Съюзът на съдиите в България (ССБ) официално поиска незабавно спиране на внедряването на антивирусния агент Trellix Endpoint Security Power Edition в съдилищата. В разпространено тази сутрин писмо до Висшия съдебен съвет съдиите предупреждават, че начинът на въвеждане на системата крие сериозни рискове за информационната сигурност, защитата на личните данни и независимостта на съдебната власт.
Според ССБ съдийската общност и системните администратори по места не са били включени в процеса по подготовка и вземане на решението. Съюзът посочва, че оскъдната информация от ВСС и „Информационно обслужване“ АД съдържа „несъответствия, неясноти и противоречия“ и не дава убедителни гаранции за това как се обработват данните и кой има достъп до тях.
Основните опасения са, че Trellix събира „телеметрия“, „метаданни на процеси“ и информация за стартиране и поведение на приложения – което по смисъла на GDPR представлява обработка на лични данни. ССБ подчертава, че липсва задължителна оценка на въздействието върху защитата на данните (DPIA) по чл. 35 от GDPR, както и независим одит по международните стандарти за киберсигурност и защита на личните данни (ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF).
Съдиите са особено притеснени и от това, че „Информационно обслужване“ АД има 24/7 централизирани административни права върху платформата и логовете, което според тях създава „сериозен supply-chain риск“ – концентрирана външна власт върху критична инфраструктура на съдилищата, без ясен и прозрачен контрол. Системните администратори в самите съдилища нямат пълен достъп до всички ресурси и журнални записи, които ги засягат, което на практика ги поставя в технологична зависимост от външен оператор.
ССБ изтъква още, че официално се отрича наличието на DLP (Data Loss Prevention) и мониторинг на потребителска активност, но стандартните EDR-функции на подобни решения позволяват дистанционно изпълнение на команди и извличане на информация. Това поражда „обективни съмнения“ дали реалните възможности на продукта са изцяло разкрити пред магистратите.
Допълнително недоумение буди фактът, че от обхвата на внедряването са изключени прокуратурата, административните съдилища и ВАС – без ясен регулаторен и логически аргумент.
На тази основа Съюзът на съдиите настоява: внедряването на Trellix да бъде незабавно спряно; да бъде изготвена и публикувана DPIA; да се проведе независим кибер, правен и GDPR одит; да се публикува цялата документация по избора и въвеждането на продукта (технически спецификации, договори, критерии за избор, становища на „Информационно обслужване“, решения на ВСС). ССБ предлага и открито експертно обсъждане с участието на съдийската общност, киберспециалисти, академични среди, КЗЛД, външни одитори, неправителствени организации и медии.
В заключение съдиите заявяват, че внедряването на Trellix в сегашния „непрозрачен и необоснован вид“ не отговаря на стандартите, създава сериозни рискове за независимостта на съдебната власт и компрометира доверието в управлението на системата. Според тях спирането и прегледът на процеса е „необходимо превантивно действие“, а не акт на институционална конфронтация.
Коментарът на "Господарите"
Сблъсъкът между Съюза на съдиите и ВСС заради Trellix далеч не е просто „технически спор“ за конкретен антивирусен софтуер – това е тест за зрелостта на българската съдебна система в три ключови посоки: защита на личните данни, киберсигурност и реална независимост на съда от изпълнителната власт и външни оператори.
Когато в компютрите на съдии – където се подготвят проекти на присъди, мотиви, вътрешна кореспонденция по дела, чувствителни данни за граждани, адвокати, свидетели и фирми – се инсталира централизирано решение, управлявано от външен субект с 24/7 достъп, това неизбежно поражда въпроса: кой в крайна сметка държи ключа към сърцето на съдебната власт? Ако системните администратори на съдилищата са „заключени“ извън пълния контрол върху платформата, а реалните функции на продукта не са докрай разкрити, говорим не просто за лоша комуникация, а за структурен риск.
Втора голяма тема е очевидното пренебрегване на GDPR и добрите европейски практики. DPIA за подобен тип внедряване не е бюрократично упражнение, а минимален санитарен стандарт, когато става дума за обработка на чувствителни данни на магистрати и участници в съдебни процеси. Липсата на такава оценка, комбинирана с неясна договорна рамка, supply-chain риск и отсъстващ независим одит, е рецепта за скандал – не само вътрешен, но и на европейско ниво.
Третият проблем е политико-институционален: защо прокуратурата, административните съдилища и ВАС са изключени от обхвата? Ако продуктът е толкова безопасен и необходим, логично би било да се прилага най-напред точно в най-чувствителните и натоварени юрисдикции. Избирателното внедряване подсилва съмненията, че решението е взето прибързано, без обща стратегия и без съгласуване с всички засегнати.
Съдиите поставят на масата не просто технически, а принципни въпроси: кой контролира достъпа до съдебната информация, как се гарантира, че няма нерегламентирано наблюдение или влияние върху работата им, и каква е цената – в доверие и легитимност – на едно „черно куфарче“ в системата, внедрено без прозрачност.
Ако ВСС и „Информационно обслужване“ отговорят с мълчание, формални фрази или натиск „да не се шуми“, това само ще задълбочи кризата на доверие. Обратното – спиране, пълен одит, публичност и включване на независими експерти – би било ясен знак, че съдебната власт е готова да прилага същите стандарти на прозрачност и законност към собствената си инфраструктура, каквито очаква от всички останали.
За да коментираш, трябва да влезеш
Вход / Регистрацияв профила си или да се регистрираш!