O noua bresa de securitate a fost descoperita la o instanta din Romania, asa cum s-a intamplat deja la Tribunalul Valcea (click aici pentru a citi). Este vorba despre Curtea de Apel Cluj, unde au avut loc verificari privind accesarea nepermisa a serverelor instantei, in contextul in care CSM a suspendat procesul de centralizare a sistemului ECRIS si a calculatoarelor judecatorilor pe un server administrat de Ministerul Justitiei, atragand atentia asupra vulnerabilitatilor grave, precum riscul ca informatii confidentiale din dosare sa poata ajunge in posesia unor persoane din afara autoritatii judecatoresti (click aici pentru a citi).

Sefa Curtii de Apel Cluj, judecatoarea Dana Girbovan (foto), i-a trimis miercuri, 4 septembrie 2024, o sesizare presedintei CSM Denisa Stanisor dupa ce au fost identificate accesari nepermise in serverele instantei. Oferind exemple concrete, Girbovan o instiinteaza pe Stanisor despre existenta unei brese de securitate, in conditiile in care accesarile sistemelor informatice ale Curtii de Apel Cluj au fost unele neautorizate.

Iata un fragment din adresa trimisa la CSM de presedinta Curtii de Apel Cluj Dana Girbovan (documentul integral este atasat la finalul articolului):

“Va aducem la cunostinta urmatoarele aspecte semnalate noua in urma verificarilor tehnice efectuate de Compartimentul IT:

-In data de 05.08.2024 serverele: fizic NOD1, fizic NOD2, virtual baze de date, virtual aplicatii Ecris FE01 au fost accesate de catre utilizatorul (...) care apartine persoanei (...) specialist IT sef in cadrul Tribunalului Covasna, coordonator tehnic in cadrul grupului de lucru infiintat la nivelul Ministerului Justitiei pentru integrare echipamentele de calcul in Active Directoryjust.ro

-In data de 09.08.2024 serverul virtual de aplicatii Ecris FE02 a fost accesat de catre utilizatorul (...). Domnul (...), specialist IT in cadrul Ministerului Justitiei a decedat in 13/10/2021.

-In data de 21.08.2024 serverul fizic Nodl, fizic Nod2 a fost accesat de catre utilizatorul (...) apartinand, aparent, unei persoane din afara sistemului judiciar. La data accesarii, sistemele erau functionale si in productie. Mentionam ca societatea comerciala care a livrat aceste echipamente hardware este SC ASEE SOLUTIONS SRL (fosta ASSECO SEE SRL).

Conform comunicate noua dupa cum s-a aratat mai sus, personalul compartimentului IT nu a solicitat si nu are cunostinta sa se fi solicitat accesarea serverelor institutiei, motiv pentru care catalogheaza accesarile identificate drept accese neautorizate ale sistemelor informatice apartinand Curtii de Apel Cluj.

(...)

In continuare, in cele comunicate de compartimentul IT s-a aratat ca luni, 02.09.2024, specialistul IT (...) angajat in cadrul Ministerului Justitiei a confirmat pe un grup de Whatsapp utilizat de catre specialistii IT din cadrul instantelor judecatoresti, faptul ca 'o colega' a verificat unele setari de retea pe serverele fizice (ori conform Anexei 1, accesul a fost pe serverul virtual FE02).

Suplimentar fata de cele expuse, s-a mentionat ca specialistii IT din cadrul curtii de apel nu au posibilitatea tehnica de a identifica operatiunile efectuate de utilizatorii mentionati anterior. Intrucat utilizatorii care s-au conectat au avut drepturi de administrator, acestia au avut posibilitatea de a altera informatiile din sistemul de jurnalizare.

S-a mai precizat faptul ca serverele puteau fi accesate si de alti utilizatori de tip administrator definiti la nivelul AD just.ro al Ministerului Justitiei, fara a lasa urme in sistemul de jurnalizare (dovezile putand fi sterse in virtutea calitatii de administrator cu drepturi depline)”.