Brak nadzoru nad Dyrektorami IT doprowadza do zagrożenia instytucji publicznych. Eksperci biją na alarm.

Polski rząd rozważa wprowadzenie rekomendacji ostrożności wobec produktów oferowanych przez elektronicznego giganta Huawei. To kolejny, po Kaspersky Lab w 2018 r, incydent z oprogramowaniem lub sprzętem technicznym zagranicznego producenta, który został oceniony jako zagrożenie dla bezpieczeństwa państwa. Zagrożone są nie tylko komputery publiczne lecz także telefony polityków – ostrzegają eksperci.

 

Polskie służby dbające o bezpieczeństwo w sieci od dawna analizują działania zagranicznych, nieeuropejskich koncernów informatycznych na terenie kraju. Jednak w ubiegłym roku, po tym jak Departament Bezpieczeństwa USA zakazał administracji rządowej korzystania z oprogramowania Kaspersky Lab, ani polskie służby wywiadowcze ani Ministerstwo Cyfryzacji nie podjęły żadnych kroków.

 

‘’Nie wydano żadnych zaleceń jednostkom administracji publicznej, żeby nie korzystały z oprogramowania Kaspersky Lab’’ – ze zdziwieniem podkreśla Waldemar Skrzypczak, ekspert od bezpieczeństwa i były dowódca Wojsk Lądowych.

 

Tymczasem według ustaleń izraelskiego wywiadu, rosyjskie służby włamały się na serwery firmy Kaspersky, żeby wykradać dane z chronionych komputerów. Choć oskarżeń pod adresem Kaspersky Lab przybywa, to polska administracja nie podjęła żadnych konkretnych decyzji w sprawie korzystania z oprogramowania. Co więcej, kolejne instytucje ogłaszają przetargi, które kończą się zakupem rosyjskiego antywirusa. Z dostępnych danych wynika, że w latach 2012-2018 administracja publiczna (w tym Prokuratury, Izby Skarbowe, Urzędy miejskie, Wojskowa Akademia Techniczna) rozstrzygnęły ponad 30 przetargów i zainstalowały systemy Kaspersky Lab!!!!

Jak czytamy w POLITICO (wpływowym amerykańskim magazynie opinii) w USA rządowy organ Departament Bezpieczeństwa (DHS) wydał w 2017 roku dyrektywę zakazującą używania oprogramowania Kaspersky na komputerach administracji cywilnej, ponieważ „rosyjski rząd, działając samodzielnie lub we współpracy z Kasperskym, może wykorzystywać dostęp umożliwiany przez produkty firmy Kaspersky w sposób bezpośrednio zagrażający bezpieczeństwu narodowemu USA”. W rezultacie m.in. sieć handlowa Best Buy ogłosiła, że nie będzie już instalowała oprogramowania antywirusowego Kaspersky na komputerach, które sprzedaje.

Polscy urzędnicy chcieliby, aby nasze służby zabrały oficjalne stanowisko w sprawie i przekazały jakiekolwiek wskazówki, jak traktować oprogramowanie dostarczane przez Kaspersky Lab. Tymczasem Ministerstwo Cyfryzacji w odpowiedzi na pytania odpowiada, że „nie ma narzędzi ani prawnych, ani technicznych, by działać na takim polu”. Zdaniem biura prasowego resortu problematyka ta „pozostaje raczej w zakresie działania służb specjalnych i to je należy o to dopytywać”. Agencja Bezpieczeństwa Wewnętrznego nie komentuje sprawy.

Ciekawostką jest, że Państwowy Instytut Łączności wyraźnie wskazuje, jakie 11 parametrów muszą spełniać systemy zabezpieczeń stosowane w instytucjach zaufania publicznego. W zaleceniach Instytutu czytamy, że systemy wybierane przez administrację państwową muszą m.in ‘’gwarantować brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego czy zabezpieczenia współdzielenia danych’’.

 

Instytut Łączności – Państwowy Instytut Badawczy – Zalecenia

  1. Możliwość szyfrowania plików
  2. Możliwość szyfrowania folderów
  3. Możliwość odzyskiwania plików
  4. Zaszyfrowane przesyłanie plików
  5. Szyfrowanie end to end
  6. Możliwość zabezpieczonego współdzielenia danych
  7. Możliwość szyfrowania plików zarchiwizowanych
  8. Możliwość szyfrowania back’up
  9. Możliwość śledzenia historii przetwarzania oraz rozliczania przez Administratora Danych Osobowych
  10. Brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego
  11. Możliwość zablokowania dostępu do szyfrowanych danych administratorowi sieci IT

 

https://www.il-pib.pl/images/stories/oferta/ekspertyzy/Porownanie-narzedzi-do-szyfrowania-danych.pdf

 

Jedną z niewielu instytucji, które wyraziły obawy o bezpieczeństwo publicznych danych była TVP. ‘’ Do końca pierwszego półrocza 2019 roku, oprogramowanie antywirusowe Kaspersky zostanie zastąpione innym rozwiązaniem, kompatybilnym ze zróżnicowanym środowiskiem informatycznym występującym w TVP’’ – poinformowała Telewizja Polska w komunikacie przekazanym portalowi Wirtualnemedia.pl w lipcu 2018 r.

 

Komórki polityków mogą być na podsłuchu. Winne popularne, darmowe komunikatory.

Zdaniem posłów PO Joanny Frydrych, Bożeny Henczycy i Killiona Munyamy, koordynator służb specjalnych powinien przygotować wytyczne dotyczące aplikacji, wykorzystywanych przez polityków podczas rozmów przez komórki. Służby – w tym ABW – winny uczulić polityków na zagrożenia związane z komunikatorami. Jak służby sprawdzają oprogramowanie zabezpieczające sektor publiczny – zadają pytanie.

 

‘’Wykorzystywanie powszechnie stosowanych zagranicznych komunikatorów głosowych przez rosyjskie, a także inne służby specjalne nie jest tajemnicą. Oprogramowanie wykorzystywane w komunikatorach typu: WhatsApp, Signal, Facebook Messenger oraz wiele innych, stanowi ogromne źródło wiedzy o użytkowniku, gromadząc dane, które przekazują do serwerów znajdujących się poza granicami Polski” – piszą posłowie w interpelacji, skierowanej do Sejmu.

 

Gen. Waldemar Skrzypczak zwraca uwagę na fakt, że twórcami Vibera są Białorusini, a Telegrama – Rosjanie. Istnieje prawdopodobieństwo, że te aplikacje są kontrolowane przez służby tamtych państw.

 

Czy Polska ma kody źródłowe do zagranicznych programów zabezpieczających? Czy brak działań i procedur nie naraża państwa na realne zagrożenie? Jak zamierzamy chronić nasze systemy przed atakami programów i aplikacji, których serwery zbierają dane i znajdują się poza granicami naszego kraju – zastanawiają się eksperci bezpieczeństwa MK Mydata.

 

Autor: Leszek Cieloch, Business Journal