Бесплатно Экспресс-аудит сайта:

25.02.2021

Руководители Fujitsu знали об уязвимостях в IT-системе Horizon

Бывший сотрудник компании Fujitsu, работавшей над разработкой IT-системы британской почты Horizon, рассказал, что его руководство знало об опасных уязвимостях в системе еще до ее запуска. По словам разработчика, IT-система Horizon «никогда не должна была увидеть свет».

Horizon — компьютерная система, используемая почтовой службой Великобритании. IT-система была разработана компаниями ICL и Fujitsu Services и внедрена почтовой службой в 1999 году.

IT-система Horizon связана со скандалом, в рамках которого сотни сотрудников почты были ошибочно обвинены в мошенничестве и фальсификации отчетности, пока в 2019 году Верховный суд не доказал их невиновность, обнаружив уязвимости в компьютерной системе почтового отделения, запущенной в 1999 году. IT-система Horizon содержала уязвимости, затрагивающие учетные записи работников почты.

«Система прошла большое количество тестирований, и специалисты выявляли тысячи проблем», — приводит слова разработчика издание ComputerWeekly.

Бывший сотрудник Fujitsu с 1998 по 2000 годы работал по контракту над проектом Horizon. По его словам, руководство было осведомлено о проблемах в системе за много месяцев до ее запуска. Система Horizon Epos изначально была создана без необходимых проектных документов, проверок кода, экспертных оценок и стандартов кодирования. По словам бывшего сотрудника, никто из членов команды разработчиков не имел соответствующего образования и квалификации, и не работал над проектами подобного масштаба.

При этом старшие менеджеры Fujitsu знали, что важный элемент системы Horizon работает некорректно и не может быть исправлен. В течение первых 10 лет существования Horizon данные о транзакциях и счетах хранились на терминалах в филиалах почты, а затем загружались в центральную базу данных через ISDN. Разработчик же утверждает, что эта часть системы просто не работала.

«Многие внесенные записи просто не имели смысла, потому что у почты не было словаря данных, не было API, обеспечивающего целостность сообщений. Каждый работник вносил записи по-своему, и система не была способна их учесть», — пояснил разработчик.