. Използват ли се „екзотични“ информационни системи? Ако да, какви?
  2. Да се установят колко и кои са местата за съхранение. До каква степен има данни на съдебната система извън нея?
  3. Да се установят нормативните документи, които системните администратори следват в различните съдилища. Каква част от тези документи са издадени от административния ръководител на съда? Каква част от тях са нормативни актове и наредби на Висшия съдебен съвет?
  4. Да установи наличието на проверки за актуалните права на съществуващите потребители. Извършва ли се проверка за наличие на потребители, на които не съответстват служители на даден съд?
  5. Да се установи наличието или липсата на процедура при напускане на служител. В каква степен процедурата гарантира съответствието между множеството на потребителите на системата и множеството на служителите, които е необходимо да имат достъп.
  6. Да се установи извършват ли се проверки за сигурност на различните компоненти на информационните системи.
  7. Да се установи извършват ли се превантивни действия за повишаване на сигурността или одитната следа се използва само за установяване на настъпил вече проблем или конкретен факт.
  8. Да се установи до каква степен данните са защитени от загуба или частично увреждане в резултат на събития, настъпили в резултат на човешка грешка или такива, които увреждат носителя им.
  9. Да се установи в каква степен съдилищата са готови да възстановяват работа при настъпване на събития с непреодолима сила, вариращи от хардуерен проблем до например, пожар в сградата на съда.

Методология

Основният метод за събиране на информация в проучването е заявление за достъп до информация на основание на чл. 3 и чл. 4 от Закона за достъп до обществена информация (ЗДОИ), изпратено до всички 182 съдилища в България.

Изследването е насочено към ИТ системите в съда, като основният адресат на заявлението е административният ръководител на съответния съд, а най-често отговорите са обобщени от системните администратори на съда. Заявленията по ЗДОИ са изпратени до всички съдилища с пощенска услуга с известие за доставяне (обратна разписка).

Ограничения при формирането на въпроси към съдилищата:

  • Отговорите не бива да разкриват чувствителна информация;
  • Въпросите не бива да предизвикват отказ на съответния съд да отговори;
  • Броят на въпросите не бива да е твърде голям, за да не отнема прекомерно много време на съдилищата да формират отговорите.

Обработка на отговорите

брой

брой
Брой съдилища182
Получени отговори162
Откази4
Подлежащи на обработка155

Въпросите бяха изпратени до всичките 182 съдилища на територията на Република България. До 31 март 2020 г. са получени 162 отговора. От тях:

  • 4 отказа за достъп до поисканата информация;
  • 1 искане ръководителят на проекта да се легитимира като български гражданин;
  • 2 съдилища са решили да предоставят достъп до исканата информация, но не са я предоставили;

Подлежащи на обработка са 155 отговора, което е 86.16% от общия брой на съдилищата в България.

Форматът на проучването, чийто дизайн е свързан с въпроси, зададени по Закона за достъп до обществена информация, допуска отговори в широки граници. От една страна, това дава свобода на съдилищата да дадат максимално точен отговор според тяхната преценка. От друга страна, обработката на отговорите е силно затруднена. Всеки отговор е обработен и категоризиран в резултат на качествен анализ.

Получените отговори на заявленията по ЗДОИ, адресирани до административните ръководители могат да бъдат категоризирани в две основни групи:

  • Отговор от административния ръководител на съда;
  • Решение за допускане на отговор и последващ отговор от страна на упълномощено от административния ръководител лице.

Част от въпросите са съставени от две или повече части. Такива са въпроси № 5, 7, 8 и 9. При количествената обработката на данните за всяка част трябва да се въведе отговор. В зависимост от ситуацията отговорите се въвеждат като:

  • Точно написан отговор;
  • „Без отговор“, когато даден съд не е посочил отговор;
  • „Обобщен отговор“. Например, при отговори на въпрос № 3 от вида „утвърдени вътрешни правила“, „разписни и утвърдени вътрешни правила“, „заповеди на административния ръководител“ се отбелязват като „утвърдени вътрешни правила“.
  • Имплицитно „Да“, когато липсва отговор на отделна част от комплексен въпрос и отговорите на другите въпроси дават основание за утвърдителен отговор.
  • Имплицитно „Не“ - когато липсва отговор на отделна част от комплексен въпрос и отговорите на другите въпроси дават основание за отрицателен отговор.

При формулирането на изводите, точно се посочва на какви типове отговори се базират.

Резултати

Използвани информационни системи

Съдилищата в България декларират използването на информационни системи със следната функционалност:

  • Файлов сървър с общо предназначение;
  • Деловодна система;
  • Система за случайно разпределение на делата;
  • Система за изчисляване натовареността на съдиите;
  • Бюро съдимост;
  • Система за съдебно изпълнение;
  • Правно-информационни системи;
  • Система за назначаване на служебни защитници;
  • Регистри;
  • Счетоводство;
  • Система за контрол на договорите;
  • Система за управление на имуществото;
  • Система за управление на информационните табла;
  • Система за контрол на достъпа на секторните врати;
  • Система за управление на хонорари и заплати;
  • Система за видеонаблюдение;
  • Работа с вещи лица;
  • Електронна поща.

Описаните информационни системи могат да се разделят на пет групи:

  • Системи, които пряко се отнасят към работата на съда – деловодни системи, системи за разпределение на делата и др.;
  • Системи, подпомагащи работата на съда – счетоводни, личен състав, хонорари и др.
  • Правно-информационни системи;
  • Системи за физическа сигурност – секторни врати, видеонаблюдение и др.
  • Системи за комуникация – електронна поща.

Големите разлики в множествата от информационни системи, обявени в отговорите от различните съдилища, позволяват да допуснем, че не всички описват пълния списък със системи, които използват, затова е трудно да се направят точни изводи. Все пак са възможни някои обобщения:

Най-често декларираните системи са деловодните системи и тези, обслужващи съдебното изпълнение. При тях се наблюдават най-малко вариации:

Деловодна системаброй
"САС"102
"Делфи"1
"Лотус"1
"ДИС"1
"Евентис"1
"Информационно обслужване"1
не е посочена конкретна с-ма35

Деловодни системи фигурират в отговорите на 142 съдилища.
От тях:

  • използване на деловодна система „САС“ декларират 102съдилища;
  • използване на деловодна система„Делфи“ декларира 1 съдилище;
  • използване на деловодна система „Лотус“ декларира 1 съдилище;
  • използване на деловодна система „ДИС“ декларира 1 съдилище;
  • използване на деловодна система „Евентис“ декларира 1 съдилище;
  • използване на деловодна система „Информационно обслужване“ декларира 1 съдилище;
  • В 35 отговора не се определя вида на системата.

Система за съдебно изпълнение

брой
"JES"61
не е посочена конкретна с-ма4

Система за съдебно изпълнение фигурира в отговорите на 65 съдилища. От тях:

  • използване на система „Jes“ декларират 61 съдилища;
  • в отговорите на 4 съдилища не се определя вида на системата.

Използвани домейни за ел. поща

%
justice.bg или от негови под-домейни34.19
abv.bg27.10
домейни, собственост на съответните съдилища21.94
mail.bg8.39
gmail.com3.22
contatct.bg3.22
други домейни1.94

Система за електронна поща. Данните за използването на електронна поща са събрани от отговорите заявлението по ЗДОИ на съдилищата, изпратени до авторите на проучването.

От 01.12.2019 г. повечето съдилища трябва да преминат към използване на електронна поща от домейна justice.bg. От 155 отговора, получени чрез електроннa поща след 23.01.2020 г., само 34.19% от тях са свързани с домейн justice.bg, а останалите 65.81% са свързани с други домейни.

Разпределението по домейни е както следва:

  • justice.bg или от негови под-домейни – 34.19%;
  • abv.bg – 27.10%;
  • домейни, собственост на съответните съдилища – 21.94%;
  • mail.bg – 8.39%;
  • gmail.com – 3.22%;
  • contact.bg – 3.22%;
  • други домейни – 1.94%.

Поддръжката на системи от много и различни доставчици, прави администрирането им неефективно и като следствие от това се увеличава риска от компрометирането им. Факт е, унифицирането на деловодните системи в значителна степен в наблюдаваните съдилища. Не се наблюдава същото за такъв съществен канал за обмен на информация като системите за електронна поща, което излага на риск кореспонденцията на съдилищата.

Съхранение на информационните масиви

Съхранение на информационните масиви

брой
Инфраструктура на ВСС и МП63
Инфраструктура на трети страни6
Уеб базирани системи1

Анализът на местоположението за съхранение на масивите от данни на съдилищата идентифицира четири основни групи:

Локално съхранение, в това число сървъри и външни носители – посочено в отговорите на 155 съдилища;

  • Съхранение върху инфраструктура, поддържана от съдебната система – сървъри на Висш съдебен съвет и Министерство на правосъдието – посочено в отговорите на 63 съдилища;
  • Съхранение върху инфраструктура, поддържана от трети страни – посочено в отговорите на 6 съдилища;
  • Уеб базирани системи – посочено в отговорите на 1 съд.

Сумата от отговорите надхвърля общия брой на съдилищата защото въпросът допуска повече от един отговор.

От съображения за целесъобразност и ефективност на ежедневните операции, нормално е данни на съдилищата да се съхраняват както локално, така и на системи, които се споделят от всички съдилища. Изхождайки от данните за използваните имейл адреси, не малко съдилища, обаче поддържат част от данните си на инфраструктура, която се поддържа от трети страни, което също представлява риск.

Регламентация на достъпа до информационните масиви

Регламентация на достъпа до информационните масиви

брой
Вътрешни актове139
Актове, издадени от ВСС и МП50
Длъжностни характеристики14
Няма нормативни актове2
Без отговор1

Нормативни актове, които регламентират достъпа до масивите от данни на отделните съдилища могат да се групират по следния начин:

  • Вътрешни правила, заповеди, инструкции и др. подобни, изготвени в самия съд – 139 съдилища;
  • Закони, наредби и правилници, издадени от Висш съдебен съвет и Министерство на правосъдието – 50 съдилища;
  • Длъжностни характеристики – 14 съдилища;
  • Няма нормативни актове, които да регламентират достъпа до информационните масиви – 2 съдилища;
  • Без да посочи нормативни актове – 1 съд.

Сумата от отговорите надхвърля общия брой на съдилищата, защото въпросът допуска повече от един отговор.

Ефективното администриране, както на отделните съдилища, така и на цялата система, предполага унифициране на процедурите за работа. Висшият съдебен съвет е направил важни стъпки в посока унифициране на процедурите за достъп до масивите на съдилищта чрез изискването за вътрешни правила и длъжностни характеристики.

Контролиране на достъпа на потребители до информационните системи

%
Есксплицитно „Да“9.03
Експлицитно „Не“45.81

Компрометиране на данни може да бъде извършено по два начина: чрез пробив на съответната система или чрез злонамерен достъп от оторизиран потребител.

Оторизирането на потребители, респективно отнемането на права, е функция на системния администратор от съответния съд. Целта на въпроси № 4 и 5 е да установи доколко съществуват процедури, които да минимизират възможността за неволна грешка или умишлено действие, което да доведе до:

  • Предоставяне на повече права, отколкото се предвижда за даден потребител;
  • Допускане на съществуването на потребител на информационните системи, който не съответства на служител на съответния съд.

Въпрос №4: Съществува ли във Вашия съд процедура за проверка относно това дали има лица, които имат достъп до електронни масиви, въпреки че не би следвало да имат такъв, съгласно тяхната длужностна характеристика

На въпрос № 4 голяма част от отговорите съдържат разяснението, че потребителите се представят с потребителско име и парола, без да отговарят съществува ли въпросната процедура. Такива отговори са маркирани като „имплицитно Не“. Прави впечатление, че в голяма част от отговорите от този тип, правилното изпълнение на функциите на системния администратор е извън всякакво съмнение.

За да се избегне неправилно интерпретиране, по-долу са дадени само експлицитните отговори на въпрос №4:

  • Есксплицитно „Да“ – 9.03% от отговорилите съдилища;
  • Експлицитно „Не“ – 45.81% от отговорилите съдилища.

%
Есксплицитно „Да“38.71
Експлицитно „Не“33.55

Съществуването на потребители на информационните системи, на които не съответстват служители е потенциално място за пробив в сигурността. Въпрос № 5 засяга именно възможността за съществуване на такива потребители, възникнала след напускане на служител. Маркирането на отговорите на този въпрос беше изключително трудно, поради голямото многообразие от видове отговори.

Въпрос №5: Съществува ли във Вашия съд процедура по отнемане на достъп до информационните масиви при напускане на служител? Ако ада, с какъв акт се случва това?

Отново за да се избегне неправилно интерпретиране, по-долу са дадени само експлицитните отговори на въпрос № 5:

  • Есксплицитно „Да“ – 38.71% от отговорилите съдилища;
  • Експлицитно „Не“ – 33.55% от отговорилите съдилища;

Редовният одит на съществуващите потребители и на техните права е важна част от постигането на високо ниво на информационна сигурност. Поне една трета от съдилищата заявяват, че не извършват проверки, което увеличава възможностите за уязвимост.

Одити

%
Извършват се одити29.68
Не се извършват одити37.42

Добрите практики за поддържане на информационни системи включват регулярното извършване на различни видове одити.

Въпрос №6: Извършват ли се във Вашия съд одити на достъпа на служителите до базите данни, сигурността на мрежата, работещите в нея услуги и актуалността на софтуерните компоненти?

Отговорите са както следва:

  • Съдилища, в които се извършват някаква форма на одити – 29.68% от отговорилите;
  • Съдилища, в които не се извършват одити – 37.42% от отговорилите;

Важно разбиране по отношение на одитите е, че тъй като са форма на контрол, те не могат да бъдат извършвани от същия служител, който извършва съответната дейност, т.е. не може системният администратор, в случая, да одитира извършенето от самия него. Одитите на информационните системи е необходимо да бъдат извършвани от лице с експертиза не по-малка от тази на съответния системен администратор. Липсата на одити в поне една трета от съдилищата е предпоставка за ниско ниво по отношение на информационната сигурност.

%
Периодичен анализ16.13
При необходимост70.97

Въпрос №7: Остава ли одитна следа в информационните системи за всяко от действията на отделните служители? Ако да, извършва ли се автоматичен и/или ръчен анализ на одитните следи? Колко често?

Отговорите по отношение наличието на одитни следи са:

  • „Да, системите предоставят одитна следа“ – 95.48% от отговорилите съдилища;
  • „Не, системите не предоставят одитна следа“ – 1.94% от отговорилите съдилища;

Одитната следа може да се използва както за доказване на извършване на определено действие, така и за наблюдение на системите и реакция в случай на опити за неправомерни действия. Съдилищата използват одитната следа както следва;

  • Някаква форма на периодичен анализ ръчен или автоматичен – 16.13% от отговорилите съдилища;
  • Само при необходимост от доказване на конкретен факт – 70.97% от отговорилите съдилища.

Наличието на одитни следи в почти всички съдилища е изключително добър резултат, вследствие на унифициране на част от информационните системи. Одитните следи са ценен източник не само в установяването на факти, но и в превантивните дейности за недопускане на пробиви в информационните системи. Поради големия им обем и скоростта на генериране, ефективно е да се прилагат автоматични непрекъснати анализи, които да докладват за настъпване на определени събития. Различни форми на периодични анализи се правят от много малък брой съдилища – едва 16.13% от отговорилите, като в тази група са включени и правещите само ръчни анализи.

Архивиране на данните

%
Поне веднъж дневно83.23
Поне веднъж седмично2.58

Пред компютърните системи, не стои въпросът „дали ще възникне хардуерен проблем“, а по-скоро въпросът е „кога ще възникне хардуерен проблем“. Архивните копия са изключително важна част от стратегията за предпазване на данните от загуба, предизвикана не само от хардуерен проблем, но и от други фактори, в това число непреодолими събития и човешки грешки.

Процедурите по архивиране, съхранение и възстановяване от архив имат отношение и към защитата на данните от неправомерно модифициране. Пример за последното е възстановяване на данни от компрометирано архивно копие.

Въпрос № 8: Колко често се архивират електронните системи и данните? Къде и за какъв период от време се съхраняват архивите?

По отношение на периодичността, съдилищата правят архивни копия както следва:

  • „Поне веднъж дневно“ – 83.23% от отговорилите съдилища;
  • „Поне веднъж седмично“ – 2.58% от отговорилите съдилища;

Отговорите на останалите съдилища не могат да бъдат обработени, тъй като не определят конкретен срок, а боравят с понятия като "различно", "редовно", "след натрупване на обем" и др.подобни.

%
Съхраняване по-малко от 31 дни10.32
Съхраняване за период от 31 дни или повече12.90

Посочените в отговорите на съдилищата срокове на съхранение на архивните копия са обобщени както следва:

  • „Съхраняване по-малко от 31 дни“ – 10.32% от отговорилите съдилища;
  • „Съхраняване за период от 31 дни или повече“ – 12.90% от отговорилите съдилища.

Отговорите на останалите 30 съдилища, отговорили на този въпрос не могат да бъдат обработени, тъй като са от вида „според нормативните изисквания“, „до изчерпване на пространството за архиви“, „според ресурса“, „неопределено време“ и др. подобни.

%
На сървър/компютър25.81
На външни носители61.29

Мястото на съхранение на архивните копия е от изключителна важност за евентуалното възстановяване на данните от тях. Когато се определя място на съхранение, трябва да се вземат предвид всички аспекти на сигурността, включително и физическата такава. Отговорите на съдилищата на въпроса за съхранение на архивните копия са много разнородни. За да се избегнат възможности за неправилни интерпретации, по-долу са показани две обобщения, които имат голямо значение за сигурността на архивните копия:

  • Съдилища, които като част от процедурата за създаване на архивни копия разчитат на сървърите, обект на архивиране или на друг компютър в същата мрежа – 25.81% от отговорилите съдилища;
  • Съдилища, които като част от процедурата за създаване на архивни копия разчитат на външни носители – твърди магнитни дискове, оптични дискове и др. – 61.29% от отговорилите съдилища.

Доколкото формално повечето съдилища отговарят на изискванията да правят архивни копия на различни носители, видът и съхранението на тези носители, увеличават защитата на данните до степен само на хардуерен проблем или възстановяване на данни в резултат на човешка грешка, но не и в случаи на събития, които могат да увредят сградата на съда, напр, пожар, земетресение и др. подобни. В същото време съхранението на външен носител, дава възможности за неоторизиран достъп и модифициране на данните извън обсега на одитните следи и може да бъде заплаха за информационната сигурност.

Възстановяване на работа на съда при настъпването на събития с непреодолима сила

%
Експлицитно „Да“14.84
Частично9.68
Експлицитно „Не“60.00

За да се изключи възможността за загуба на данни при настъпването на събития с непреодолима сила и даденият съд да продължи да функционира нормално, необходимо е да разполага с детайлно разписан и тестван план за действие. Наличието на архивни копия е само част от такъв план, който трябва да покрива най-различни ситуации, включително възстановяване на работа на съда на друго място.

Въпрос № 9: Има ли разписани процедури за възстановяване на информацията при настъпването на събития с непреодолима сила ("disaster recovery" процедури) по отношение на експлоатацията на електронните системи и масивите с бази данни, във Вашия съд. Ако да, провеждани ли са трес тестове за тяхната ефективност?

Отново, поради многообразието от отговори и за да се избегне вероятността за погрешно интерпретиране, по-долу са дадени експлицитните отговори, както и едно обобщение на отговорите (експлицитните са изключени), които по някакъв начин демонстрират наличие на някаква форма на планове за възстановяване от събития с непреодолима сила.

  • Експлицитно „Да“ – 14.84% от отговорилите съдилища;
  • Наличие на някаква част от план – 9.68% от отговорилите съдилища;
  • Експлицитно „Не“ – 60% от отговорилите съдилища.

%
Експлицитно „Да“12.26
Частично4.52
Експлицитно „Не“60.00

Аналогично по-долу са представени резултатите и на втората част от въпрос № 9, отнасящ се към провеждането на тестове на процедурите за реакция на събития с непреодолима сила.

  • Експлицитно „Да“ – 12.26% от отговорилите съдилища;
  • Частични тестове – 4.52% от отговорилите съдилища;
  • Експлицитно „Не“ – 60% от отговорилите съдилища.

60% от отговорилите съдилища признават, че не разполагат с план за възстановяване от събития с непреодолима сила, което съчетано с начините на съхранение на архивните копия, прави съществена част от съдебната система силно уязвима към такива събития.

Изводи и препоръки

Методът на събиране на данни – въпроси по ЗДОИ към съдилищата и големите разлики в отговорите предполагат известни неточности напр. неразбиране на въпроса, отговорът не е еднозначен, липса на отговор по същество и др. подобни. Поради тези причини, целта на това изследване не е да посочи конкретни съдилища, които имат един или друг проблем, а да погледне „от високо“ на ИТ частта на съдебната система и да очертае тенденции и области, в които може да са направи подобрение.

За ефективно администриране на информационните системи на съдебната система е важно да се отчитат следните фактори:

Човешки ресурс. Управлението на информационните системи на отделните съдилища е възложено на съответните системни администратори. За този тип позиция трябва да се има предвид:

  • Повишено търсене на ИТ специалисти, както и по-високото заплащане в частния сектор предполага известно текучество в ИТ отделите на съдилищата;
  • Повишено търсене на ИТ специалисти ги концентрира в по-големите градове и в по-малките населени места кадрите с нужната експертиза са силно ограничени;

Очакван силен интерес към данните. Интересът към данните на съдебната система е от страна на две основни групи:

  • Широката публика;
  • Лица, заинтересовани нерегламентирано да повлияят на данните и процесите.

Голям брой отделни системи. Информационите системи на отделните съдилища са с почти идентична функционалност, но с различна натовареност и разполагат с различни ресурси – човешки, финансови и пр.

Отчитайки описаните фактори и резултатите от изследването препоръчваме предприемането на описаните по-долу дейности.

Унифициране на използваните ИТ системи

От една страна, по-малкият брой на използваните системи улеснява наблюдението и поддръжката им и дава възможност за по-добро разпределение на човешкия ресурс. От друга страна, откриването на уязвимост в дадена система, позволява компрометирането на повече от една нейна имплементация едновременно. Използването на много различни системи със сходна функционалност, обаче, не гарантира по-високо ниво на сигурност.

Постигнат е сериозен успех при унифициране на деловодните системи и системата за установяване на права на потребители (Active Directory). Проектът за информационна система за съдебното изпълнение е в последните си фази.

Препоръка: Да се унифицират системи, обслужващи различни дейности в съдилищата, напр. счетоводни системи, системи за управление на персонала, софтуер за заплати и др., което ще оптимизира разходите и ресурсите.

Процедури при установяване/отнемане на права на потребители

Системите за установяване на права на потребители са в голяма степен унифицирани. Не е така обаче с процедурите, свързани със създаване и оторизиране на потребители от една страна и процедурите, свързани с отнемане на права при напускане от друга.

От проучването се вижда, че около 1/3 от съдилищата имат процедура за отнемане на права при напускане на служител, а друга 1/3 нямат такава процедура. В отговорите на въпрос № 5 се срещат най-различни описания на процеса, който протича при напускане на служител, включително и такива, които се изразяват в „устно уведомяване на системния администратор“.

Препоръка: Унифицирана процедура за установяване/отнемане на права на потребители, която ясно описва ангажиментите на включените в нея, в това число и на системните администратори. Процедурата следва да дава и указания по отношение на потребителските профили – кога се деактивират и кога изтриват. Например, дали при напускане се изтриват веднага или след определен период на деактивация.

Проверка на дейността на системния администратор

В съвременните организации, чиято дейност не е свързана с ИТ, системният администратор, неформално, има особен статут поради факта, че почти никой от останалите служители няма експертиза в неговата област. В същото време неговите права върху системите, които администрира, на практика, са неограничени.

Въпрос № 4 има отношение към хипотеза при която, системен администратор умишлено или неволно допуска съществуването на потребителски профил, без съответстващ служител. Такава ситуация, когато е неволно допусната, може да доведе до пробив в сигурността, ако не се наблюдават системно и автоматично журналните файлове. Умишленото създаване на такъв профил, освен достъпа, който дава на неоторизиран от ръководителя на съда потребител, не може лесно да бъде открито от системите за мониторинг, защото от тяхна гледна точка това е потребител като всички останали.

Важно е да се отбележи, че не малка част от пробивите в информационните системи се случват именно в резултат на действие или бездействие от страна на „вътрешен човек“, а не чрез несъвършенства на съответната система.

Препоръка: Установяване на форми за проверка на дейността на системния администратор от органи, разполагащи с по-високо от неговото ниво на компетенция. Тези проверки трябва да обхващат дейността му по отношение на всички системи, които администрира. Проверките трябва да са стандартизирани, за да може резултатите да са сравними – напр. един или повече външни изпълнители по задание от ВСС.

Мониторинг

Постигането на висока сигурност при информационните системи е немислимо без важен инструмент като мониторинга. Той се базира на анализирането на журналните файлове (системните логове), и одитните следи. Ръчното анализиране, освен че отнема сериозен ресурс, не изключва пропуски, поради човешки грешки.

Препоръка: Да се изградят системи за автоматично непрекъснато анализиране на журналните файлове и одитните следи в реално време, които да сигнализират при настъпване на определени събития, например:

  • прекомерна активност на даден потребител;
  • прекомерен брой неуспешни опити за удостоверяване на самоличност (authentication);
  • активност на потребител след дълъг период без никакви действия;
  • добавяне на потребител и др. подобни.

Препоръчително е системите за анализ също да се унифицират, както и данните, обект на анализ да присъстват на поне две места, напр. в конкретното съдилище и в инфраструктура на ВСС (извън обсега на системния администратор на съответното съдилище).

Архивиране на информационните системи

Важно е въпросът за архивите да се разглежда едновременно и в трите аспекта – честота, период на съхранение и място на съхранение.

Съществуват съдилища, които архивират данните си ежедневно, но съхраняват архивираните данни на същия сървър и на определен период, например веднъж седмично, ги копират на външен носител. Настъпването на събитие с непреодолима сила по време на процеса на архивиране, в случаите, когато се използват само локални носители, е в състояние да унищожи всички носители на информация. В такива случаи се достига до парадокса, че по-честото архивиране увеличава вероятността за пълна загуба на информацията.

Някои съдилища правят архивни копия на друг компютър (работна станция), което освен че е риск за сигурността, не защитава данните при настъпване на събития с непреодолима сила.

Повече от половината съдилища разчитат на външни носители (магнитни и оптични) за съхранение на архивните копия. Един относително лесен начин за неоторизирано модифициране на информация е възстановяването ѝ от компрометирано архивно копие. Външните носители позволяват информацията на тях да се модифицира от компютър извън наблюдаваната система, което усложнява разкриването на извършителя.

Препоръка: Архивните копия да се съхраняват на място, достатъчно отдалечено от сградата на съответния съд, с обезпечена мрежова и физическа сигурност, за да има смисъл от тях не само при хардуерен проблем, но и при настъпване на събития с непреодолима сила.

Възстановяване работата след настъпване на събития с непреодолима сила

Процедурите за възстановяване след настъпване на събития с непреодолима сила (disaster recovery) далеч надхвърлят възстановяването на данните от архивно копие. Например, в ситуация на увредена сграда (земетресение, пожар и др.) е необходимо съответният съд да се премести максимално бързо на ново място. Процедурите за възстановяване трябва да определят процес, който гарантира висока сигурност на информационните системи през всички негови етапи.

В отговорите на някои съдилища се забелязва известно подценяване на този тип процедури, което се изразява в изречения от сорта на:

Нямаме разписани такива процедури и не са провеждани тестове. Смятаме че описаните в отговора на предния въпрос по т.8 (архивни копия, бел. ред.) действия са достатъчно надеждни за нашата дейност и вече 16 г. работят безпроблемно.

Препоръка: Да се създаде шаблон за процедура за възстановяване на работа след настъпване на събития с непреодолима сила, който всеки съд да използва, за да утвърди в своя процедура и която да проверява регулярно, извършвайки тестове.

Централизиране

Предвид ограничения ресурс на системните администратори, сходните дейности в различните съдилища, както и за постигане на по-висока сигурност, препоръчително е някои дейности да се централизират, например:

  • Събиране, в реално време на журналните файлове и одитни следи, извън конкретните съдилища;
  • Постоянно автоматизирано анализиране на събраните журнални файлове и одитни следи, както и уведомяване на съответните системни администратори при настъпване на определени събития. По този начин освен улесняване на системните администратори по места, ще се постигне и една форма на наблюдение на дейността им;
  • Организиране на няколко специализирани места в страната за съхранение на архивни копия, които да отговарят на определени изисквания за мрежова и физическа сигурност;

Изпълнението на описаните препоръки следва да повиши ефективността на администриране на информационните системи на съдилищата в България, като в същото време повиши нивото им на сигурност и степента на защита на данните.