"Каквото е било, пак ще бъде, и каквото се е правило, пак ще се прави - няма нищо ново под слънцето."

Цар Соломон, книга "Еклисиаст", 1:9 

Легендарните времена на "белия хакер" Данаил Кирилов с обърнатите файлове и Иван Гешев с "коронавируса в съдебната система" са отново тук.

Маскираната небрежно днес като "точка 50" в дневния ред на ВСС, даде начало на - най-вероятно масирана атака срещу председателката на ВКС Галина Захарова. Захарова кара половината от мандата си и поне до ден днешен е единствената от "тримата големи" в съдебната власт, за която няма и капка съмнение да е човек на... сещате се кой.

Ако отпреди седмици изненедващо Николай Попов започна да обикаля подбрани медии и да настоява за оставката ѝ заради пътния травматизъм, мерките за неотклонение по дела за ПТП и проблемите с експертизите, днес поводът беше генерално различен. Но пък евъргрийн: антивирусният софтуер на съдилищата.

Впечатление прави, че както и при предишни подобни "случайно съвпаднали" атаки още от времето на Лозан Панов, много и страшни проблеми и заплахи биват идентифицирани единствено в общите съдилища - за ВАС и другите административни, камо ли за прокуатурата и дума не става. Там всичко с киберсигурността е 6.

Днес разправията продължи точно 2 часа и 40 мин., а в нейните рамки Захарова заподозря, че я изкарват шпионин на Русия и престъпник по Глава първа от НК (за държавна измяна) или поне срещу авторското право.

Какво е "Треликс" и кой му държи "дистанционното"

Боян Новански - политическа квота, "Атака", отявлено лице на успешното мнозинство във ВСС, е ръководител на два "кибер" проекта на съвета. Днес в рамките на споменатата точка  (да напомним пак - петдесета в дневния ред!) трябваше да запознае с "доклади от "Информационно обслужване" АД... относно алармите в инфраструктурата на ВСС след инсталирането на "Треликс" и т.н., и т.н. В резюме сред "доволните клиенти" на този агент за киберзащита той изреди Пентагона, НАТО, световни топ компании във финансовия сектор, в здравеопазването, че дори накрая и нашите НАП и - с извинение - Георг и Външно министерство.

Обаче...

Любовта към "Треликс" (Trellix), оказва се, далеч не е толкова безрезервна и еднозначна, а освен медиите, и съдилищата засипват ВСС с въпроси и с молби внедряването на софтуера да бъде (поне) отложено, докато се отговори на неяснотите. При това - от съдилища, които вече са инсталирали "антишпионския софтуер".

Преди дни BIRD написа:

"На независимия български съд му останаха няколко дни независимост.

До 28.11. на всички компютри в съдилищата трябва да бъде инсталиран шпионски софтуер, маскиран като антивирусна програма. (Всъщност към днешна дата вече е инсталиран на около 4000 компютъра при план 10 000 - б.а.).

Става дума за Trellix Endpoint Security Power Edition, закупен по Договор No BCC-15840/22.12.2023, сключен между Висшия съдебен съвет по проект на Националната програма за възстановяване и устойчивост.

Тази система има DLP функция, която може да следи кой какво прави на компютъра. Софтуерът ще се контролира изцяло от "Информационно обслужване".

С две думи: "Информационно обслужване", което е към изпълнителната власт, ще има пълната информация за това какво прави уж независимата съдебна власт.

В линка можете да видите мнението на специалистите за този продукт."

Вчера от Съюза на съдиите разпространиха тревожно отворено писмо , в което което призоваваха за незабавно спиране на внедряването в съдилищата на антивирусния агент, "предвид липсата на прозрачен и отговарящ на стандартите за информационна сигурност и на защита на личните данни процес на избор на този програмен продукт".

"Основание за изпращане на писмото са възникналите в средите на съдиите и на системните администратори на съдилищата съмнения за несъответствие на процеса с изискванията за защита на личните данни на магистрати и страни по дела, за създаване на възможност за нерегламентиран и неподлежащ на контрол външен достъп до работните процеси по изготвяне на съдебните актове...", и пр., и пр. (*целия текст на съдийското писмо може да видите най-долу - б.а.).

Обратно, Новански на принципа за "най-добрата отбрана" атакува, като описа ужасяващ киберапокалипсис по местата, работили досега без "Треликс".

"Може да се каже, че в момента киберсредата, в която функионират съдилищата, е високо рискова.

Киберсредата може да се нарече незащитена и токсична", обобщи той доклада на "Информационно обслужване" (ИО), която спечели поръчката и всъщност оперира новия софтуер.

Засечени били зловредни софтуери, докладът на ИО бил цели 216 страници.

"Спокойно може да се твърди, че поразяването е масово и носи харктеристики на епидемия. Ако 30% са болни от вирус - това означава епидемия – тук положението е идентично. 30% от компютрите, които се сканират със системата, се оказват заразени."

Какви обаче са "болежките", разкрити от новата програма.

Той изреди с равен тон по точки проблемите: най-масово сред хилядите компютри в систевата имало „нелицензиран софтуер“ – например "Уиндоус" (а, стига бе - б.а.?!))

"Хиляди… Ключове лъжат системата, че лиценцът е валиден."

Той твърди, че това е "кракване" - "типичен хакерски прийом" (самата истина - б.а.), с който се избягва закупуването на лиценз и води до репутационни щети и вреди за имиджа на Република България.

(Без това да извинява съдиите, които са си сложили за без пари "Уиндоус" - "хакерският прийом" е на ниво компютърни познания на петокласници, и е по-масов сигурно и от ракията със салата у нас - б.а.).

Освен това, естествено, се извършва престъпление по члена от НК за авторското право срещу "Майкрософт", допълни.

Втората група нарушения били също нелицензиран софтуер – като "Уиндоус", но на други разнообразни продукти на други фирми.

Открити били вируси от типа "троянски кон", които често водят до възможен блокаж на компютри. Открили също така на много места... "отдалечен администраторски достъп" (сетете се - съдиите, които традиционно за затрупани до смърт с работа, дали не са си пуснали опция да си изписват делата от дома - предположение на автора, което не почива на никакви факти, б.а.).

Имало и backdoor за неоторизиран достъп – от "цели" 2 компютъра, и възможност за "следене на потребителска активност", опасност от събиране на пароли. Това било от 3 машини (компютри).

Открити били още възможности за... нежелани реклами, и още по-страшното - фишинг атаки ("това показва, че вероятно потребителите са отваряли фишинг имейли", предположи Новански - съждение, към което се присъединяваме напълно.)

Открити били и програми за сваляне на торент файлове (за втори път: а стига бе?!). Също така съдиите използвали лични пощенски кутии за служебни цели – от различни негарантирани фирми, предлагащи частна поща и дори някъде те били посочвани като адрес за официална комуникация за съдилищата.

Били използвани лични компютри за достъп до Единната информационна система на съдилищата (ЕИСС), което било недопустимо.

Всичко това бе изполвано, за да се обобщи, че има "липса на контрол и организация за мерките за сигурност на киберсредата".

И най-важното - местните антивирусни защити или не функционират, или са изключени напълно или частично.

Оказа се, че тези местни защити са две: един договор за Eset NOD 32 и най-важното - ВКС още работи с руската антивирусна "Касперски" (Kaspersky). Става ясно - по силата на договор от 2011 г., когато Захарова не е била не просто председател, а не е дори съдия във ВКС, ама кой ти гледа....

"Киберсигурността в съдебната система е част от националната сигурност на страната. Руската система за защита на компютрите, която между другото е забранена и е под санкции в целия западен свят – има и доклад от мен по повода - "Касперски", се използва от ВКС в продължение на години за защита на служебните компютри, като последният закупен лиценз ще е активен до 26 януари 2026 г.", изчете Новански

Олга Керелска реагира, като попита как пък така точно сега се сетиха за "Касперски", при това месеци преди края на договора за тази антивирусна. При положение, че той е сключен през 2011 г., а самите те са членове на ВСС от 2017 г., а войната и фактът, че Русия ни обяви за неприятелска държава (специално посочен от Новански в доклада му) е от 2022 г.

Какво казва Галина Захарова и какво казват съдиите

Галина Захарова първо се противопостави на предложението - да бъде изслушан специално озовалият са на място представител на "Информационно обслужване".

"Не може да се противопоставят хора, които владеят една материя - техническа, на хора, които не я владеят. За да се почувстваме безпомощни!", видимо се ядоса тя.

Предложението ѝ бе - отлагане, а на нарочно свикано заседание на Пленума да бъдат изслушани както хората от ИО с новата им програма, така и представители на съдиите, които пишат писма с ясно формулирани притеснения и тревоги. Както и други айти специалисти - например на самия ВСС.

Тя посочи, че трябва "да се проведе разговор с магистратите в страната – като се успокои назряващото напрежение". А то не е никак малко.

Вместо това над 10 пъти в доклада се подчертавало какво би трябвало да направи председателят на ВКС.

"Като краен резултат се установява, че предоставянето на защитните агенти на "Треликс" е неразривно свързано с предоставането на пълна компетентност и наблюдение върху инфраструктурата на съдебните органи.

Което обстоятелство не е било известно, нито разяснявано - нито на мен, още по-малко на когото и да е от съдебните органи."

Тя каза, че случващото се в момента - хората на "Треликс", които отиват по места, идва на магистратите и ръководителите като "като гръм от ясно небе". И се поинтересува как реално да накара върховните съдии да си го инсталират на лаптопа: с физическа сила ли да им го вземе.

Захарова и Кереска специално обърнаха внимание - защо в договора е написано "наблюдение и управление на информационно-комуникационна структура и осъществяване на дейности, свързани с киберсигурността на ВСС и съдилищата".

Ако киберсигурноста на съдилищата е ясно какво е - защо се добавя и „наблюдение и управление на комуникационната инфраструктура“.

До края на нервния дебат станаха ясни още доста интересни неща - например че на места сисадмините са обяснили на съдиите, че и самите те вече "не могат да пипат нищо". И дори не могат да видят кой и какво "пипа", защото изобщо управлението - конзолата не е в съдилищата.

На това Новански отговори, че е на втория етаж на Съвета и там винаги "седи едно момче с очила, което гледа в 4 монитора". А на настоятелните въпроси от Олга Керелска: не може ли да има "втора конзола - да гледаме какво гледат те", той се ядоса, че: не може да се даде СЕПАРИРАН достъп, примерно само на хората от Бургас до компютрите на съда в Бургас. Ако някой получи достъп - той би виждал всичко на всички машини, работещи с "Треликс". И ако пипне, ще направи беля.

"Такава е архитектурата на системата!"

Така и пропусна да поясни защо при това положение не го притеснява, че служителите на "Информационно обслужване" имат този пълен достъп и как така е спокоен, че те няма да направят "белята".

Оказа се, точно такива са били и голяма част от въпросите на съдиите - има писмо дори от председателката на САС Даниела Дончева.

Вместо това Новански увери на честна дума, че същите тези служители - които ще имат пълен достъп, "не могат да четат съдържание". 

Що се касае до Захарова, тя наблегна, че докладът акцентира върху употребата на руски, „разбирайте шпионски“ софтуер за защита във ВКС. И отбеляза, че докладът на Новански...

"... представлява един сигнал сещу мен за извършено престъпление по Глава първа - води до изводите за явна и непосредствена опасност за националната сигурност, очевидно вследствие на моите безотоговорни действия като председател на ВКС."

Иначе отговорите:

С решения на старите състави на ВСС е било дадено предпочитание за споменатия Eset NOD 32 и на "Касперски", като на съдилищата са били предоставяни договори за по 1-2 години. В списъка с раздавани около 7000 броя лицензи двете върховни съдилища никога не са фигурирали, защото са отделни юридически лица и имат бюджетна самостоятелност.

При сключване на договорите с "Касперски" всяка година ВКС никога не е бил уведомяван да има забрана за използване на този продукт в България (той няма такава - б.а.). Нещо повече - от отчет на МЕУ става ясно, че общо 17 администрации все още го разчитат на него. "Липсват указания и критики за прехмаването му от държавната идминистрация", каза Захарова.

"С изявления, които са насочени единствено към дискредитиране на дейноста на ВКС, ние не бихме могли да очакваме някакво позитивно развитие на цялата ситуация.

Основното възражение на ВКС срещу новата система е - лишаването от достъп и наблюдение на собствената му инфраструктура и изолирането му от управляващата конзола.“

Тя посочи, че се вижда като възможно обвиняема или по Глава първа (шпионство, държавна измяна и пр.) или по чл 172а за авторските права.

Тук Новански великодушно каза, че "нито упреква, нито обвинява Захарова, защото това не е нейна работа – това е работа на системните администратори на съда."

Но, за да се спре полемиката...:

"...още днес като възложител по двата договора ще изпратя писма до Министерството на електронното управление и до ДАНС - да кажат коя от тези програми представлява потенциален риск за националната сигурност! Не казвам за никого дали е шпионин или не е. Това ще се успанови, след като получим съответинте отговори."

(Иначе казано: не я упреква в нищо - дава я на ДАНС - б.а.)

Олга Керлелска даде пример, че валят практически въпроси от съдилища - например, че на съдиите се забранява да ползват флашки, защото можело да има вируси, а "Треликс" при това положение изтрива автоматично данните на флашката.

И се пита - голяма част от доказателствата по делата вече са на флашки. Кой ще поеме отговорност, попита съдийката от ВКС.

Цветинка Пашкунова се застъпи, че това са изключително важни въпроси и изтъкна, че много от тях идват не от некомпетентност, а от тези места, на които вече се ползва "Треликс".

Настана разправия какво да се прави, като мнозинството - прокурорската колегия и доста от съдиите от политическата квота гласуваха - все пак да се изслуша представителят на "Информационно обслужване".

"Аз не съм привърженик на демонстрации, но моето присъствие тук е просто излишно!", видимо побесня Захарова.

И в следващите минути явно положи усилия, като се овладя да не стане и да си тръгне - нещо, което би било безпрецедентно от началото на мандата ѝ.

Чак в 13:37 ч. бе дадена почивка, уж за 15 мин. След повече от половин час на угасени монитори - в 14:13 ч. съветът гласува единодушно с 14 гласа темата да се отложи.

---

* А ето и текста на писмото на Съюза на съдиите в България от вчера:

Уважаеми членове на Висшия съдебен съвет,

С настоящото писмо настояваме за незабавно спиране на въвеждането на антивирусен агент Trellix Endpoint Security Power Edition в съдилищата. Известно ни е наличието на сериозни опасения в средите на съдийската общност, както и между системните администратори на съдилищата за рисковете за информационната сигурност, защитата на личните данни и независимостта на съдебната власт.

Съдийската общност и съдийските организации бяха напълно изолирани от по съществото си административно-командния процес по въвеждане на посочения програмен продукт.

Оскъдната информация, до която имаме достъп показва, че отговорите на служители на ВСС и на „Информационно обслужване“ АД на сериозните възражения на системните администратори, страдат от редица значими несъответствия, неясноти и противоречия.

Съгласно международните стандарти (ISO 27001, ISO 27701, NIS2, ENISA, NIST CSF 2.0), внедряване на подобна критична технология трябва да бъде обосновано, прозрачно, риск-базирано и подложено на независим одит. Нито едно от тези принципни изисквания не е изпълнено при внедряването на агента.

Предоставената информация от ВСС и „Информационно обслужване“ АД (ИО) на запитванията от съдилищата не дават убедителен отговор на основните пораждащи съмнения въпроси:

Относно обработката на лични данни

ВСС/ИО многократно твърдят, че Trellix „не обработва лични данни“, но заедно с това се посочва, че системата „събира телеметрия“, обработва „метаданни на процеси“, анализира „подписване, стартиране и компрометирани процеси“.

Тези процеси, съгласно член 4 GDPR, представляват обработка на лични данни, предвид връзката между обработваните данни и информация за титулярите на работните станции.

Липсата на DPIA – грубо нарушение на GDPR и ISO 27701

DPIA (оценка на въздействието върху защитата на данните) е задължително изискване по чл. 35 GDPR, ISO 27701 (изискване за Privacy Impact Assessment), практиките на ENISA и европейските регулатори.

Позволява се централизиран достъп на външен оператор до съдебната инфраструктура

„Информационно обслужване“ АД има 24/7 административен достъп до Trellix платформата и логовете, което представлява  supply-chain риск, който не е документиран; не е аргументиран; не е оценен с риск-анализ; противоречи на със стандартите ISO 27001 (third-party risk) и NIS2 (чл. 21 за веригата на доставки).

Липсва обучение за системните администратори и вътрешен капацитет в съдилищата

Това означава пълна технологична зависимост от външния оператор, което нарушава принципите на NIST CSF (функция GOVERN); принципа на институционална самостоятелност и автономност.

Неубедителност и несъответствие в твърденията относно функциите на Тrellix

Отрича се наличието на DLP модул, контрол на файлове и мониторинг на потребителска активност, но стандартните функционалности на EDR за отговор на инциденти позволяват дистанционно изпълнение на команди и извличане на информация.

Това поражда обективни съмнения за непълно разкриване на реалните способности на продукта, чието въвеждане е започнало.

Липса на разумни аргументи от обхвата на нововъдения агент Trellix да бъдат изключени прокуратурата, административните съдилища и ВАС

Следните, неизчерпателно посочени обстоятелства, налагат незабавно спиране на внедряването на антивирусния агент:

Фактическа обработка на лични данни, независимо от отричането на такава в дадените до момента отговори.

Липса на абсолютно задължителна DPIA, предвид обработката на данни на магистрати, страни, включително и адвокати, свидетели.

Необоснована концентрация на административни права в „ИО“ АД.

Липса на достъп на администраторите на съдилищата до отнасящите се до тях ресурси, наблюдавани чрез Trellix, включително по отношение на журналните записи за извършвани действия.

Неясна регулаторна рамка при изключване на прокуратурата и ВАС.

Съмнения за непълно разкриване на реалните функции на системата.

Липса на независим експертен одит (кибер, правен, GDPR).

На основа на изложеното настояваме ВСС да предприеме незабавно:

Спиране на внедряването на Trellix, до представяне на оценка на въздействието върху защитата на данните (чл. 35 GDPR); независим одит по ISO 27001 и NIS2; правен анализ на обхвата, включително ролята на ИО АД.

Провеждане на открито експертно обсъждане, което да включва:

  • съдийската общност;
  • киберексперти;
  • представители на академичните среди;
  • Комисията за защита на личните данни;
  • външен независим одитор;
  • неправителствени организации;
  • медии.

Публикуване на цялостната документация, включваща:

  • технически спецификации;
  • договори;
  • одити;
  • критерии за избор на Trellix;
  • становища на ИО АД;
  • всички решения на ВСС.

Внедряването на Trellix в съдилищата, в настоящия непрозрачен и необоснован вид, не отговаря на международните стандарти, създава сериозни рискове за независимостта на съдебната власт, защитата на личните данни и информационната сигурност, и компрометира доверието в управлението на съдебната система. В редица съдилища съдиите изразяват несъгласие с начина на внедряване на посочения продукт.

Спирането и прегледът на процеса не е институционална конфронтация, а необходима превантивна мярка.

Гр. София, 26.11.2025 г.                   

От името на Управителния съвет на
Съюза на съдиите в България