Dyrektorzy IT w administracji publicznej bez nadzoru. Eksperci biją na alarm – systemy zagrożone
redakcja naTemat
22 stycznia 2019, 16:31·3 minuty czytania
Publikacja artykułu: 22 stycznia 2019, 16:31
Polskie służby dbające o bezpieczeństwo w sieci od dawna analizują działania zagranicznych, nieeuropejskich koncernów informatycznych na terenie kraju. Kiedy jednak ubiegłym roku Departament Bezpieczeństwa USA zakazał administracji rządowej korzystania z oprogramowania Kaspersky Lab, ani polskie służby wywiadowcze ani Ministerstwo Cyfryzacji nie podjęły żadnych kroków.
Reklama.
Oskarżenia pod adresem Kaspersky Lab są poważne: według ustaleń izraelskiego wywiadu, rosyjskie służby włamały się na serwery firmy Kaspersky, żeby wykradać dane z chronionych komputerów.
W 2017 roku Departament Bezpieczeństwa USA wydał dyrektywę zgodnie z którą instytucje rządowe zostały zobowiązane do usunięcia ze swoich komputerów oprogramowanie Kaspersky Lab.
“Rosyjski rząd, działając samodzielnie lub we współpracy z Kasperskym, może wykorzystywać dostęp umożliwiany przez produkty firmy Kaspersky w sposób bezpośrednio zagrażający bezpieczeństwu narodowemu USA" - cytuje decyzję Departamentu portal POLITICO.
Podejrzenia pod adresem rosyjskiego antywirusa zaniepokoiły również prywatnych użytkowników. W efekcie sieć handlowa Best Buy ogłosiła, że nie będzie już instalowała oprogramowania antywirusowego Kaspersky na komputerach, które sprzedaje.
W Polsce - brak działań
Doniesienia z USA nie wpłynęły na decyzje polskiej administracji, która nie podjęła żadnych konkretnych kroków w sprawie korzystania z oprogramowania. Co więcej, kolejne instytucje ogłaszają przetargi, które kończą się zakupem rosyjskiego antywirusa.
W latach 2012-2018 administracja publiczna rozstrzygnęła ponad 30 przetargów na instalację Kaspersky Lab. Oprogramowanie znajduje się obecnie na komputerach Wojskowej Akademii Technicznej, a także prokuratur, izb skarbowych czy urzędów miejskich.
Ciekawostką jest, że Państwowy Instytut Łączności wyraźnie wskazuje, jakie 11 parametrów muszą spełniać systemy zabezpieczeń stosowane w instytucjach zaufania publicznego. W zaleceniach Instytutu czytamy, że systemy wybierane przez administrację państwową muszą m.in ‘’gwarantować brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego czy zabezpieczenia współdzielenia danych’’.
Jedną z niewielu instytucji, które wyraziły obawy o bezpieczeństwo publicznych danych była TVP. ‘’Do końca pierwszego półrocza 2019 roku, oprogramowanie antywirusowe Kaspersky zostanie zastąpione innym rozwiązaniem, kompatybilnym ze zróżnicowanym środowiskiem informatycznym występującym w TVP’’ - poinformowała Telewizja Polska w komunikacie prasowym w lipcu 2018 r.
Komórki polityków mogą być na podsłuchu?
Zdaniem posłów PO Joanny Frydrych, Bożeny Henczycy i Killiona Munyamy, koordynator służb specjalnych powinien przygotować wytyczne dotyczące aplikacji, wykorzystywanych przez polityków podczas rozmów przez komórki.
Ich zdaniem, służby, w tym ABW, winny uczulić polityków na zagrożenia związane z komunikatorami. "Jak służby sprawdzają oprogramowanie zabezpieczające sektor publiczny?" – pytają posłowie.
‘’Wykorzystywanie powszechnie stosowanych zagranicznych komunikatorów głosowych przez rosyjskie, a także inne służby specjalne nie jest tajemnicą. Oprogramowanie wykorzystywane w komunikatorach typu: WhatsApp, Signal, Facebook Messenger oraz wiele innych, stanowi ogromne źródło wiedzy o użytkowniku, gromadząc dane, które przekazują do serwerów znajdujących się poza granicami Polski” – piszą posłowie w interpelacji, skierowanej do Sejmu.
Eksperci drążą jeszcze dalej: - Czy Polska ma kody źródłowe do zagranicznych programów zabezpieczających? Czy brak działań i procedur nie naraża państwa na realne zagrożenie? - pytają eksperci z firmy MK Mydata. – Warto zastanowić się, jak zamierzamy chronić nasze systemy przed atakami programów i aplikacji, których serwery zbierają dane i znajdują się poza granicami naszego kraju – dodają.
Instytut Łączności – Państwowy Instytut Badawczy – Zalecenia
1. Możliwość szyfrowania plików
2. Możliwość szyfrowania folderów
3. Możliwość odzyskiwania plików
4. Zaszyfrowane przesyłanie plików
5. Szyfrowanie end to end
6. Możliwość zabezpieczonego współdzielenia danych
7. Możliwość szyfrowania plików zarchiwizowanych
8. Możliwość szyfrowania back’up
9. Możliwość śledzenia historii przetwarzania oraz rozliczania przez Administratora Danych Osobowych
10. Brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego
11. Możliwość zablokowania dostępu do szyfrowanych danych administratorowi sieci IT