CIS odpowiada na doniesienia dot. zabezpieczeń sejmowych maili. Pisze o "chybionym zarzucie"

Centrum Informacyjne Sejmu odpowiedziało na artykuł wp.pl dotyczący m.in. stanu zabezpieczeń sejmowych skrzynek e-mailowych. CIS przekonuje, że "rozwiązania informatyczne są bezpieczne i zgodne ze standardami" a "część wniosków" zawartych w tekście portalu WP.pl nie jest zgodna z rzeczywistością.

"W nawiązaniu do dzisiejszej (7 lipca) publikacji portalu Wirtualna Polska, poświęconej 'poczcie rządu i Sejmu', informujemy, że szczegóły funkcjonowania sejmowej poczty elektronicznej są opisane nieściśle, a część wyciągniętych wniosków nie jest zgodna z rzeczywistością" - czytamy na początku komunikatu, które w środę po południu wydało Centrum Informacyjne Sejmu.

Zobacz wideo Braun wykluczony z obrad Sejmu. Nie chciał założyć maseczki

Jest komunikat CIS ws. sejmowych zabezpieczeń. "Chybiony zarzut"

CIS odkreśla, że "dostęp do omówionych w artykule zdalnych posiedzeń komisji sejmowych i podkomisji odbywa się przy pomocy nowoczesnych tabletów włączonych do systemu klasy MDM, dzięki któremu Ośrodek Informatyki Kancelarii Sejmu w sposób ciągły może aktualizować i wysyłać odpowiednie polityki bezpieczeństwa, a także aktualizować oprogramowanie, poprawiając w ten sposób poziom bezpieczeństwa". "Uwierzytelnienie dostępu do tych urządzeń jest wieloskładnikowe. Nie są zatem zgodne z prawdą informacje zawarte w publikacji o tym, że użytkownicy poczty 'mogą również logować się na przeprowadzane zdalnie posiedzenia sejmowych komisji i podkomisji'" - czytamy.

Dalej napisano, że Kancelaria Sejmu "korzysta z systemu pocztowego HCL Domino 11.01 FP2", natomiast nigdy nie używała system xMail. "Chybiony jest też zarzut względem aktualizacji oprogramowania używanych przez Kancelarię Sejmu serwerów pocztowych. Zalecenie stosowania nowej wersji oprogramowania (tu - 11.01 FP 3) pojawiło się w maju. Dziś korzystamy z wersji poprzedniej (11.01 FP2), jednocześnie testując poprawność współpracy z nową wersją innych aplikacji (nie tylko poczty). Zwykle takie sprawdzanie trwa kilka miesięcy" - czytamy.

"Zaskakujący jest też wniosek, jakoby były pracownik Kancelarii Sejmu mógł się 'podszyć pod osobę nieuprawnioną', poprzez hipotetyczną możliwość dostępu do poczty w domenie sejm.gov.pl. W istocie jakakolwiek korespondencja tego typu zawierałaby wszak jego imię i nazwisko, co oznacza, że jego ewentualna niezgodna z prawem działalność byłaby zarazem autodonosem dokumentującym popełnienie czynu zabronionego" - twierdzi dalej CIS. 

Centrum przekonuje, że "sejmowe rozwiązania informatyczne są bezpieczne i zgodne ze standardami". 

"Kancelaria Sejmu, podobnie jak wiele innych instytucji, jest stale poddawana różnego typu atakom o charakterze phishingowym, zmierzającym do wyłudzenia danych dostępowych. Ponieważ każdy system jest obsługiwany przez człowieka, ryzyka błędu ludzkiego nigdy nie można całkowicie wyeliminować. Czynimy jednak wszystko, by pracownicy byli świadomi istniejących zagrożeń, wspieramy ich też nowoczesnymi rozwiązaniami technicznymi" - podaje CIS.

Nowak o wpisie o Nowak o wpisie o "agencji towarzyskiej". Opublikowała go ona, ale nie ona

Na końcu komunikatu czytamy, że kancelaria sprawy bezpieczeństwa cyfrowego traktuje "priorytetowo". 

"Wszystkie wydarzenia ostatnich tygodni są intensywnie analizowane i konsultowane z Agencją Bezpieczeństwa Wewnętrznego i innymi służbami. Podkreślamy, że każdy otrzymany sygnał, dotyczący potencjalnie nielegalnych działań o charakterze informatycznym, czy hakerskim jest przez Kancelarię Sejmu traktowany bardzo poważnie" - napisano. 

WP: Byli pracownicy Kancelarii Sejmu mogą się logować na sejmowe skrzynki

Wp.pl opisała dzisiaj, że dwóch byłych pracowników Kancelarii Sejmu (zakończyli pracę kolejno w 2015 i 2018 roku) spróbowało się (w ramach testu) zalogować na swoje sejmowe skrzynki pocztowe przy użyciu dawnych loginów i haseł. Udało im się to zrobić. Oznacza to, że osoby, które nie pracują już na rzecz państwa, mogą wysyłać maile z domeny sejmowej i w ten sposób np. pozyskiwać informacje.

Włamania na pocztę Sejmu. WP: Krytyczne błędy, mogą się logować byli pracownicyWłamania na pocztę Sejmu. WP: Krytyczne błędy, mogą się logować byli pracownicy

Z artykułu wynika, że takie osoby mogą się również zalogować na zdalne posiedzenia Sejmu, także te, które nie są transmitowane. Mają też wgląd do grup utworzonych przez administratora. 

Rozmówcy portalu podkreślają również, że poziom zabezpieczeń sejmowych skrzynek pocztowych jest "gorszy niż przeciętnego banku w niewielkim mieście". "Kłopotem są serwery pocztowe, z których korzysta Sejm. Jedne z nich to XMail. "Zabytek" - mówią o nim nasi eksperci. "Najnowsza" wersja została wypuszczona w 2010 r. Od tego czasu nie jest też "łatana", gdy pojawią się luki umożliwiające uzyskanie nieautoryzowanego dostępu" - pisze portal. 

Wp.pl informuje, że w wielu resortach wciąż nie stosuje się dwuskładnikowego uwierzytelniania. Tak miało być np. w Ministerstwie Zdrowia jeszcze do maja tego roku. Natomiast zaawansowane procedury uwierzytelniania stosują, jak twierdzą, resorty sprawiedliwości i obrony narodowej.

Więcej o: