Polska polityka chodzi na pasku. Pasku hakerów, którzy grają cyfrową ignorancją władz

Senatorka, do której dzwonię, myśli, że jestem oszustem bankowym. Dyrektor jednej z instytucji wyznaje, że został shakowany. Poseł przyznaje, że korzystanie z sejmowej skrzynki byłoby dla niego zaskoczeniem. Dane ministra ds. cyfryzacji są w 25 bazach z wykradzionymi informacjami. Sprawdzamy, jak po ośmiu miesiącach od początku wycieków maili ministra Dworczyka zabezpieczają się polscy politycy.

Polska polityka chodzi na pasku hakerów, którzy grają cyfrową ignorancją władz

Impuls do sprawdzenia jak z cyfrową świadomością naszych władz przyszedł od samych polityków. – Gdybym była podsłuchiwana lub w jakiś sposób inwigilowana jako osoba publiczna, wiceminister czy radna, nie miałabym z tym żadnego problemu, ponieważ nie mam nic do ukrycia – mówi pod koniec 2021 roku wiceminister rozwoju Olga Semeniuk w Radiu Zet. Odpowiada w ten sposób na pytanie o Pegasusa, którym podsłuchiwane miały być kolejne osoby: opozycja, prawnicy, być może nawet politycy PiS, którzy wypadli z łask szefostwa. Niemająca nic do ukrycia Semeniuk ma rodowód wywodzący się z młodzieżówki PiS, była radną Warszawy, od ponad dwóch lat jest wiceministrem rozwoju i technologii. Jest osobą publiczną i co więcej jest też polityczką młodą, ledwie 34-letnią.

W telefonie zapewne zalogowana jest na kilku platformach społecznościowych, ma dostęp do skrzynki mailowej i wszystkich kontaktów. Możliwe, że ma podpięte konto z dokumentami, arkuszami, analizami, o prywatnej korespondencji już się nie rozpisując. Być może ma tysiące zdjęć, setki filmów. Semeniuk jest w związku z Piotrem Patkowskim, podsekretarzem stanu w Ministerstwie Finansów, może w telefonie ma prywatną z nim korespondencję czy zdjęcia. Ale Semeniuk wciąż uważa, że nie ma nic do ukrycia, kołdra może leżeć odkryta. To o tyle odważne, że jej mail do Dworczyka też wyciekł - prosi w nim o posadę wiceministra w Ministerstwie Inwestycji i Rozwoju, a nawet zwraca uwagę, czym mogłaby się w resorcie zajmować. Dwa miesiące później dostaje tę posadę.

– Należy bardzo pochwalić taką transparentność. Gdzie mogę zgłosić się po kopię zawartości telefonu, komputera i skrzynki pocztowej pani minister? – śmieje się Adam Haertle, specjalista ds. cyberbezpieczeństwa i redaktor naczelny Zaufanej Trzeciej Strony. Tym samym tropem poszliśmy jako redakcja Spider’s Web. W mailu do biura prasowego resortu rozwoju i technologii poprosiliśmy o dostęp do telefonu Semeniuk. Proponując stałą rubrykę wiceminister Semeniuk, obiecaliśmy codzienne opisy jej działań wraz z dokumentacją fotograficzno-filmową, którą będziemy pobierali bezpośrednio z jej telefonu.

– W każdym reżimie autorytarnym władza mówi, że jeśli nie masz nic do ukrycia, to nie masz się czego bać w kwestii ingerencji w twoją prywatność. Dziwię się, że pani wiceminister tak ochoczo to powtarza – komentuje już zupełnie na poważnie poseł Polski 2050 Michał Gramatyka, członek Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii.

Sprawdźmy więc, czy w kwestiach cyber polscy politycy faktycznie są tak lekkomyślni jak wspomniana wypowiedź Olgi Semeniuk? Czy rządzi nami istny cyfrolewizm, groźny w skutkach cyfrowy tupolewizm? Czy jednak ostatnie miesiące nauczyły tych u władzy, że z cyberbezpieczeństwem nie powinno się igrać?

Apetyczny biust Kidawy

Od czerwca zeszłego roku polska opinia publiczna zyskała darmową i świeżą perspektywę na zakulisowe przepychanki polityczne rządu. Obywatele mogą przeczytać, jak załatwia się pracę w rządzie, organizuje akcje hejterskie czy sponsoruje ziomków w potrzebie. I choć to już ósmy miesiąc wyciekających do sieci maili ministra Michała Dworczyka, nikt z rządu nie potwierdził ich autentyczności. Oficjalna narracja brzmi: „nie uczestniczymy w próbie ingerowania w wewnętrzne sprawy państwa przez obce siły”. Tajemnicą poliszynela jest jednak, że większość tych maili jest prawdziwa.

Piotr Konieczny, szef Niebezpiecznika, mówi, że jest i nie jest zaskoczony aferą. – Nie, bo branża od dawna spodziewała się, że politycy to łatwy cel. Tak, bo pierwszy raz atakujący rozegrali temat w tak „medialny” sposób – ocenia ekspert. Zanim rozpoczęła się ta medialna rozgrywka, w polskim parlamencie panował dziki zachód, jeśli chodzi o cyberbezpieczeństwo.

– Jeszcze do niedawna nie mówiło się o tym w ogóle. Na początku pandemii, żeby głosować zdalnie, wystarczyło znać login i hasło do poczty sejmowej. Można to było robić z dowolnego miejsca i dowolnego sprzętu, nawet publicznego – wspomina poseł Gramatyka.

Jednak filozofia „jak nie trzeba, to nie zabezpieczamy” przestała działać właśnie wtedy – wraz z nastaniem pandemii.

Już podczas pierwszych posiedzeń zdalnych parlamentu w marcu 2020 roku dochodziło do wycieków wrażliwych danych, bo posłowie sami wrzucali je na Twittera. Włamania przyszły później.

Październik 2020. Posłanka PiS Joanna Borowiak cytuje w tweecie Jarosława Kaczyńskiego, który miał powiedzieć, że „zdanie narkomanek-prostytutek i zabójców dzieci nie będzie mieć wpływu na podejmowane decyzje”.

Listopad 2020. Poseł PiS Arkadiusz Czartoryski pisze na Twitterze o „litewskich służbach specjalnych oskarżających Polskę o szkolenie ekstremistów w celu destabilizacji sytuacji na Litwie”.

Grudzień 2020. Minister rodziny Marlena Maląg pisze na Facebooku, że „jako kobieta i matka nigdy nie zrozumie ani nie poprze protestujących” w strajku kobiet. I apeluje, by otworzyć dla uczestniczek strajku – pseudokobiet – specjalny rezerwat.

Styczeń 2021. Marek Suski publikuje na Twitterze erotyczne zdjęcia nieznanej kobiety (później okazuje się być działaczką Porozumienia Jarosława Gowina) i informację, że jest przez nią molestowany.

W lutym 2021 wiceminister edukacji Włodzimierz Bernacki „oburza się” na Twitterze na jedną z kobiet, która rzekomo ma świadczyć usługi seksualne w Wojsku Polskim i wśród VIP-ów. Bernacki zapowiada złożenie wniosku o pozbawienie jej stopnia oficerskiego.

Wszystkie te wpisy zostały stworzone przez włamywaczy, a większość zawartych w nich informacji jest nieprawdziwa. Wymieniać przykłady można dalej, ale wróćmy do tego, który oznacza cezurę w podejściu do cyberbezpieczeństwa w polskim parlamencie.

Michał Dworczyk. Fot. Krystian Maj / KPRM

Dzięki mailom Dworczyka w polskim parlamencie od ośmiu miesięcy coś się wreszcie zaczęło dziać w sprawie cyberbezpieczeństwa. To w związku z wyciekiem zorganizowano pierwsze od ośmiu lat tajne posiedzenie posłów w Sejmie – bez telefonów, torebek, teczek, z wyłączoną siecią Wi-Fi i sejmowym studiem telewizyjnym. Nikt w końcu nie chce być następnym, którego maile o „zbyt mocno eksponującej swój biust Małgorzacie Kidawie” ujrzą światło dzienne. A to i tak jeden z najlżejszych przykładów cytatów, choć akurat o biuście miał pisać do partyjnych PR-owców nie Dworczyk, a Joachim Brudziński.

Jaki sprzęt ma polityk

Być może zaskoczenie wyciekami wynika z faktu, że traktujemy polityków jak ludzi wyjątkowych, co z prawdą ma niewiele wspólnego. Politycy to nie superbohaterowie ani geniusze. Jak zauważa jeden z moich rozmówców, były ważny urzędnik dziś działający w branży technologicznej, „geniusze to politykom doradzają, a sami politycy są zwierciadłem społeczeństwa i jak zwykli ludzie często nie wiedzą, czym jest na przykład dwuskładnikowe uwierzytelnianie”. Czyhają więc na nich te same pułapki.

Margareta Budner, senator PiS, od razu przyznaje, że nie zna się na cyberbezpieczeństwie. Gdy do niej dzwonię, najpierw podejrzewa mnie o to, że jestem... oszustem bankowym.

– Wczoraj zadzwoniła do mnie infolinia mojego banku. Nie podałam żadnych danych i na wszystkie pytania odpowiadałam stanowczo „nie”. Po rozłączeniu sama zadzwoniłam do banku i okazało się, że nikt od nich do mnie nie dzwonił. Na ile to można poznać po głosie, to dzwonił do mnie mężczyzna raczej po trzydziestce. Chyba ze wschodnim akcentem, ale to przyszło mi do głowy dopiero, gdy pani z banku mi to zasugerowała – opowiada senator Budner.

I wyjaśnia, że to było w czasie prywatnym, w pracy natomiast nie boi się hakerów, bo po wyciekach Dworczyka parlament zadbał o nowy sprzęt. Każdy poseł i senator dostał odpowiednio skonfigurowanego iPada, który jest podpięty pod system sejmowy. – Wewnętrzny obieg dokumentów w Sejmie odbywa się elektronicznie. Projekty ustaw, poprawki i inne pisma czytamy na iPadach, które działają pod kontrolą Kancelarii Sejmu. To jest dobrze pomyślane. iPady są tylko urządzeniami końcowymi, cała reszta jest w chmurze – uzupełnia poseł Michał Gramatyka.

Obecnie posłowie biorący udział w posiedzeniach zdalnych mogą głosować tylko za pomocą tych iPadów, nie uda im się to z telefonu czy komputera. Aby zagłosować, muszą podać hasło, login oraz kod z SMS-a, który codziennie rano przed głosowaniami dostają od Kancelarii Sejmu. Dopiero wtedy mogą wejść do aplikacji do głosowań. Taki system zabezpieczeń wprowadzono mniej więcej pół roku po rozpoczęciu pandemii.

Oprócz iPada posłowie dostali też komputery sejmowe, za to najmniej „zaopiekowane” przez Kancelarię Sejmu są telefony – posłowie wciąż w większości używają prywatnych urządzeń. Do niedawna można było z ich poziomu robić wiele służbowych czynności. Po wyciekach to się zmieniło. – Ja na przykład mam skrzynkę sejmową w telefonie, więc moje urządzenie musiało zostać zweryfikowane i autoryzowane przez Kancelarię Sejmu. W tym celu musiałem się tam osobiście wybrać. Poza tym gdy logujemy się do skrzynek sejmowych za pomocą komputerów, także wprowadzony został obowiązek dwuskładnikowego uwierzytelniania za pomocą specjalnej aplikacji – tłumaczy nam poseł PO Arkadiusz Marchewka.

Ale telefony sprawdzane są tylko tym, którzy chcą na nich korzystać z sejmowego maila. Generalnie nie ma zasady, by sprawdzać te urządzenia.

– Telefonów nikt nam nie weryfikował, możemy z nimi robić, co chcemy. Z kolei jeśli chodzi o tablety, to dopiero od listopada pracownicy działu IT zaczęli sprawdzać aktualizacje tabletów. Jeśli widzą, że ktoś tego nie zrobił, to dzwonią do takiego posła i proszą, by zaktualizował – zauważa poseł Konfederacji Krystian Kamiński.

Podobnie jest w Senacie. – Jestem teraz w swoim biurze i pracuję na komputerze, który otrzymałem od Kancelarii Senatu. Poza tym dostaliśmy też tablety i mamy do dyspozycji wewnętrzny serwis techniczny, do którego zawsze możemy się zgłosić z jakimiś problemami czy pytaniami – mówi mi senator Jacek Włosowicz z PiS.

Ponadto w ostatnich kilku tygodniach wszyscy członkowie rządu, posłowie i senatorzy dostali klucze U2F – każdy po dwie sztuki. To jeden z najlepszych sposobów zabezpieczeń i sama ta wiadomość spotkała się z pozytywnym odbiorem i u polityków, i u dziennikarzy, i u ekspertów. Jeśli cyberprzestępca przejmie hasło i login, i tak nic nie zrobi – nie ma bowiem dostępu do fizycznego klucza. Nawet kradnąc taki klucz, złodziej niewiele zrobi, bo autoryzowany on jest liniami papilarnymi właściciela.

Co prawda klucze dostali wszyscy politycy, ale już korzystanie z nich jest dobrowolne. Faktycznie więc nie wiadomo, ilu ministrów, posłów i senatorów używa tego zabezpieczenia. Nikt tego nie weryfikuje. W parlamencie nie są do niczego wymagane. Politycy dostali je, by – jeśli chcą – zabezpieczyć swoje media społecznościowe lub prywatne skrzynki mailowe.

Sejm, fot. Shutterstock

Natomiast są rozwiązania, przy których wyjścia nie mają i korzystać muszą. – Na korzystanie z cyfrowych udogodnień jesteśmy, na szczęście, „skazani”. Aktywność poselska bez znajomości cyfrowego ekosystemu, wspólnego obiegu dokumentów, systemu do składania interpelacji jest dziś niemożliwa. I całe szczęście. Serce boli, gdy pomyśleć, jakie tony papieru kiedyś tu zużywano – mówi poseł Michał Gramatyka.

Z ław sejmowych do szkolnych ławek

Gramatyka był jednym z pierwszych szkolonych przez ekspertów z NASK w wakacje zeszłego roku. Został wtedy poproszony o ocenę przydatności takich zajęć. I ocenia je bardzo dobrze. – Eksperci pokazują bardzo interesujące przykłady phishingu, kradzieży tożsamości, spoofingu, tłumaczą, na co zwracać uwagę przy konstruowaniu haseł. Uczą posługiwania się kluczami sprzętowymi. To jest niby „jazda obowiązkowa”, ale przykłady dobrze działają na wyobraźnię. Eksperci z NASK pokazywali udane próby włamań, nawet przy włączonym dwuskładnikowym uwierzytelnianiu. Kancelaria Sejmu wkłada sporo pracy w uzmysłowienie parlamentarzystom skali zagrożeń, jakie niesie w cyfrowy świat – mówi polityk. Dodaje, że szkolenia zaczęły się w połowie zeszłego roku, gdy zaczęły wyciekać maile ministra Dworczyka.

W pierwszym, sierpniowym szkoleniu wzięło udział ledwie 70 posłów, ale w listopadowym już niemal wszyscy. – To były osobiste konsultacje z ekspertami z NASK, którzy pokazywali, jak się chronić, czego unikać. Każde takie spotkanie było dostosowane do poziomu wiedzy danego posła – wspomina poseł Arkadiusz Marchewka z PO.

Szkolenia przeszli też senatorzy. – Mieliśmy we wrześniu spotkanie z informatykami wysokiej klasy, które było otwarte nie tylko dla senatorów, ale także dla pracowników Senatu. To były rady dotyczące przede wszystkim tego, jak uniknąć takich wycieków, jakie zdarzały się w lipcu i sierpniu. Czyli usłyszeliśmy o najważniejszych zasadach logowania się w różnych miejscach, o zabezpieczeniach poczty, korzystaniu z zaufanych urządzeń – wymienia senator Jacek Włosowicz. I dodaje, że senatorzy regularnie dostają także biuletyny od biura spraw poselskich, w których przypominane są ogólne zasady bezpieczeństwa. – Takie zasady mogące dotyczyć każdego obywatela: na co uważać i jakich plików nie otwierać – mówi senator Włosowicz.

Politycy mogą na bieżąco liczyć na pomoc rządowych ekspertów ds. cyberbezpieczeństwa, z tymi z NASK i ABW na czele. W trakcie zbierania materiałów do tego artykułu dowiedziałem się o niedawnym włamaniu do telefonu dyrektora jednego z państwowych niepolitycznych instytucji. Potwierdził mi to w rozmowie i poprosił, by nie podawać żadnych jego danych. Jak powiedział, służby błyskawicznie pomogły mu unieszkodliwić intruza i zabezpieczyć telefon tak, że nie doszło do żadnych szkód.

Specjaliści są też w parlamencie na co dzień. I czasem pilnują polityków. – Zdarzyło się, że przez przypadek nie włączyłem kamery podczas zdalnego posiedzenia i po chwili miałem telefon od informatyków: „dzień dobry panie senatorze, czy może pan się pokazać?”. Oni tego pilnują i wywołują senatorów, gdy obraz zanika, żeby mieć pewność, że nikt nie przejął takiego komputera ani że za senatora nie usiadł do posiedzenia ktoś inny – wyjaśnia senator Jacek Włosowicz.

Na szkolenia zapraszali też polityków eksperci z rynku. Niebezpiecznik już w 2018 roku oferował szkolenia dla polityków z cyberbezpieczeństwa, a w marcu 2021 firma ogłosiła, że każdemu posłowi udostępni za darmo wszystkie swoje szkolenia. Była to reakcja na zachowanie jednej z posłanek (dane nie zostały podane do publicznej wiadomości), która jechała pociągiem i wychodząc do toalety, zostawiła otwartego laptopa z dwiema skrzynkami pocztowymi, dokumentami i innymi plikami. Zauważył to i wrzucił do sieci inny z pasażerów.

– Po kolejnych doniesieniach o politykach-ofiarach ciągle tych samych ataków phishingowych coś w nas pękło. Zgłosiło się kilkudziesięciu posłów z różnych partii. Jeden z nich poinformował nas, że zaprosił wszystkich swoich kolegów z partii na wspólne oglądanie nagrania naszego szkolenia. Nie wiemy, jaka była frekwencja na tym spotkaniu – wspomina Piotr Konieczny, szef Niebezpiecznika.

Adam Haertle z Zaufanej Trzeciej Strony, który także organizuje szkolenia, dodaje: – Politycy, z którymi miałem przyjemność rozmawiać, chcieli się doedukować np. przed wystąpieniami publicznymi czy dyskusjami nad danym tematem. Bardzo to doceniam, jednocześnie zdając sobie sprawę z tego, że te kilka osób, które pragną pogłębić swoją wiedzę o zagrożeniach, z którymi mogą spotykać się na co dzień, to w skali chociażby polskiego parlamentu znikoma skala.

Premier wycieka najrzadziej

Eksperci, z którymi rozmawiam, wskazują, że jednym z błędów polityków jest korzystanie z prywatnych skrzynek mailowych. Afera z mailami Dworczyka dobitnie to pokazała: niemal wszyscy kluczowi jej bohaterowie korzystali z prywatnych skrzynek. Sam Dworczyk z tej na Wirtualnej Polsce, co było zresztą przyczyną całego wycieku. Minister nie miał włączonej odpowiedniej ochrony, bo też WP jej nie zapewnia w takim stopniu jak choćby Gmail. Przestępcy to wykorzystali, dzięki czemu maile ze skrzynki Dworczyka fruwają po sieci już ósmy miesiąc.

Na początku afery na korytarzach sejmowych słychać było pewną legendę: politycy, których korespondencja wyciekła, mieli korzystać z prywatnych skrzynek, bo nie ufają własnym służbom, więc i nie używają skrzynek służbowych. – To, że najważniejsi ludzie w rządzie korzystali w sprawach służbowych z prywatnych skrzynek, jasno wskazuje, że oni chyba nie ufają swoim współpracownikom i w ramach walk frakcyjnych woleliby, żeby nikt nie wiedział, o czym rozmawiają. Ale ewidentnie to był popis cyberbrawury, a nie cyberbezpieczeństwa. Panowie chyba nie zdawali sobie sprawy, jak bardzo są w ten sposób narażeni na ataki – mówi poseł Arkadiusz Marchewka z PO.

Adam Haertle z Zaufanej Trzeciej Strony zauważa, że o ile mamy w Polsce doskonale wyszkolonych ekspertów, narzędzia i procedury w zespołach CERT / CSIRT, o tyle brakuje świadomości konieczności ochrony u samych polityków.

– A z drugiej widzę całkowity brak zaufania do własnych, nadzorowanych często przez siebie służb. Znamiennym niech będzie, że wszyscy ważni politycy, z premierem Polski włącznie, wolą prowadzić służbową korespondencję za pomocą usług pocztowych świadczonych przez Google czy Wirtualną Polskę. Jeśli to oni odpowiadają za nadzór nad służbami, których zadaniem jest obrona służbowej poczty ministrów przed włamywaczami, to co to mówi o poziomie zaufania do własnych organów państwa? – pyta Haertle.

Część polityków, z którymi rozmawiam, potwierdza istnienie legendy o braku zaufania. Wśród nich jest Krystian Kamiński, ale dodaje on też drugą stronę medalu. – Tak naprawdę nie znam posła, który korzysta regularnie z poczty sejmowej. Ona jest nieporęczna, ma fatalny UX. Przy niej interfejs Gmaila to niebo a ziemia. Skrzynka sejmowa jest ogólnodostępna, a więc niefunkcjonalna. Gdy trwały strajki kobiet, dostałem kilka tysięcy maili od protestujących. Gdybym tego na bieżąco nie sprzątał, zapchałoby mi skrzynkę – wyjaśnia Kamiński i dla przesłania autoryzacji wypowiedzi podaje mi swój prywatny adres.

Drugim argumentem za prywatnymi adresami do premiera i jego otoczenia było właśnie to, że kto je znał, był z automatu w bliższym kręgu władzy. – Jak się chciało załatwić coś ważnego i pilnego, to trzeba było pisać na te właśnie adresy – mówi nam jeden z ważniejszych polityków PiS.

Problem w tym, że prywatne adresy najczęściej używane są w wielu różnych zewnętrznych usługach, na portalach, w aplikacjach. A takie bazy danych wyciekają. Adres mailowy, z którego wiadomości miał wysyłać minister Dworczyk, znajduje się w pięciu bazach danych, które są publicznie dostępne w sieci. Wyciekają najróżniejsze dane. W bazach z mailem Dworczyka dostępne są też numery telefonów, fizyczne adresy czy hasła.

Nie jest on jednak jedyny. Bazując na adresach wyciekających z Poufnej Rozmowy, w kilka minut można sprawdzić, że inni politycy także byli już nie raz ofiarami wycieków. Adres, który ma należeć do rzecznika rządu Piotra Mullera, znajduje się aż w sześciu bazach pochodzących z wycieków. Podobnie jest z adresem Mariusza Chłopika, nieformalnego doradcy premiera Mateusza Morawieckiego. Adres obecnego ministra zdrowia Adama Niedzielskiego można znaleźć w czterech bazach, a byłego szefa tego resortu, Łukasza Szumowskiego – tak samo jak szefa Centrum Informacyjnego Rządu Tomasza Matyni oraz szefa UOKiK Tomasza Chróstnego – w dwóch. „Najlepiej” z kilku sprawdzonych adresów wypadają premier Morawiecki i Piotr Patkowski, podsekretarz stanu w Ministerstwie Finansów, a prywatnie partner wspominanej Olgi Semeniuk, która nie ma nic do ukrycia. Ich adresy wraz z innymi danymi wyciekły tylko po razie (Semeniuk też jest w jednej bazie). Rekordzistą jest prawdopodobnie Janusz Cieszyński, sekretarz stanu w KPRM odpowiedzialny za cyfryzację. Jego dane widnieją w aż 25 bazach!
Choć trzeba przyznać, że Cieszyński uczy się na błędach i obecnie bardzo dba o swoje cyberbezpieczeństwo. Włącznie z tym, że przed wejściem do jego gabinetu goście mają swoje telefony zostawiać w sekretariacie w specjalnych szafeczkach.

Adres Mateusza Morawieckiego wyciekł „tylko” w jednej bazie danych. Fot. Grabowski Foto / Shutterstock

To nie znaczy, że wystarczy ściągnąć bazę, wziąć hasło i zalogować się na skrzynkę polityka. Za bazy danych trzeba zapłacić, a przede wszystkim jest to nielegalne. Hasła w wyciekających bazach zwykle są zaszyfrowane, ale czasem można je zdeszyfrować. Czasem bazy danych są bardzo stare, a hasła dawno zmienione. I o ile ktoś regularnie zmienia hasła, to nie jest największy grzech, że używa tego samego adresu od lat i zdążył on wyciekać w różnych bazach. Może jednak być i tak, że wszystko jest aktualne. A korzystanie z prywatnych skrzynek do służbowych spraw w połączeniu z nieodpowiednimi zabezpieczeniami skończyło się właśnie DworczykLeaks.

Aby sprawdzić, czy dany adres wyciekł, wystarczy wejść na stronę HaveIBeenPwned i wpisać swój adres. Sprawdzanie adresów, które zostały podane na Poufnej Rozmowie, zakończyłem na dziesięciu próbach. Każdy z adresów wraz z dodatkowymi danymi gdzieś wyciekł.

Czarnek dołącza do Semeniuk

Jeden z moich rozmówców, światowej klasy ekspert ds. cyberbezpieczeństwa, opowiada o spotkaniu nieformalnego klubu eksperckiego przy jednej ze spółek skarbu państwa, które odbyło się dwa tygodnie temu. Brały w nim udział władze spółki oraz najlepsi w kraju eksperci – tu w charakterze doradców. Padło pytanie o stan świadomości cyberzagrożeń u polityków, urzędników i w państwowych firmach. – Odpowiedź była jednoznaczna: jesteśmy już na nieustającej wojnie technologicznej, a drastycznie uświadomiła nam to sprawa maili Dworczyka. Poziom kompetencji rośnie, ale jest jeszcze daleko od tego, by powiedzieć, że jest dobrze – mówi uczestnik tamtego spotkania. Dodaje, że nie tylko politycy przeszli szkolenia, brało w nich udział wielu państwowych urzędników, a w większości spółek skarbu państwa były wręcz obowiązkowe.

Czy politycy są zatem świadomi cyberzagrożeń? Izabela Albrycht, współtwórca CYBERSEC Forum, doradca NATO ds. nowych i przełomowych technologii, na przestrzeni lat widzi zmianę świadomości u polityków. Kiedyś ich decyzje dotyczące regulacji czy strategii cyfrowej były nie tylko opóźnione, ale przede wszystkim reaktywne. Wynikały ze zmian, jakie w obszarze cyfrowym wprowadzał biznes i z działań podejmowanych przez cyfrowych agresorów. Teraz – zauważa ekspertka – musimy od nich oczekiwać, że będą tę zmianę lepiej antycypować i nawigować, a zatem decyzje i działania podejmowane będą w modelu proaktywnym.

– To nie jest tak, że chodzi tylko o polskich polityków, ale w ogóle europejskich. Są oczywiście kraje, które szybciej się dostosowują, ale myślę, że na tle kontynentu Polska jest gdzieś w środku stawki. W zasadzie we wszystkich państwach na świecie cyfrowe zmiany przyspieszyły, a świadomość konsekwencji tej transformacji do tej pory nie była wysoka, zatem we wszystkich krajach politycy muszą je doganiać – zaznacza Albrycht.

Grzegorz Zajączkowski, Lider Cyfryzacji Komisji Europejskiej na Polskę, dodaje: – W polskiej polityce już od dłuższego czasu mamy sporą ilość osób zajmujących się cyfryzacją, które są absolutnie świadome zagrożeń. Natomiast do ogółu klasy politycznej ta świadomość zaczęła docierać w ostatnich miesiącach. Stoją za tym przede wszystkim dwa zdarzenia: włamania Pegasusem oraz afera z mailami ministra Dworczyka. Nie ma znaczenia, czy one są prawdziwe, czy nie. Sam fakt, że coś takiego jest możliwe, mocno zadziałał na wyobraźnię.

Sami politycy, z którymi rozmawiam, zgodnie podkreślają, że dla nich samych w ostatnich miesiącach wiele w kwestii cyberbezpieczeństwa zmieniło się na plus. Czują się bezpieczniejsi, choć nie zawsze chcą o to bezpieczeństwo odpowiednio dbać. Mimo przebytych szkoleń i możliwości skorzystania z klucza U2F posłanka PiS Iwona Arent nie zabezpieczyła swojego twitterowego konta na tyle dobrze, by nie doszło do włamania. Ten, kto przejął jej konto, pisał, że Arent „wychodzi z partii Nieudaczników i Szkodników”.

Dziesięć dni temu wysłaliśmy pytania o zabezpieczenia polityków do Centrum Informacyjnego Sejmu, Centrum Informacyjnego Senatu i Centrum Informacyjnego Rządu. Żadne z tych biur mi nie odpowiedziało.

Nie odpowiedziała też Olga Semeniuk. Mimo dwukrotnie wysyłanych próśb o kontakt i pytań przez półtora miesiąca nie doczekaliśmy się odpowiedzi od biura prasowego Ministerstwa Rozwoju i Technologii. Z kolei na Twitterze każdy z redakcji Spider’s Web, kto pyta ją o naszą propozycję, dostaje od wiceminister bana.

Olga Semeniuk. Fot. KPRM

A zatem mimo że posłowie się szkolą, wciąż jest nad kim i nad czym pracować. Najnowszy przykład dał minister edukacji Przemysław Czarnek, który w radiowej Jedynce zapytany o inwigilację i sejmową komisję w tej sprawie wypalił: – Jesteśmy cały czas inwigilowani w świecie internetu i powszechnego dostępu do internetu. Kiedy szukamy butów w internecie, przez kilka kolejnych dni pojawiają nam się reklamy butów. Nie wiadomo, o jaką inwigilację chodzi. Ja jestem pewien, że mój telefon też jest w jakiś sposób inwigilowany. Komisja rozpatrująca kwestię inwigilacji z ostatnich 17 lat to jest komisja „ble, ble, ble” – stwierdził Czarnek.

I tym samym dołączył do klubu niemających nic do ukrycia. Oby nie skończyło się to tym, że ktoś złośliwie postanowi zrobić ministrowi Czarnkowi praktyczne szkolenie z internetowych zagrożeń.

Zdjęcie główne – Verconer / Shutterstock