Na pocztę Sejmu mogą się zalogować ludzie, którzy od dawna tam nie pracują – informuje portal wp.pl. Skrzynki posłów mają nieprzystający do współczesności stopień zabezpieczeń. Obce służby mogły niepostrzeżenie wchodzić na rządowe serwery i swobodnie podglądać państwowe tajemnice – wynika z ustaleń portalu. A to wszystko, gdy niewyjaśniona pozostaje afera mailowa. Tymczasem CIS odpowiada - część wniosków nie jest zgodna z rzeczywistością.

Dziennikarze śledczy rozpoczęli od najprostszego testu. Dwóch byłych pracowników Kancelarii Sejmu - jeden zakończył pracę w 2015, drugi w 2018 roku - spróbowało się zalogować na swoje sejmowe skrzynki pocztowe. Obaj - korzystając z dawnych loginów i haseł - bez trudu to uczynili.

Oznacza to, że osoby, które od dawna nie pracują na rzecz państwa, mają m.in. możliwość wysyłania maili z adresów w domenie @sejm.gov.pl. W ten sposób bez trudu mogłyby udawać obecnych pracowników Kancelarii Sejmu i pozyskiwać informacje, które wiele osób przekazywałoby im w zaufaniu.

>> Przeczytaj reportaż Wirtualnej Polski.

"Dostęp do zdalnych posiedzeń"

Jak podaje portal, zalogowani użytkownicy mają również dostęp do listy kontaktów wszystkich pracowników Sejmu (czyli nie tylko posłów, lecz także osób wykonujących funkcje administracyjne), do której nie ma żaden zwykły śmiertelnik. Mogą również logować się na przeprowadzane zdalnie posiedzenia sejmowych komisji i podkomisji - także te, które nie są transmitowane publicznie.

Co ciekawe, osoby, które powinny być pozbawione dostępu kilka lat temu, mogą podejrzeć, jakie grupy utworzył administrator serwera pocztowego. Stąd wiemy, że gdy ABW wydawała oświadczenie o ataku na skrzynki wielu posłów, na sejmowym serwerze utworzona była grupa "ABW_zablokowani", w której znalazły się - cytujemy za administratorem sejmowego serwera - "osoby, których konta pocztowe zostały skompromitowane". I mimo że ABW wspomniała o incydentach dotyczących kilkunastu parlamentarzystów, w grupie "ABW_zablokowani" w momencie logowania znajdował się jedynie Michał Dworczyk.

Taka konfiguracja grupy pod kątem widoczności i nazwy, jeśli faktycznie została stworzona przez administratorów Sejmu, ujawnia szczegóły, które raczej nie powinny być znane nikomu poza osobami zaangażowanymi w obsługę tego incydentu i ofiarą - mówi w rozmowie z portalem Piotr Konieczny, ekspert ds. bezpieczeństwa komputerowego i założyciel serwisu Niebezpiecznik.pl. Dodaje, że standardową procedurą bezpieczeństwa w każdej znanej mu bliżej firmie jest co najmniej unieważnienie dostępów (w tym haseł), a czasem nawet całkowite kasowanie kont pocztowych byłych pracowników.

Kłopotem serwery pocztowe

Portal podkreśla, że kłopotem są serwery pocztowe, z których korzysta Sejm. Jeden z nich to XMail. "Zabytek" - mówią o nim eksperci. "Najnowsza" wersja została wypuszczona w 2010 r. Od tego czasu nie jest też "łatana", gdy pojawią się luki umożliwiające uzyskanie nieautoryzowanego dostępu.

Eksperci powiedzieli, że jedyny powód, który uzasadnia korzystanie z tego serwera, to chęć redukcji kosztów. Najzwyczajniej w świecie za profesjonalnie tworzone systemy, które są aktualizowane przez twórców, trzeba zapłacić. I większość organizacji płaci. Bezpieczniejsze rozwiązania niż te stosowane przez Sejm wykorzystywane są w niemal wszystkich bankach, zakładach ubezpieczeń oraz dużych firmach w Polsce.

CIS odpowiada: Część wniosków nie jest zgodna z rzeczywistością

W publikacji portalu Wirtualna Polska szczegóły funkcjonowania sejmowej poczty elektronicznej są opisane nieściśle, a część wyciągniętych wniosków nie jest zgodna z rzeczywistością - podkreśliło w komunikacie Centrum Informacyjne Sejmu.

Zwrócono uwagę, że dostęp do omówionych w artykule zdalnych posiedzeń komisji sejmowych i podkomisji odbywa się przy pomocy nowoczesnych tabletów włączonych do systemu klasy MDM. Dzięki któremu Ośrodek Informatyki Kancelarii Sejmu w sposób ciągły może aktualizować i wysyłać odpowiednie polityki bezpieczeństwa, a także aktualizować oprogramowanie, poprawiając w ten sposób poziom bezpieczeństwa - podkreśla CIS.

Jak zaznaczono, uwierzytelnienie dostępu do tych urządzeń jest wieloskładnikowe. Nie są zatem zgodne z prawdą informacje zawarte w publikacji o tym, że użytkownicy poczty "mogą również logować się na przeprowadzane zdalnie posiedzenia sejmowych komisji i podkomisji" - czytamy.

Według komunikatu Kancelaria Sejmu korzysta z systemu pocztowego HCL Domino 11.01 FP2. Nigdy nie używaliśmy systemu xMail. Chybiony jest też zarzut względem aktualizacji oprogramowania używanych przez Kancelarię Sejmu serwerów pocztowych. Zalecenie stosowania nowej wersji oprogramowania (tu - 11.01 FP 3) pojawiło się w maju. Dziś korzystamy z wersji poprzedniej (11.01 FP2), jednocześnie testując poprawność współpracy z nową wersją innych aplikacji (nie tylko poczty). Zwykle takie sprawdzanie trwa kilka miesięcy - zaznaczyło CIS.

Jak czytamy, zaskakujący jest też wniosek, jakoby były pracownik Kancelarii Sejmu mógł się "podszyć pod osobę nieuprawnioną", poprzez hipotetyczną możliwość dostępu do poczty w domenie sejm.gov.pl. Jakakolwiek korespondencja tego typu zawierałaby jego imię i nazwisko, co oznacza, że jego ewentualna niezgodna z prawem działalność byłaby zarazem autodonosem dokumentującym popełnienie czynu zabronionego - podkreślono w komunikacie.

Zaznaczono w nim też, że sejmowe rozwiązania informatyczne są bezpieczne i zgodne ze standardami. Kancelaria Sejmu, podobnie jak wiele innych instytucji, jest stale poddawana różnego typu atakom o charakterze phishingowym, zmierzającym do wyłudzenia danych dostępowych. Ponieważ każdy system jest obsługiwany przez człowieka, ryzyka błędu ludzkiego nigdy nie można całkowicie wyeliminować. Czynimy jednak wszystko, by pracownicy byli świadomi istniejących zagrożeń, wspieramy ich też nowoczesnymi rozwiązaniami technicznymi - zapewniło CIS.

Jak wielokrotnie podkreślaliśmy, Kancelaria Sejmu traktuje sprawy bezpieczeństwa, w tym bezpieczeństwa cyfrowego, priorytetowo. Wszystkie wydarzenia ostatnich tygodni są intensywnie analizowane i konsultowane z Agencją Bezpieczeństwa Wewnętrznego i innymi służbami. Podkreślamy, że każdy otrzymany sygnał, dotyczący potencjalnie nielegalnych działań o charakterze informatycznym, czy hakerskim jest przez Kancelarię Sejmu traktowany bardzo poważnie - zaznaczono w komunikacie. 

Cyberataki w Polsce

Informację o tym, że hakerzy włamali się na prywatną skrzynkę mailową szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka oraz jego żony, ujawnił na początku czerwca Onet.

Michał Dworczyk w oświadczeniu na Twitterze podkreślił wtedy, że od dwóch dni za pośrednictwem rosyjskiej platformy Telegram do opinii publicznej w Polsce przekazywane są wiadomości i informacje, których część została wykradziona w wyniku ataku hakerskiego przeprowadzonego na skrzynki e-mail i konta w mediach społecznościowych należących do niego i jego rodziny.

Już dziś wiadomo, że część z ujawnionych informacji i rzekomych maili została spreparowana. Przejęcie części danych z tych skrzynek oraz informacji niezbędnych do logowania zgłosiłem odpowiednim służbom odpowiedzialnym za bezpieczeństwo państwa - napisał minister.

Kanał na Telegramie publikuje materiały rzekomo pochodzące ze skrzynki mailowej Michała Dworczyka już od 4 czerwca. Do tej pory pojawiły się tam m.in. analiza rozwiązań, które pozwalałyby Białorusinom osiedlać się w Polsce, korespondencja z płk Krzysztofem Gajem oraz zdjęcie dowodu osobistego i prawa jazdy Dworczyka. Na kanale pojawiły się także zrzuty z rozmów sugerujące, że rząd rozważać wykorzystanie wojska do zabezpieczenia Strajku Kobiet. 

Niejawne posiedzenie Sejmu w tej sprawie

W sprawie odbyło się już niejawne posiedzenie Sejmu. W ostatnim czasie jesteśmy przedmiotem bezprecedensowego ataku cybernetycznego na polskie instytucje i poszczególnych użytkowników. Szczegóły objęte są klauzulą i chcemy o nich poinformować na niejawnym posiedzeniu Sejmu - mówił rzecznik rządu Piotr Müller, informując o tym, że to premier zwrócił się do marszałek Sejmu o zwołanie posiedzenia Sejmu w trybie niejawnym.

Na pytanie, czy ktoś inny z rządu oprócz szefa KPRM Michała Dworczyka padł ofiarą ataków cybernetycznych, Müller odparł, że na ten moment może powiedzieć tylko, że "jeżeli chodzi o ataki cybernetyczne, to ich skala jest szeroka i nie dotyczy tylko ministra Dworczyka, nie dotyczy tylko członków rządu, nie dotyczy tylko partii PiS, dotyczy szerokiej grupy osób". Jak dodał, jego zdaniem posłowie powinni zapoznać się z informacjami na ten temat, które mają charakter niejawny.

Seria włamań na konta polskich polityków

W ostatnich miesiącach doszło także do serii ataków hakerskich na konta polityków Zjednoczonej Prawicy. Między październikiem 2020 roku a styczniem 2021 roku przestępcy przejęli konta m.in. Marleny Maląg, Marka Suskiego, Joanny Borowiak i Iwony Michałek.

Według amerykańskiej firmy Mandiant, za ataki odpowiada grupa nazwana "Ghostwriter", która prowadziła wcześniej szereg kampanii dezinformacyjnych.