По време на изслушването на специалистите, които са направили одит на Централизираната система за случайно разпределение на делата (ЦССРД), те са обяснили слабостите, които са установили.

Ето част от тях:

По време на проверката и тестовете са били идентифицирани множество критични уязвимости в системата на ЦССРД, които могат да доведат до цялостна манипулация на резултатите от случайни разпределения на съдии по съответните дела.

Част от уязвимостите позволяват на съдия с права върху конкретен съд да извършва следните действия:
- Да добавя нови съдилища;
- Да достъпва и редактира информация на чуждо съдилище;
- Да достъпва, редактира и изтрива инкрементални номера;
- Да достъпва и изтрива отсъствия и регистрирани дежурства;
- Да се достъпват и модифицират данните на други потребители;
- Да разпределя дело на съдия от чужд съд.

Тези уязвимости са описани в детайли в секцията "Описание на уязвимости".

В обобщение на резултатите от проведените тестове е необходимо да бъде отбелязано, че системата на ЦССРД използва технологии, които не са съвременни и съответно голяма част от векторите за атака са приложими.

Системата е написана без фокус върху нейната сигурност и откритите уязвимости представляват сериозна заплаха за нея и данните, с които работи тя.

Критичните уязвимости са също така изключителни лесно възпроизведими дори и за нетехническо лице с малък опит в сферата на киберсигурността. Някои от тях могат да доведат до пряка манипулация на данните в Централизираната система за случайно разпределение на делата.

По време на тестовете за оценка на сигурността и прегледа за наличието на журнални файлове, са били забелязани следи от потенциално злонамерена дейност спрямо системата на ЦССРД.

По време на тестовете за оценка на сигурността са били идентифицирани 23 уязвимости. От тях, 11 са категоризирани с високо ниво на риск, 2 със средно и 10 с ниско.

Системата на ЦССРД изисква всеки регистриран потребител да разполага с КЕП (квалифициран електронен подпис) с цел автентикация.

Електронният подпис следва да е обвързан с профила на съответния потребител и верификацията да се прави на ниво уеб приложение.

В конкретния случай системата действително изисква електронен подпис, но не го верифицира спрямо асоциирания с конкретния потребител. Това представлява уязвимост с високо ниво на риск поради факта, че всяко лице с валиден КЕП може да достъпи системата при условие, че е преминал защитната стена.

Системата би следвало да проверява дали електронният подпис на потребителя фигурира в системата като разрешен за достъп. Към този момент проверка се прави единствено за това дали се използва такъв, но не и дали той е верифициран засистемата на ЦССРД, уточняват от БНТ.