"Lunch w MSZ", "potrzebne decyzje polityczne"

fragment zrzutu ekranu z elektronicznego kalendarza MSZKiedyś, bardzo dawno temu, zadzwonił do mnie jakiś policjant "z terenu" i zapytał, co wiem na temat wydarzeń, które opisałem w jednym z opublikowanych w tym serwisie tekstów. Odpowiedziałem, że w sumie nie wiem więcej, niż opisałem, a wszystkie moje wiadomości zaczerpnąłem z podlinkowanych w tekście źródeł. Uzupełniłem je jedynie o własny komentarz. Mimo tego miałem zostać wezwany w charakterze świadka w sprawie. Ostatecznie tak się nie stało, bo wyjaśniłem skutecznie, że to byłoby bez sensu, gdyż nie miałem żadnych informacji innych, niż te, które zostały opublikowane (zatem były publicznie dostępne) w linkowanych źródłach. Teraz zastanawiam się, jakie zamieszanie może wywołać tekst Niebezpiecznika na temat włamania do Kancelarii Premiera, do infrastruktury teleinformatycznej wykorzystywanej przez Ministerstwo Spraw Zagranicznych, MON i Kancelarię Prezydenta.

Tekst Niebezpiecznika można znaleźć pod tytułem: Kancelaria Premiera, MSZ, MON i Kancelaria Prezydenta zhackowane. Wiemy kto stoi za tymi włamaniami. Tam też zrzuty ekranu, które sugerują, że ktoś potrafił zapoznać się z zawartością skrzynki poczty elektronicznej b. szefa Kancelarii Prezesa Rady Ministrów Tomasza Arabskiego, albo z kalendarzem Ministra Spraw Zagranicznych. Tam również przywoływane są wypowiedzi kogoś występującego pod nickiem Alladyn2, kto miał się przyznać do skutecznego "niezamawianego testu penetracyjnego".

Kilka dni temu, tuż przed wylotem na CeBIT, Pan Premier zorganizował konferencję prasową na wojskowym lotnisku w Warszawie. Dziennikarzy wówczas głównie interesował los Ministra Sprawiedliwości, ale pytano też o aktywność urzędników rządowych na Twitterze (a to za sprawą komunikatów p. Pawła Grasia). Wówczas Pan Premier zadumał się przez chwilę i stwierdził (mniej więcej - wszak przywołuję sens wypowiedzi z pamięci), że skoro dziennikarze zwracają mu uwagę na problem nadmiernej aktywności twitterowej, to może rzeczywiście rząd powinien się nad tym pochylić i nieco ograniczyć taką aktywność. Tu chodziło o problem rozchwiania debaty publicznej społecznościowo-medialnymi "przeciekami" i nie do końca przemyślanymi w sferze konsekwencji debaty publicznej komentarzami. Ja zaś w tej dyskusji zwykle zwracam uwagę na zasadę legalizmu i praworządności (że nie ma podstawy do tego, by były "oficjalne konta na Facebooku czy Twitterze") i sygnalizuję, że im mniej różnych internetowych aktywności "pobocznych", tym lepiej można zabezpieczyć oficjalne, urzędowe narzędzia pracy przedstawicieli państwa.

W odnotowywanym właśnie przypadku nie chodzi o Facebooka, czy Twittera (chociaż Minister Spraw Zagranicznych wykazuje wielką estymę do tej formy komunikowania), ale temat - przynajmniej dla mnie - wiąże się z rozbrykanym zamiłowaniem do korzystania z różnych, niedokonfigurowanych często, zabawek komunikacji społecznej.

Zatem uzyskano dostęp do kalendarza ministra i do treści poczty elektronicznej urzędników. Pragnę zwrócić przy tym uwagę, że taki dostęp mnie nie przeraża. Wszak tego typu informacje są informacjami publicznymi w rozumieniu ustawy o dostępie do informacji publicznej i równie dobrze - skoro ani kalendarze ani treść poczty elektronicznej nie jest objęta żadnym gryfem tajności (w przeciwnym razie dostęp do nich musiałby być ograniczony jedynie do kancelarii tajnej) - te treści mogłyby być publicznie dostępne w Biuletynie Informacji Publicznej (por. Maile doradców Premiera mogą zawierać informacje publiczne; chociaż inaczej NSA: Wyrok NSA z dnia 14 września 2012 r., I OSK 1203/12, który twierdzi: "Korespondencja, w tym także mailowa osoby wykonującej zadania publiczne, z jej współpracownikami nie jest informacja publiczną, nawet jeżeli w jakieś części dotyczy wykonywanych przez tę osobę zadań publicznych. Korespondencja taka nie ma jakiegokolwiek waloru oficjalności, a nawet jeżeli zawiera propozycje dotyczące sposobu załatwienia określonej sprawy publicznej, to mieści się w zakresie swobody niezbędnej dla podjęcia prawidłowej decyzji po rozważaniu wszystkich racji przemawiających za różnorodnymi możliwościami jej załatwienia." Nie zgadzam się z tym wyrokiem.). Wówczas nie trzeba by wnioskować, lub się włamywać, by się zapoznać z informacją na temat aktywności urzędników. To, co niepokoi, to to, że ktoś mógłby modyfikować takie treści. Niepokoi również możliwość zainfekowania innych "zabawek" administracji publicznej (co się ponoć zdarzyło - rozesłano malware; por. Juwenalia w Wyższej Szkole Policji w Szczytnie). Możliwość przeglądania kalendarza ministra, albo poczty 8000 urzędników, w tym poczty szefa Kancelarii Prezesa Rady Ministrów - to robi wrażenie, ale - jak uważam - nie wszystkie informacje, do których uzyskano dostęp, były "informacjami nieprzeznaczonymi" dla sprawcy tego czynu.

Wydaje mi się ważne, by urzędnicy mojego państwa byli świadomi różnicy między tym co urzędowe (a więc wymagające szczególnego podejścia) i tego, co prywatne. Wyobrażam sobie, że Alladyn2 będzie teraz na celowniku ABW i innych służb (nota bene: powstaje właśnie nowa służba, która ma zajmować się kryptografią, wywiadem radiowym i elektronicznym - zob. Były szef ABW trafił do MON. Zajmie się kryptografią), jednocześnie myślę sobie, że tego typu zdarzenia zwiększają świadomość wcześniej zasygnalizowanej różnicy. Odnotowuję zdarzenie, w ramach działu bezpieczeństwo niniejszego serwisu.

Tytuł niniejszej notatki nawiązuje do opublikowanych przez Niebezpiecznik zrzutów ekranów z przejętych przez Alladyn2 zasobów rządowych. "Potrzebne decyzje polityczne" - to fragment tytułu listu elektronicznego ze skrzynki p. Arabskiego, "Lunch w MSZ" - to nawiązanie do zrzutu ekranu z kalendarza Ministra Spraw Zagranicznych.

Przeczytaj również: Cyberbezpieczeństwo stanem wojennym zwane.

Na temat prac związanych z ochroną infrastruktury krytycznej państwa:

Przeczytaj również: "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Legalizm w polskiej informatyce

Wspomniany w tekście legalizm w kontekście mediów typu Facebook czy Twitter, przypomniał mi przemyślenia z lektury wspomnianego artykułu z Niebezpiecznika i komentarzy do niego.
Mianowicie, mimo iż w obecnych czasach tego typu włamania, podmiany stron są "dość" częste, to są one raczej spektakularne medialnie niż groźne (jeśli już to wizerunkowo).
Brak nowoczesnych rozwiązań prawnych w obszarze komunikacji elektronicznej stawia nasz kraj w kiepskim świetle, a obrazu dopełnia kiepsko opłacana kadra techniczna, która próbuje coś z tym zrobić nie mając wsparcia w postaci szkoleń czy inwestycji w odpowiednie zasoby sprzętowe. Brak spójnej polityki i określenia kierunków rozwoju w tym zakresie również nie pomaga (zdaje się pisał Pan nawet o tym jakiś czas temu).
Jest to jednak czubek góry lodowej. Dopóki rozpatrujemy takie włamania jako zabawy domorosłych crackerów (pot. hakerów) wydaje się, że nie jest jeszcze tak źle, ale co jeśli postawimy tezę, że stoją za tym służby innych państw, np. Chin?
Już widzę niedowierzające uśmieszki laików, lecz wystarczy pobieżna lektura wydarzeń ze świata bezpieczeństwa informatycznego z ostatniego roku, a okaże się, ze zapasy w Internecie trwają już od kilku lat na skalę z której, relatywnie niedawno, rządy USA czy Niemiec zdały sobie sprawę. Szpiegostwo przemysłowe prowadzone przez Chiny od wielu lat, które dopiero teraz wychodzi na światło dzienne (szacowane miliardowe straty), robak Stuxnet wykorzystany jako broń w ataku na fabrykę uzdatniania uranu w Natanz w Iranie. To fakty. Tym bardziej, Internet może być narzędziem wywiadowczym.
Wiele krajów jawnie przyznaje się do tworzenia oprogramowania/broni do wojny informatycznej, zmienia prawo żeby mieć prawne narzędzia do takich działań, czy wręcz uznać atak cybernetyczny jak akt wojny (USA).
Nasze władze są jeszcze w elektronicznym średniowieczu, a brak zdecydowanych działań, dostosowywania przepisów dodatkowo spowalnia rozwój w tym obszarze i zostawia kraj na odsłoniętej pozycji. Myślę, że dobrze, zaczyna się mówić o bezpieczeństwie instytucji publicznych, o prawnych wymogach itd. itp., ale należy o tym mówić nawet w kontekście potencjalnego ataku informatycznego na nasze Państwo. W końcu taki atak/włamanie nie będzie spektakularny... może co najwyżej za kilka lat dowiemy się ile straciliśmy jako kraj w globalnych rozgrywkach, bo gdzieś w jakimś urzędzie, jakiś urzędnik, na jakimś urzędowym komputerze, jakoś nie do końca zabezpieczonym, ale zgodnym z "normami", beztrosko surfował po Internecie albo używał znalezionego pendrive'a (pol. laseczka pamięci ;), a na dysku leżały strategiczne dane, jakoś niezabezpieczone, bo jakoś nie było paragrafu, że muszą być...

trochę precyzji

Vagla pisze, że informacje opatrzone gryfem (poprawnie: klauzulą) tajności powinny być w umieszczone w kancelarii tajnej. Myli się. Informacje niejawne o klauzuli "zastrzeżone" nie muszą być w KT.
Z tekstu można wnioskować, że jedynym problemem i jednocześnie ryzykiem jest zawładnięcie przez hakera informacjami niejawnymi. Powinno stosować się pojęcie szersze: tajemnice prawnie chronione.
Powinno pamiętać się jeszcze o ochronie informacji na podstawie ustawy o ochronie danych osobistych.
Tak więc wtargnięcie do systemów rządowych z wielu innych powodów może być naruszeniem prawa i (w konsekwencji) zagrożeniem państwa z drugiej.
KJM

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>