12 czerwca obywatele w całym kraju od rana nie byli w stanie załatwić swoich spraw w urzędach, np. zarejestrować samochodu czy zameldować się. Przyczyną była – jak się potem okazało – masowa awaria komputerowego Systemu Rejestrów Państwowych (SRP), który łączy w sobie m.in. system PESEL, rejestr stanu cywilnego i dowodów osobistych. To z niego korzystają wszystkie urzędy w kraju. Zapewniano, że pierwsza tak duża awaria państwowego systemu (a przynajmniej pierwsza, o której oficjalnie poinformowano) nie była skutkiem działalności hakerów.
– Ktoś jednak chciał wykorzystać sytuację i w momencie ogłoszenia awarii natychmiast rozpoczęły się ataki hakerskie typu DDoS na wielką skalę, by system zdestabilizować – przyznaje nam wysokiej rangi urzędnik Ministerstwa Cyfryzacji.
Ataki przeprowadzano równocześnie z wielu komputerów (nad którymi wcześniej przejęto kontrolę przy użyciu specjalnego oprogramowania).
Cel był jeden – doprowadzenie do paraliżu systemu. Tego rodzaju ataki hakerzy często wykorzystują do szantażu. Żądają okupu, wiedząc, że przerwa w działaniu komputerowego systemu firm oznacza straty finansowe, a w przypadku instytucji – ich paraliż.
Usuwaniem awarii Systemu Rejestrów Państwowych zajmował się Centralny Ośrodek Informatyki (COI). Jej przyczyny są już znane, ale ani przedstawiciele COI, ani resortu cyfryzacji nie zamierzają dzielić się tą wiedzą publicznie, powołując się na względy bezpieczeństwa. Zgodnie natomiast zapewniają, że dane obywateli są bezpieczne.
– Zarządziliśmy pełny audyt infrastruktury i architektury systemu, a także audyt bezpieczeństwa i stosowanych procedur. Jesteśmy w trakcie zlecania tego zadania zewnętrznym podmiotom. Liczymy się z tym, że trzeba trochę więcej zainwestować w te systemy – mówi nam Marek Zagórski, minister cyfryzacji. Nieoficjalnie wiadomo, że sprawę bada też zespół szybkiego reagowania na incydenty komputerowe tzw. CERT, działający w ramach ABW. – Już wykluczono ingerencję krajów trzecich – zapewnia nasze źródło.
Lakoniczność komunikatów strony rządowej niepokoi jednak specjalistów. – Rozumiemy, wszystko może się zepsuć, jednak komunikat wydany przez COI mówi, że miała miejsce awaria "jednego elementu". To brzmi niegroźnie, ale pomyślmy: czy nie padł akurat taki, od którego zależy działanie kilku systemów jednocześnie? Jeśli tak, to czy przypadkiem nie mamy jakiejś poważnej wady w architekturze państwowych systemów? – dopytuje Marcin Maj z Niebezpiecznik.pl, który włamuje się na serwery innych firm za ich zgodą, by namierzyć luki w zabezpieczeniach ich infrastruktury teleinformatycznej.
Poważna awaria i próba zmasowanego cyberataku to niejedyne problemy państwowych systemów informatycznych. Do naszej redakcji napływają sygnały o kłopotach z dostępem do niektórych usług (związanych z CEPiK czy ePUAP). Pojawiają się też doniesienia, że ludzie posiadający Profil Zaufany (już ponad 2 mln osób w ten sposób kontaktuje się z urzędami) otrzymują na swoje konta urzędową korespondencję, która nie jest zaadresowana do nich.
Podobne informacje docierają do specjalistów z Niebezpiecznik.pl. – W lipcu mieliśmy kilka zgłoszeń od osób, które zalogowały się na konto kogoś innego. Wiemy też o przypadku, gdy osoba zalogowała się na konto innej osoby o tym samym nazwisku. To bardzo rzadkie pomyłki, ale się zdarzają – mówi Marcin Maj.
Nasz rozmówca z MC tłumaczy, że państwowe systemy informatyczne nie wytrzymują coraz częstszego "odpytywania" o dane. – W samej Emp@tii, mocno obciążonej wnioskami o 500 plus czy o 300 zł wyprawki szkolnej, ruch sięga miliona zapytań dziennie – mówi. Zapewnia też, że nawet jeśli ktoś otrzymuje nie swoją korespondencję w postaci elektronicznej, to nie ma możliwości np. podmienić danych czy przesłać je dalej.