Sejmowe zabezpieczenia... nie istnieją. Skrzynki pocztowe polityków wręcz zapraszają hakerów
Wyciek maili ze skrzynki Michała Dworczyka i potwierdzenie przez ABW ataku hakerskiego na pocztę Sejmu otworzyło puszkę Pandory. Okazało się, że polscy politycy nie są odpowiednio chronieni i dla zainteresowanych przejęcie ich kont to naprawdę niezbyt skomplikowana sprawa.
Ogromne dziury w zabezpieczeniach sejmowych skrzynek opisali Szymon Jadczak i Patryk Słowik w WP Magazynie. Skala zaniedbań jest na tyle duża, że pracownicy, którzy już dawno nie pracują w Kancelarii Sejmu, nadal mogą logować się na dawną służbową skrzynkę. I wysyłać wiadomości z adresów w domenie @sejm.gov.pl.
Taki adres to przepustka do pozyskiwania cennych i przede wszystkim poufnych informacji, bo kto sprawdza, czy dana osoba faktycznie dalej jest zatrudniona w Kancelarii Sejmu? Cytowani przez autorów eksperci zauważają, że teoretycznie możliwy byłby scenariusz, że ktoś sprzedaje swoje dawne dostępy za pieniądze. Rzecz jasna nie wiadomo, czy do tego doszło, ale sama możliwość poważnie niepokoi.
To jednak dopiero początek niedopatrzeń, od których może zaboleć głowa. W sejmowej skrzynce nie ma technicznej możliwości, aby skorzystać z wieloskładnikowego uwierzytelniania. Coś, co jest dzisiaj podstawą bezpieczeństwa w sieci, dla sejmowych skrzynek jest abstrakcją. Dostęp do konta pracownika Kancelarii Sejmu bądź posła wymaga więc tylko znajomości hasła i loginu.
Polski polityk w 10 minut dostający się do Tajwanu nikogo nie dziwi
Podejrzana aktywność raczej nikogo nie alarmuje. Jadczak i Słowik poprosili jednego z członków rządu, aby zalogował się na swoją skrzynkę ze swojego gabinetu w Warszawie. Następnie zrobił to samo, ale już korzystając z VPN-a z lokalizacją ustawioną na Tajwan. Po 10 minutach jeszcze raz wchodzi na pocztę, znowu z warszawskiego adresu. I co?
I nic – nikt na to nie zwrócił uwagi, a jeśli nawet, to nie pomyślał, aby skontaktować się z właścicielem adresu i przedyskutować nietypową aktywność na jego skrzynce. To wiele mówi o sejmowym podejściu do cyberbezpieczeństwa.
Inną wzbudzającą dyskusję kwestią jest wykorzystanie przez Sejm systemu pocztowego Microsoft Exchange 2016. Jednak jeszcze do lipca 2020 roku używano wersji z… 2009 roku. Niektórzy eksperci nie są zwolennikami korzystania z leciwych rozwiązań, inni zwracają uwagę na to, czy sam system był aktualizowany. Tego nie wiemy.
Dlaczego Sejm zdecydował się na przesiadkę na wersję 2016, mimo że dostępna była już nowsza – 2019? Powodem mogły być pieniądze i chęć zaoszczędzenia. Albo po prostu zwykły brak wiedzy.
Kancelaria tłumaczy swoją decyzję tak:
Wyciek maili i ujawnione przez dziennikarzy luki w zabezpieczeniach sejmowych skrzynek muszą dziwić. Temat cyberbezpieczeństwa, a wręcz wojny toczonej w sieci, przewija się od lat. Wydawać by się mogło, że afery z udziałem amerykańskich polityków, takie jak wyciek maili Hillary Clinton, czegoś rodzimych polityków nauczą. Nic bardziej mylnego. Cytując Sylwię Czubkowską: witajcie w e-tam państwie.
zdjęcie główne: Grand Warszawski/shutterstock.com
