Dziennikarze Wirtualnej Polski sprawdzili, jak zabezpieczonej są skrzynki mailowe po ataku hakerskim, których ofiarą padł m.in. Michał Dworczyk oraz inni politycy z różnych klubów i kół poselskich. Z ich analizy wynika, że na swoje sejmowe skrzynki pocztowe mogą zalogować się byli pracownicy Kancelarii Sejmu, którzy swoją pracę zakończyli w 2015 i 2018 r.
Osoby te mają możliwość wysyłania maili z domeny sejmowej. Mogą się też logować na zdalne posiedzenia sejmowych komisji i podkomisji, również te, które nie są transmitowane publicznie. Ekspert pragnący zachować anonimowość zwraca uwagę, że loginy i hasła umożliwiające uzyskiwanie szczególnych informacji, jak w ujawnionym przez dziennikarzy przypadku, można sprzedać.
„Obce służby mogły niepostrzeżenie wchodzić na rządowe serwery i swobodnie podglądać państwowe tajemnice. Tak wygląda rzeczywistość w państwie, które mierzy się właśnie ze zorganizowanym atakiem hakerskim” – opisują autorzy tekstu.
Niski poziom zabezpieczeń skrzynek sejmowych
Rozmówcy WP ocenili również, że poziom zabezpieczeń skrzynek sejmowych jest „gorszy niż w przeciętnym banku w niewielkim mieście”. Nie ma m.in. wieloskładnikowego uwierzytelniania. Kłopotem są również serwery pocztowe, z których korzysta Sejm. Jeden z nich nie jest wspierany od 11 lat. W innym serwerze są luki w zabezpieczeniach.
Z kolei Kancelaria Premiera korzysta z jednego z najbardziej popularnych systemów pocztowych na świecie, w którym również istnieją poważne luki w serwerach pocztowych, umożliwiające do nich włamania. Możliwe, że za decyzją o stosowaniu przestarzałego oprogramowania, stoją kwestie finansowe.
Specjalista IT o „braku świadomości”
Maciej Jan Broniarz, architekt bezpieczeństwa i systemów informatycznych, zauważył jednak, że „kłopotem nie jest brak pieniędzy, lecz niedostatki świadomości, jak należy działać”. – Nie pomaga ucinanie budżetów na wynagrodzenia dla specjalistów – komentuje. Specjalista IT Grzegorz Tworek stwierdził, że „nie możemy wykluczyć, że przez kilka miesięcy ktoś był na serwerach KPRM i my nawet o tym nie wiedzieliśmy”.
Ekspert dodał, że „administrator nie przestrzegał reguł określonych we właściwej polityce bezpieczeństwa, albo reguły obowiązujące w KPRM znacząco odstają od tych, które są powszechnie obowiązujące”.
Minister w dwóch miejscach jednocześnie?
Dziennikarze namówili również jednego z członków rządu na eksperyment (nie ujawniono, kto się na to zgodził). Minister najpierw zalogował się na konto z prywatnego komputera w Warszawie, potem za pomocą VPN-u wybrał, że loguje się z Tajwanu, a następnie znowu zalogował się na swojej poczcie z Warszawy. Przez dwa tygodnie nikt nie odezwał się do polityka.
Czytaj też:
ABW: Doszło do ataku hakerskiego na pocztę Sejmu RP