Hakerzy, awarie i dziurawa infrastruktura. Witamy w świecie rządowej informatyki

System nie działa, padł ofiarą hakerów albo włamanie się do niego jest wręcz prymitywnie proste. Doniesienia o wadliwości rządowych systemów czasem bawią, częściej jednak niepokoją lub po prostu irytują. Czy polska administracja IT jest w ogóle sprawna?

To pytanie jest tak ważne, jak złożone. Ważne, bo do wiadomości publicznej docierają często naprawdę niepokojące wieści. Skupmy się na ostatnich doniesieniach. Na stronie Ministerstwa Sprawiedliwości znaleziono dokumentację techniczną e-sądów (hasła administratorów, adresacja serwerów, architektura sieci i pliki konfiguracyjne), w których poufne dane zakryto czarnymi prostokątami w PDF-ach. To metoda banalnie prosta do obejścia, choć samo Ministerstwo zaprzeczyło, by brak skutecznego usunięcia poufnych informacji wpłynął na bezpieczeństwo systemu.

Kolejna sytuacja, tym razem z czerwca. Padają systemy obywatel.gov.pl, epuap.gov.pl czy cepik.gov.pl. Powód? Masowa awaria Systemu Rejestrów Państwowych (SRP) połączona z atakami hakerskimi typu DDoS na dużą skalę. W 2016 roku również CEPiK, BIP, ePUAP i obywatel.gov.pl uległy awarii. To tylko trzy wymienione przypadki, ale problemy zdarzają się regularnie. Nie mówiąc o przeciążaniu serwerów z powodu rejestracji, na przykład podczas rejestrowania Inspektora Danych Osobowych.

Co może stać za takimi problemami systemów IT polskiego państwa? Zapytałem o to Marcina Maja, redaktora serwisu Niebezpiecznik, zajmującego się monitorowaniem i opisywaniem sytuacji tego typu.

- W Polsce od wielu lat mamy problem z "silosowością" rozwiązań informatycznych. Bo co to niby znaczy "systemy rządowe"? – pyta. - Pod tym pojęciem mamy między innymi ePUAP czy Profil Zaufany albo CEPIK, czyli systemy nadzorowane przez Ministerstwo Cyfryzacji. Ale przecież "rządowe" są także systemy utrzymywane przez Ministerstwo Sprawiedliwości (np. eKRS, księgi wieczyste), Ministerstwo Finansów (tutaj np. systemy do rozliczeń podatkowych), Ministerstwo Rodziny Pracy i Polityki Społecznej (Emp@tia), ZUS (PUE ZUS), Ministerstwo Zdrowia (Projekt P1) i wiele wiele innych – wylicza.

Każdy z tych systemów może mieć różny poziom zabezpieczeń i może być w większym lub mniejszym stopniu zintegrowany z innymi, kontynuuje Maj. Natomiast w oczy rzuca się to, że nie ma realnie skoordynowanego nadzoru nad tym wszystkim. Swojego czasu bardzo rzucało się w oczy, że każde ministerstwo chciało mieć swój własny "cyfrowy sukces", wspomina ekspert. To się zaczęło dawno temu, a utworzenie kolejnych ministerstw cyfryzacji (począwszy od resortu Michała Boniego) wcale tego nie zmieniło. Jest to problem także z punktu widzenia bezpieczeństwa i stabilności, zaznacza.

- Nie potrafię się wypowiedzieć na temat wszystkich systemów bo jest ich zbyt wiele. Mogę natomiast powiedzieć, że pewne problemy obserwujemy niemal cały czas. Niedawno mieliśmy poważną awarię systemów rządowych, która objęła m.in. SRP, CEPiK oraz ePuap – wspomina Maj. - Przyczyn tej awarii w ogóle obywatelom nie wyjaśniono, co było bardzo niepokojące. Centralny Ośrodek Informatyki tłumaczył, że była to awaria tylko jednego komponentu systemu. Nie brzmi to groźnie, ale pomyślmy... wystarczyło położyć jakiś jeden komponent, żeby padło wszystko? To oznacza, że problem może leżeć już w projekcie tej infrastruktury – podkreśla.

Dla pełniejszego obrazu, mój rozmówca odsyła mnie do odpowiedzi ministra cyfryzacji, Marka Zagórskiego, na interpelację posła Andrzeja Halickiego w sprawie awarii systemów rządowych. Szczególnie interesującym jest poniższy fragment:

"(…) obecna architektura ośrodków przetwarzania danych, od momentu zaprojektowania poprzez rozwój w kolejnych latach, była budowana w oparciu o priorytet wydajności i efektywności kosztowej, dlatego obydwa ośrodki, w których działają systemy są jednocześnie ośrodkami tzw. produkcyjnymi. Nie mamy tu więc do czynienia z klasycznym podziałem na ośrodek podstawowy i ośrodek zapasowy, w którym w normalnym trybie pracy funkcjonuje tylko jeden, a drugi oczekuje na intencjonalne przełączenie w przypadku wystąpienia awarii". Brak rozróżnienia na ośrodek podstawowy oraz zapasowy jest jedną przyczyn skutków, które później obserwujemy, zauważa Maj.

- Mimo wszystko chcę powiedzieć jedno. Ludzie pracujący po stronie rządowej nie są niekompetentni. To są specjaliści, którzy niestety muszą się zmieścić w pewnych kosztach, wymaganiach i realiach politycznych, a one nie zawsze sprzyjają – podkreśla. - Tam gdzie inżynier zrobiłby jeden system, tam ministrowie będą chcieli czterech, żeby każdy mógł "przeciąć wstęgę". W Polsce bardzo przydałby się jakiś kompetentny przywódca cyfryzacji z realnym doświadczeniem we wdrażaniu projektów informatycznych. Jednego takiego ministra mieliśmy, ale niestety polityka przeważyła nad rozsądkiem – konkluduje.

Z kolei Joanna Lesiak z NASK zaznacza, że wprowadzony niedawno w życie system cyberbezpieczeństwa ma przysłużyć się uszczelnieniu systemów informatycznych w kraju.

- System cyberbezpieczeństwa w Polsce został formalnie utworzony na mocy ustawy o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 roku. Na pełną ocenę sprawności działania systemu jeszcze za wcześnie, ponieważ zadania i obowiązki wynikające z ustawy są nowe - tłumaczy. - Na uznanie zasługuje jednak fakt, że ustawodawca wykorzystał już istniejące w Polsce kompetencje w zakresie cyberbezpieczeństwa. Przyjęta ustawa o krajowym systemie cyberbezpieczeństwa wykorzystuje kompetencje już istniejących CSIRT – CERT Polska, znajdującego się w strukturze NASK PIB, CERT GOV w strukturze Agencji Bezpieczeństwa Wewnętrznego oraz MilCERT w strukturze Resortu Obrony Narodowej. Jasno uregulowano zakres działania wszystkich zespołów i zapewniono prawne podstawy do współpracy. Wcześniej ta współpraca i tak już istniała. Ustawa niejako sankcjonuje więc model który w nieformalny sposób funkcjonował od dawna - zaznacza.

Dodatkowo ustawa przypisuje nowe zdanie do już istniejących instytucji – Pojedynczy Punkt Kontaktowy do Ministra właściwego ds. informatyzacji czy organy właściwe, których role pełnią właściwi ministrowie działowi. Są to zadania wynikające bezpośrednio z prawa europejskiego, dodaje ekspertka. Nowością natomiast jest obowiązkowe raportowanie incydentów, co z pewnością zwiększy poziom cyberbezpieczeństwa. Podobnie jak obowiązki nałożone na operatorów usług kluczowych i dostawców usług cyfrowych, do których należy między innymi szacowanie ryzyka, wyjaśnia Lesiak.

O komentarz poprosiliśmy również CERT Polska, Centralny Ośrodek Informatyki oraz Ministerstwo Cyfryzacji. Odpowiedzi opublikujemy po ich otrzymaniu.