Polski rząd rozważa wprowadzenie rekomendacji ostrożności wobec produktów oferowanych przez elektronicznego giganta Huawei. To kolejny, po Kaspersky Lab w 2018 r, incydent z oprogramowaniem lub sprzętem technicznym zagranicznego producenta, który został oceniony jako zagrożenie dla bezpieczeństwa państwa. Zagrożone są nie tylko komputery publiczne lecz także telefony polityków – ostrzegają eksperci.
Polskie służby dbające o bezpieczeństwo w sieci od dawna analizują działania zagranicznych, nieeuropejskich koncernów informatycznych na terenie kraju. Jednak w ubiegłym roku, po tym jak Departament Bezpieczeństwa USA zakazał administracji rządowej korzystania z oprogramowania Kaspersky Lab, ani polskie służby wywiadowcze ani Ministerstwo Cyfryzacji nie podjęły żadnych kroków.
‘’Nie wydano żadnych zaleceń jednostkom administracji publicznej, żeby nie korzystały z oprogramowania Kaspersky Lab’’ – ze zdziwieniem podkreśla Waldemar Skrzypczak, ekspert od bezpieczeństwa i były dowódca Wojsk Lądowych.
Tymczasem według ustaleń izraelskiego wywiadu, rosyjskie służby włamały się na serwery firmy Kaspersky, żeby wykradać dane z chronionych komputerów. Choć oskarżeń pod adresem Kaspersky Lab przybywa, to polska administracja nie podjęła żadnych konkretnych decyzji w sprawie korzystania z oprogramowania. Co więcej, kolejne instytucje ogłaszają przetargi, które kończą się zakupem rosyjskiego antywirusa. Z dostępnych danych wynika, że w latach 2012-2018 administracja publiczna (w tym Prokuratury, Izby Skarbowe, Urzędy miejskie, Wojskowa Akademia Techniczna) rozstrzygnęły ponad 30 przetargów i zainstalowały systemy Kaspersky Lab!!!!
Jak czytamy w POLITICO (wpływowym amerykańskim magazynie opinii) w USA rządowy organ Departament Bezpieczeństwa (DHS) wydał w 2017 roku dyrektywę zakazującą używania oprogramowania Kaspersky na komputerach administracji cywilnej, ponieważ “rosyjski rząd, działając samodzielnie lub we współpracy z Kasperskym, może wykorzystywać dostęp umożliwiany przez produkty firmy Kaspersky w sposób bezpośrednio zagrażający bezpieczeństwu narodowemu USA”. W rezultacie m.in. sieć handlowa Best Buy ogłosiła, że nie będzie już instalowała oprogramowania antywirusowego Kaspersky na komputerach, które sprzedaje.
Polscy urzędnicy chcieliby, aby nasze służby zabrały oficjalne stanowisko w sprawie i przekazały jakiekolwiek wskazówki, jak traktować oprogramowanie dostarczane przez Kaspersky Lab. Tymczasem Ministerstwo Cyfryzacji w odpowiedzi na pytania odpowiada, że „nie ma narzędzi ani prawnych, ani technicznych, by działać na takim polu”. Zdaniem biura prasowego resortu problematyka ta „pozostaje raczej w zakresie działania służb specjalnych i to je należy o to dopytywać”. Agencja Bezpieczeństwa Wewnętrznego nie komentuje sprawy.
Ciekawostką jest, że Państwowy Instytut Łączności wyraźnie wskazuje, jakie 11 parametrów muszą spełniać systemy zabezpieczeń stosowane w instytucjach zaufania publicznego. W zaleceniach Instytutu czytamy, że systemy wybierane przez administrację państwową muszą m.in ‘’gwarantować brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego czy zabezpieczenia współdzielenia danych’’.
Instytut Łączności – Państwowy Instytut Badawczy – Zalecenia
- Możliwość szyfrowania plików
- Możliwość szyfrowania folderów
- Możliwość odzyskiwania plików
- Zaszyfrowane przesyłanie plików
- Szyfrowanie end to end
- Możliwość zabezpieczonego współdzielenia danych
- Możliwość szyfrowania plików zarchiwizowanych
- Możliwość szyfrowania back’up
- Możliwość śledzenia historii przetwarzania oraz rozliczania przez Administratora Danych Osobowych
- Brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego
- Możliwość zablokowania dostępu do szyfrowanych danych administratorowi sieci IT
https://www.il-pib.pl/images/stories/oferta/ekspertyzy/Porownanie-narzedzi-do-szyfrowania-danych.pdf
Jedną z niewielu instytucji, które wyraziły obawy o bezpieczeństwo publicznych danych była TVP. ‘’ Do końca pierwszego półrocza 2019 roku, oprogramowanie antywirusowe Kaspersky zostanie zastąpione innym rozwiązaniem, kompatybilnym ze zróżnicowanym środowiskiem informatycznym występującym w TVP’’ – poinformowała Telewizja Polska w komunikacie przekazanym portalowi Wirtualnemedia.pl w lipcu 2018 r.
Komórki polityków mogą być na podsłuchu. Winne popularne, darmowe komunikatory.
Zdaniem posłów PO Joanny Frydrych, Bożeny Henczycy i Killiona Munyamy, koordynator służb specjalnych powinien przygotować wytyczne dotyczące aplikacji, wykorzystywanych przez polityków podczas rozmów przez komórki. Służby – w tym ABW – winny uczulić polityków na zagrożenia związane z komunikatorami. Jak służby sprawdzają oprogramowanie zabezpieczające sektor publiczny – zadają pytanie.
‘’Wykorzystywanie powszechnie stosowanych zagranicznych komunikatorów głosowych przez rosyjskie, a także inne służby specjalne nie jest tajemnicą. Oprogramowanie wykorzystywane w komunikatorach typu: WhatsApp, Signal, Facebook Messenger oraz wiele innych, stanowi ogromne źródło wiedzy o użytkowniku, gromadząc dane, które przekazują do serwerów znajdujących się poza granicami Polski” – piszą posłowie w interpelacji, skierowanej do Sejmu.
Gen. Waldemar Skrzypczak zwraca uwagę na fakt, że twórcami Vibera są Białorusini, a Telegrama – Rosjanie. Istnieje prawdopodobieństwo, że te aplikacje są kontrolowane przez służby tamtych państw.
Czy Polska ma kody źródłowe do zagranicznych programów zabezpieczających? Czy brak działań i procedur nie naraża państwa na realne zagrożenie? Jak zamierzamy chronić nasze systemy przed atakami programów i aplikacji, których serwery zbierają dane i znajdują się poza granicami naszego kraju – zastanawiają się eksperci bezpieczeństwa MK Mydata.
Autor: Leszek Cieloch, Business Journal