Съдиите са против нов антивирусен агент в компютрите им
Съдиите са срещу нов антивирусен сътрудник в компютрите им
Съдиите въстанаха против вкарването на нов антивирусен сътрудник в компютрите им и оповестиха страховете се, че посредством неговото администриране може да се нарушат всички правила за отбрана на персоналните данни, както и независимостта на съда.
С публикувано тази заран публично писмо на Съюза на съдиите се
упорства за „ неотложно прекъсване на въвеждането на антивирусен сътрудник Trellix Endpoint Security Power Edition в съдилищата “. „ Известно ни е съществуването на съществени опасения в средите на съдийската общественост, както и сред систематичните админи на съдилищата за рисковете за осведомителната сигурност,
отбраната на персоналните данни и независимостта на правосъдната власт “, пишат още от ССБ.
Като съображение за изпращане на писмото са посочени и подозрения за „ противоречие на процеса с условията за отбрана на персоналните данни на магистрати и страни по каузи, за основаване на
опция за нерегламентиран и неподлежащ
на надзор външен достъп до работните процеси по правене на правосъдните актове, за неспособност на експертите по осведомителни технологии в съдилищата до ресурсите на ново въвеждания софтуер, за неразбираема регулаторна рамка при изключване на административните съдилища и прокуратурата от процеса на
внедряване на продукта “.
ССБ твърди, че съдийската общественост и съдийските организации бяха изцяло изолирани от по съществото си административно-командния развой по въвеждане на посочения софтуер, оповестява „ Сега “.
„ Оскъдната информация, до която имаме достъп демонстрира,
че отговорите на чиновници на Висш съдебен съвет и на „ Информационно обслужване “ АД на сериозните възражения на систематичните админи, страдат от редица значими несъответствия, неясноти и несъгласия “, пишат от съюза.
Оттам показват и, че според интернационалните стандарти
(ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на сходна сериозна технология би трябвало да бъде обосновано, транспарантно, риск-базирано и подложено на самостоятелен одит. Нито едно от тези кардинални условия не е изпълнено при внедряването на сътрудника, твърди ССБ.
Предоставената информация от Висш съдебен съвет и „ Информационно обслужване “ АД
(ИО) на запитванията от съдилищата не давали безапелационен отговор на главните пораждащи подозрения въпроси.
„ ВСС/ИО неведнъж настояват, че Trellix „ не обработва персонални данни “,
само че дружно с това се показва, че системата „ събира телеметрия “, обработва „ метаданни на процеси “, проучва „ сключване, пускане и компрометирани процеси “. Тези процеси, според член 4 GDPR, съставляват обработка на персонални данни, поради връзката сред обработваните данни и информация за титулярите на работните станции “ предизвестяват от Съюза на съдиите и показват, че липсва DPIA (оценка на въздействието върху отбраната на данните), което е адължително условие по член 35 GDPR, ISO 27701
(изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори.
В писмото се показва и, че се разрешава централизиран достъп на външен оператор до правосъдната инфраструктура. „ „ Информационно обслужване “ АД има 24/7 административен достъп до Trellix платформата и логовете, което съставлява supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-анализ; опонира
на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки) “, пишат от ССБ.
Посочва се, че липсва образование за систематичните админи и вътрешен потенциал в съдилищата, което означавало цялостна софтуерна взаимозависимост от външния оператор, което нарушава правилата на NIST CSF (функция GOVERN); правилото на институционална автономия и самостоятелност.
„ Отрича се съществуването на DLP модул, надзор на файлове
и мониторинг на потребителска интензивност, само че общоприетите функционалности на EDR за отговор на произшествия разрешават отдалечено осъществяване на команди и добиване на информация “, показват съдиите и показват, че това поражда справедливи подозрения
за ненапълно откриване на действителните качества на продукта, чието въвеждане е почнало.
Натъртва се и, че липсват каквито и да е „ рационални причини от обсега на нововъдения сътрудник Trellix да бъдат изключени прокуратурата, административните съдилища и Върховен административен съд “.
ССБ написа още:
„ Следните, неизчерпателно посочени условия, постановат неотложно прекъсване на внедряването на антивирусния сътрудник: Фактическа обработка на персонални данни, без значение от отричането на такава в дадените досега отговори.
Липса на безусловно наложителна DPIA, поради обработката на данни на магистрати, страни, в това число и юристи, очевидци.
Необоснована централизация на административни права в „ ИО “ АД.
Липса на достъп на админите на съдилищата до отнасящите се до тях запаси, следени посредством Trellix, в това число във връзка с журналните записи за осъществявани дейности.
Неясна регулаторна рамка при изключване на прокуратурата и Върховен административен съд.
Съмнения за ненапълно откриване на действителните функционалности на системата.
Липса на самостоятелен експертен одит (кибер, юридически, GDPR). “
На тази основа ССБ упорства Висш съдебен съвет да предприеме неотложно прекъсване на внедряването на Trellix, до показване на оценка на въздействието върху отбраната на данните (чл. 35 GDPR);
самостоятелен одит по ISO 27001 и NIS2; юридически разбор на обсега, в това число ролята на ИО АД.
Настоява се и за осъществяване навън експертно разискване, което да включва съдийската общественост, киберексперти, представители на университетските среди, Комисията за отбрана на
персоналните данни;,външен самостоятелен инспектор, неправителствени организации, медии.
ССБ желае пубикуване на цялостната документи, включваща механически спецификации, контракти, одити, критерии за избор на Trellix, мнения на ИО АД, всички решения на Висш съдебен съвет.
„ Внедряването на Trellix в съдилищата, в сегашния непрогледен и голословен тип,
не дава отговор на интернационалните стандарти, основава съществени опасности за независимостта на правосъдната власт, отбраната на персоналните данни и осведомителната сигурност,
и компрометира доверието в ръководството на правосъдната система.
В редица съдилища съдиите показват противоречие с метода на внедряване на посочения артикул. Спирането и прегледът на процеса не е институционална борба, а нужна превантивна мярка “, се заключава в писмото на Съюза на съдиите.
Съдиите въстанаха против вкарването на нов антивирусен сътрудник в компютрите им и оповестиха страховете се, че посредством неговото администриране може да се нарушат всички правила за отбрана на персоналните данни, както и независимостта на съда.
С публикувано тази заран публично писмо на Съюза на съдиите се
упорства за „ неотложно прекъсване на въвеждането на антивирусен сътрудник Trellix Endpoint Security Power Edition в съдилищата “. „ Известно ни е съществуването на съществени опасения в средите на съдийската общественост, както и сред систематичните админи на съдилищата за рисковете за осведомителната сигурност,
отбраната на персоналните данни и независимостта на правосъдната власт “, пишат още от ССБ.
Като съображение за изпращане на писмото са посочени и подозрения за „ противоречие на процеса с условията за отбрана на персоналните данни на магистрати и страни по каузи, за основаване на
опция за нерегламентиран и неподлежащ
на надзор външен достъп до работните процеси по правене на правосъдните актове, за неспособност на експертите по осведомителни технологии в съдилищата до ресурсите на ново въвеждания софтуер, за неразбираема регулаторна рамка при изключване на административните съдилища и прокуратурата от процеса на
внедряване на продукта “.
ССБ твърди, че съдийската общественост и съдийските организации бяха изцяло изолирани от по съществото си административно-командния развой по въвеждане на посочения софтуер, оповестява „ Сега “.
„ Оскъдната информация, до която имаме достъп демонстрира,
че отговорите на чиновници на Висш съдебен съвет и на „ Информационно обслужване “ АД на сериозните възражения на систематичните админи, страдат от редица значими несъответствия, неясноти и несъгласия “, пишат от съюза.
Оттам показват и, че според интернационалните стандарти
(ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на сходна сериозна технология би трябвало да бъде обосновано, транспарантно, риск-базирано и подложено на самостоятелен одит. Нито едно от тези кардинални условия не е изпълнено при внедряването на сътрудника, твърди ССБ.
Предоставената информация от Висш съдебен съвет и „ Информационно обслужване “ АД
(ИО) на запитванията от съдилищата не давали безапелационен отговор на главните пораждащи подозрения въпроси.
„ ВСС/ИО неведнъж настояват, че Trellix „ не обработва персонални данни “,
само че дружно с това се показва, че системата „ събира телеметрия “, обработва „ метаданни на процеси “, проучва „ сключване, пускане и компрометирани процеси “. Тези процеси, според член 4 GDPR, съставляват обработка на персонални данни, поради връзката сред обработваните данни и информация за титулярите на работните станции “ предизвестяват от Съюза на съдиите и показват, че липсва DPIA (оценка на въздействието върху отбраната на данните), което е адължително условие по член 35 GDPR, ISO 27701
(изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори.
В писмото се показва и, че се разрешава централизиран достъп на външен оператор до правосъдната инфраструктура. „ „ Информационно обслужване “ АД има 24/7 административен достъп до Trellix платформата и логовете, което съставлява supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-анализ; опонира
на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки) “, пишат от ССБ.
Посочва се, че липсва образование за систематичните админи и вътрешен потенциал в съдилищата, което означавало цялостна софтуерна взаимозависимост от външния оператор, което нарушава правилата на NIST CSF (функция GOVERN); правилото на институционална автономия и самостоятелност.
„ Отрича се съществуването на DLP модул, надзор на файлове
и мониторинг на потребителска интензивност, само че общоприетите функционалности на EDR за отговор на произшествия разрешават отдалечено осъществяване на команди и добиване на информация “, показват съдиите и показват, че това поражда справедливи подозрения
за ненапълно откриване на действителните качества на продукта, чието въвеждане е почнало.
Натъртва се и, че липсват каквито и да е „ рационални причини от обсега на нововъдения сътрудник Trellix да бъдат изключени прокуратурата, административните съдилища и Върховен административен съд “.
ССБ написа още:
„ Следните, неизчерпателно посочени условия, постановат неотложно прекъсване на внедряването на антивирусния сътрудник: Фактическа обработка на персонални данни, без значение от отричането на такава в дадените досега отговори.
Липса на безусловно наложителна DPIA, поради обработката на данни на магистрати, страни, в това число и юристи, очевидци.
Необоснована централизация на административни права в „ ИО “ АД.
Липса на достъп на админите на съдилищата до отнасящите се до тях запаси, следени посредством Trellix, в това число във връзка с журналните записи за осъществявани дейности.
Неясна регулаторна рамка при изключване на прокуратурата и Върховен административен съд.
Съмнения за ненапълно откриване на действителните функционалности на системата.
Липса на самостоятелен експертен одит (кибер, юридически, GDPR). “
На тази основа ССБ упорства Висш съдебен съвет да предприеме неотложно прекъсване на внедряването на Trellix, до показване на оценка на въздействието върху отбраната на данните (чл. 35 GDPR);
самостоятелен одит по ISO 27001 и NIS2; юридически разбор на обсега, в това число ролята на ИО АД.
Настоява се и за осъществяване навън експертно разискване, което да включва съдийската общественост, киберексперти, представители на университетските среди, Комисията за отбрана на
персоналните данни;,външен самостоятелен инспектор, неправителствени организации, медии.
ССБ желае пубикуване на цялостната документи, включваща механически спецификации, контракти, одити, критерии за избор на Trellix, мнения на ИО АД, всички решения на Висш съдебен съвет.
„ Внедряването на Trellix в съдилищата, в сегашния непрогледен и голословен тип,
не дава отговор на интернационалните стандарти, основава съществени опасности за независимостта на правосъдната власт, отбраната на персоналните данни и осведомителната сигурност,
и компрометира доверието в ръководството на правосъдната система.
В редица съдилища съдиите показват противоречие с метода на внедряване на посочения артикул. Спирането и прегледът на процеса не е институционална борба, а нужна превантивна мярка “, се заключава в писмото на Съюза на съдиите.
Източник: flashnews.bg
КОМЕНТАРИ