Prokuratura stawia zarzuty dyrektorom cyberbezpieczeństwa w MS. „Autorski produkt”
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Prokuratura Regionalna w Lublinie postawiła zarzuty byłym dyrektorom w Ministerstwie Sprawiedliwości. Sprawa dotyczy nieprawidłowości przy zakupie urządzeń Securebox, które według Prokuratury nie spełniały należytych norm oraz zostały zakupione za zawyżoną cenę. Podejrzanym grozi do 10 lat więzienia. Urządzenia miały być autorskiego projektu Centrum Cyberbezpieczeństwa wspomnianego ministerstwa.
7 listopada rzecznik prasowy Prokuratury Regionalnej w Lublinie opublikował komunikat w sprawie „zarzutów w śledztwie dotyczącym nieprawidłowości związanych z zakupem urządzeń Securebox w latach 2022-2023 przez Ministerstwo Sprawiedliwości”. Zbigniew G. oraz Jan K. są podejrzani o popełnienie przestępstw z art. 231 § 1 oraz art. 231 § 2 Kodeksu Karnego, które brzmią następująco:
§ 1. Funkcjonariusz publiczny, który, przekraczając swoje uprawnienia lub nie dopełniając obowiązków, działa na szkodę interesu publicznego lub prywatnego, podlega karze pozbawienia wolności do lat 3.
Kodeks Karny via sip.lex.pl
§ 2. Jeżeli sprawca dopuszcza się czynu określonego w § 1 w celu osiągnięcia korzyści majątkowej lub osobistej, podlega karze pozbawienia wolności od roku do lat 10.
Kodeks Karny via sip.lex.pl
Czytaj też
Jak nie kupować oprogramowania i sprzętu
Podejrzanym o popełnienie przestępstwa zarzucono przekroczenie uprawnień, polegające na zawarciu umowy ramowej na dostawę „maksymalnie 400 sztuk urządzeń o nazwie Securebox wraz z oprogramowaniem o łącznej wartości 26 568 000,00 zł”.
Zbigniew G. to były Dyrektor Biura Cyberbezpieczeństwa Ministerstwa Sprawiedliwości, zaś Jan K. był wówczas Dyrektorem Instytucji Gospodarki Budżetowej Centrum Cyberbezpieczeństwa z siedzibą w Zamościu.
Prokuratura zarzuciła Janowi K. m.in. wdrożenie urządzeń niespełniających wymogów technicznych (umożliwiających ich funkcjonowanie na terenie UE) oraz dostawę urządzeń przez instytucję niewyznaczoną do tego rodzaju działań. Zbigniew G. usłyszał zarzut w związku z niesprawdzeniem poprawności działania sprzętu oraz wiedzą, że kwota niezbędna do realizacji przedsięwzięcia nie została ujęta w budżecie Ministerstwa Sprawiedliwości.
Dyrektorzy nie przyznali się do winy. „Wobec podejrzanych zastosowano dozór policyjny, zakaz opuszczania kraju oraz zabezpieczenie majątkowe na nieruchomościach i samochodach. Wartość zabezpieczeń to 1,47 mln zł w przypadku Zbigniewa G. i 2,9 mln zł w przypadku Jana K.” – stwierdzono w artykule RMF FM.
Czym był Securebox, czyli kupno swojego rozwiązania
Kluczowe pytanie dotyczy tego, czym było wspomniane urządzenie, czyli Securebox. Na stronie Związku Pracodawców Polska Miedź możemy znaleźć bardzo ciekawe stwierdzenie, mianowicie:
SECUREBOX - Autorski produkt Centrum Cyberbezpieczeństwa, który wspiera ochronę Organizacji przed zagrożeniami przenoszonymi na nośnikach danych.
PDF Akademii Rozwoju Przemysłu 4.0
Wynika z niego, że Centrum Cyberbezpieczeństwa Ministerstwa Sprawiedliwości było autorem urządzenia, które nie spełniało wymogów technicznych.
Autor. https://pracodawcy.pl/wp-content/uploads/2023/03/informacje_Cyberbezpieczenstwo-w-samorzadzie-terytorialnym-JST_-Przemysl-4.0_29032023.pdf
Niecałe trzy lata temu w zamojskiej „Kronice Tygodnia” ukazał się artykuł poświęcony zamojskiemu Centrum Cyberbezpieczeństwa. „(Centrum Cyberbezpieczeństwa – przyp. red.) prowadzi również testy penetracyjne istniejących i budowanych systemów, czyli symulowane ataki mające na celu wykrycie ewentualnych błędów w systemach, zanim zrobi to haker. W tym roku staruje z własnym produktem – securebox – który służy do zabezpieczania zewnętrznych nośników pamięci używanych w sądach, prokuraturach i innych jednostkach” – stwierdzono w artykule.
Autor. https://www.kronikatygodnia.pl/artykul/33359%252Czamosc-cyber-twierdza-ma-chronic-wymiar-sprawiedliwosci-hakerzy-atakuja-20-razy-w-miesiacu
„Urządzenia (własnego projektu) do skanowania nośników USB pod kątem bezpieczeństwa za 26 mln PLN. Dobrze się tam bawili :)” – stwierdziła Zaufana Trzecia Strona na X.
Czytaj też
Co dalej?
Nie znamy szczegółów technicznych związanych z działalnością urządzenia, lecz wiele wskazuje na to, że podobny efekt można osiągnąć zdecydowanie mniejszym nakładem środków. „A w innej instytucji 3-osobowy zespół (nie, nie byłem członkiem) zrobił to samo (USB i nośniki optyczne) na bazie open-source i licencji jakiegoś komercyjnego AV, w ramach obowiązków służbowych (więc de facto za koszt serwera i licencji)” – stwierdził Paweł Kraszewski w komentarzu do wspomnianego posta na X.
Patrząc na komunikat prokuratury oraz fakt autorskiego rozwiązania, pozostaje zacytować jedynie fragment odcinka „Kapitana Bomby” Bartosza Walaszka:
- (...) mam dobrą i złą wiadomość!
- Zacznij od złej.
- Nie działa.
- A dobra?
- Zbudowaliśmy go.
- Nareszcie!
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?