Съдържание
Въведение
В последните две десетилетия информационните системи се развиват експоненциално, което позволи съхраняването и обработката на големи обеми от данни. Успоредно с увеличението на скоростта на обработка достъп нарастна и желанието на потребителите да извършват все по-голяма част от работата си онлайн. Предоставянето на удобства за хората обработващи и съхраняващи данни, както и на ползвателите на тези данни създава предизвикателства по отношение гарантиране на сигурността на данните.
Различни проучвания сочат, че най-съществените пробиви от данни се случват след неволна или недобронамерена намеса от страна на "вътрешен" човек. Доста често за желаещите да извършат неоторизирана промяна на данни в дадена система е по-ефективно да окажат някаква форма на натиск върху подходящ човек, отколкото да търсят начини за пробиването ѝ.
Системният администратор в организации, чиято дейност не е свързана с разработване на софтуер и/или хардуер имат статут, който им позволява безпроблемен достъп до данните и системите, които администрира. Липсата на достатъчно експертиза от страна на останалите служители прави достъпът му и безконтролен.
От гледна точка на даните, съдилищата са отделните части на разпределена система за съхранение и управление на данни, администрирана от различни хора от различни организации. За да се осъществи безпроблемното и ефективно управление на тази система, необходимо е тези организации - българските съдилища - да имат консистентен и системен подход.
Въпросите бяха изпратени до всичките 182 съдилища на територията на Република България. До 31 март 2020 г. са получени 162 отговора. От тях:
- 4 отказа за достъп до поисканата информация;
- 1 искане ръководителят на проекта да се легитимира като български гражданин;
- 2 съдилища са решили да предоставят достъп до исканата информация, но не са я предоставили;
Подлежащи на обработка са 155 отговора, което е 86.16% от общия брой на съдилищата в България.
Форматът на проучването, чийто дизайн е свързан с въпроси, зададени по Закона за достъп до обществена информация, допуска отговори в широки граници. От една страна, това дава свобода на съдилищата да дадат максимално точен отговор според тяхната преценка. От друга страна, обработката на отговорите е силно затруднена. Всеки отговор е обработен и категоризиран в резултат на качествен анализ.
Получените отговори на заявленията по ЗДОИ, адресирани до административните ръководители могат да бъдат категоризирани в две основни групи:
- Отговор от административния ръководител на съда;
- Решение за допускане на отговор и последващ отговор от страна на упълномощено от административния ръководител лице.
Част от въпросите са съставени от две или повече части. Такива са въпроси № 5, 7, 8 и 9. При количествената обработката на данните за всяка част трябва да се въведе отговор. В зависимост от ситуацията отговорите се въвеждат като:
- Точно написан отговор;
- „Без отговор“, когато даден съд не е посочил отговор;
- „Обобщен отговор“. Например, при отговори на въпрос № 3 от вида „утвърдени вътрешни правила“, „разписни и утвърдени вътрешни правила“, „заповеди на административния ръководител“ се отбелязват като „утвърдени вътрешни правила“.
- Имплицитно „Да“, когато липсва отговор на отделна част от комплексен въпрос и отговорите на другите въпроси дават основание за утвърдителен отговор.
- Имплицитно „Не“ - когато липсва отговор на отделна част от комплексен въпрос и отговорите на другите въпроси дават основание за отрицателен отговор.
При формулирането на изводите, точно се посочва на какви типове отговори се базират.
Деловодни системи фигурират в отговорите на 142 съдилища.
От тях:
- използване на деловодна система „САС“ декларират 102съдилища;
- използване на деловодна система„Делфи“ декларира 1 съдилище;
- използване на деловодна система „Лотус“ декларира 1 съдилище;
- използване на деловодна система „ДИС“ декларира 1 съдилище;
- използване на деловодна система „Евентис“ декларира 1 съдилище;
- използване на деловодна система „Информационно обслужване“ декларира 1 съдилище;
- В 35 отговора не се определя вида на системата.
Система за съдебно изпълнение фигурира в отговорите на 65 съдилища. От тях:
- използване на система „Jes“ декларират 61 съдилища;
- в отговорите на 4 съдилища не се определя вида на системата.
Система за електронна поща. Данните за използването на електронна поща са събрани от отговорите заявлението по ЗДОИ на съдилищата, изпратени до авторите на проучването.
От 01.12.2019 г. повечето съдилища трябва да преминат към използване на електронна поща от домейна justice.bg. От 155 отговора, получени чрез електроннa поща след 23.01.2020 г., само 34.19% от тях са свързани с домейн justice.bg, а останалите 65.81% са свързани с други домейни.
Разпределението по домейни е както следва:
- justice.bg или от негови под-домейни – 34.19%;
- abv.bg – 27.10%;
- домейни, собственост на съответните съдилища – 21.94%;
- mail.bg – 8.39%;
- gmail.com – 3.22%;
- contact.bg – 3.22%;
- други домейни – 1.94%.
Анализът на местоположението за съхранение на масивите от данни на съдилищата идентифицира четири основни групи:
Локално съхранение, в това число сървъри и външни носители – посочено в отговорите на 155 съдилища;
- Съхранение върху инфраструктура, поддържана от съдебната система – сървъри на Висш съдебен съвет и Министерство на правосъдието – посочено в отговорите на 63 съдилища;
- Съхранение върху инфраструктура, поддържана от трети страни – посочено в отговорите на 6 съдилища;
- Уеб базирани системи – посочено в отговорите на 1 съд.
Сумата от отговорите надхвърля общия брой на съдилищата защото въпросът допуска повече от един отговор.
От съображения за целесъобразност и ефективност на ежедневните операции, нормално е данни на съдилищата да се съхраняват както локално, така и на системи, които се споделят от всички съдилища. Изхождайки от данните за използваните имейл адреси, не малко съдилища, обаче поддържат част от данните си на инфраструктура, която се поддържа от трети страни, което също представлява риск.
Нормативни актове, които регламентират достъпа до масивите от данни на отделните съдилища могат да се групират по следния начин:
- Вътрешни правила, заповеди, инструкции и др. подобни, изготвени в самия съд – 139 съдилища;
- Закони, наредби и правилници, издадени от Висш съдебен съвет и Министерство на правосъдието – 50 съдилища;
- Длъжностни характеристики – 14 съдилища;
- Няма нормативни актове, които да регламентират достъпа до информационните масиви – 2 съдилища;
- Без да посочи нормативни актове – 1 съд.
Сумата от отговорите надхвърля общия брой на съдилищата, защото въпросът допуска повече от един отговор.
Ефективното администриране, както на отделните съдилища, така и на цялата система, предполага унифициране на процедурите за работа. Висшият съдебен съвет е направил важни стъпки в посока унифициране на процедурите за достъп до масивите на съдилищта чрез изискването за вътрешни правила и длъжностни характеристики.
Компрометиране на данни може да бъде извършено по два начина: чрез пробив на съответната система или чрез злонамерен достъп от оторизиран потребител.
Оторизирането на потребители, респективно отнемането на права, е функция на системния администратор от съответния съд. Целта на въпроси № 4 и 5 е да установи доколко съществуват процедури, които да минимизират възможността за неволна грешка или умишлено действие, което да доведе до:
- Предоставяне на повече права, отколкото се предвижда за даден потребител;
- Допускане на съществуването на потребител на информационните системи, който не съответства на служител на съответния съд.
Въпрос №4: Съществува ли във Вашия съд процедура за проверка относно това дали има лица, които имат достъп до електронни масиви, въпреки че не би следвало да имат такъв, съгласно тяхната длужностна характеристика
На въпрос № 4 голяма част от отговорите съдържат разяснението, че потребителите се представят с потребителско име и парола, без да отговарят съществува ли въпросната процедура. Такива отговори са маркирани като „имплицитно Не“. Прави впечатление, че в голяма част от отговорите от този тип, правилното изпълнение на функциите на системния администратор е извън всякакво съмнение.
За да се избегне неправилно интерпретиране, по-долу са дадени само експлицитните отговори на въпрос №4:
- Есксплицитно „Да“ – 9.03% от отговорилите съдилища;
- Експлицитно „Не“ – 45.81% от отговорилите съдилища.
Съществуването на потребители на информационните системи, на които не съответстват служители е потенциално място за пробив в сигурността. Въпрос № 5 засяга именно възможността за съществуване на такива потребители, възникнала след напускане на служител. Маркирането на отговорите на този въпрос беше изключително трудно, поради голямото многообразие от видове отговори.
Въпрос №5: Съществува ли във Вашия съд процедура по отнемане на достъп до информационните масиви при напускане на служител? Ако ада, с какъв акт се случва това?
Отново за да се избегне неправилно интерпретиране, по-долу са дадени само експлицитните отговори на въпрос № 5:
- Есксплицитно „Да“ – 38.71% от отговорилите съдилища;
- Експлицитно „Не“ – 33.55% от отговорилите съдилища;
Редовният одит на съществуващите потребители и на техните права е важна част от постигането на високо ниво на информационна сигурност. Поне една трета от съдилищата заявяват, че не извършват проверки, което увеличава възможностите за уязвимост.
Добрите практики за поддържане на информационни системи включват регулярното извършване на различни видове одити.
Въпрос №6: Извършват ли се във Вашия съд одити на достъпа на служителите до базите данни, сигурността на мрежата, работещите в нея услуги и актуалността на софтуерните компоненти?
Отговорите са както следва:
- Съдилища, в които се извършват някаква форма на одити – 29.68% от отговорилите;
- Съдилища, в които не се извършват одити – 37.42% от отговорилите;
Важно разбиране по отношение на одитите е, че тъй като са форма на контрол, те не могат да бъдат извършвани от същия служител, който извършва съответната дейност, т.е. не може системният администратор, в случая, да одитира извършенето от самия него. Одитите на информационните системи е необходимо да бъдат извършвани от лице с експертиза не по-малка от тази на съответния системен администратор. Липсата на одити в поне една трета от съдилищата е предпоставка за ниско ниво по отношение на информационната сигурност.
Въпрос №7: Остава ли одитна следа в информационните системи за всяко от действията на отделните служители? Ако да, извършва ли се автоматичен и/или ръчен анализ на одитните следи? Колко често?
Отговорите по отношение наличието на одитни следи са:
- „Да, системите предоставят одитна следа“ – 95.48% от отговорилите съдилища;
- „Не, системите не предоставят одитна следа“ – 1.94% от отговорилите съдилища;
Одитната следа може да се използва както за доказване на извършване на определено действие, така и за наблюдение на системите и реакция в случай на опити за неправомерни действия. Съдилищата използват одитната следа както следва;
- Някаква форма на периодичен анализ ръчен или автоматичен – 16.13% от отговорилите съдилища;
- Само при необходимост от доказване на конкретен факт – 70.97% от отговорилите съдилища.
Наличието на одитни следи в почти всички съдилища е изключително добър резултат, вследствие на унифициране на част от информационните системи. Одитните следи са ценен източник не само в установяването на факти, но и в превантивните дейности за недопускане на пробиви в информационните системи. Поради големия им обем и скоростта на генериране, ефективно е да се прилагат автоматични непрекъснати анализи, които да докладват за настъпване на определени събития. Различни форми на периодични анализи се правят от много малък брой съдилища – едва 16.13% от отговорилите, като в тази група са включени и правещите само ръчни анализи.
Пред компютърните системи, не стои въпросът „дали ще възникне хардуерен проблем“, а по-скоро въпросът е „кога ще възникне хардуерен проблем“. Архивните копия са изключително важна част от стратегията за предпазване на данните от загуба, предизвикана не само от хардуерен проблем, но и от други фактори, в това число непреодолими събития и човешки грешки.
Процедурите по архивиране, съхранение и възстановяване от архив имат отношение и към защитата на данните от неправомерно модифициране. Пример за последното е възстановяване на данни от компрометирано архивно копие.
Въпрос № 8: Колко често се архивират електронните системи и данните? Къде и за какъв период от време се съхраняват архивите?
По отношение на периодичността, съдилищата правят архивни копия както следва:
- „Поне веднъж дневно“ – 83.23% от отговорилите съдилища;
- „Поне веднъж седмично“ – 2.58% от отговорилите съдилища;
Отговорите на останалите съдилища не могат да бъдат обработени, тъй като не определят конкретен срок, а боравят с понятия като "различно", "редовно", "след натрупване на обем" и др.подобни.
Посочените в отговорите на съдилищата срокове на съхранение на архивните копия са обобщени както следва:
- „Съхраняване по-малко от 31 дни“ – 10.32% от отговорилите съдилища;
- „Съхраняване за период от 31 дни или повече“ – 12.90% от отговорилите съдилища.
Отговорите на останалите 30 съдилища, отговорили на този въпрос не могат да бъдат обработени, тъй като са от вида „според нормативните изисквания“, „до изчерпване на пространството за архиви“, „според ресурса“, „неопределено време“ и др. подобни.
Мястото на съхранение на архивните копия е от изключителна важност за евентуалното възстановяване на данните от тях. Когато се определя място на съхранение, трябва да се вземат предвид всички аспекти на сигурността, включително и физическата такава. Отговорите на съдилищата на въпроса за съхранение на архивните копия са много разнородни. За да се избегнат възможности за неправилни интерпретации, по-долу са показани две обобщения, които имат голямо значение за сигурността на архивните копия:
- Съдилища, които като част от процедурата за създаване на архивни копия разчитат на сървърите, обект на архивиране или на друг компютър в същата мрежа – 25.81% от отговорилите съдилища;
- Съдилища, които като част от процедурата за създаване на архивни копия разчитат на външни носители – твърди магнитни дискове, оптични дискове и др. – 61.29% от отговорилите съдилища.
Доколкото формално повечето съдилища отговарят на изискванията да правят архивни копия на различни носители, видът и съхранението на тези носители, увеличават защитата на данните до степен само на хардуерен проблем или възстановяване на данни в резултат на човешка грешка, но не и в случаи на събития, които могат да увредят сградата на съда, напр, пожар, земетресение и др. подобни. В същото време съхранението на външен носител, дава възможности за неоторизиран достъп и модифициране на данните извън обсега на одитните следи и може да бъде заплаха за информационната сигурност.
За да се изключи възможността за загуба на данни при настъпването на събития с непреодолима сила и даденият съд да продължи да функционира нормално, необходимо е да разполага с детайлно разписан и тестван план за действие. Наличието на архивни копия е само част от такъв план, който трябва да покрива най-различни ситуации, включително възстановяване на работа на съда на друго място.
Въпрос № 9: Има ли разписани процедури за възстановяване на информацията при настъпването на събития с непреодолима сила ("disaster recovery" процедури) по отношение на експлоатацията на електронните системи и масивите с бази данни, във Вашия съд. Ако да, провеждани ли са трес тестове за тяхната ефективност?
Отново, поради многообразието от отговори и за да се избегне вероятността за погрешно интерпретиране, по-долу са дадени експлицитните отговори, както и едно обобщение на отговорите (експлицитните са изключени), които по някакъв начин демонстрират наличие на някаква форма на планове за възстановяване от събития с непреодолима сила.
- Експлицитно „Да“ – 14.84% от отговорилите съдилища;
- Наличие на някаква част от план – 9.68% от отговорилите съдилища;
- Експлицитно „Не“ – 60% от отговорилите съдилища.
Аналогично по-долу са представени резултатите и на втората част от въпрос № 9, отнасящ се към провеждането на тестове на процедурите за реакция на събития с непреодолима сила.
- Експлицитно „Да“ – 12.26% от отговорилите съдилища;
- Частични тестове – 4.52% от отговорилите съдилища;
- Експлицитно „Не“ – 60% от отговорилите съдилища.
60% от отговорилите съдилища признават, че не разполагат с план за възстановяване от събития с непреодолима сила, което съчетано с начините на съхранение на архивните копия, прави съществена част от съдебната система силно уязвима към такива събития.