"Koncepcję wspólnego zamawiającego na poziomie centralnym zaproponowaliśmy już wstępnie Kancelarii Prezesa Rady Ministrów. Powinien on objąć kontrolę nad wszystkimi zakupami oprogramowania dla administracji i koordynować organizację przetargów, w których oprócz optymalizacji ceny będą brane pod uwagę również inne parametry, takie jak funkcjonalność i bezpieczeństwo oprogramowania" - powiedziała PAP minister cyfryzacji. Odniosła się tym samym do sprawy użytkowania przez instytucje publiczne oprogramowania firmy Kaspersky Lab.

Wokół oprogramowania Kaspersky Lab pojawiło się sporo wątpliwości dotyczących bezpieczeństwa po doniesieniach medialnych, według których to właśnie dzięki niemu możliwe było wykradzenie tajnych danych z amerykańskiej agencji wywiadowczej NSA. Oskarżeń pod adresem rosyjskiej firmy przybywa - kolejnym podmiotem, którego struktury miały doznać uszczerbku w wyniku wykorzystania dostarczanego przez nią oprogramowania, jest brytyjski bank Barclays, informujący o wycieku danych swoich klientów, otrzymujących oprogramowanie Kaspersky'ego w pakiecie z usługami finansowymi.

"To nie są rzeczy, które wyciąga się publicznie" - odpowiedziała Streżyńska, ustosunkowując się do treści artykułu "Dziennika Gazety Prawnej", w którym pojawiło się twierdzenie, że administracja nie podjęła żadnych kroków w celu wyjaśnienia sprawy oprogramowania Kaspersky'ego.

„Rzeczywiście jest tak, że Ministerstwo Cyfryzacji do tej pory nie miało kompetencji prawnych, aby kontrolować zakupy administracji" - mówi minister. Podkreśla jednak, że nie jest prawdą, że administracja nie podejmuje żadnych działań. „Z naszej inicjatywy powstała Baza Aktywnych Systemów Informatycznych Administracji (BASIA - PAP), którą zarządza Ministerstwo Cyfryzacji i która zawiera informacje na temat zasobów informatycznych, jakimi dysponują organy administracji. Wciąż jednak nie mamy uprawnień, żeby zobowiązywać instytucje do informowania nas o tym, jak wygląda ich infrastruktura” - stwierdza Streżyńska. Wskazuje, że sytuacja taka wynika z braku centralnego organu odpowiedzialnego za zarządzanie licencjami i jest istotnym problemem dla państwa. „Chodzi nie tylko o potencjalne oszczędności, jakie można dzięki temu uzyskać, ale jak pokazuje przykład Kaspersky’ego również o względy bezpieczeństwa” - dodała.

„Nie wiemy, ile instytucji rzeczywiście korzysta z Kaspersky'ego. Obecnie każde ministerstwo odpowiedzialne jest za siebie. Zalecenia dotyczące bezpieczeństwa na poziomie ogólnym może wydawać Agencja Bezpieczeństwa Wewnętrznego" - stwierdziła minister cyfryzacji dodając, że kierowany przez nią resort na bieżąco współpracuje ze służbami w tym zakresie. Streżyńska stwierdziła też, że rolą ABW jest ocena stopnia zagrożenia, która może posłużyć za podstawę do wydania ewentualnych zaleceń dla administracji publicznej w kwestii korzystania z oprogramowania.

„Warto przypomnieć, że obecnie wszystkie urzędy funkcjonują w trybie prawa zamówień publicznych i nie ma możliwości wykluczania jakiegokolwiek podmiotu legalnie funkcjonującego na rynku, o ile nie występują przesłanki związane z bezpieczeństwem i obronnością” - powiedziała minister cyfryzacji. „Zastosowanie trybu z ograniczeniami musi być poparte jasnymi przesłankami” - dodała.

Streżyńska w rozmowie z PAP stwierdziła również, że nie jest prawdą, jakoby Ministerstwo Cyfryzacji nie podejmowało działań na rzecz kontroli potencjalnych zagrożeń w stosunku do administracji państwowej.

„Ministerstwo Cyfryzacji analizuje kwestie związane z wątpliwościami dotyczącymi oprogramowania firmy Kaspersky i wystąpiło już w tej sprawie do koordynatora służb specjalnych” - mówi. Dodała też, że jej resort pracuje nad wieloma innymi projektami, które znacząco wpłyną na poziom bezpieczeństwa oraz optymalizację wykorzystania państwowych zasobów IT.

"Podjęliśmy m.in. projekt +Wspólna Infrastruktura Państwa+, który składa się z trzech modułów, a jego celem jest zwiększenie bezpieczeństwa administracji zarówno z punktu widzenia infrastruktury, oprogramowania, jak i rozwiązań prawnych" - mówi minister. „Pracujemy też nad utworzeniem rządowego klastra bezpieczeństwa” – wylicza.

Jak podkreśliła, dzięki działaniom realizowanym przez MC systemy administracji publicznej, które dziś działają w oderwaniu od siebie, zaczną się nie tylko komunikować, ale też wymieniać informacjami. Projektem, który ma to zapewnić jest „Platforma Integracyjna Usług i Danych”. „Jej uruchomienie będzie wpływać nie tylko na zwiększenie poziomu bezpieczeństwa informatycznego państwa, ale również wygodę obywateli” – podkreśliła minister cyfryzacji.

Zdaniem ekspertów na co dzień zajmujących się cyberbezpieczeństwem, zaistniała sytuacja dotycząca wykorzystania oprogramowania Kaspersky'ego w administracji publicznej i ryzyka wymaga szczególnie dokładnych i wielopoziomowych analiz.

"Oprogramowanie antywirusowe ma dostęp do absolutnie wszystkich danych przechowywanych, wysyłanych i odbieranych przez komputer. To dostęp nie tylko do plików, ale wręcz do wrażliwych komponentów systemu operacyjnego" - mówi dr Łukasz Olejnik, konsultant cyberbezpieczeństwa i prywatności oraz badacz afiliowany przy Centrum Polityki Technologii Informacyjnych (ang. Center for Information Technology Policy) Uniwersytetu Princeton.

"Aby były skuteczne, programy takie stale kontaktują się z serwerami kontrolującymi uaktualnianie sygnatur - mechanizm wykrywania złośliwego oprogramowania. Antywirusy często także wysyłają problematyczne próbki do serwerów firm w celu dalszej analizy" - mówi Olejnik. "To standardowa praktyka stosowana po to, by oprogramowanie antywirusowe działało lepiej" - dodaje.

Ekspert zauważa jednak, że sprawa firmy Kaspersky Lab nie jest całkowicie jednoznaczna. "Obecnie Kaspersky broni się argumentując, że do zaniedbań doszło po stronie problematycznego pracownika. Ostatecznie jednak, pliki złośliwego oprogramowania przypisane Equation Group znalazły się na serwerach firmy. Ta +cyberbroń+ przypisywana jednemu z zachodnich wywiadów elektronicznych to ogromnie wrażliwe dane" - mówi dr Olejnik.

Zdanie to popiera również specjalista ds. cyberbezpieczeństwa i właściciel serwisu Zaufana Trzecia Strona, Adam Haertle. Według niego bardzo istotne jest, by decyzję o uruchomieniu jakiegokolwiek oprogramowania dostarczanego przez strony trzecie w środowiskach, które przetwarzają poufne dane, poprzedzała dogłębna analiza ryzyka.

"Kluczowym elementem takiej analizy musi być ocena, na ile ufamy autorom instalowanego oprogramowania i czy szkody, jakie mogą wyniknąć z jego eksploatacji, są większe czy mniejsze od osiąganych korzyści. Jeśli ktoś przetwarza w swojej sieci informacje ważne z punktu widzenia bezpieczeństwa narodowego, to zrozumiałym jest, że będzie preferował produkty państw neutralnych lub sojuszniczych" - mówi Haertle.

"Powinna istnieć komórka to ryzyko analizująca" - stwierdza z kolei Olejnik. "Nie chodzi tu wyłącznie o techniczne zespoły analityczne" - dodaje. Jego zdaniem, w obecnej sytuacji wyzwaniem dla cyberbezpieczeństwa państwa stało się prawo zamówień publicznych. "W obecnych warunkach nie możemy przecież wpisać do zamówienia +braku powiązań z obcymi wywiadami+, to nierealistyczne" - stwierdza Olejnik.

"Użytkownicy kierują się dostępnymi wskazówkami. Swego czasu jako bezpieczne Generalny Inspektor Ochrony Danych Osobowych zalecał korzystanie z programu, o którym eksperci wielokrotnie alarmowali, że zawiera luki narażające użytkowników na cyberataki" - przypomina minister Streżyńska. (PAP)

Małgorzata Fraser (PAP)