"Lunch w MSZ", "potrzebne decyzje polityczne"

Kiedyś, bardzo dawno temu, zadzwonił do mnie jakiś policjant "z terenu" i zapytał, co wiem na temat wydarzeń, które opisałem w jednym z opublikowanych w tym serwisie tekstów. Odpowiedziałem, że w sumie nie wiem więcej, niż opisałem, a wszystkie moje wiadomości zaczerpnąłem z podlinkowanych w tekście źródeł. Uzupełniłem je jedynie o własny komentarz. Mimo tego miałem zostać wezwany w charakterze świadka w sprawie. Ostatecznie tak się nie stało, bo wyjaśniłem skutecznie, że to byłoby bez sensu, gdyż nie miałem żadnych informacji innych, niż te, które zostały opublikowane (zatem były publicznie dostępne) w linkowanych źródłach. Teraz zastanawiam się, jakie zamieszanie może wywołać tekst Niebezpiecznika na temat włamania do Kancelarii Premiera, do infrastruktury teleinformatycznej wykorzystywanej przez Ministerstwo Spraw Zagranicznych, MON i Kancelarię Prezydenta.

Tekst Niebezpiecznika można znaleźć pod tytułem: Kancelaria Premiera, MSZ, MON i Kancelaria Prezydenta zhackowane. Wiemy kto stoi za tymi włamaniami. Tam też zrzuty ekranu, które sugerują, że ktoś potrafił zapoznać się z zawartością skrzynki poczty elektronicznej b. szefa Kancelarii Prezesa Rady Ministrów Tomasza Arabskiego, albo z kalendarzem Ministra Spraw Zagranicznych. Tam również przywoływane są wypowiedzi kogoś występującego pod nickiem Alladyn2, kto miał się przyznać do skutecznego "niezamawianego testu penetracyjnego".

Kilka dni temu, tuż przed wylotem na CeBIT, Pan Premier zorganizował konferencję prasową na wojskowym lotnisku w Warszawie. Dziennikarzy wówczas głównie interesował los Ministra Sprawiedliwości, ale pytano też o aktywność urzędników rządowych na Twitterze (a to za sprawą komunikatów p. Pawła Grasia). Wówczas Pan Premier zadumał się przez chwilę i stwierdził (mniej więcej - wszak przywołuję sens wypowiedzi z pamięci), że skoro dziennikarze zwracają mu uwagę na problem nadmiernej aktywności twitterowej, to może rzeczywiście rząd powinien się nad tym pochylić i nieco ograniczyć taką aktywność. Tu chodziło o problem rozchwiania debaty publicznej społecznościowo-medialnymi "przeciekami" i nie do końca przemyślanymi w sferze konsekwencji debaty publicznej komentarzami. Ja zaś w tej dyskusji zwykle zwracam uwagę na zasadę legalizmu i praworządności (że nie ma podstawy do tego, by były "oficjalne konta na Facebooku czy Twitterze") i sygnalizuję, że im mniej różnych internetowych aktywności "pobocznych", tym lepiej można zabezpieczyć oficjalne, urzędowe narzędzia pracy przedstawicieli państwa.

W odnotowywanym właśnie przypadku nie chodzi o Facebooka, czy Twittera (chociaż Minister Spraw Zagranicznych wykazuje wielką estymę do tej formy komunikowania), ale temat - przynajmniej dla mnie - wiąże się z rozbrykanym zamiłowaniem do korzystania z różnych, niedokonfigurowanych często, zabawek komunikacji społecznej.

Zatem uzyskano dostęp do kalendarza ministra i do treści poczty elektronicznej urzędników. Pragnę zwrócić przy tym uwagę, że taki dostęp mnie nie przeraża. Wszak tego typu informacje są informacjami publicznymi w rozumieniu ustawy o dostępie do informacji publicznej i równie dobrze - skoro ani kalendarze ani treść poczty elektronicznej nie jest objęta żadnym gryfem tajności (w przeciwnym razie dostęp do nich musiałby być ograniczony jedynie do kancelarii tajnej) - te treści mogłyby być publicznie dostępne w Biuletynie Informacji Publicznej (por. Maile doradców Premiera mogą zawierać informacje publiczne; chociaż inaczej NSA: Wyrok NSA z dnia 14 września 2012 r., I OSK 1203/12, który twierdzi: "Korespondencja, w tym także mailowa osoby wykonującej zadania publiczne, z jej współpracownikami nie jest informacja publiczną, nawet jeżeli w jakieś części dotyczy wykonywanych przez tę osobę zadań publicznych. Korespondencja taka nie ma jakiegokolwiek waloru oficjalności, a nawet jeżeli zawiera propozycje dotyczące sposobu załatwienia określonej sprawy publicznej, to mieści się w zakresie swobody niezbędnej dla podjęcia prawidłowej decyzji po rozważaniu wszystkich racji przemawiających za różnorodnymi możliwościami jej załatwienia." Nie zgadzam się z tym wyrokiem.). Wówczas nie trzeba by wnioskować, lub się włamywać, by się zapoznać z informacją na temat aktywności urzędników. To, co niepokoi, to to, że ktoś mógłby modyfikować takie treści. Niepokoi również możliwość zainfekowania innych "zabawek" administracji publicznej (co się ponoć zdarzyło - rozesłano malware; por. Juwenalia w Wyższej Szkole Policji w Szczytnie). Możliwość przeglądania kalendarza ministra, albo poczty 8000 urzędników, w tym poczty szefa Kancelarii Prezesa Rady Ministrów - to robi wrażenie, ale - jak uważam - nie wszystkie informacje, do których uzyskano dostęp, były "informacjami nieprzeznaczonymi" dla sprawcy tego czynu.

Wydaje mi się ważne, by urzędnicy mojego państwa byli świadomi różnicy między tym co urzędowe (a więc wymagające szczególnego podejścia) i tego, co prywatne. Wyobrażam sobie, że Alladyn2 będzie teraz na celowniku ABW i innych służb (nota bene: powstaje właśnie nowa służba, która ma zajmować się kryptografią, wywiadem radiowym i elektronicznym - zob. Były szef ABW trafił do MON. Zajmie się kryptografią), jednocześnie myślę sobie, że tego typu zdarzenia zwiększają świadomość wcześniej zasygnalizowanej różnicy. Odnotowuję zdarzenie, w ramach działu bezpieczeństwo niniejszego serwisu.

Tytuł niniejszej notatki nawiązuje do opublikowanych przez Niebezpiecznik zrzutów ekranów z przejętych przez Alladyn2 zasobów rządowych. "Potrzebne decyzje polityczne" - to fragment tytułu listu elektronicznego ze skrzynki p. Arabskiego, "Lunch w MSZ" - to nawiązanie do zrzutu ekranu z kalendarza Ministra Spraw Zagranicznych.

Przeczytaj również: Cyberbezpieczeństwo stanem wojennym zwane.

Na temat prac związanych z ochroną infrastruktury krytycznej państwa:

• Rzecznik pyta w sprawie bezpieczeństwa krytycznej infrastruktury
• Hasło na dziś: Infrastruktura Krytyczna Państwa
• W konsultacjach: Rządowy program ochrony cyberprzestrzeni RP
• IKP: spotkanie z przedsiębiorcami - operatorami infrastruktury

Przeczytaj również: "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection.