Човешка грешка по всяка вероятност е позволила хакерската атака срещу Върховния административен съд (ВАС), която срина Единната деловодна информационна система (ЕДИС), използвана от всички административни съдилища.
Още преди дни стана известно, че тя е извършена с един от най-модерните зловредни софтуери – рансъмуерът White Rabbit (Бял заек)., предаде lex.bg.
„За мен случаят е поради недобра подготовка на кадрите. Човешкият фактор си оказва своето влияние, каквито и технически мерки да бъдат взети. Може би поради човешка грешка е настъпило това в нашия съд“, каза днес и.ф. председателят на ВАС Георги Чолаков пред Пленума на Висшия съдебен съвет (ВСС), където беше изслушан.
„Не пожелавам на никой да преживее това, което преживяхме на 27 януари. И искам да се извиня на гражданите за създаденото неудобство, като подчертая, че правораздавателният процес не беше засегнат по никакъв начин, а цялата информация е възстановена без каквато и е да е била загуба“, каза още Чолаков.
Той не съобщи подробности за вероятната човешка грешка, но обичайно става дума за отваряне на съмнително съобщение по имейла, чрез което вирусът прониква в конкретния компютър, а от там в мрежите и останалите устройства, свързани с тях.
От изложението на Чолаков стана известно, че зловредният софтуер е успял да „докопа“ две трети от компютрите във ВАС, които към момента на активирането му са били включени. От Белия заек са се спасили всички изключени компютри в съда.
И.ф. председателят на ВАС съобщи, че 150 компютри в съда вече са включени, а тече процес по „изчистване“ и преинсталиране на част от засегнатите.
ЕДИС се пуска поетапно и вече е налична в Административен съд София-град, както и в административните съдилища в Пазарджик, Благоевград, Видин, Варна, Габрово, Добрич, Бургас, Кърджали, Велико Търново, Смолян, Стара Загора, Търговище, Шумен и Ямбол.
В ход е пускането на интернет-страницата на ВАС. „Надявам се днес до края на деня да вдигнем и сайта“, каза Чолаков.
Зловредният софтуер беше активиран в неделя срещу понеделник през нощта и е криптирал всички данни, до които е достигнал. Хакерите, които стоят зад атаката, са отправили искане за откуп в криптовалута, за да ги декриптират.
Георги Чолаков не каза дали в искането е посочена конкретна сума.
Заради всекидневния бекъп на информацията в ЕДИС обаче данните на практика са налични в цялост и криптирането им не е довело до загуба на информация по делата. Няма как обаче да бъдат възстановени файловете от заразените компютри на съдии и служители, като проекти на решения например.
„White Rabbit“ прониква в системи, използвайки сложни фишинг кампании или използвайки уязвимости в мрежовата сигурност. Това може да включва измамно реалистични имейли.
След като проникне в системата, той е проектиран да работи скрито. Неговият малък размер (около 100 KB) и изискването за конкретна парола, за да инициира криптирането, го правят трудно откриваем със стандартен антивирусен софтуер. „White Rabbit“ може да остане в латентно състояние, без да бъде открит, докато киберпрестъпниците решат да го активират. Когато изпълнимият файл се отвори с правилната парола, вирусът сканира системата за целеви файлове и започва криптиране. „White Rabbit“ изключва системните папки на Windows, като същевременно предупреждава потребителите, че се извършва атака и създава бележка за откуп за всеки файл, който криптира.
След изявлението на и.ф. председателя на ВАС, министърът на правосъдието Георги Георгиев обобщи основното – изгубени данни няма, теч на данни също няма, по същество ЕДИС работи и има непрекъснато осигурен достъп.
Министърът призова членовете на съвета заедно да предприемат мерки, за да не се повтори случаят, като се извърши вътрешен одит на съдилищата за състоянието на критичната инфраструктура, защото тя е елемент от националната сигурност.
„Да видим къде какво не работи и кой може да координира тази дейност. Един вид всеки да си погледне къщичката – къде какво не е наред. Хакерски атаки има и ще има, но ние трябва да се опитаме да сме готови за тези хакерски атаки, да се вземат и при следващата такава да сме подготвени“, заяви Георги Георгиев. Той допълни, че за целта са необходими две неща – организация и засилване на ресурса, като се заделят допълнителни средства за киберсигурност.
По този повод Гергана Мутафова обясни, че заради хакерската атака на административните съдилища днес ще има извънредно заседание на ресорната комисия във ВСС. В него ще участват представители на фирмите, които са изградили всички информационни системи в съдебната система и най-вече най-голямата – Единната информационна система на съдилищата (ЕИСС).
На това заседание ще се набележат кризисни мерки, за да се предотвратят бъдещи кибератаки във всички системи на съдебната власт.
След това кадровиците ще уведомят колегите си за решенията и за евентуално необходимите средства за бъдеща защита на ЕДИС, ЕИСС, Единния портал за електронно правосъдие и други.
Даниела Марчева напомни, че чл. 360б, ал. 5 от Закона за съдебната власт задължава ВСС, съгласувано с министъра на електронното управление, да възложи извършване на одит на мрежовата и информационната сигурност на системите, включително на системите за случайно разпределение веднъж годишно.
Според Марчева ВСС, МЕУ и Министерството на правосъдието трябва да съгласуват процедурата, по която да се осигури този одит.
Тя допълни, че през 2024 г. не са били предвидени средства в бюджета за такъв одит и има искане за осигуряване на финансиране за тази година.
Марчева обаче поясни, че има проблем във връзка с кадровото обезпечаване и съдебната система не може сама да го извърши. И посочи, че в повечето държавни структури тези одити се възлагат на външни лица.
Георги Кузманов също се спря на кадровия дефицит и акцентира, че в частния сектор IT специалистите са много по-добре платени, отколкото системните администратори в съдебната система. Заради това и нямало желаещи да работят. Кузманов призова да се помисли за увеличаване на заплатите не само на системните администратори, но и на останалите служители.
Атанаска Дишева на свой ред зададе серия от въпроси на и.ф. шефа на ВАС връзка с възстановяване на информацията по дела.
Георги Чолаков повтори, че в края на всеки работен ден се извършва бекъп на данните в ЕДИС, които се съхраняват на устройство, което не е свързано с мрежата.
Той отхвърли твърденията от последните дни, че с хакерската атака се цели подмяна на информация по дела.
„Нашата система е само деловодна, помощна. Всички материали са и на хартиен носител и няма как да има подмяна на данни, при положение че хартията е водеща при правораздаването в административните съдилища. Освен това всички административни съдилища поддържат и старите деловодни системи. Ако страна по дело смята, че има подмяна на информация, сайтът на ВАС ще е достъпен най-късно от утре и може да се провери“, каза Чолаков.
В отговор на въпрос дали не може ЕДИС да се отдели, например от ВАС и останалите административни съдилища, така че когато има хакерска атака към един съд, да не бъдат засегнати и останалите, и.ф. председателят на ВАС поясни, че ЕДИС е единна система и идеята е била да има свързаност между ВАС и 28-те административни съдилища.
„Положихме усилия да има свързаност и с ЕИСС, затова първата ми задача, когато разбрах за хакерската атака, беше да се спре връзката с ЕИСС и ЕПЕП, за да не бъдат засегнати и те“, каза Чолаков.
Той поясни, че е възможно всяка вечер, когато няма активна работа, връзката на съдилищата с ЕДИС да се прекъсва, защото всички кибератаки се извършват нощем. Така, ако пак се случи същото, ще бъде засегнат един съд, каза Чолаков.
На финала на дискусията министърът на правосъдието Георги Георгиев обобщи, че предстои да бъдат предложени мерки за защита и за подготовката за извършване на одит на системите, като няма пречка административните ръководители на съдилищата да възложат на IT специалистите да прегледат системите, да направят необходимите ъпдейти и, ако смятат, че има опасност, да подадат сигнал до съответния председател или ВСС, които може да се обърнат и към други институции за оказване на спешна помощ.
