Fujitsu personeli, Postane şube sistemlerine “sınırsız ve denetlenemez” uzaktan erişime sahipti


Fujitsu’nun, subpostmaster’lardan gizlenebilecek değişiklikleri yapmak için Postane şube hesaplarına uzaktan erişen teknik destek ekiplerinden birindeki personel üzerinde hiçbir kontrolü yoktu.

Uzaktan erişimin mümkün olduğu zaten ortaya çıkmış olsa da, bir Post Office Horizon skandalı kamu soruşturması duruşması sırasında ortaya çıkan bu erişimin kontrol edilmemesi, Fujitsu’nun hataya açık sistemini destekleyen gevşek uygulamalarına daha fazla ışık tutuyor.

Post Office Horizon skandalı kamu soruşturması, Fujitsu’nun Postane şubelerine üçüncü hat teknik destek sağlayan Yazılım Destek Merkezinde (SCC) çalışan personelin şube hesaplarına “sınırsız ve denetlenemez” uzaktan erişime sahip olduğunu duydu.

Horizon yazılımı, esas olarak manuel muhasebe uygulamalarının yerini almak için 1999 yılında tanıtıldı. Aslen ICL’den, Fujitsu tarafından satın alınmasından önce, BT sistemi binlerce Postane şubesine dağıtıldı, ancak kullanıma sunulması, alt posta müdürlerinin hesaplarında açıklanamayan açıkları rapor etmelerinde ani bir artışa yol açtı ve bunun için suçlandılar.

Yüzlercesi yargılandı, bazıları hapse gönderildi ve binlercesi büyük meblağlar kaybetti ve çoğu iflas etti. Toplamda, 86 eski subpostmaster şimdiye kadar dolandırıcılık ve hırsızlıktan haksız yere hüküm giydi.

Fujitsu personelinin hesaplara sınırsız ve denetlenemez erişiminin varlığı, açıklanamayan kayıpların subpostmaster hatası veya hırsızlıktan kaynaklandığına dair her türlü suçlamayı sorgulayabilirdi.

Eski bir SCC yöneticisi olan Stephen Parker, tartışmalı Horizon sisteminin işleyişini araştıran mevcut aşamasında kamu soruşturmasıyla karşı karşıya kaldı. Sorgulama sırasında, şube sistemlerine uzaktan erişen SCC personelinin kontrolünün, onların güvenilir olmalarına ve erişim politikasını takip etmelerine bağlı olduğunu ve faaliyetleri üzerinde herhangi bir denetleme yapılmadığını kabul etti.

Postane reddi

Yıllarca, Horizon sistem hatalarının muhasebe açıklarına neden olduğu iddialarının baskısı altındaki Postane, şube hesaplarına uzaktan erişimin mümkün olduğunu reddetti. 2015 yılında, 2015 tarihli BIS Seçme Komitesi Soruşturmasına ilişkin yazılı kanıtta, Postane şunları söyledi: “Ufuk’ta, bir şube, Postane veya Fujitsu’nun işlem verilerini bir kez kaydedildikten sonra düzenleme, işleme veya kaldırma işlevi yoktur. bir şubenin hesapları.” Postane, 2019’daki bir Yüksek Mahkeme davası sırasında, başka seçeneği kalmadığında bunun aslında mümkün olduğunu kabul etti.

Bu hafta (10 Mayıs 2023) yapılan son kamu soruşturması duruşmasında, 2001 tarihli bir operasyon kılavuzu incelendi. “SSC, bir şekilde bozulduğunda sistemdeki verileri düzeltmek için kullanılabilen canlı sisteme erişime sahiptir.”

Soruşturma, Fujitsu’nun personelin değişiklik yapmak için canlı sistemlere uzaktan erişmeden önce tamamlayacakları Operasyonel Düzeltme Talepleri (OCR’ler) olarak bilinen işlemleri yapmaları için yürürlükte olan bir süreci olduğunu duydu. OCR’ler, değişiklikler yapıldığında “dört göz” prosedürü olarak bilinen SSC’den en az iki kişinin dahil olması gerektiğini içeren bir sürece sahiptir.

Ancak erişimin denetlenmesi yoktu ve erişimin doğru kullanımı, insanların sürece bağlı kalmasına bağlıydı. Parker, hatırladığı kadarıyla bu prosedürün subpostmaster hesapları üzerinde mali etkisi olacak değişikliklerle ilgili olduğunu söyledi. “Yalnızca süreç tarafından uygulandı” dedi. “Bu, herkesin bunun gerekli olduğunun farkında olduğu ve bir OCR onaylandığında, [process] yapmaları gerekiyordu.”

Horizon Inquiry avukatı Jason Beer şunları söyledi: “İnsanlar hız sınırının farkında – bu her zaman ona uydukları anlamına gelmez, değil mi?”

Parker, “Sizinle aynı fikirdeyim, ancak DGM üyelerinin bu kurala uymadığı herhangi bir zaman bilmiyorum” dedi.

Ancak, insanların canlı ortama OCR politikaları dışında sistem dışında erişip erişmediğini görmek için bir denetim veya izleme olup olmadığı sorulduğunda, Parker “nihayetinde güvendiklerini” kabul etti. [people] süreci takip etmek”.

Finansal Veri

SCC’de 22 yıl çalışan Parker, finansal verileri düzeltmek veya değiştirmek için canlı gayrimenkule erişimin olup olmadığına dair herhangi bir denetim hatırlamadı. Duruşmada, SCC personelinin şube hesaplarında dijital imza bırakmadan değişiklik yapabileceği ve şubenin subpostmaster’ını karanlıkta bırakabileceği de ortaya çıktı.

Herhangi bir SSC üyesinin kimsenin bilgisi olmadan değişiklik yapabileceğini kabul etti. “Ama bunun olduğunun farkında değilim ve SSC’deki insanların (deneyimli teknisyenler) doğası gereği, bir başkası bir şeyler olduğunu fark etmeden bunu yapma şansı neredeyse sıfır.”

Eski subpostmaster Michael Rudkin, Horizon’a uzaktan erişim hakkında zor sorular sorduğu için Postane tarafından seçildiğinden emin. Rudkin, Ağustos 2008’de Subpostmasters Federasyonu müzakere komitesinin başkanıyken, büro de değişim süreçlerinin nasıl iyileştirilebileceğini inceleyen bir çalışma grubunun parçası olarak bir Fujitsu teknoloji merkezini ziyaret etti. Ziyareti sırasında bir Fujitsu çalışanı, subpostmaster şube hesaplarında subpostmaster’ların bilgisi olmadan uzaktan nasıl değişiklik yapabileceğini gösterdi.

Rudkin’in deneyimi, 2015 yılında eski Fujitsu mühendisi Richard Roll tarafından doğrulandı. Roll, alt posta müdürleri için adalet mücadelesine öncülük eden eski sub posta müdürü Alan Bates ile temasa geçtikten sonra, uzaktan erişim konusunda ıslık çaldı.

2009’da Computer Weekly, Horizon kullanan yedi subpostmaster’ın yaşadığı sorunlara ilişkin bir araştırma yayınladı. Postane, her birine başka kimsenin sorun yaşamadığını söyledi ve bilgisayar hatalarını örtbas etti. Yardım masasının, açıklanamayan muhasebe eksikliklerini araştırmalarına yardımcı olmadığı konusunda subpostmasters’ın yaygın bir şikayetidir.



Source link