Hack Dekady. Amerykański scenariusz nie grozi Polsce?

Hakerzy podczas ataku na instytucje federalne Stanów Zjednoczonych wykorzystali oprogramowanie do zarządzania IT „Orion”, którego producentem jest amerykański koncern SolarWinds. Aby włamać się do wewnętrznych sieci i systemów rządu USA, ukryli złośliwe oprogramowanie w aktualizacji do wspomnianego wyżej oprogramowania, co następnie pozwoliło im na zainstalowanie backdoora i uzyskanie dostępu do zasobów poszkodowanych instytucji.

Największe firmy technologiczne, w tym specjaliści ds. cyberbezpieczeństwa, a także służby i agencje USA prowadzą dochodzenie w sprawie incydentu. Eksperci jednoznacznie ocenili, że ostatnie wydarzenia należy uznać za „hack dekady”. Wszelkie odkryte do tej pory dowody wskazują, że za wrogą kampanię odpowiadają hakerzy działający na zlecenie rosyjskiego wywiadu FSB (Cozy Bear, APT29), którzy w połowie grudnia br. włamali się do amerykańskiego giganta cyberbezpieczeństwa FireEye i wykradli narzędzia hakerskie.

Oceny specjalistów nie są przesadzone. Wystarczy spojrzeć na potencjalną skalę zagrożenia, które dotyczy nie tylko podmiotów ze Stanów Zjednoczonych, ale również innych państw. SolarWinds to firma informatyczna, obsługująca klientów rządowych, wojsko i służby wywiadowcze na całym świecie. Z rozwiązań firmy korzysta m.in. Wielka Brytania (np. Narodowa Służba Zdrowia), Turcja (np. Ministerstwo Zdrowia Turcji), Parlament Europejski czy nawet NATO (np. Agencja Wsparcia NATO).

Nie inaczej jest w przypadku Polski, co wywołało obawy o poziom bezpieczeństwa rządowej infrastruktury, która również mogła paść ofiarą działań ze strony rosyjskiego wywiadu.

Jak informowaliśmy wcześniej, oprogramowanie „Orion” firmy SolarWinds jest stosowane w sieciach państwowych w naszym kraju. Potwierdzeniem takiego stanu rzeczy mogą być systemy Ministerstwa Spraw Wewnętrznych i Administracji (MSWiA) oraz niedawny przetarg na usługę „Wsparcie dla systemu Orion SolarWinds na okres 36 miesięcy” z 25 listopada br., której wartość zamówienia wyniosła 270 000 zł bez VAT (unieważniono postępowanie na podstawie art. 93 ust. 1 pkt 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych).

W związku z obawami o stan bezpieczeństwa polskiej infrastruktury rządowej skierowaliśmy do MSWiA oraz Cyfryzacji KPRM prośbę o komentarz w tej sprawie, a także wyjaśnienie kwestii związanej z poziomem popularności oprogramowania „Orion” w kraju.

W oświadczeniu przesłanym naszej redakcji resort spraw wewnętrznych i administracji potwierdził, że oprogramowanie amerykańskiego koncernu rzeczywiście jest wykorzystywane przez MSWiA. Jednak – jak podkreślono – jest to inna wersja „Orion” niż ta, która miała być wykorzystana przez rosyjskich hakerów podczas włamania do rządowych sieci Stanów Zjednoczonych.

Informujemy, że wersja systemu Orion wykorzystywana przez MSWiA nie jest tożsama z wersją opisywaną w mediach

Dodatkowo resort wskazał, że stale współpracuje z zespołami reagowania na incydenty CSIRT-GOV, a także z dostawcami usług internetowych (ISP), aby utrzymywać możliwie najwyższy standard cyberbezpieczeństwa i kontroli nad wykorzystywaną infrastrukturą.

Cyfryzacja KPRM jak dotąd nie udzieliła komentarza w tej sprawie.

Czy powoływanie się na argument, że wykorzystywanie innej wersji oprogramowania „Orion” likwiduje zagrożenie jest zasadny? Nie należy bagatelizować istniejącego ryzyka, zwłaszcza, że sytuacja została sprowokowana przez wrogą kampanię ze strony aktora państwowego, którym ma być Rosja. Powagę sytuacji potęguje fakt, że Moskwa regularnie na terenie Polski prowadzi swoje operacje, np. w obszarze informacyjnym, a więc również i tym razem nasz kraj mógł stać się potencjalnym celem szeroko zakrojonej kampanii Kremla.