23 технически уязвимости има в системата за разпределение на делата />Реклама / Ads
При инспекцията на Централизираната система за инцидентно систематизиране на делата (ЦССРД) са открити общо 23 механически уязвимости. Това излиза наяве от обобщение на отчета от компанията, изготвила одита, което Висшия правосъден съвет разгласява на уеб страницата си.
С високо равнище на риск (спрямо Common Vulnerability Scoring System) са 11 уязвимости (47,8%), свързани с достъпа до системата, както и такива, които в границите на ЦССРД дават опция за нарушение на сигурността на системата посредством:
● Неоторизирано прибавяне на нов съд;
● Неоторизирана редакция на непознат съд;
● Неоторизирана редакция на съдии от различен съд;
● Неоторизирана редакция на групи от съдии от непознат съд;
● Неоторизирано заличаване на инкрементални номера;
● Неоторизирано заличаване на отсъствия;
● Неоторизирано заличаване на регистрирани дежурства;
● Неоторизиран достъп до данни на консуматори от непознат съд;
● Неоторизирано систематизиране на дело на арбитър от непознат съд.
Със приблизително равнище на риск са две уязвимости (8,7%), които дават опция за нарушение на поверителността на информацията в системата посредством:
● Разкриване на информация за съществуващи потребители;
● Разкриване на информация за съществуващи съдии.
С ниско равнище на риск има 10 уязвимости (43,5%), свързани с настройките за сигурност:
" Установените при одита уязвимости съставляват риск, като експлоатирането на част от тях би могло, при съществуването на спомагателни предпоставки, включително и авансово обезпечен достъп, да докара до неоторизирани промени в резултатите от разпределението на каузи ", пишат от фирмата-одитор.
Тестовете за оценка на сигурността не са открили техническа опция за достъп до системата отдалечено, без съответното лице да бъде авансово и ръчно оторизирано от лицата, виновни за това.
В одитния отчет се загатва единствено за един несполучлив опит за неразрешено влизане в системата в късните часове на 4 октомври 2016 г и се прави извод, че откритите проблеми съставляват риск, като експлоатирането на част от тях би могло, при съществуването на спомагателни предпоставки, включително и авансово обезпечен достъп, да доведат до неоторизирани промени в резултатите от разпределението на делата.
Освен, че констатициите в отчета доведоха до формиране на досъдебно произвеждане, по което беше разпитван някогашният правосъден министър Христо Иванов, Висшият правосъден съвет взе решение да приключи контракта за поддръжка с компанията „ Смарт системс “, изработила по времето на Иванов системата за инцидентното систематизиране.
Източник: frognews.bg
КОМЕНТАРИ
С високо равнище на риск (спрямо Common Vulnerability Scoring System) са 11 уязвимости (47,8%), свързани с достъпа до системата, както и такива, които в границите на ЦССРД дават опция за нарушение на сигурността на системата посредством:
● Неоторизирано прибавяне на нов съд;
● Неоторизирана редакция на непознат съд;
● Неоторизирана редакция на съдии от различен съд;
● Неоторизирана редакция на групи от съдии от непознат съд;
● Неоторизирано заличаване на инкрементални номера;
● Неоторизирано заличаване на отсъствия;
● Неоторизирано заличаване на регистрирани дежурства;
● Неоторизиран достъп до данни на консуматори от непознат съд;
● Неоторизирано систематизиране на дело на арбитър от непознат съд.
Със приблизително равнище на риск са две уязвимости (8,7%), които дават опция за нарушение на поверителността на информацията в системата посредством:
● Разкриване на информация за съществуващи потребители;
● Разкриване на информация за съществуващи съдии.
С ниско равнище на риск има 10 уязвимости (43,5%), свързани с настройките за сигурност:
" Установените при одита уязвимости съставляват риск, като експлоатирането на част от тях би могло, при съществуването на спомагателни предпоставки, включително и авансово обезпечен достъп, да докара до неоторизирани промени в резултатите от разпределението на каузи ", пишат от фирмата-одитор.
Тестовете за оценка на сигурността не са открили техническа опция за достъп до системата отдалечено, без съответното лице да бъде авансово и ръчно оторизирано от лицата, виновни за това.
В одитния отчет се загатва единствено за един несполучлив опит за неразрешено влизане в системата в късните часове на 4 октомври 2016 г и се прави извод, че откритите проблеми съставляват риск, като експлоатирането на част от тях би могло, при съществуването на спомагателни предпоставки, включително и авансово обезпечен достъп, да доведат до неоторизирани промени в резултатите от разпределението на делата.
Освен, че констатициите в отчета доведоха до формиране на досъдебно произвеждане, по което беше разпитван някогашният правосъден министър Христо Иванов, Висшият правосъден съвет взе решение да приключи контракта за поддръжка с компанията „ Смарт системс “, изработила по времето на Иванов системата за инцидентното систематизиране.