Sprawa kupionych przez Kancelarię Sejmu iPadów ponownie pojawiła się w mediach za sprawą rzecznika SLD, posła Dariusza Jońskiego. Zgubił on urządzenie po czym - jak twierdzi - sejmowi informatycy zaproponowali mu, że wszystkie dane z tabletu, również prywatne e-maile - nagrają mu na płytę DVD. Rzecznik SLD zrezygnował z tej propozycji, a urządzenie odkupił i zwrócił informatykom.
Biorąc udział w głosowaniach i pracując nad projektami ustaw zdaję sobie sprawę z zagrożeń, jakie niosą takie rozwiązania. Nie mam nic przeciwko użyciu funkcji iCloud pod warunkiem, że dane zapisane będą na terenie Polski i na serwerach, które zapewniają wysoki poziom bezpieczeństwa - napisał Joński w liście opublikowanym w internecie. - Dobrze by było, żeby usługa taka była udostępniona przez organ państwowy pod nadzorem ABW, będę miał wówczas pewność, iż z danych tych nie będą korzystać zagraniczne rządy i korporacje. W Sejmie podejmuje się ważne decyzje, ważą się losy wielu ustaw i zapewnienie wysokiego bezpieczeństwa danych nie może być powierzane zagranicznym koncernom.
Czy poselskie iPady są bezpieczne?
Należy zadać pytanie, czy tablety iPad, z których na co dzień korzystają posłowie rzeczywiście narażają ich użytkowników na utratę wrażliwych danych. Eksperci twierdzą, że tak - jeśli posłowie sami nie zadbają o dane, które według nich nie powinny być dostępne dla nikogo, w tym dla pracowników Ośrodka Informatyki Sejmu. Jego dyrektor, Zbigniew Jabłoński poinformował PAP, że zgodnie z prowadzoną przez kancelarię polityką bezpieczeństwa nie może udzielić informacji o zabezpieczeniach stosowanych systemów informatycznych. Dodał jedynie, że system pocztowy stosowany przez sejmową kancelarię wykorzystuje m.in. oprogramowanie open-source i serwer pocztowy Lotus.
Tablety iOS są na tyle bezpieczne, na ile bezpiecznymi pozwoli im być Apple. Jako że system operacyjny iOS jest zamknięty, tylko od Apple zależy czy np. oprogramowanie szyfrujące się na nim znajdzie. Przypomnijmy także, że dodatkowe aplikacje, które można zainstalować na iPadach też muszą zostać uprzednio zaakceptowane przez Apple - powiedział kierownik zespołu bezpieczeństwa firmy Niebezpiecznik.pl, ekspert ds. bezpieczeństwa sieci IT, Piotr Konieczny. Jak dodał, można oczywiście przełamać zabezpieczenia systemu (ang. jailbreak) i móc instalować dowolne oprogramowanie (np. firewall) oraz zmodyfikować działanie systemu operacyjnego, ale jest to czynność raczej dla zaawansowanych użytkowników, wiedzących co robią i jakie ryzyko ponoszą.
Podobnego zdania jest Lech Lachowicz, z zajmującej się m.in. oprogramowaniem typu firewall firmy Symantec. Według badań firmy, przeprowadzonych pośród specjalistów IT w Europie, kluczowe dla bezpieczeństwa urządzenia mobilnego jest używanie hasła lub pinu do aktywacji urządzenia. W razie kradzieży lub zgubienia urządzenia dane przetwarzane na nim nadal pozostają niedostępne. Lachowicz dodaje, że na drugim miejscu jest użycie technologii VPN (wirtualna sieć prywatna - PAP) dla dostępu np. do informacji korporacyjnych, na trzecim, najważniejszym - szyfrowanie urządzenia.
Systemy iOS i Android wspierają szyfrowanie całego urządzenia, idealnym rozwiązaniem natomiast jest szyfrowanie danych w każdej aplikacji. Tylko takie podejście jest w stanie zapewnić oddzielenie danych firmowych i prywatnych. Z najnowszych badań wynika, że w praktyce prawie połowa zapytanych osób nie używa haseł do swoich urządzeń mobilnych, używając tabletu w celach prywatnych i służbowych jednocześnie. Większość nie wie nawet, że powinni to robić - powiedział PAP Lachowicz.
Chmura z dodatkami
Lachowicz podkreśla, że usługa iCloud - o której pisze poseł Joński - również powinna być wykorzystana z zachowaniem zasad bezpieczeństwa. Możliwość odtworzenia obrazu z kopii zapasowej z dowolnego miejsca na świecie jest bardzo kusząca. Należy jednak pamiętać, iż mimo tego, że dane przesyłane i przechowywane w iCloud są szyfrowane, to Apple posiada klucz do nich (wniosek wynika między innymi z konstrukcji dokumentu n/t warunków korzystania z usługi) - powiedział Lachowicz. Według niego, kopia zapasowa iCloud zawiera konfigurację klienta email, co w przypadku wycieku informacji stanowi dużo większe zagrożenie, niż przechwycenie samej treści - często dane dostępowe do konta email pozwalają na ustawienie nowego hasła do różnych, skojarzonych serwisów, dając potencjalnemu napastnikowi dostęp do innych kont użytkownika.
Analityk zagrożeń z Kaspersky Lab Polska, Maciej Ziarek uważa, że najbardziej istotne w bezpieczeństwie danych przechowywanych w tzw. chmurze (a więc także usłudze Cloud) jest to, jak do tej kwestii podchodzi sam dostawca usługi. Opierając się na przykładzie iCloud, który wykorzystuje do ochrony danych zgromadzonych na serwerach algorytm AES (ang. Advanced Encpryption Standard), wszystkie informacje są chronione tak, by osoby trzecie nie miały dostępu do prywatnych plików użytkowników chmury. Ziarek podkreśla jednak, że w tym wypadku wiedza o lokalizacji serwerów i fizyczny dostęp do nich zarezerwowany jest dla wąskiego grona pracowników firmy Apple. Nigdy nie można mieć pewności czy dane są w stu procentach bezpieczne - takiej gwarancji nie da nam żadna firma. Jeżeli nie mamy zaufania, że dostawca chmury dokłada wszelkich starań, by zapewnić bezpieczeństwo naszych danych, nie korzystajmy z tej usługi - ocenił Ziarek.
Jak zapewniają przedstawiciele Kancelarii Sejmu, tablety - w wersji przekazanej posłom - nie posiadają domyślnie uaktywnionych żadnych mechanizmów, za pomocą których materiały wytwarzane na tablecie mogłyby być przechowywane lub przetwarzane poza nim. Rozwiązania takie (takie, jak stosowany z urządzeniami korzystającymi z systemu operacyjnego iOS system iCloud) mogą zostać uaktywnione, ale za każdym razem czynności tej dokonuje sam poseł, bez udziału pracowników Kancelarii Sejmu, a więc nie jest to opcja włączona domyślnie.
Czy poseł szyfruje?
Piotr Konieczny z Niebezpiecznik.pl stwierdził, że normalną sytuacją jest fakt, iż administrator serwera pocztowego ma dostęp do skrzynki pocztowej użytkowników bez potrzeby wprowadzania hasła. Widzi jednak treść tylko niezaszyfrowanych e-maili. Dlatego o bezpieczeństwo swojej korespondencji każdy poseł powinien dodatkowo zadbać sam. Tylko kryptografia asymetryczna - na przykład dostępne za darmo rozwiązania pracujące w oparciu o standard szyfrowania OpenPGP - pozwala być spokojnym, że treść wiadomości nie zostanie ujawniona w trakcie podróży od nadawcy do odbiorcy (np. na jednym z serwerów pocztowych) - powiedział Konieczny.
Pojawia się też pytanie, czy posłowie w ogóle powinni zapisywać z pomocą iPadów informacje niejawne, tajne czy takie, od których zależy bezpieczeństwo państwa. Trzeba się zastanowić, jakie cele przyświecają administracji publicznej korzystającej z iPadów. Jeśli rozrywka i praca nad publicznymi, jawnymi dokumentami - czyli brak wymogu poufności - to nie widzę przeszkód, aby takie urządzenia były wykorzystywane. Jeśli jednak urzędnicy lub posłowie mieliby na tabletach przechowywać tajemnice państwowe, albo inne wrażliwe dane - np. poufne dokumenty, kompromitujące materiały - do których wglądu nie powinni mieć nawet administratorzy urzędowej sieci, to należy się upewnić ponad wszelką wątpliwość, że tego typu dane są szyfrowane tak w trakcie przesyłu do i z urządzenia, jak i na samym tablecie - powiedział Piotr Konieczny - Jednym słowem, należałoby poddać testom konkretne aplikacje, z których korzystają na swoich iPadach posłowie, aby niezależnie ocenić bezpieczeństwo każdej z nich. W iTunes można znaleźć aplikacje, które pozwalają na szyfrowanie poczty, pytanie czy polscy posłowie z nich korzystają.
Piotr Waglowski z fundacji e-państwo, autor serwisu VaGLa.pl również ma wątpliwości. Czytając Konstytucję, czy ustawę o dostępie do informacji publicznej, nie widzę tam takiej kategorii, jak "informacje robocze". Jednak sądy administracyjne czasem twierdzą, że danej informacji obywatelom nie trzeba udostępniać, gdyż są to właśnie informacje robocze. A przecież informacja publiczna, to "każda informacja w sprawach publicznych". Taką informacją, którą - jak uważam - obywatele powinni móc znać - jest zawartość skrzynki pocztowej urzędnika, a nawet - co może wzbudzać kontrowersje - zawartość poselskiego tabletu - powiedział PAP.
Waglowski dodaje, że w jego opinii ani poczta elektroniczna, ani tablety poselskie nie służą do przesyłania czy gromadzenia informacji niejawnych. Gdyby któryś z posłów miał na tablecie informacje niejawne, to przecież popełniałby przestępstwo. Nie powinien tam też mieć informacji prywatnych. Nie po to dano posłom takie urządzenia - powiedział.
Nie każdy chce iPada
Z iPadów zakupionych przez Kancelarię Sejmu korzysta obecnie 456 posłów, z czego największą aktywność wykazuje 340 z nich. Tabletów nie odebrali dotąd posłowie: Jarosław Gowin (minister sprawiedliwości, poseł PO), Joanna Mucha (minister sportu i rekreacji, PO), Krystyna Szumilas (minister edukacji narodowej, PO) i Jan Szyszko (PiS). Według Kancelarii Sejmu posłowie, którzy odebrali iPady i mają jakiekolwiek wątpliwości dotyczące obsługi urządzenia mogą korzystać ze specjalnie przygotowanych punktów konsultacyjnych, które otwarte są podczas posiedzeń Sejmu. Dotąd skorzystało z nich ok. 300 posłów.