Dziurawe oprogramowanie w polskich urzędach. Minister straszy najgorszym
PAD CMS, projekt Polskiej Akademii Dostępności, trafił na czarną listę resortu cyfryzacji. Oprogramowanie wciąż powszechne w instytucjach publicznych i organizacjach pozarządowych jest dziurawe, a jego dalsze stosowanie "może negatywnie wpływać na bezpieczeństwo publiczne".

Wicepremier i minister cyfryzacji Krzysztof Gawkowski wydał pilną rekomendację dla instytucji publicznych i organizacji korzystających z oprogramowania PAD CMS. To system zarządzania treścią, który powstał w ramach projektu Polska Akademia Dostępności i przez lata był stosowany m.in. w serwisach administracji publicznej oraz Biuletynach Informacji Publicznej (BIP).
Minister Cyfryzacji zaleca jak najszybsze wycofanie PAD CMS
Powód? Poważne luki bezpieczeństwa i brak wsparcia technicznego. Resort cyfryzacji ostrzega, że dalsze korzystanie z PAD CMS może prowadzić do "incydentu krytycznego", a więc sytuacji zagrażającej bezpieczeństwu państwa i obywateli.
Zalecam bezzwłoczne zaprzestanie wykorzystywania tego oprogramowania. Brak aktualizacji oznacza, że wykryte podatności nie będą naprawione
Czym jest PAD CMS?
PAD CMS (PAD - Polska Akademia Dostępności, CMS - content management system, system do zarządzania treściami) został stworzony ponad dekadę temu jako element projektu Fundacji Widzialni, współfinansowanego przez Ministerstwo Cyfryzacji. Jego celem było zapewnienie instytucjom publicznym i organizacjom pozarządowym łatwego dostępu do bezpłatnych, zgodnych ze standardami WCAG 2.1 stron internetowych, dostosowanych do potrzeb osób starszych i z niepełnosprawnościami.
Platforma oferowała m.in. 180 gotowych wzorców serwisów www oraz 90 szablonów stron opartych o WordPress, a także e-learningowe kursy z zakresu cyfrowej dostępności. PAD CMS był także możliwy w obsłudze przez osoby niepełnosprawne - w tym niedosłyszące i niedowidzące. Z tego powodu PAD CMS był używany przez m.in. Polski Związek Niewidomych.
PAD CMS był jednym z głównych narzędzi, które miały pomóc urzędom spełniać wymogi dostępności cyfrowej wprowadzane w Polsce od 2012 roku. Możliwość bezpłatnego korzystania z oprogramowania na licencji Creative Commons (CC BY-SA 4.0) oraz duży zasób materiałów wsparcia sprawiły, że PAD CMS stoi u podstaw wielu stron Biuletynu Informacji Publicznej - urzędów miast, inspektoratów budowlanych czy szkół średnich.
Dlaczego teraz zakaz?
Jak wynika z informacji opublikowanych przez CERT Polska, w oprogramowaniu odkryto aż dziewięć poważnych podatności. Najgroźniejsze z nich pozwalają zdalnym atakującym na przesyłanie własnych plików i wykonywanie dowolnego kodu na serwerze, zmianę haseł użytkowników czy ataki typu SQL Injection.
Problem potęguje fakt, że PAD CMS nie jest już rozwijany i nie otrzymuje aktualizacji bezpieczeństwa. Oznacza to, że żadne z wykrytych zagrożeń nie zostanie załatane.
Eksperci wskazali, że dalsze stosowanie tego systemu może negatywnie wpływać na bezpieczeństwo publiczne oraz istotny interes państwa
Co dalej z urzędowymi stronami?
Rekomendacja Ministerstwa Cyfryzacji została skierowana do szerokiego grona instytucji: od operatorów usług kluczowych i dostawców usług cyfrowych, przez instytuty badawcze, aż po organy administracji publicznej. W praktyce oznacza to, że wiele urzędów będzie musiało w trybie pilnym przejść na inne rozwiązania - np. bezpieczniejsze wersje WordPressa czy alternatywne systemy CMS z aktywnym wsparciem producentów.
Decyzja poprzedzona była konsultacjami z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego (CSIRT NASK, CSIRT GOV i CSIRT MON). To właśnie one potwierdziły ryzyko krytycznych incydentów w przypadku dalszego używania PAD CMS.
Ministerstwo Cyfryzacji podkreśla, że decyzja o wycofaniu PAD CMS jest krokiem prewencyjnym, mającym zapobiec potencjalnym kryzysom. Teraz instytucje muszą znaleźć i wdrożyć alternatywy - najlepiej takie, które zapewniają regularne poprawki bezpieczeństwa i zgodność ze standardami dostępności cyfrowej.
Dzieje się w Rzeczpospolitej Technologicznej:
Zdjęcie główne: FotoBed / Shutterstock