Politycy popełniają w internecie banalne błędy. Ekspert ds. cyberbezpieczeństwa punktuje

Patryk Słowik, WP: Czy polscy politycy mają pojęcie o cyberbezpieczeństwie?

Maciej Jan Broniarz, architekt bezpieczeństwa i systemów informatycznych, wykładowca w Centrum Nauk Sądowych Uniwersytetu Warszawskiego: Takie jak przeciętny obywatel. A zasadą jest, że gdy się z kimś rozmawia na temat cyberbezpieczeństwa, to każdy kiwa z głową, mówi, że rozumie zagrożenia. Gdy jednak te deklaracje zderzymy z rzeczywistością, okazuje się, że praktyka jest zupełnie inna. Nie robimy tego, co mówimy. I z politykami jest tak samo.

Ale czy od polityków nie powinniśmy wymagać więcej? Przecież oni mają dostęp do najważniejszych dokumentów w państwie.

Na pewno powinniśmy od nich wymagać, by dokładali najwyższej staranności przy ochronie informacji, którymi dysponują. Ale pracownik każdej korporacji czy urzędu powinien o to dbać, więc pod tym względem od polityków po prostu oczekujmy tego samego, co od każdej osoby, która ma dostęp do poufnych danych.

To, co szczególnie dotyczy polityków, to media społecznościowe. Chcą w nich być, a jednocześnie traktują je jak gadżet, jedynie jako kolejne źródło przekazywania informacji.

Pozwolę sobie na dygresję: dekadę temu zwróciłem jednemu z polityków uwagę na to, że ma zhakowaną stronę internetową. Wyświetlały się reklamy jakiegoś kasyna. Na co odpowiedział: "Dobra, teraz to nie problem, nie ma żadnych wyborów".

I podejście do mediów społecznościowych jest podobne: chodzi o wybory i popularność. Tymczasem dzisiejszy świat jest inny. Gdy kogoś obserwuje 50-100 tys. osób na Twitterze, to warto wiedzieć, jakie konsekwencje może nieść zhakowanie konta. Pół biedy, jeśli pojawi się jakiś bzdurny wpis albo zdjęcia roznegliżowanej kobiety. Ale co, jeżeli pojawi się np. informacja o upadłości dużej spółki? Jedno włamanie, jeden tweet może spowodować ogromne zamieszanie na giełdzie.

Mam przekonanie, że politycy nadal nie zdają sobie z tego sprawy.

Gdy czytam oświadczenia polityków o hakowanych kontach, niemal zawsze widzę, że to sprawka rosyjskich hakerów. Tak jest w rzeczywistości?

Niekiedy tak zapewne jest, ale nie wierzę w to, by w każdym przypadku to rosyjscy cyberprzestępcy włamywali się na konta polityków. Niemniej jednak to, czy robi to rosyjski, białoruski czy polski przestępca – czy może zdolny dzieciak, który się bawi - nie zmienia faktu, że każdy taki incydent szkodzi wizerunkowi naszego aparatu państwa. Pojawia się bowiem pytanie, do jakich informacji intruz miał dostęp.

Jakkolwiek więc rozumiem chęć upolityczniania takich przypadków, a mówienie o rosyjskich hakerach często temu służy, to skupiajmy się na realnym kłopocie, czyli tym, że do tych włamań dochodzi. Narodowość sprawcy jest mimo wszystko drugorzędna.

Jakie widzi pan najpoważniejsze błędy polityków? O czym zapominają, jak się dają podejść?

Podstawowy błąd polega na tym, że nadal polscy politycy nie traktują internetu poważnie. Jeśli minister publikuje w jednym portalu społecznościowym oświadczenie, że oświadczenia jego rodziny w innym portalu społecznościowym to efekt włamania na konto, to ja nie wiem, czy ten wpis jest prawdziwy, czy także jest efektem włamania. Powstaje zamieszanie, któremu politycy są współwinni.

A podstawowym błędem ze spraw bardziej technicznych jest współdzielenie dostępu. Rozumiem potrzeby polityczne - profile często prowadzą asystenci, agencje PR. Ale obsługa profili w mediach społecznościowych czy nawet skrzynki e-mail musi zakładać nie tylko nadawanie uprawnień, lecz także ich odbieranie. Mam natomiast wrażenie, że do wielu politycznych profili dostęp mają osoby, które mieć go nie powinny, bo np. skończyły pracę pięć lat temu. Co gorsza, zamiast korzystać z dedykowanych mechanizmów udostępniania np. konta na Twitterze, politycy po prostu dają innym osobom swój login i hasło.

Rzeczywiście zdarza się, że osoby publiczne mówią, iż jakiś wpis został napisany wskutek nieautoryzowanego dostępu.

W systemach IT mówimy o dwóch rzeczach - o udzieleniu dostępu i odebraniu dostępu. Jeśli radośnie dajemy dostępy wszystkim do naszego konta i zapominamy potem te dostępy odbierać, to sami sobie jesteśmy winni. Fajnie medialnie się opowiada o mitycznym asystencie, ale jakoś nigdy nie zetknąłem się z przypadkiem, żeby takiego asystenta np. oskarżyć. To po prostu łatwe wymówki. Łatwiej jest powiedzieć "to asystent i już go zwolniłem", i tym samym przekierować zainteresowanie opinii publicznej na tego asystenta, niż przyznać się: "tak, nie umiem zarządzać".

Jeżeli mamy członka sejmowej komisji służb specjalnych, który nie umie upilnować swojego konta na Twitterze, to jestem absolutnie pełen obaw, czy potrafi upilnować informacje, które dostaje na komisji. To są informacje bardzo wrażliwe nie tyle wizerunkowo dla niego, co wrażliwe dla bezpieczeństwa kraju.

A czy w ogóle polityków możemy obwiniać o te błędy? Może to jest kłopot ze służbami, z aparatem państwa. Nikt nie wymaga od polityków, nikt ich nie uczy i oni działają tak jak działali 20 lat temu, gdy prowadzili jakiś swój drobny biznes. Zostali posłami, trafili do jakichś newralgicznych komisji i po prostu dalej robią to samo, co robili kiedyś.

Myślę, że to głębszy kłopot wynikający z gigantycznego braku zaufania. I co ciekawe - braku zaufania nawet w obrębie obozu rządzącego. Jak się popatrzy np. na wycieki danych czy włamania na konta polityków, to nagle się okazuje, że oni używają kont na darmowych serwisach pocztowych. Często jest tłumaczone, że politycy nie chcą używać konta czy to swojego służbowego, czy np. konta w ramach partii, w której są, bo się obawiają, że ktoś będzie te ich wiadomości czytał.

Jak od polityków dostaję jakieś dokumenty, to najczęściej je dostaję właśnie z ich prywatnych skrzynek.

Co zabawne, bardzo często te dokumenty są udostępniane i tak sobie wiszą w chmurze przez kolejną dekadę. Przecież można zrobić coś złośliwego i treść dokumentu, który udostępnił minister X w 2015 roku, przeredagować i opublikować z informacją, że pan minister ma jakiś bardzo szkodliwy społecznie pomysł, który właśnie chce promować. Banalna kwestia niewymagająca wielkich umiejętności, a można narobić wiele zamieszania.

Państwo ma kompetencje do wprowadzenia zasad, że posłowie mający dostęp do mediów społecznościowych powinni dochować pewnych standardów. Powinny być szkolenia. Często z banalnych kwestii. Przede wszystkim politycy powinni mieć mocne hasła, a nie wszędzie takie samo hasło typu "zygmunt1". To elementarz, ale naprawdę warto mówić o takich truizmach. Nadal przecież zdarza się, że posłowie publikują swoje loginy i hasła na Twitterze.

Prywatne skrzynki mailowe na prywatnych serwerach mają nie tylko poszczególni politycy, ale też część partii politycznych. Nie wiem, jak jest teraz, ale jeszcze kilka miesięcy temu Platforma Obywatelska korzystała z darmowej skrzynki na gmailu. To błąd?

Zdecydowanie. Jakkolwiek bowiem gmail, czyli skrzynka Google’a, ma więcej mechanizmów bezpieczeństwa czy wykrywania incydentów niż wewnętrzny serwer Platformy Obywatelskiej, to profesjonalni politycy nie powinni wybierać takich rozwiązań. Pamiętajmy, że to są darmowe konta, do których dostęp ma Google pod kątem analizy danych w celach marketingowych.

Nie chcę snuć spiskowych teorii, ale prowadzenie partyjnej korespondencji na skrzynce, która jest skanowana, nie wydaje mi się najbardziej odpowiedzialne.

A przecież sprawa jest prosta. Nie ma żadnego problemu, aby partie polityczne, które mają gigantyczne środki, były w stanie kupić sobie komercyjną usługę pocztową w ramach usług Google czy Microsoftu.

Co zabawne, politycy czasem zajmują się kwestią cyberbezpieczeństwa, ale najczęściej nie tak jak powinni. Przy okazji pierwszych głosowań online w Sejmie zadzwonił do mnie jeden z posłów po konsultację, czy rosyjscy hakerzy są w stanie przejąć system głosowania. Tłumaczyłem mu wtedy, że problem jest zupełnie gdzieś indziej, ale pan poseł obstawał przy swojej teorii, bo akurat mu to pasowało do spinu w kampanii. Problem jest w zaufaniu obywatela do systemu i że naprawdę nie warto snuć apokaliptycznej wizji rosyjskich hakerów, którzy przepychają ustawy w polskim Sejmie. Jego to jednak w ogóle nie interesowało. Polityk chciał mieć konkretny kontekst polityczny i konkretną "setkę" w jakiejś telewizji, że ekspert mówi, iż rosyjscy hakerzy mogą przejąć polskie głosowania.

Jeżeli będziemy tkwili w takim modelu, to zanim eksperci cokolwiek wyjaśnią, to już będzie polityczna awantura i wszyscy będą pisać to, co im pasuje pod daną narrację.

W to wszystko włączają się media.

I to groźne. Jeżeli bowiem redaktor naczelny dużego portalu mówi, że nastąpił wyciek tajnych danych z jakiegoś konta, zanim potwierdzą to niezależni eksperci, to albo pan redaktor ma taką wiedzę, że chylę czoła, albo chodzi jedynie o to, żeby mieć newsa. Tyle, że ten news wpisuje się w bardzo kiepskie standardy i powoduje wiele szkód na każdym polu. Zachęca też przestępców do dalszych działań.

Wszyscy na swój sposób jesteśmy odpowiedzialni za państwo. Bardzo bym chciał, żeby wszyscy politycy, którzy pracują nad systemem prawnym w Polsce, którzy mają dostęp do bardzo wrażliwych informacji, mieli zapewnione przez służby, ale i przez swoje partie oraz przez samych siebie, wysoki poziom bezpieczeństwa. Bo w efekcie ich błędy będą miały konsekwencje dla nas, a nie dla nich.

Gdy umawiam się z politykami, że prześlą mi jakiś dokument, słyszę, że za chwilę to uczynią, ale koniecznie przez Signala. To kwestia mody czy realnej poprawy bezpieczeństwa?

Moda na bezpieczeństwo jest spoko. Popieram tak samo jak modę na to, by nie jeździć po alkoholu.

Aby jednak odpowiedzieć na pańskie pytanie, muszę odrobinę skomplikować sprawę. Otóż spotkałem się kiedyś z pewnym politykiem, który wszystkie dokumenty wysyłał przez komunikator. Mówił o tym powszechnie, chwaląc się, jak to dba o cyberbezpieczeństwo. Podczas spotkania pokazywał coś na telefonie i wyskoczyło powiadomienie o zaległych aktualizacjach. Mój rozmówca zignorował powiadomienie i tłumaczył, że szkoda mu było na to czasu. Aktualizacje trwają za długo, a on i tak używa bezpiecznego komunikatora. Takie podejście jest co najwyżej dowodem na brak zrozumienia problemu.

Sam Signal natomiast jest bardzo dobrym komunikatorem, szczerze polecam. Tyle że trzeba pamiętać też o innych rzeczach, o instalowaniu wspomnianych aktualizacji czy o tym, że sześć jedynek to nie jest najlepszy kod do zabezpieczenia telefonu. Liczba publicznych osób, które wszystko przesyłają przez Signala, a zarazem omawiają sprawy wagi państwowej w taksówce, knajpie czy właśnie zapominają o zabezpieczaniu sprzętu, jest naprawdę duża.