Introducció
LexNet, posat en marxa pel Ministeri de Justícia el 2007 com a mesura estrella per digitalitzar l’administració de justícia, és un sistema de notificacions entre tots els jutjats i els professionals, principalment advocats i procuradors. Cada usuari té unes contrasenyes i un espai segur on s’emmagatzemen totes les notificacions i casos que porten dels seus clients.
Des de gener de 2016 el seu ús és obligatori, i el 2017 es va descobrir que tenia una greu fallada de seguretat quan un advocat es va adonar que si estava autoritzat al sistema i canviava el seu id a l’URL pel d’un altre usuari podia accedir a bústies alienes amb informació molt sensible: dades d’advocats, de litigants, resolucions dels jutges, etc. La confidencialitat és una dimensió de seguretat molt important quan es gestionen dades sensibles.
José Muelas, degà del Col·legi d’Advocats de Cartagena es va posar en contacte amb el Ministeri de Justícia per reportar el problema, després que uns amics l’alertessin d’aquesta fallada de seguretat, i a la nit es va posar a comprovar-ho per si mateix. I davant la manca de resposta del Ministeri, va decidir publicar la seva queixa a Facebook, i va començar la bola de neu a les xarxes socials i els mitjans de publicació.
Poc després el compte oficial de LexNet a Twitter reconeixia la fallada i assegurava estar treballant per resoldre-la. Després va arribar el tancament temporal del sistema (afectant la dimensió de disponibilitat) i, després de cinc hores des de l’avís de Muelas, el Ministeri va assegurar haver resolt finalment la incidència.
El 28 de juliol els responsables de LexNet, van comunicar per Twitter que #Lexnet no prestaria servei des del divendres 28 a les 16:30 fins al dilluns 31 de juliol a les 8:00 per “tasques de manteniment tècnic”, afectant de nou a la dimensió de disponibilitat del servei.
L’AEPD, segons la Resolució R/00433/2018, constata que segons els fets demostrats, mentre va durar el problema (entre el 20 i el 27 de juliol de 2017) “284 usuaris van accedir a 692 bústies que no els pertanyien realitzant 1438 visualitzacions de missatges de forma no autoritzada”. “D’ells”, prossegueix l’escrit, “74 usuaris van accedir a 79 bústies que no els pertanyien i van consultar 432 documents de forma no autoritzada”.
L’AEPD, segons la Resolució R/00433/2018, constata els esforços realitzats pel Ministeri de Justícia per mitigar l’incident de seguretat i evitar situacions similars en el futur. El Ministeri ha dissenyat 69 mesures correctives i preventives, de les quals 55 ja s’han implementat i la resta es troba en fase de desenvolupament i proves.
Al Reial Decret 1065/2015 sobre comunicacions electròniques a l’administració de justícia es defineix LexNeT com “un mitjà de transmissió segur d’informació que mitjançant l’ús de tècniques criptogràfiques garanteix la presentació d’escrits i documents i la recepció d’actes de comunicació, les seves dates d’emissió, posada a disposició i recepció o accés al contingut dels mateixos”.
A jutjar per aquesta resolució i per les successives denúncies de bretxes de seguretat, sembla que no tant. 👻
Es desconeix de moment l’origen de la fallada, però tot apunta a un error en el disseny tècnic inicial del sistema, pel que podria haver estat present fins i tot des de l’inici de LexNet, encara que no ha estat detectat i posat en coneixement fins ara. És un error molt bàsic de com el sistema gestiona els permisos. Tècnicament és molt senzill.
Si no tractes el que en principi té poca importància, pots tenir problemes molt importants. Per això és necessària una anàlisi de risc i gestió de riscos formal i contínua.
TODO
Continua Google Docs