Kancelaria Sejmu to jedyna instytucja publiczna, która odmówiła zainstalowania systemu wczesnego ostrzegania o zagrożeniach w sieci Internet, oferowanego przez CERT.GOV.PL (Rządowy Zespół Reagowania na Incydenty Komputerowe, działający w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW – przyp. red.) – ujawnił na niedawnym posiedzeniu Sejmowej Komisji Regulaminowej i Spraw Poselskich poseł Marek Opioła (PiS). Jako przewodniczący Sejmowej Komisji Służb wyjaśnił, że „jest to kwestia dotycząca sondy ARAKIS, którą Agencja Bezpieczeństwa Wewnętrznego oferuje takim instytucjom, jak właśnie Kancelaria (Sejmu – przyp. red.)”. Wypowiedź posła Opioły była reakcją na słowa szefa Kancelarii Sejmu RP Lecha Czapli, który drobiazgowo opowiadał posłom o problemach, jakie wynikają z tego, że Straż Marszałkowska, odpowiedzialna za bezpieczeństwo obu izb parlamentu, nie ma statusu służby. „Mam pytanie zupełnie z innego zakresu bezpieczeństwa, a mianowicie bezpieczeństwa cyberprzestrzeni, zabezpieczenia usług informatycznych, które Kancelaria dostarcza nam w biurach poselskich, czy na własnej stronie internetowej, a skończywszy na sprzęcie, który otrzymaliśmy w ramach pomocy do wykonywania mandatu posła i senatora (…) Czy coś w tej kwestii się zmieniło? Czy coś planuje się zmienić, ponieważ ataki na stronę sejmową zdarzają się. Wielokrotnie są przypadki, że z tą stroną coś się dzieje. To dotyczy osób i takich, jak my, które wchodzą i próbują szukać pewnych informacji. To jest kwestia bezpieczeństwa” – wtrącił Marek Opioła.
Okazało się wówczas, że wyjaśnienie posłom, dlaczego Kancelaria Sejmu RP do tej pory nie wdrożyła systemu, który dostarcza informacji na temat
1. nowych zagrożeń (globalnych) pojawiających się w sieci Internet, m.in.:
- nowo-wykrytych samo-propagujących się zagrożeń typu worm;
- nowych typów ataków, obserwowanych z poziomu dużej liczby lokalizacji;
- trendów aktywności ruchu sieciowego na poszczególnych portach;
- trendów aktywności wirusów rozsyłanych pocztą elektroniczną;
2. zagrożeń lokalnych związanych z konkretną, chronioną lokalizacją:
- braku aktualnych szczepionek antywirusowych;
- zainfekowanych hostów w sieci wewnętrznej;
- nieszczelnej konfiguracji brzegowych systemów zaporowych;
- prób skanowania publicznej przestrzeni adresowej zarówno z Internetu jak i z sieci wewnętrznej
stanowi tajemnicę państwową - Pozwolę sobie przedstawić tę informację w taki sposób, żeby nie było potrzeby zmiany konfiguracji naszego posiedzenia (na niejawne – przyp. red.) – stwierdził szef Kancelarii Sejmu Lech Czapla dodając, że „jeżeli chodzi o ARAKIS, to rzeczywiście dwa razy ta sprawa była omawiana na posiedzeniu Konwentu Seniorów. To nie jest sprawa przesądzona, ale nie ma jeszcze pełnej akceptacji Konwentów Seniorów. Musi być decyzja marszałka o wprowadzeniu tej usługi ze strony ABW”.
Wydaje się, że opinia publiczna, która niejednokrotnie miała okazję przekonać się o podatności strony Sejmu na cyberzagrożenia, ma prawo domagać się wyjaśnienia, dlaczego do tej pory sieć izby wyższej parlamentu RP nie jest strzeżona przez system opracowany w ABW - Rozmowy o potrzebie uruchomienia w Kancelarii Sejmu sondy ARAKIS-GOV były prowadzone przez szefostwo ABW z trzema kolejnymi marszałkami Sejmu (Bronisławem Komorowskim, Grzegorzem Schetyną i Ewą Kopacz). Za każdym razem bez skutku. Nie pomogły nawet dwukrotne próby udzielenia nam pomocy w tej sprawie przez Sejmową Komisję Służb Specjalnych. Postawa Kancelarii Sejmu było tym dziwniejsza, że np. Kancelaria Senatu bez żadnego oporu zgodziła się na podłączenie naszego systemu ostrzegania o cyberzagrożeniach do swej sieci komputerowej – opowiada były szef ABW gen. bryg. Krzysztof Bondaryk, za którego kadencji opracowano sondę ARAKIS-GOV.
Stan świadomości cyberzagrożeń obecnego szefa Kancelarii Sejmu RP Lecha Czapli najdobitniej obrazuje jego własna wypowiedź sprzed paru tygodni: „Tak mi się wydaje, że raz czy dwa razy zamrażaliśmy naszą stronę internetową w związku z atakami hakerskimi. To była słynna sprawa z aktami (ACTA – przyp. red.), czyli z tym atakiem, który – jak rozumiem – symbolizował gniew internautów wobec możliwości wprowadzenia autopłatności. Wtedy nikt nie wszedł na naszą stronę internetową, ani wtedy, ani do tej pory. Sytuacja polegała na tym, że przez zombi, przez zapewne kilka milionów zombi było generowanie żądanie pozyskanie informacji ze strony sejmowej. Obecnie możemy obsłużyć może 100, może 150 tysięcy pytań w ciągu minuty. To zupełnie wystarcza, nawet z dużym nadmiarem, na normalną ciekawość obywateli, internautów. Natomiast tu spowodowano tzw. sztuczny tłok. W tym momencie dwa razy dyrektor Ośrodka Informatyki podjął decyzję o zamrożeniu strony, ale to nie było wejście na naszą stronę i przemeblowanie tego materiału, którym dysponujemy. To była zasada oślepnięcia naszej strony. Chcieliśmy uniknąć – oczywiście nasze firewalle pracowały – zderzenia ze sztucznym tłokiem i wyłączyliśmy stronę. Natomiast nie było, tak mi się wydaje, mam nadzieję, żadnego przypadku, kiedy jakieś działania hakerskie spowodowały wejście na naszą stronę sejmową, czy na stronę klubów. Nie słyszałem o takiej sytuacji”.
Warto zatem przypomnieć jak skutki cyberataku z 26 listopada 2014 i reakcje urzędników Kancelarii Sejmu relacjonowała prasa: „Efektem jest totalny paraliż sejmowej strony. Od samego rana witryna albo w ogóle nie działa, albo działa z wielkimi problemami. Nie ulega wątpliwości, że głównym celem ataku cyberterrorystów nie jest sejmowa strona, ale sparaliżowanie przede wszystkim systemów informatycznych Sejmu, a tym samym toczących się prac. Być może chodzi także o kradzież danych. – Dyrektor uspokajał, że jedyną niedogodnością dla posłów są opóźnienia w tym, co dla nas najważniejsze, czyli pracy sejmowej poczty elektronicznej, gdzie otrzymujemy wszystkie informacje związane z pracą Sejmu – dodaje Budnik (Jerzy, poseł PO – przyp red.)
Kancelaria Sejmu milczy na razie na temat ataku. Sprawa jest więc bardzo tajemnicza. Nie wiadomo więc, czy dane na sejmowych serwerach są bezpieczne i czy hakerom udało się sparaliżować pracę sejmowych urzędników lub wykraść jakiekolwiek informacje. Nie wiadomo także, kto stoi za tym cyberatakiem na Sejm” – czytamy w dzienniku „Fakt”.
Na to ostatnie pytanie być może łatwiej byłoby znaleźć odpowiedź, gdyby Kancelaria Sejmu pozwoliła ABW zainstalować sondę ARAKIS-GOV, o której wiadomo, że „zaimplementowane w systemie narzędzia umożliwiają między innymi porównanie statystyk ruchu sieciowego widzianego z poziomu chronionej lokalizacji z globalnym obrazem pochodzącym z wszystkich zainstalowanych sensorów oraz zobrazowanie geograficznej lokalizacji podejrzanego ruchu. Unikalną cechą systemu ARAKIS-GOV jest przy tym fakt, że nie monitoruje on w żaden sposób treści informacji wymienianych przez chronioną instytucję z siecią Internet. Sondy systemu instalowane są bowiem poza chronioną siecią wewnętrzną instytucji, po stronie sieci Internet”.
To ostatnie jest szczególnie ważne w świetle rozpowszechnianych przed kilkoma laty wśród posłów i urzędników Kancelarii Sejmu pogłosek, jakoby system ARAKIS-GOV został stworzony do inwigilacji parlamentarzystów.
Aktualnie sensory systemu zainstalowane są w ponad 60 urzędach szczebla centralnego i jednostkach samorządu terytorialnego – jak wynika z informacji zamieszczonej jakiś czas temu na stronie CERT.GOV.PL. Według niektórych źródeł liczba użytkowników systemu przekroczyła już 70 i są wśród nich m.in. Kancelaria Premiera, Kancelaria Prezydenta i MON.
Do systemu wczesnego ostrzegania o cyberzagrożeniach ARAKIS-GOV, opracowanego wspólnie przez ABW (CERT.GOV.PL) i NASK (CERT Polska) będziemy wracać w kolejnych publikacjach.