Polityka i prawo
Szkolenie z cyberbezpieczeństwa ukończyło… 70 posłów. Politycy nadal bez kluczy U2F
Po ataku na skrzynkę mailową ministra Michała Dworczyka rząd podjął decyzję o organizacji szkolenia z zakresu cyberbezpieczeństwa przeznaczonego dla polityków. Jak wynika z naszych informacji, wzięło w nim udział tylko 70 posłów. Ponadto, politycy nadal nie otrzymali kluczy zabezpieczających U2F.
Szkolenie odbywało się w Akademii Sztuki Wojennej w warszawskim Rembertowie między 19 a 22 lipca br. Organizowało je Akademickie Centrum Polityki Cyberbezpieczeństwa Akademii Sztuki Wojennej, Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni, Eksperckie Centrum Szkolenia Cyberbezpieczeństwa oraz Wojskowa Akademia Techniczna.
Było zapowiadane po tym, jak najpierw okazało się, że ofiarą ataku hakerskiego padł minister Michał Dworczyk, a następnie na jaw wyszło, że – według ustaleń ABW i SKW – na liście celów przeprowadzonego przez grupę UNC1151 cyberataku znajdowało się co najmniej 4350 adresów e-mail, należących do polskich obywateli lub funkcjonujących w polskich serwisach poczty elektronicznej.
Choć cyberszkolenie miało poprawić poziom wiedzy polityków m.in. w zakresie zwrócenia uwagi na konieczność posiadania uwierzytelnienia dwuskładnikowego w serwisach poczty elektronicznej, okazało się, że politycy nie wzięli w nim licznego udziału.
Jeden z posłów miał powiedzieć Wirtualnej Polsce, że powodem niskiej frekwencji był termin szkolenia – w tym czasie odbywało się posiedzenie Sejmu oraz prace w komisjach sejmowych. Jak udało nam się dowiedzieć, wzięło w nim udział jedynie 70 posłów (na 460).
Do odpowiedzi na pytania o organizowane szkolenia nie kwapiła się ani Kancelaria Prezesa Rady Ministrów, ani Centrum Informacyjne Sejmu. KPRM odesłał nas do MON i CIS, a CIS do KPRM. Kancelaria Sejmu odpowiedziała nam jedynie, że „oferta szkoleniowa – przygotowana dla Kancelarii Sejmu przez Ministerstwo Obrony Narodowej oraz Agencję Bezpieczeństwa Wewnętrznego – miała charakter dobrowolny i opierała się na instruktażu praktyczno-teoretycznym”.
Ostatecznie KPRM odpowiedziała, że za kwestie bezpieczeństwa służbowej sieci i narzędzi wykorzystywanych przez parlamentarzystów, w tym również za przeszkolenie, odpowiedzialna jest Kancelaria Sejmu i Kancelaria Senatu. „Szkolenia z zasad bezpieczeństwa są prowadzone dla parlamentarzystów na początku każdej kadencji” – wskazano.
Kolejne szkolenia to decyzja Kancelarii Sejmu i Senatu
Natomiast z Ministerstwa Obrony Narodowej usłyszeliśmy, że szkolenie dla parlamentarzystów „Cyberhigiena – jak dbać o swoje bezpieczeństwo w sieci” obejmowało podstawowe zasady cyberhigieny, zasady bezpiecznego korzystania z urządzeń podłączonych do internetu oraz ochrony danych przed zagrożeniami w sieci, aspektów prawnych cyberbezpieczeństwa, a także zagadnienia praktyczne.
„Szkolenie zakończyło się wydaniem świadectwa potwierdzającego jego odbycie. Warto podkreślić, że instytucje resortu obrony narodowej pozostają w gotowości do przeprowadzenia szkoleń także w innych terminach, jednak taką decyzję mogą podjąć zleceniodawcy szkolenia – Biura Kancelarii Sejmu oraz Senatu” – odpowiedział nam Wydział Prasowy Centrum Operacyjnego ministra obrony narodowej.
Na nasze pytanie czy od czasu cyberataku na ministra Michała Dworczyka skrzynki mailowe polityków zostały odpowiednio zabezpieczone, CO MON odpowiedziało, że „zapewnienie bezpieczeństwa cybernetycznego parlamentarzystom i członkom rządu leży w gestii Agencji Bezpieczeństwa Wewnętrznego”.
Z kolei KPRM wskazało, że „prowadzi stałe działania mające na celu podnoszenie wiedzy na temat cyberbezpieczeństwa. Wykorzystywane są w tym kompetencje własne, ABW i NASK, a skrzynki służbowe członków rządu są odpowiednio zabezpieczone”.
Czytaj także: Pytania o bezpieczeństwo polityków w internecie już pod koniec ubiegłego roku
Nietrafiony termin
Jak udało się ustalić naszej redakcji, tak skromny udział posłów w szkoleniu z cyberbezpieczeństwa jest efektem nieodpowiedniego terminu jego przeprowadzenia – wielu polityków w tym samym czasie musiało realizować swoje inne obowiązki.
„Osoby z naszego ugrupowania brały udział w szkoleniu. Jednak generalnie odbyło się ono w czasie kumulacji prac komisji, posiedzeń Sejmu i innych prac parlamentarnych. Z tego właśnie względu sam nie mogłem w nim uczestniczyć” – podkreślił w rozmowie z CyberDefence24.pl Krzysztof Bosak, jeden z liderów Konfederacji.
W podobnym tonie wypowiedział się poseł Platformy Obywatelskiej Arkadiusz Marchewka, który zaznaczył, że w czasie prowadzenia szkolenia był na posiedzeniu Sejmu. „Po prostu jestem zaangażowany w pracę trzech komisji i nie miałem możliwości, aby brać w tym udział. W tamtym czasie był straszny >kocioł<” – wyjaśnił na łamach naszego portalu.
Dlaczego szkolenie zostało zorganizowane w czasie, gdy miał miejsce taki „nawał” prac politycznych? „Ktoś, kto je organizował kompletnie nie zna specyfiki pracy Sejmu, ani nie skonsultował się z przewodniczącymi klubów” – zaznaczył Krzysztof Bosak.
Dobrze, że szkolenie się odbyło, lecz w związku z tym, iż termin był nie trafiony, trzeba zorganizować kolejne.
Przedstawiciel Konfederacji popiera samą ideę szkolenia, wskazując, że trzeba je powtórzyć. „Tego typu inicjatywy nie mogą być jednorazowe, ponieważ to ciągły proces, wymagający cierpliwości i czasami nawet wielu lat działania. Wynika to z faktu, że to praca na ludzkich nawykach” – podkreślił w rozmowie z naszym portalem.
Również Arkadiusz Marchewka z PO w pozytywnym tonie wypowiada się o koncepcji szkolenia z zakresu cyberbezpieczeństwa dla polityków. „To dobry pomysł, ponieważ będziemy bardziej świadomi w tym obszarze” – zaznaczył poseł.
Zdaniem Artura J. Dubiela w środowisku polityków „być może” występuje świadomość na temat cyberzagrożeń, lecz często nic z tego nie wynika. Według eksperta kolejne incydenty pokażą tak naprawdę, czy podejście na najwyższych szczeblach władzy zmieniło się i wyciągnięto wnioski z „Dworczyk leaks”.
„Nic na ten temat nie wiadomo”
Szkolenie i powołanie nowej cyberjednostki, to nie jedyne inicjatywy, o których głośno mówił polski rząd. Mniej więcej miesiąc temu przedstawiciele władzy zapowiedzieli, że wszyscy parlamentarzyści otrzymają klucze U2F, by zabezpieczyć ich przed cyberatakami i zapewnić bezpieczeństwo poczty elektronicznej – zarówno służbowej, jak i prywatnej. Taki klucz pozwala na ochronę przed atakami phishingowymi i zapobiega kradzieży informacji poufnych.
Postanowiliśmy sprawdzić, na jakim etapie jest realizacja głośnych deklaracji rządu. Z naszych informacji wynika, że jak dotąd politykom nie wręczono jeszcze kluczy U2F. Co więcej, nie przekazano im żadnych informacji na ich temat, a także terminu, kiedy je otrzymają.
„Nic mi na ten temat nie wiadomo” – skwitował Krzysztof Bosak. Taką samą odpowiedź usłyszeliśmy ze strony Arkadiusza Marchewki, który również nie otrzymał żadnej informacji w sprawie dostarczenia kluczy U2F.
Czy ostatnie wydarzenia coś zmieniły?
Incydent z udziałem m.in. ministra Dworczyka pokazał, że politycy nie ufają służbom, bądź też wręcz się ich boją. Na taki stan rzeczy wskazuje fakt, że nie korzystają z dedykowanych rozwiązań, lecz komercyjnych, prywatnych skrzynek podczas pełnienia swoich obowiązków. Ostatnie wydarzenia powinny jednak wpłynąć na ich działania i skłonić do głębszej refleksji nad cyberbezpieczeństwem. Jako najważniejsi urzędnicy w państwie muszą posiadać świadomość, że ich postępowanie może mieć wpływ na kondycję całego państwa.
„Pozostaje jedynie mieć nadzieję, że politycy różnych opcji i frakcji wyciągnęli wnioski z zaistniałej sytuacji” – podkreślił dla naszego portalu Artur J. Dubiel, wykładowca Wyższej Szkoły Bankowej w Chorzowie, wydawca portalu mil.link. „Jako jednostki czy nawet całe społeczeństwo, nie mamy bezpośredniego wpływu na to jak dany polityk, nawet wysoki rangą posługuje się technologiami. Od tego są służby i odpowiednie instytucje” – dodał.
Jak podkreślił ekspert, ostatnie głośne incydenty z udziałem polityków niewątpliwie zwróciły uwagę na problematykę cyberbezpieczeństwa. Bezpośrednim następstwem jest m.in. organizacja szkoleń czy powołania nowej jednostki policyjnej – Centralnego Biura Zwalczania Cyberprzestępczości.
W teorii takie podejście należy oceniać pozytywnie, jednak przyglądając się bliżej sprawie, nasuwają się pewne pytania o praktyczny wymiar działania. „Wątpliwości budzić może jednak czy są to rozwiązania systemowe, czy może jednak tylko mocno rozproszone działania jedynie na poziomie taktycznym. A skoro mówimy o rozwiązaniach systemowych, to w każdym systemie ważną rolę pełnią podmioty i relacje tworzące system, ale nie tylko” – tłumaczy Artur J. Dubiel. W opinii eksperta równie ważne są regulacje prawne.
Politycy zawsze będą jednym z głównych celów
Te wszystkie elementy (m.in. szkolenia, utworzenie nowej cybersłużby, wyposażenie polityków w klucze U2F), wpisujące się w szerokie spektrum działań na rzecz podnoszenia cyberbezpieczeństwa, są działaniami podstawowymi w kontekście wysokiego ryzyka wystąpienia cyberzagrożeń.
Jak podkreślił dla naszego portalu Artur J. Dubiel, politycy są tą grupą społeczną, która zawsze będzie jednym z głównych celów wrogich działań. „To z niej wywodzą się rządzący i osoby decyzyjne w różnych kwestiach, funkcjonujące także poza rządem. Część udziela się także społecznie, ich działalność różnym środowiskom, zwłaszcza obcym, może być nie na rękę” – zaznaczył ekspert. Jego zdaniem zarówno przedstawiciele partii rządzącej, jak i opozycji są w takim samym stopniu narażeni na działania ze strony podmiotów zewnętrznych.
Wielu incydentom można byłoby skutecznie zaradzić. Jednak nadal problemem jest różny stopień świadomości i biegłości w nowoczesnych technologiach. Popełniane błędy wynikają z niewiedzy, braku doświadczenia, lenistwa, a także innych, ludzkich słabości.
To jednak problem nie tylko polityków. „Niebezpieczeństwa czyhają również na inne środowiska, ludzi służb, nauki, organizacji pozarządowych czy organizacji skrajnych. Nie trzeba żadnych badań, by stwierdzić, że ryzyko nieuprawnionego dostępu do informacji będących w posiadaniu bądź dyspozycji wspomnianych osób i ośrodków jest i będzie duże” – wskazał Artur J. Dubiel na łamach naszego portalu.
W związku z tym według eksperta należy uświadamiać użytkowników wszelkich systemów, propagować wiedzę o bezpiecznej eksploatacji sieci i narzędziach do tego przeznaczonych. „Jako że stuprocentowe bezpieczeństwo nie istnieje, to długa i niekończąca się droga przed nami” – podkreślił ekspert.
Autorzy: Nikola Bochyńska & Szymon Palczewski
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.