Polski rząd rozważa wprowadzenie rekomendacji ostrożności wobec produktów oferowanych przez elektronicznego giganta Huawei. Możliwe, że reakcja Polski na zagrożenie ze strony urządzeń Huawei też jest spóźniona. Rząd Republiki Czech już pod koniec 2018 roku ogłosił, że rezygnuje z korzystania ze smartfonów produkcji chińskiej firmy Huawei. To efekt działania służb, które właśnie zaapelowały o wycofanie sprzętu tej korporacji z administracji publicznej. Swoją decyzją Czechy dołączyły do państw, które mocno ograniczyły udział Huawei w swojej infrastrukturze. USA, Australia, Japonia, Nowa Zelandia już wcześniej skreśliły chińską firmę z listy zamówień publicznych związanych z budową nowoczesnej sieci 5G. Nasz południowy sąsiad jest pierwszym krajem Unii Europejskiej, który zdecydował się na tak poważną decyzję w stosunku do Huawei. Rezygnacja ze smartfonów Huawei nastąpiła dzień po złożeniu przez czeskie Krajowe Biuro Cybernetyki i Bezpieczeństwa Informacji oficjalnego wniosku o wykluczenie sprzętu tej firmy (oraz innego chińskiego producenta – ZTE) z krytycznych systemów państwowych w ciągu 10 lat.

Teraz, zdaniem pełnomocnika rządu ds. cyberbezpieczeństwa Karola Okońskiego, polski rząd poważnie rozważa wykluczenie chińskiej firmy z udziału w rynku IT w Polsce. Taka decyzja mogłaby zapaść nie wcześniej niż za kilka tygodni. Jest także mowa o rekomendacjach ostrożności.

Zbieramy kolejne argumenty za tym, żeby wydać taką rekomendację, niemniej też nie chcemy tutaj działać pochopnie. Idealnie by było, żeby tutaj stanowisko zarówno członków Unii Europejskiej albo członków NATO było maksymalnie zbliżone i spójne.

– zaznacza Karol Okoński, pełnomocnik rządu ds. cyberbezpieczeństwa.

„Huawei” to kolejny po Kaspersky Lab w 2018 roku incydent z oprogramowaniem lub sprzętem zagranicznego producenta, który został oceniony jako potencjalne zagrożenie dla bezpieczeństwa kraju. Teoretycznie państwo i urzędnicy są celem zainteresowania obcych wywiadów, a praktycznie cyberataki już się odbywają. Opowiadał o nich w Radiu Maryja były Minister Obrony Narodowej Antoni Macierewicz. Były szef MON w nagraniu powiedział, że polskie instytucje i firmy państwowe za jego rządów były niejednokrotnie atakowane przez hackerów.

Polskie służby dbające o bezpieczeństwo w sieci od dawna analizują działania zagranicznych, nieeuropejskich koncernów informatycznych na terenie kraju. Jednak w ubiegłym roku, po tym jak Departament Bezpieczeństwa USA zakazał administracji rządowej korzystania z oprogramowania Kaspersky Lab, ani polskie służby wywiadowcze, ani Ministerstwo Cyfryzacji, nie podjęły żadnych kroków.

Czy Polska powinna podjąć prewencyjne działania wobec Kaspersky Lab i Huawei?

Firmie Kaspersky Lab do dzisiaj nie przedstawiono dowodów na istnienie w ich oprogramowaniu tylnych furtek. Nie udowodniono jawnego szpiegowania na rzecz Rosji. Kaspersky Lab broni się uruchamiając centrum transparentności i przenosi się z przetwarzaniem metadanych do Szwajcarii, w tym udostępnia kod źródłowy swojego oprogramowania, aktualizacje oprogramowania i reguły wykrywania zagrożeń wszystkim zainteresowanym stronom. Na chwilę obecną centrum transparentności w Zurychu, gdzie można dokonać przeglądu kodu źródłowego rozwiązań Kaspersky Lab, przyjmuje przedstawicieli rządów i organów regulacyjnych odpowiedzialnych za cyberbezpieczeństwo, w tym za ochronę systemów informatycznych oraz rokujących i obecnych partnerów, a także klientów korporacyjnych. Rozpatrywana jest także możliwość zapraszania w przyszłości przedstawicieli uczelni wyższych, mediów oraz ekspertów ze środowiska cyberbezpieczeństwa.

Oprogramowanie antywirusowe Kaspersky Lab zostało wycofane z komputerów rządowych i administracji publicznej m.in. w USA i Wielkiej Brytanii, ale już w Holandii rosyjska firma wygrała w sądzie w sprawie o zniesławienie. Czy w tej sytuacji Polska powinna prewencyjnie zakazać używania środków technologicznych, które budzą obawy o współpracę z obcymi agenturami?

Według rzekomych ustaleń izraelskiego wywiadu, rosyjskie służby „włamały” się na serwery firmy Kaspersky, żeby wykradać dane z chronionych komputerów. Logiczne jest, że Izraelczycy rozdmuchali sprawę, po tym, jak z komputera pracownika NSA „wyciekła” informacja o exploitach lub hackerskich narzędziach — następnie trafiła na serwery Kaspersky Lab celem analizy. Iskra zapoczątkowała nagonkę na firmę antywirusową. Dalsze konsekwencje nie są na rękę urzędnikom naszego rzekomego sojusznika, czyli USA. Rosjanie dowiedzieli się o tajnych narzędziach wykorzystywanych przez amerykańskie służby do hackowania urządzeń polityków. Jeżeli szef Kaspersky Lab wiedział o wykorzystywaniu ich oprogramowania do szpiegowania, to jasne jest, że współpracował z rosyjskimi służbami, a nie amerykańskimi.  Administracja Donalda Trumpa robi wszystko, aby pozbyć się konkurencyjnych produktów. Ze świecznika został strącony Kaspersky Lab na rzecz firm z Chin — Huawei i ZTE.

Wszystkie decyzje administracji Trumpa mają podłoże polityczne i ekonomiczne. Polska jako sojusznik USA i członek NATO musi reagować na cyfrową wojnę Zachodu z Rosją i Chinami, aby nie narazić interesów silniejszych państw w naszym regionie. Z narodowego, polskiego interesu, jeżeli mielibyśmy tak jak Amerykanie zakazać instalowania oprogramowania Kaspersky Lab, to czy powinniśmy rozszerzyć embargo na oprogramowanie z Zachodu i z Chin?

Obce oprogramowanie na komputerach urzędników

Polska administracja nie podjęła żadnych konkretnych decyzji w sprawie korzystania z oprogramowania dostarczonego z zagranicy. Co więcej, kolejne instytucje ogłaszają przetargi, które kończą się zakupem obcych firm, np. antywirusa Kaspersky Lab. Z dostępnych danych wynika, że w latach 2012-2018 administracja publiczna (w tym Prokuratury, Izby Skarbowe, Urzędy miejskie, Wojskowa Akademia Techniczna) rozstrzygnęły ponad 30 przetargów i zainstalowały systemy Kaspersky Lab. Jeżeli doniesienia o szpiegowaniu są prawdziwe, to jesteśmy rozegrani na wszystkich frontach:

Rok 2012:

  1. Państwowa Wyższa Szkoła Zawodowa w Nysie – Kaspersky Open Space Security: 385 licencji, Business Space Security: 15 licencji.
  2. Szpital Specjalistyczny im. Ludwika Rydygiera w Krakowie: Kaspersky AntiVirus for Windows Workstation: 580 licencji, Kaspersky AntiVirus for Mail Servers: 300 licencji, Kaspersky AntiVirus for Windows Servers: 20 licencji.
  3. Państwowy Instytut Geologiczny-Państwowy Instytut Badawczy w Warszawie: Kaspersky Enterprise Space Security dla 1000 stacji roboczych oraz max 1500 skrzynek pocztowych.
  4. Akademia Górniczo-Hutnicza w Krakowie: Kaspersky AntiVirus: 60 licencji.
  5. Miasto Białystok, Urząd Miejski w Białymstoku: Kaspersky WorkSpace Security: 1200 komputerów (1100 szt. kontynuacja, 100 nowych licencji), Kaspersky Business Space Security dla 35 serwerów.
  6. Jednostka Wojskowa Nr 4024: Kaspersky Internet Security: 1 licencja,  Kaspersky Antywirus 3 stanowiska.
  7. Uniwersytet Łódzki: Kaspersky AntiVirus Total Space Security: 67 licencji, Kaspersky Total Space Security – serwer: 3 licencje.
  8. Zarząd Geodezji I Katastru Miejskiego Geopoz Poznań: Kaspersky AntiVirus for WinGate unlimited user: 1 sztuka.
  9. Urząd Pracy m. st. Warszawy: Kaspersky AntyVirus: 250 licencji (przetarg ogłoszony w 2011 roku).

Rok 2013:

  1. Wyższa Szkoła Oficerska Sił Powietrznych: Kaspersky Business Space Security – 10 stacji roboczych/serwerów.
  2. Zarząd Dróg Wojewódzkich w Gdańsku: Kaspersky For Windows Workstation, Kaspersky Administration Kit (jako oprogramowanie używane).
  3. Warmińsko-Mazurski Ośrodek Doradztwa Rolniczego w Olsztynie: Kasperski Work Space Security: 350 licencji (posiadanych), Kaspersky Business Security: 10 licencji (posiadanych).
  4. Urząd Miejski w Świebodzinie: Kaspersky AntiVirus for Windows Workstations: 100 licencji.
  5. Starostwo Powiatowe w Ostrowie Wielkopolskim: Kaspersky WorkSpace Security: 140 licencji + rozszerzenie o kolejne 20 licencji, Kaspersky Business Space Security: 10 licencji.
  6. Wojskowa Akademia Techniczna: Kaspersky Endpoint Security for Business Select — odnowienie posiadanych licencji dla ochrony stacji roboczych i serwerów.
  7. Urząd Miasta Piekary Śląskie: Kaspersky WorkSpace Security oraz BussinesSpace Securit – system zainstalowany w urzędzie.

Rok 2014:

  1. Kancelaria Sejmu RP: Kaspersky Internet Security: 2 licencje.
  2. Krakowski Szpital Specjalistyczny: zakup oprogramowania Kaspersky – serwery.
  3. Wyższa Szkoła Oficerska Sił Powietrznych w Dęblinie: Kaspersky Endpoint Security for Business, odnowienie: 400 licencji.
  4. Komenda Główna Policji: aktualizacja Kasperski Internet Security 2013 do Kaspersky Endpoint Security.
  5. Kujawsko-Pomorski Urząd Wojewódzki w Bydgoszczy: Kaspersky WorkSpace Security – 600 stanowisk.
  6. Prokuratura Generalna: Serwer antywirusowy Kaspersky – eksploatowany w systemach informatycznych.

Rok 2015:

  1. Akademia Morska w Gdyni: program Kaspersky – wspólne zarządzanie licencjami.
  2. Katowicki Holding Węglowy S.A.: Kaspersky Lab zaimplementowany w usługach informatycznych.
  3. Główny Inspektorat Ochrony Środowiska: Kaspersky AntiSpam 300 Mailboxes GOV, Kaspersky AntiVirus Mailboxes GOV.

Rok 2016:

  1. Jednostka Wojskowa Nr 4724: Kaspersky Internet Security: 5 licencji.
  2. Izba Skarbowa w Warszawie: Kaspersky Endpoint Security for Buisness Core: 205 licencji rocznych.
  3. Centrum Systemów Informacyjnych Ochrony Zdrowia: Przedłużenie licencji na oprogramowanie Kaspersky Security for Mail Server: 150 licencji.

Rok 2017:

  1. Prokuratura Okręgowa w Rzeszowie: Kaspersky Endpoint Security for Business: 250 użytkowników.
  2. Telewizja Polska S.A.: Kaspersky Endpoint Security for Business Select: 5120 licencji.
  3. Sąd Rejonowy Katowice-Wschód w Katowicach: Kaspersky Endpoint Security for Business: Advanced – 500 licencji.

Rok 2018:

  1. Szpital Specjalistyczny im. Ludwika Rydygiera w Krakowie: Przedłużenie licencji na Kaspersky Antivirus.

 Jeśli chodzi o cyberbezpieczeństwo Polski...

Nie wydano żadnych zaleceń jednostkom administracji publicznej, żeby nie korzystały z oprogramowania Kaspersky Lab.

— podkreśla Waldemar Skrzypczak, ekspert od bezpieczeństwa i były dowódca Wojsk Lądowych.

Polscy urzędnicy chcą, aby nasze służby zabrały oficjalne stanowisko w sprawie i przekazały jakiekolwiek wskazówki o tym, w jaki sposób traktować oprogramowanie dostarczane przez Kaspersky Lab. Tymczasem Ministerstwo Cyfryzacji w odpowiedzi na pytania odpowiada, że „nie ma narzędzi ani prawnych, ani technicznych, by działać na takim polu”. Zdaniem biura prasowego resortu problematyka ta „pozostaje raczej w zakresie działania służb specjalnych i to je należy o to dopytywać”. Agencja Bezpieczeństwa Wewnętrznego nie komentuje sprawy.

Państwowy Instytut Łączności wskazuje, jakie 11 parametrów muszą spełniać systemy zabezpieczeń stosowane w instytucjach zaufania publicznego. W zaleceniach Instytutu czytamy, że systemy wybierane przez administrację państwową muszą m.in „gwarantować brak możliwości dostępu do szyfrowanych danych przez producenta narzędzia szyfrującego czy zabezpieczenia współdzielenia danych”. Cała opinia zawiera porównanie dostępnych na rynku narzędzi kryptograficznych pod kątem spełnienia wymogów RODO:

Instytut Łączności zalecenia dla Polski - cyberbezpieczeństwo
Źródło: https://www.il-pib.pl/images/stories/oferta/ekspertyzy/Porownanie-narzedzi-do-szyfrowania-danych.pdf

Istnieją przykłady instytucji publicznych, które już wprowadziły zestaw zasad obowiązujących przy zamówieniach i realizacji procesów zabezpieczających infrastrukturę IT. Centrum Systemów Informatycznych Systemu Zdrowia jako nadrzędna instytucja wobec państwowego aparatu zdrowia wydała zalecenia dotyczące sposoby zabezpieczania i przetwarzania wrażliwych danych m.in. dokumentacji medycznej w postaci elektronicznej. Zasady te powinny być przestrzegane pod rygorem odpowiedzialności karnej dyrektorów, administratorów IT. Celem opracowania "Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej" jest przedstawienie rekomendacji dla usługodawców w zakresie budowania i stosowania systemu bezpiecznego przetwarzania danych medycznych:

Rekomendacje CSIOZ
Rekomendacje CSIOZ. Aby powiększyć, należy otworzyć ten link: https://avlab.pl/sites/default/files/inline-images/Rekomendacje-CISIOZ.png

Jedną z niewielu instytucji, które wyraziły obawy o bezpieczeństwo publicznych danych była TVP:

Do końca pierwszego półrocza 2019 roku oprogramowanie antywirusowe Kaspersky zostanie zastąpione innym rozwiązaniem, kompatybilnym ze zróżnicowanym środowiskiem informatycznym występującym w TVP.

— poinformowała Telewizja Polska w komunikacie przekazanym portalowi Wirtualnemedia.pl w lipcu 2018 r.

Szpiegowskie telefony. Podsłuchiwanie polityków.

Zdaniem posłów PO Joanny Frydrych, Bożeny Henczycy i Killiona Munyamy, koordynator służb specjalnych powinien przygotować wytyczne dotyczące aplikacji wykorzystywanych przez polityków podczas rozmów przez komórki. Służby (w tym ABW) winny uczulić polityków na zagrożenia związane z komunikatorami.

Wykorzystywanie powszechnie stosowanych zagranicznych komunikatorów głosowych przez rosyjskie, a także inne służby specjalne nie jest tajemnicą. Oprogramowanie wykorzystywane w komunikatorach typu: WhatsApp, Signal, Facebook Messenger oraz wiele innych, stanowi ogromne źródło wiedzy o użytkowniku, gromadząc dane, które przekazują do serwerów znajdujących się poza granicami Polski.

– piszą posłowie w interpelacji, skierowanej do Sejmu: http://www.sejm.gov.pl/sejm8…

W trosce o bezpieczeństwo państwa politycy zwrócili się do premiera Mateusza Morawieckiego z następującymi pytaniami:

1. Czy w działaniach Agencji Bezpieczeństwa Wewnętrznego są przewidziane przedsięwzięcia prewencyjne zapewniające poinformowanie wszystkich ministrów, sekretarzy stanu oraz innych urzędników państwowych o zagrożeniach płynących w związku z używaniem zagranicznych komunikatorów tekstowych i głosowych?

2. Czy w działaniach Służby Kontrwywiadu Wojskowego są przewidziane działania prewencyjne dotyczące poinformowania właściwych dla kompetencji SKW (szczególnie ministra obrony narodowej) instytucji o zagrożeniach płynących z użytkowania zagranicznych komunikatorów głosowych oraz tekstowych?

3. Czy w działaniach Centralnego Biura Śledczego Policji są przewidziane działania prewencyjne dotyczące poinformowania właściwych dla kompetencji CBSP oraz polskiej Policji urzędów państwowych o zagrożeniach płynących z użytkowania zagranicznych komunikatorów tekstowych oraz głosowych?

4. Czy minister koordynator służb specjalnych przewiduje działania dotyczące wprowadzenia wytycznych oraz rekomendacji dla służb specjalnych odnośnie do zagrożeń wynikających ze stosowania zagranicznych komunikatorów oraz polityki informacyjnej dla sektora publicznego w tym zakresie?

Co z tą Polską?

Jeżeli rząd lub podległe mu służby miałyby ustosunkować się negatywnie do firmy Kaspersky Lab i rozpocząć procedurę wycofywania oprogramowania z komputerów urzędników, to my jako naród, powinniśmy oczekiwać tego samego w stosunku do zagranicznego oprogramowania podobnego typu. Przede wszystkim technologie dostarczane na rynek polski, np. przez Kaspersky Lab oraz Huawei, powinny zostać zbadane przez państwowe instytucje odpowiedzialne za cyberbezpieczeństwo. Należałoby opracować zalecenia dla dyrektorów IT, którzy zazwyczaj nie mają pojęcia o technologicznej cyberwojnie. Nagonka na firmę Kaspersky Lab powinna zostać rozszerzona na pozostałych dostawców oprogramowania, systemów i sprzętu, ponieważ nie ma pewności co do ich bezpieczeństwa. Oprogramowanie z Zachodu może zawierać nieudokumentowane procedury przeszukiwania i wysyłania plików z urządzeń polityków i urzędników. Jeżeli wokół nas pali się las, to nie gaśmy pożaru z flanki, ale dookoła siebie.

Polska jako strategiczny sojusznik USA została wciągnięta w polityczną grę. Po której stronie opowiedzą się politycy? Dziennikarze The Wall Streat Jurnal już napisali o żądaniach amerykańskich władz w stosunku do Polski o wycofanie się z realizacji budowy sieci 5G przez Huawei. Podobno, jak twierdzi BBC, jeśli Polska nie zastosuje się do zaleceń, to USA może „poluźnić” współpracę biznesową i polityczną z Polską.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Administrator1988 czw., 31-01-2019 - 15:43

Dane w powyzszym zestawieniu, sa oparte na opini juz 2 letniej. Czy na prawde mozna w dziedzinie IT opierac sie na danych tak dawnych? Rowniez pomijajac ze dane sa ukierunkowane na konkretnego producenta to dodatkowo ni jak maja sie do rzeczywistosci. Np. w jaki spozob Bitlocker daje mozliwosc szyforwania pojedynczych plikow?
Sugeruje lepsza weryfikacje dobieranych porownan i poslugiwanie sie swiezszymi informacjami

ADAM11 pt., 01-02-2019 - 14:37

Zastanawia mnie, dlaczego mając tak dobre POLSKIE rozwiązania zapewniające bezpieczeństwo Arcabit, mks_vir, UseCrypt, rząd i instytucje publiczne korzystają z zagranicznych rozwiązań. Przecież, można się było tego spodziewać, że obce rozwiązania na pewno są monitorowane przez służby specjalne swoich państw. Ale Polak mądry po szkodzie...

Ireneusz Woźniak pt., 01-02-2019 - 20:00

Zupełnie nie rozumiem postawy polskich przedstawicieli prawa i służb. Przecież Huawei od X lat jest instalowany przez polskie telekomy i mnóstwo firm używa serwerów, przełączników, pamięci masowych, firewalli next gen. itp. I Polska budzi się stając na baczność, przywołana do tablicy przez USA? To jest ewidentnie zagrywka polityczna.

Dodaj komentarz