ABW bada zagadkowy incydent komputerowy w Agencji Restrukturyzacji i Modernizacji Rolnictwa. Usiłuje wyjaśnić jak doszło do złamania zabezpieczeń i nielegalnego odczytania przez osoby nieuprawnione poufnych danych z systemu sieciowego, w którym gromadzone i przetwarzane są informacje niezbędne do wypłaty miliardów złotych pomocy publicznej dla polskiego rolnictwa ze środków UE
Do CERT.GOV.PL, który w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW pełni rolę Rządowego Zespołu Reagowania na Incydenty Komputerowe, wpłynęło zgłoszenie dotyczące incydentu zagrażającego poufności i integralności danych w systemie sieciowym Agencji Restrukturyzacji i Modernizacji Rolnictwa (ARiMR). Zgłoszenie – jak dowiedzieliśmy się nieoficjalnie – złożyło kierownictwo ARiMR po tym jak 22 października br. zostało zaalarmowane o incydencie. Z taką datą w kancelarii ARiMR został zarejestrowany raport o zagrożeniu, w związku z którym wystąpiliśmy do prezesa tej instytucji Daniela Obajtka o informację publiczną.
Poważny incydent miał miejsce w Systemie Informatycznym Agencji (SIA), który stanowią aplikacje ZSZiK (Zintegrowany System Zarządzania i Kontroli), IACSplus (Integrated Administration and Control System umożliwiający wprowadzanie i obsługę tzw. wniosków płaszczowych, tzn. o płatność, do 2020 r.), GIS (Geographic Information System, czyli system informacji geograficznej przeznaczony do wprowadzania, gromadzenia, przetwarzania i wizualizacji danych geograficznych), SIZ (System Informacji Zarządczej służący do przygotowywania raportów przekrojowych z dodatkowym modułem do analizy porównującej kwoty z decyzji o dopłatach dla rolników z kwotami ze zrealizowanych przelewów), PZSIPplus (Proces Zarządzania Systemem Informacji Przestrzennej) i PA (Platforma Aplikacyjna).
Potencjalne skutki incydentu komputerowego
Nieprawidłowo funkcjonujący System Informacyjny Agencji może wywołać zakłócenia w procesie realizacji dopłat bezpośrednich dla 1,3 mln polskich rolników, które – jak zapewnia na swym Twitterze ARiMR – „nie są zagrożone i idą zgodnie z harmonogramem”. Ich łączna wysokość w 2016 r. ma wynieść 14,8 mld zł, z czego na konta rolników do 10 listopada br. trafiło w postaci zaliczek 6,6 mld zł. Ryzyko związane z zagrożeniem bezpieczeństwa teleinformatycznego, jakie mogą spowodować ataki i incydenty cybernetyczne, dotyczy więc ogromnej liczby osób. Zaś każde realne naruszenie bezpieczeństwa teleinformatycznego Systemu Informacyjnego Agencji może mieć poważne skutki finansowe.
Dla zapewnienia płynności dopłat krytyczne znaczenie będzie miało utrzymanie i rozwój aplikacji IACSplus, której zadaniem jest obsługa płatności do 2020 r. Najpóźniej 15 marca 2017 r. musi zostać udostępniony moduł wprowadzania wniosków o dopłaty przez Internet. Niedotrzymanie tego terminu oznacza prawdopodobieństwo nałożenia przez Komisję Europejską wielomilionowych sankcji na Rzeczpospolitą Polską.
Złamanie zabezpieczeń i odczytanie poufnych danych
Tymczasem do opisywanego cyberincydentu w ARiMR doszło w newralgicznym okresie przejściowym, który nastąpił po podpisaniu 1 lipca br. umowy ze spółką Hewlett Packard Enterprise Polska (HPE). Przewiduje ona utrzymanie i modyfikację Systemu Informacyjnego Agencji, który zbudowała wcześniej spółka Asseco Poland. Zgodnie z przywołaną umową do 1 grudnia br. HPE ma osiągnąć gotowość do świadczenia usług na rzecz ARiMR. Zgłoszony do ABW cyberincydent wydarzył się przed przejęciem Systemu Informacyjnego Agencji przez jego nowego wykonawcę podczas sprawdzania w środowisku testowym komunikacji sieciowej pomiędzy serwerami ARiMR i HPE. Skądinąd wiadomo, że pracownicy tej ostatniej firmy oddelegowani do obsługi ARiMR używali w tym celu kont typu read-only w systemie Linux, które powinny uniemożliwiać dokonywanie jakichkolwiek zmian w konfiguracji systemu. Specjalnie przygotowane w tym celu konta systemowe o ograniczonej funkcjonalności miały uniemożliwić przedstawicielom firmy zewnętrznej odczyt zawartości wrażliwych plików konfiguracyjnych. Jednak – jak wskazują na to odnalezione wycinki logów systemowych – mimo wspomnianych restrykcji w ARiMR doszło do celowego złamania zabezpieczeń i nielegalnego odczytania przez osoby nieuprawnione plików konfiguracyjnych, np. domain.boot.xml. Istotne jest również, że w trakcie opisywanych działań na standardowym i nieograniczonym koncie należącym do pracownika Departamentu Informatyki ARiMR uruchomiono skrypt HPE, który z miejsca zaczął zbierać konfigurację systemu operacyjnego i konfigurację zainstalowanych na maszynie aplikacji.
Cyberzagrożenia możliwym źródłem kryzysu politycznego
Według eksperta z zakresu cyberbezpieczeństwa, który prosił o nieujawnianie jego tożsamości, opisane przez nas okoliczności dowodzą, że w ARiMR możliwe było nie tylko uzyskanie w nieuprawniony sposób pełnej zdolności odczytu wszelkich plików konfiguracyjnych z naruszeniem poufności informacji, ale także zakłócanie integralności danych, zarówno wytwarzanych, jak i poddawanych przetwarzaniu. Z uwagi na bezpieczeństwo państwa ABW powinna zatem ustalić, czy w tych okolicznościach mogłoby dojść do intencjonalnej zmiany danych geodezyjnych i innych współrzędnych (nie tylko finansowych) w celu storpedowania procesu realizacji dopłat bezpośrednich i wywołania kryzysu politycznego w wyniku sporu pomiędzy rolnikami a rządem.
Nie od dzisiaj wiadomo, że podobne systemy informacyjne są naprawdę zagrożone. W Rosji w kwietniu br. okazało się, że hakerzy włamali się do państwowego rejestru katastralnego. Prawdopodobnie przy pomocy pracownika tej instytucji dokonali przywłaszczenia gruntów i nieruchomości.
W przypadku ARiMR na szczęście nie mamy do czynienia z tak drastyczną sytuacją. Specjaliści od bezpieczeństwa teleinformatycznego wiedzą jednak doskonale, że lekceważenie cyberincydentów bądź ich zatajanie przed profesjonalnymi instytucjami powołanymi do reagowania na zagrożenia sieciowe to najkrótsza droga, żeby paść ofiarą cyberataku o skutkach trudnych do przewidzenia.
System ARiMR częścią infrastruktury krytycznej państwa
Dlatego właśnie System Informacyjny Agencji (Restrukturyzacji i Modernizacji Rolnictwa – przyp. JJ), chociażby ze względu na skalę wypłat, złożoność i szczegółowość zgromadzonych w nim danych czy wreszcie publiczny charakter środków finansowych powierzonych ARMiR, powinien być traktowany jako element teleinformatycznej infrastruktury krytycznej państwa, która wymaga udoskonalonych zabezpieczeń przed cyberzagrożeniami. O tym, czy ARiMR jako gestor tego systemu prawidłowo i sprawnie reaguje na incydenty komputerowe, moglibyśmy się przekonać jedynie poznając datę zawiadomienia ABW i treść raportu wewnętrznego, który winien być sporządzony zgodnie z regulaminem stanowiącym załącznik nr 8 do zarządzenia nr 40/2008 prezesa Agencji Restrukturyzacji i Modernizacji Rolnictwa. Tymczasem ARiMR na swym oficjalnym koncie na Twitterze wieczorem 10 listopada br. nerwowo zaprzeczył, jakoby w ogóle doszło do incydentu komputerowego w systemie IACSplus odpowiedzialnym za obsługę wniosków o dopłaty bezpośrednie dla rolników. Komunikat ten pojawił się w odpowiedzi na zadane przez nas tą drogą pytanie „Czy poważny cyberincydent w systemie IACSplus, o którym ARiMR powiadomił ABW, zagraża opłatom bezpośrednim dla rolników?”. Zgoła inaczej brzmi dość osobliwe oświadczenie, które nadesłała nam 22 listopada br. rzeczniczka prasowa Agencji Restrukturyzacji i Modernizacji Rolnictwa Agnieszka Szymańska. „W związku z faktem, że w ARiMR zaistniało podejrzenie wystąpienia incydentu komputerowego, kwestia ta jest badana przez wewnętrzne i zewnętrzne (ABW? – przyp. JJ) organy. Na chwilę obecną taki incydent nie został potwierdzony. W związku z powyższym, do czasu wyjaśnienia prawdopodobieństwa wystąpienia incydentu, ARiMR nie udziela jakichkolwiek informacji w tej sprawie”.
HPE Polska milczy i schodzi na głębokość peryskopową
W wyjaśnieniu genezy i przebiegu cyberincydentu w ARiMR mogłaby pomóc firma HPE. Wystarczyłoby ujawnić na jakiej podstawie i w jakim celu para jej doświadczonych pracowników (11 i 5 lat stażu w amerykańskiej korporacji) łamiąc bezprawnie zabezpieczenia – jak wynika z informacji analizowanych obecnie przez ABW – odczytali poufne dane z plików konfiguracyjnych systemu, którego używa instytucja podległa Ministerstwu Rolnictwa i Rozwoju Wsi, a nade wszystko gospodarująca środkami publicznymi. Zwłaszcza, że działania takie były – jak ocenił jeden z czołowych ekspertów krajowych w zakresie cyberbezpieczeństwa, do którego analizy mieliśmy wgląd – celowym obejściem ustalonych ograniczeń dla kont założonych przez gestora systemu dla jego nowego wykonawcy w środowisku testowym. Poproszone przez nas w ub. tygodniu o komentarz w tej sprawie kierownictwo HPE Polska nie udzieliło żadnej odpowiedzi. Czy możliwe więc jest, że globalny koncern mógł mieć problemy ze skonfigurowaniem serwerów? Tego nie jesteśmy w stanie rozstrzygnąć w oparcie o dostępne nam przesłanki. Opinia publiczna ma w tej sytuacji pełne prawo domagać się od prezesa ARiMR Daniela Obajtka wyjaśnienia, czy HPE daje rękojmię samodzielnej realizacji po zaoferowanej cenie zamówienia uzyskanego od ARiMR (z interpelacji posła nr 1614 posła Jacka Wilka z klubu Kukiz’15 wynika, że HPE zaproponowało cenę 73 mln zł, zaś pozostałe firmy odpowiednio: Atos – 58 mln zł, Sygnity – 74 mln zł, Asseco Poland – 97 mln zł, Comarch – 103 mln zł – przyp. red.). Tym bardziej, że – jak poinformowały nas źródła zbliżone do kręgów rządowych – wśród zadań okresu przejściowego zamawiający zamieścił tylko jedno zadanie techniczne: budowę w oparciu o udostępnione kody źródłowe i dokumentację środowiska informatycznego, które miało stanowić odzwierciedlenie środowiska produkcyjnego ARiMR. Zamawiający uznał to zadanie za wykonane na podstawie… oświadczenia wykonawcy, że sobie poradził.
Prezes ARiMR wytłumaczy się posłom
Jedno nie ulega wątpliwości: cyberincydentu w ARiMR nie da się już zamieść pod dywan. Informacje na jego temat – według naszej wiedzy – dotarły bowiem nawet do zespołu ds. cyberbezpieczeństwa, który działa w Biurze Bezpieczeństwa Narodowego (BBN), i zainteresował się nimi prof. Andrzej Zybertowicz, sprawujący funkcję doradcy Prezydenta RP (społecznie) i szefa BBN. Stosowne sygnały otrzymali też szefowie sejmowych komisji – cyfryzacji, innowacyjności i nowoczesnych technologii (Paweł Pudłowski z Nowoczesnej) i służb specjalnych (Marek Opioła z Prawa i Sprawiedliwości). Ten ostatni pytany przez nas, czy ABW powiadomiła posłów o incydencie komputerowym w ARiMR, oświadczył „Bardzo chciałbym żeby komisja służb specjalnych była powiadamiana na bieżąco. Teraz komisja zadaje pytania i otrzymuje informację”. Oznacza to, że posłowie zwrócą się do szefa ABW o informację na temat poziomu cyberbezpieczeństwa Systemu Informacyjnego Agencji (Restrukturyzacji i Modernizacji Rolnictwa – przyp. red.). Z kolei poseł Paweł Pudłowski, którego poprosiliśmy o komentarz w związku z cyberincydentem z ARiMR, oświadczył, że informację na ten temat przesłał do prezydium Sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii. Zasiadający w tym gremium posłowie – jak zapewnił – zajmą się problemem incydentu komputerowego w ARiMR na jednym z najbliższych posiedzeń komisji.
Dzięki za przydatny i dobrze przygotowany artykuł.