Jak wyjaśnił PAP ekspert cyberbezpieczeństwa Michał Leszczyński, w systemach jednostek publicznych, np. eZUS, przez wiele lat istniała poważna luka w zabezpieczeniach. Umożliwiała ona podszycie się pod dowolnego obywatela i zalogowanie się w jego imieniu do e-usług. - Możliwe też było wykradzenie wrażliwych danych, czy składanie wniosków jako ta osoba, ale wszystko wskazuje na to, że nie doszło do takiego wykorzystania luki — podkreślił Leszczyński.

Ekspert wskazał, że błąd wynikał z niepoprawnego wdrożenia oprogramowania Szafir SDK, którego producentem jest Krajowa Izba Rozliczeniowa (KIR). Urzędy korzystają z Szafir SDK, by umożliwić użytkownikom logowanie się do systemów m.in. przez kartę podpisu elektronicznego. Taką kartę wkłada się do komputera, by zalogować się np. do eZUS, a także podpisywać elektronicznie dokumenty w systemach urzędowych.

– Usterka polegała na tym, że znając imię, nazwisko i numer PESEL dowolnej osoby, można było wystawić fałszywą kartę na jej dane, co dawało możliwość zalogowania na konto tej osoby. Było to możliwe m.in. w eZUS, w systemach e-Zdrowia, w e-Sądzie, na portalu praca.gov.pl czy w e-Serwisie Urzędu Dozoru Technicznego — przekazał ekspert.

Leszczyński, który odkrył lukę bezpieczeństwa w styczniu br., zgłosił ją do CERT Polska. Ministerstwo Cyfryzacji w odpowiedzi na pytania PAP dotyczące tej sprawy zapewniło, że „podjęto wtedy niezwłocznie działania”. Podmioty publiczne zostały poinformowane o nieprawidłowościach i naprawiły błędy — dodało.

Aktualizacja oprogramowania Szafir SDK, zawierająca poprawki bezpieczeństwa, została udostępniona klientom w lutym tego roku — przekazała PAP Anna Olszewska z Krajowej Izby Rozliczeniowej. „Na podstawie dostępnych nam informacji oraz analiz przeprowadzonych przez zaangażowane organy, nic nie wskazuje na to, aby podatność była wcześniej znana osobom trzecim lub wykorzystywana do nieautoryzowanego dostępu do danych” - podkreśliła przedstawicielka KIR.

Olszewska wskazała ponadto, że o sposobie i zakresie wykorzystania komponentów Szafir SDK decyduje klient, który implementuje rozwiązanie, a luka występowała wyłącznie w przypadkach nieprawidłowego jego wdrożenia.

Według Michała Leszczyńskiego skala problemu była największa w przypadku systemu Zakładu Ubezpieczeń Społecznych. - Wykorzystanie błędu umożliwiało między innymi przejęcie dostępu do kont eZUS należących do właścicieli firm. Mając dostęp do takiego konta, można przeglądać listę wszystkich pracowników danej firmy, wraz z ich wynagrodzeniami, adresami zamieszkania i numerami dowodów osobistych. W przypadku ZUS-u błąd mógł istnieć od 2017 roku, czyli nawet przez dziewięć lat — wskazał ekspert.

Po naprawieniu błędów, CERT Polska opublikował oficjalny komunikat, że Szafir SDK zawierał defekt projektowy, który skutkował krytycznym zagrożeniem bezpieczeństwa. - Przez to, że narzędzie było źle zaprojektowane, pojawiły się błędne wdrożenia o groźnych skutkach i to właśnie mylącą konstrukcję samego narzędzia CERT uznał za wadę projektową. W wyniku zgłoszenia producent zmodyfikował już oprogramowanie, aby działało w bardziej przejrzysty sposób. Naprawiono również systemy urzędów — wskazał Leszczyński.

Jego zdaniem błędy w systemach niektórych urzędów „były tak oczywiste, że doświadczony specjalista wychwyciłby je niemal natychmiast”, jednak audytorzy w jednostkach publicznych ich nie zauważyli.

Michał Leszczyński po raz pierwszy opisał techniczne aspekty sprawy pod koniec maja br. w serwisie Zaufana Trzecia Strona.

2 czerwca resort cyfryzacji opublikował projekt nowelizacji ustawy o usługach zaufania oraz identyfikacji elektronicznej, który ma za zadanie wzmocnić nadzór nad tzw. kwalifikowanymi dostawcami usług zaufania, czyli podmiotami, które umożliwiają obywatelom logowanie do e-usług. Zalicza się do nich KIR. Projekt zakłada, by w audytach i kontrolach kwalifikowanych dostawców brali udział nie tylko pracownicy urzędu obsługującego Ministra Cyfryzacji, jak jest obecnie, ale także specjaliści z jednostek podległych lub nadzorowanych przez MC. Mają to być osoby „z odpowiednią wiedzą i doświadczeniem zawodowym” - wskazano w uzasadnieniu.

W Polsce działają trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (z ang. Computer Security Incident Response Team): CSIRT NASK, CSIRT GOV oraz CSIRT MON.

KIR została powołana w 1991 r. w celu elektronizacji i profesjonalizacji rozliczeń międzybankowych w Polsce. Jest firmą obsługującą infrastrukturę polskiego sektora bankowego. Pełni także funkcję technologicznego integratora rozwiązań wspierających budowę cyfrowej gospodarki.

Monika Blandyna Lewkowicz (PAP)

mbl/ mick/ mhr/