Żarty się skończyły. Domena "gov.pl" pod specjalnym nadzorem

W praktyce oznacza to, że skrzynki pocztowe państwowych organów, szeregu urzędów, a także sądów, będą znacznie lepiej zabezpieczone niż dotychczas.

Jeśli ktoś nie wdroży wymaganych przez NASK zabezpieczeń, może zostać pozbawiony adresu internetowego w domenie gov.pl, który uwiarygadnia dany podmiot jako państwową instytucję.

Zmiana jednak nie wpłynie na bezpieczeństwo, jeśli politycy nadal będą korzystać z prywatnych skrzynek do służbowych celów.

Dalsza część artykułu pod materiałem wideo

Zmianę zawarto w Regulaminie nazw w domenie gov.pl, który akceptuje każdy abonent - organ państwa.

W par. 7 ust. 3, któremu nadano nowe brzmienie, wskazano, że każdy abonent korzystający z nazwy w domenie gov.pl dla celów usług poczty elektronicznej zobowiązany jest stosować odpowiednie zabezpieczenia. W szczególności dotyczy to stosowania mechanizmów SPF, DMARC, DKIM oraz uwierzytelniania dwuskładnikowego.

Co to oznacza?

- W dużym uproszczeniu chodzi o protokoły zwiększające bezpieczeństwo używania poczty internetowej. Te protokoły działają najlepiej właśnie w połączeniu - mówi dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, autor książki "Filozofia Cyberbezpieczeństwa".

SPF (Sender Policy Framework) - jak wyjaśnia dr Olejnik - w uproszczeniu sprawia, że cyberprzestępcy nie są w stanie podszywać się pod kogoś mającego e-mail w danej domenie. Przynajmniej jest to utrudnione.

- DKIM (Domain Keys Identified Mail) - pozwala na cyfrowe podpisanie wiadomości e-mail pochodzącej z konkretnej domeny. Serwer odbiorcy, sprawdzając podpis, jest w stanie ustalić, czy wiadomość nie została zmodyfikowania podczas przesyłania - tłumaczy NASK w przesłanej nam wiadomości.

Z kolei DMARC (Domain-basedMessageAuthenticationReporting and Conformance) korzysta z dwóch powyższych mechanizmów.

Uwierzytelnianie dwuskładnikowe to z kolei coraz popularniejszy sposób zabezpieczenia. Polega na tym, że logując się do naszej skrzynki e-mail, jesteśmy proszeni o potwierdzenie, że to na pewno my będziemy z niej korzystać. Co ważne, potwierdzenia dokonujemy z urządzenia bądź aplikacji, do której tylko my powinniśmy mieć dostęp - np. logowanie dokonywane przy pomocy laptopa, potwierdzamy przy pomocy smartfona.

- Istnieje pewien truizm, gdy mówi się o cyberbezpieczeństwie: mawia się, by nie klikać w podejrzane linki. Tyle że nikt nie klika w linki podejrzane, lecz w te, do których - z różnych względów - ma zaufanie. Maile z domen .gov.pl wzbudzają duże zaufanie, więc ograniczenie możliwości podszywania się powinno być korzystne dla wszystkich i znacząco utrudnić działanie przestępcom – uważa Janusz Cieszyński, pełnomocnik rządu ds. cyberbezpieczeństwa i sekretarz stanu w Kancelarii Prezesa Rady Ministrów.

- W trzeciej dekadzie XXI wieku nie powinniśmy być zaskoczeni takimi wymogami. Przykładowo w USA prace nad wprowadzeniem takich wymogów dla rządu rozpoczęto już w 2017 roku - zauważa dr Łukasz Olejnik.

Zmiany wprowadzone przez NASK dla wielu polskich urzędów będą rewolucją. Innej drogi jednak nie ma.

Wystarczy przypomnieć, że w lipcu 2021 r. dziennikarze WP Patryk Słowik [autor niniejszego materiału - red.] i Szymon Jadczak, przy pomocy kilku prostych prowokacji dziennikarskich, odkryli krytyczne błędy w pocztach rządu i Sejmu.

Dziennikarze zaczęli od prostego testu - znaleźli dwóch byłych pracowników Kancelarii Sejmu i nakłonili ich do próby zalogowania się na swoje sejmowe skrzynki pocztowe.

Obaj byli pracownicy - korzystając z dawnych loginów i haseł - bez trudu to uczynili.

"Co to oznacza? Osoby, które od dawna nie pracują na rzecz państwa, mają m.in. możliwość wysyłania maili z adresów w domenie @sejm.gov.pl. W ten sposób bez trudu mogłyby udawać obecnych pracowników Kancelarii Sejmu i pozyskiwać informacje, które wiele osób przekazywałoby im w zaufaniu" – wskazano w tekście.

Dziennikarze WP podkreślili też, że użytkownicy mają również dostęp do listy kontaktów wszystkich pracowników Sejmu (chodzi nie tylko o posłów, lecz także o osoby wykonujące funkcje administracyjne), do której dojścia nie ma żaden zwykły śmiertelnik.

Mogą również logować się na przeprowadzane zdalnie posiedzenia sejmowych komisji i podkomisji - także tych, które nie są transmitowane publicznie.

Słowik i Jadczak - powołując się na kilku ekspertów - wskazali, że dużym kłopotem są serwery, z których korzysta Sejm oraz brak zabezpieczeń, jak choćby dwuskładnikowe uwierzytelnianie.

Kancelaria Sejmu, po publikacji WP, zaznaczyła, że o cyberbezpieczeństwo dba we właściwy sposób. Do konkretnych zarzutów jednak się nie odniosła.

Inna z prowokacji dotyczyła skrzynek rządowych. Dziennikarze WP namówili jednego z członków gabinetu Mateusza Morawieckiego do wzięcia udziału w eksperymencie.

Polegało to na tym, że zalogował się on do swojej rządowej skrzynki pocztowej z prywatnego komputera znajdującego się w jego gabinecie w Warszawie.

10 minut później ten sam członek rządu "oszukał system", korzystając z VPN, czyli rozwiązania pozwalającego udawać, że osoba łączy się z innego miejsca niż się rzeczywiście znajduje. Polityk wskazał Tajwan jako miejsce logowania. Po zalogowaniu się, pobrał nowe wiadomości.

Po kolejnych 10 minutach zalogował się ponownie z Warszawy.

Wirtualna Polska chciała sprawdzić, czy którakolwiek ze służb bezpieczeństwa odezwie się do polityka w tej sprawie. Bądź co bądź doszło do niecodziennej aktywności, która w rzeczywistości była wręcz niemożliwa. Nie da się bowiem być w jednej chwili w Warszawie, by kilkanaście minut później logować się z Tajwanu.

W ciągu dwóch tygodni do polityka uczestniczącego w naszym eksperymencie nie odezwał się nikt. Czy ktoś w ogóle zauważył niecodzienną aktywność – nie wiemy.

Zabezpieczenia wdrażane przez NASK nie pomogą na wszystkie bolączki. Ale istotnie ograniczą ryzyko podszywania się pod osoby pracujące dla państwa, a także zdobycia danych z ich skrzynek pocztowych.

Minister Janusz Cieszyński mówi WP, że jest przekonany, iż rozwiązania wdrożone przez NASK pomogą w uszczelnieniu wycieku informacji niejawnych. Podkreśla też, że sektor publiczny musi dawać przykład dobrych praktyk.

- Obowiązek nałożony na administratorów systemów działających w ramach gov.pl utrudni podszywanie i ułatwi weryfikowalność tego, że ktoś coś faktycznie wysłał. To jednoznaczne polepszenie stopnia zabezpieczenia - przyznaje dr Łukasz Olejnik.

- Ale to oczywiście nie będzie dotyczyło prywatnego emaila, a tego rządowego - zaznacza ekspert.

Choć nazwisko Michała Dworczyka, byłego szefa Kancelarii Prezesa Rady Ministrów, w rozmowie z ekspertem nie pada, to przykład wycieku informacji z jego prywatnej skrzynki jest dobitnym przykładem na niefrasobliwe zachowanie ważnych polityków.

Jeśli więc politycy nadal będą korzystali z prywatnej poczty e-mail, nowe zabezpieczenia ich nie obejmą, bo objąć po prostu nie mogą.

Adresów internetowych w domenie gov.pl - według danych na 15 lipca 2022 r. - jest 1256. Można więc przyjąć, że nowe wymogi obejmą niespełna tysiąc podmiotów (niektóre mają kilka domen, jak np. KPRM).

Spytaliśmy NASK, czy wiadomo, ile z nich już dziś stosuje się do nowo określonych wymogów.

Tego NASK nie wie, bo - jak zaznaczono w odpowiedzi - nie świadczy usługi poczty elektronicznej.

Wiadomo za to, że NASK planuje działania wobec abonentów. Najpierw będzie im przypominać o tym, że powinni odpowiednio zabezpieczać swoje skrzynki e-mail.

Gdyby ktoś jednak się ociągał lub wręcz nie chciał zwiększyć poziomu zabezpieczeń, NASK wpisał do regulaminu straszak w postaci możliwości odebrania domeny. Wówczas dany urząd nie mógłby legitymować się w internecie rządowym "glejtem".

- Będziemy sprawdzali, jak organy państwa będące abonentami rządowych domen podeszły do wytycznych NASK. Nikt oczywiście nie chce uprawnionych pozbawiać możliwości korzystania z domeny gov.pl, ale nowy regulamin stanowi jasno: NASK ma pełne prawo żądać stosowania się do określonych wytycznych - wskazuje Janusz Cieszyński.

Patryk Słowik, dziennikarz Wirtualnej Polski

Napisz do autora: Patryk.Slowik@grupawp.pl