Dlaczego politycy lekceważą cyberbezpieczeństwo?

W Polsce istnieje coś takiego, jak krajowy system cyberbezpieczeństwa. Ma nawet kanały komunikacji dla najważniejszych osób w państwie. Problem w tym, że rzadko z nich korzystają. Może nawet nie wiedzą jak.

Zaczęło się od wycieku maili pochodzących rzekomo ze skrzynki ministra Michała Dworczyka. Jeśli są prawdziwe, to pokazują, jak najwyżsi urzędnicy w Polsce omawiali ważne sprawy dotyczące wielu sfer życia publicznego przez kompletnie niezabezpieczone skrzynki mailowe, m.in. kwestię wysłania wojska do tłumienia Strajku Kobiet lub omawianie spraw dotyczących rakiet Patior, czy korespondencji między premierem Morawieckim a ministrem Dworczykiem o awarii w Orlenie. Maile są publikowane na portalu Telegram, więc trudno zweryfikować czy faktycznie są autentyczne. Wirtualna Polska (Dworczyk ma tam skrzynkę e-mail) nie potwierdziła włamania na skrzynkę. Portal stwierdza, że: „wejście na konto ministra Michała Dworczyka i — co za tym idzie — uzyskanie dostępu do jego e-maili nastąpiło na skutek podania poprawnego loginu i hasła”.
Sam Dworczyk razem z żoną podają, że padli ofiarą hakerów. A to stały sposób na tłumaczenie się polityków, bo wcześniej taką narrację przyjęli: Marlena Maląg (minister rodziny i polityki społecznej), posłanka Joanna Borowiak, czy Marek Suski.

W grudniu 2020 r. media pisały o zhakowaniu konta Marleny Maląg. Zaczęło się od Facebooka i wpisu na temat Strajku Kobiet: „Wulgarne i chamskie zachowanie nie zdobi kobiet, przypominają mi watahy Papuasów i bezmózgich dzikusów zdolnych jedynie do bicia i bezrozumnego uprawiania seksu”.
Posłanka nie przyznała się do tego wpisu i stwierdziła, że padła ofiarą hakerów.

To samo mówił Marek Suski, gdy na jego profilu na Twitterze pojawiły się zdjęcia roznegliżowanej radnej Porozumienia. Wpisy, w których Suski stwierdził m.in., że jest molestowany seksualnie, zniknęły po kilku godzinach.
„Zachowanie niektórych kobiet jest niedopuszczalne i przekracza wszelkie moralne granice. W tej sytuacji jestem zmuszony przedstawić swoje dowody, aby powstrzymać molestowanie seksualne wobec mnie” — pisał. Z kolei Ewa Szarzyńska, której zdjęcia miały się pojawić na profilu Suskiego stwierdziła, że zostały sfabrykowane.

Głośno było też o tablecie jednej z posłanek opozycji (nie podano o kogo chodzi). Podróżujący pociągiem razem z posłanką pan Zbigniew opublikował zdjęcie, gdzie widać zostawiony przez posłankę tablet, na którym można bez problemu czytać maile. Posłanka miała wyjść do toalety i nie zablokować urządzenia.

Z kolei we wtorek wicerzecznik PiS Radosław Fogiel poinformował, że doszło do próby wyłudzenia danych od posłów, a minister edukacji Przemysław Czarnek przyznał się publicznie, że „ma mnóstwo skrzynek i nie wie, która jest prywatna”.

Wszystkie te przypadki powodują, że społeczeństwo czasem już nie wierzy politykom i twierdzi, że „hakerzy” to tak naprawdę próba przykrycia nieudolności posłów. Potwierdzałoby to starą zasadę, która mówi, że najsłabszym ogniwem w łańcuchu bezpieczeństwa jest nie oprogramowanie, a sam człowiek. Przede wszystkim nie należałoby korzystać z prywatnych skrzynek mailowych i komunikatorów. A tu potrzebne są szkolenia, bo, jak widać, najwyżsi urzędnicy państwowi nie mają pojęcia o kwestiach cyberbezpieczeństwa. Nawet uwierzytelnianie wieloskładnikowe nie jest gwarantem bezpieczeństwa, bo prawie 70 proc. ataków je w końcu omija. Pomocne byłyby np. klucze U2F, które zastępują tę metodę uwierzytelniania. Trzeba wówczas posiadać fizyczny nośnik, którego haker zdalnie nie przejmie. Ale za tym idzie właśnie konieczność przeprowadzania szkoleń z zakresu ochrony danych trzymanych na urządzeniach cyfrowych i zwrócenie uwagi na wpływ służb specjalnych na polityków, który jest wciąż znikomy ze względu na charakterystykę ich działania w Polsce.

Premier zwołał nawet niejawne posiedzenie Sejmu, gdzie posłom przedstawiono sytuację i zakazano używania wszelkich urządzeń cyfrowych. Problem w tym, że rząd nie zapewnił posłów, że maile ministra Dworczyka są nieprawdziwe. Wciąż mówi się o fake newsach, ale nie podaje się konkretów. W jednym z najnowszych wpisów, które ujawniono z korespondencji premiera z szefem Agencji Rezerw Materiałowych Michałem Kuczmierowskim czytamy o awarii instalacji produkującej olej napędowy w Orlenie. Politycy ustalali strategię poradzenia sobie z tą informacją i pomoc, jakiej udzielą Danielowi Obajtkowi. Kuczmierowski miał napisać: „Jeśli im nie pomożemy, na stacjach Orlenu na południu Polski nie będzie w najbliższych dniach przez ok. 2 tygodnie oleju napędowego. (...) przy takiej awarii będzie gigantyczna awantura społeczna i polityczna – szczególnie mocno mogą atakować, że Orlen kupuje gazety, a nie ogarnia rafinerii”

— Nie da się tego oceniać inaczej, niż próbę przykrycia własnej nieudolności przez rząd — mówi Janusz Cichoń, poseł Koalicji Obywatleskiej. — Ja też używam prywatnej skrzynki mailowej w pracy, ale staram się to robić w formule bezpiecznej. Mamy służbową pocztę mailową i głównie z niej korzystam.

Na temat niejawnego posiedzenia Sejmu poseł KO ma jasną opinię.

— Nie mogę powiedzieć, co usłyszeliśmy, ale to była kpina. Dowiedzieliśmy się tego, co możemy przeczytać w mediach, a nawet mniej. To była próba zabezpieczenia tyłów i przekonania nas wszystkich, że to się mogło zdarzyć każdemu. Dodatkowo nikt nie będzie odpowiadał na takie doniesienia. Moim zdaniem to zła strategia. Domyślam się, że to jakiś rodzaj strategii budowania obrony przed tym, co jeszcze może wyciec.

Janusz Cichoń potwierdził też, że posłowie nie przechodzą żadnych szkoleń w zakresie cyberbezpieczeństwa. Są jedynie krótkie instrukcje dotyczące uwierzytelniania, haseł itd. Co innego mówi jednak poseł PiS Wojciech Kossakowski, który też korzysta z prywatnej poczty w pracy.

— Nie jestem urzędnikiem ministerstwa, tylko posłem — podkreśla jednak. — Korzystamy również ze skrzynki służbowej, przez którą przechodzi większość maili. Wszystkie dotyczące Sejmu i innych dokumentów. Skrzynki prywatne mamy od dawna, dłużej niż jesteśmy parlamentarzystami, więc trudno wymagać, żeby jej nie było. Ważne dokumenty sejmowe idą jednak przez skrzynkę sejmową. To utajnione posiedzenie Sejmu miało na celu zapoznanie nas z bieżącą sytuacją. Jeśli chodzi o bezpieczeństwo, to mamy szkolenia z ABW i szereg innych szkoleń z zakresu cyberbezpieczeństwa. Mieliśmy dziś wizyty z Komendy Wojewódzkiej Policji. Funkcjonariusze przekazali nam pewne dokumenty z zakresu bezpieczeństwa. Wielokrotnie słyszeliśmy, że będzie prowadzona dezinformacja w kwestii ataków hakerskich. Nie wiemy, które wiadomości są prawdziwe, a które nie. Działa to tak, że jedna jest prawdziwa, a pozostałe nie. Komentowanie tej sytuacji wychodzi naprzeciw tym, którzy to robią.

PJ