Какво знаем за системата за случайно разпределение на делата

Красимир Гаджоков - дългогодишен консултант по информационна сигурност с водеща роля по ключови проекти във втората най-голяма канадска комуникационна компания,  подчерта, че докладът все още не е публикуван. Той подчерта, че в доклада за предишната система, актуална през 2013-14 година, е имало много критики към нея, което е наложило и смяната:

„А мога да ви кажа, че бих се срамувал дълбоко, ако аз съм собственик на фирма, която е направила такъв безпрецедентно аматьорски, грубо непрофесионален, абсолютно опасен и незащитен софтуер“.

Малко се знае за актуалната система за случайно разпределение на делата, подчерта той:

„Наскоро, когато научих за нея, научих кой я е направил. Нищо друго не знам за нея. Научих фирмата, тръгнах да проучвам и намерих някои неща, които ме смущават, но характеризират фирмата, която я е направила. Има някои неща, които показват известна небрежност от тази фирма към собствения им имидж в интернет пространството. Не е осигурен достатъчно техният уеб сайт… някакви сертификати от някакви странни фирми за сертификати за качество и въобще за сигурност, за системи за управление за сигурност. Не искам да навлизам в подробности, но не сме виждали този доклад за сегашната система“.

Според експерта няма „задна цел“ в направата на системата:

„Не знам дали тази система е направена безплатно от някого, но мога да кажа, че много хора, както аз самия, всичките усилия, които съм положил през 2013-14 година - да направя абсолютно подробни доклади в моята област като специалист по информационна сигурност, за да помогна, точно тогава когато се решаваше бъдещето на системата, да бъде направена система, която да е сигурна, съм го направил напълно безплатно и безвъзмездно, защото просто имам времето, имам възможността, имам познанията и мога да си го позволя“.

Разликата между старата и новата система:

„В сегашната система разпределението на делата е централното - има една централна апликация и, явно, дистанционно може да се прави свързване и разпределяне. Атаката, която виждам в момента, е към идеята за централното разпределение“.

Каквито и да са проблемите на системата, те са в нея от 5 години

„Тези неща, които биват сега открити – говорим за 5 години. А, стандартно, всяка уважаваща себе си фирма по света прави специализирани одити в областта на информационната сигурност поне веднъж годишно. Подробно се разглежда цялата им система, включително мрежи, а не само конкретния софтуер за извършване на някаква дейност. Това е странно!“.

За новата система и пропуските ѝ:

„Доколкото разбирам е въведена по-добра автентикация - установяване на самоличността на този, който се включва системата. На базата на това, явно някой е решил, че понеже е много по-добра автентификацията, няма да слагаме други защитни механизми и ще оставим връзки - да могат да се свързват към тази система на практика отвсякъде. Първото нещо, което би могло се направи, е да се предотврати свързването от извън България... Ако, както аз чувам, е въведена автентикация, която е с електронен подпис, това е много сигурна автентикация - тя ще ни даде информация кой точно, с чий електронен подпис е направено това.

Това означава, че имаме два варианта. Или някой съдия, или упълномощено лице, което е било в чужбина и е трябвало да свърши тази работа, е решил да свърши, свързал се е от чужбина и направил това разпределение. Другият вариант е да е откраднат или някой да си е дал електронния подпис. Но трябва да си е дал не само подписа, но трябва да си е дал и PIN-а, а това вече би било незаконно“

Никога не е съществувала в човешката история абсолютно сигурна система. Въпросът да намалим риска до поносим за обществото, подчерта експертът.