Przyczyną paraliżu w urzędach była awaria, a nie hakerzy
„W urzędzie przy ul. Branickiego 3/5 mieszkańcy nie załatwią spraw związanych z rejestracją pojazdów, aktami USC (np. rejestracją dziecka, sporządzeniem aktu zgonu), dowodami osobistymi i ewidencją ludności (np. przemeldowaniem się, wydaniem zaświadczeń o meldunku)” – przestrzegały rano władze Białegostoku. Chwilę później podobne komunikaty popłynęły ze wszystkich urzędów w kraju. Tysiące obywateli zostało odprawionych z kwitkiem. Przez kilka godzin kompletnie niedostępne były najważniejsze systemy – SRP, CEPiK, ePUAP i związane z nimi e-usługi.
– Przyczyną awarii była niestabilność działania jednego z komponentów systemu. Nie ma żadnych wskazań, by doszło do ataku hakerskiego czy jakiegokolwiek działania osób trzecich. Dane obywateli przechowywane w rejestrach są i były bezpieczne. Sprawę szczegółowo zbadamy – tłumaczy Igor Ryciak z Centralnego Ośrodka Informatyki (COI).
– Na razie najistotniejsza jest analiza, co się właściwie stało i dlaczego do tej awarii doszło. Oczywiste jest, że takie sytuacje nie mogą się wydarzyć w przyszłości. Pan minister był cały czas w kontakcie ze sztabem kryzysowym, około południa udało się awarię usunąć – opowiada Karol Manys, rzecznik Ministerstwa Cyfryzacji (MC).
– Jednoczesny brak dostępu do tak wielu różnych systemów sugeruje, że awaria mogła mieć miejsce w punkcie wspólnym dla tych usług; zawinić mógł np. system zasilania jakiegoś segmentu sieci albo jedno z kluczowych urządzeń, np. router prowadzący do sieci bazodanowej. Być może incydent wywołały prace serwisowe, których zapowiedź pojawiła się w poniedziałek na stronach internetowych CEPiK. Najbardziej niepokojące jest to, dlaczego w sytuacji kryzysowej nie zadziałała procedura, która w przypadku niedostępności usług w danym centrum danych, powinna przełączyć użytkowników systemu na alternatywne środowisko – komentuje Piotr Konieczny, szef zespołu bezpieczeństwa firmy Niebezpiecznik.pl.
SRP został w Polsce wdrożony w marcu 2015 r. Idea była taka, by jeden centralny system zastąpił lokalne ewidencje: Rejestr PESEL, Rejestr Dowodów Osobistych czy Rejestr Stanu Cywilnego. Plusem takiego rozwiązania jest to, że wszystkie urzędy w kraju działają w ramach jednego systemu, co sprzyja utrzymaniu spójności danych i pomaga czyścić ewidencje z błędów, których było mnóstwo w bazach lokalnych.
Ale są też wady, od których nie odżegnuje się sam COI. – Od momentu, gdy mamy scentralizowane systemy, rzeczywiście istnieje ryzyko, że w przypadku ogólnopolskiej awarii odczuwają to wszystkie urzędy w kraju – przyznaje Igor Ryciak. W pierwszych miesiącach funkcjonowania SRP (tzw. okres stabilizacji systemu) dochodziło do wielu mniejszych czy większych usterek, jednak nigdy na tak wielką skalę jak wczoraj.
Działaniu SRP w ubiegłym roku przyjrzała się Najwyższa Izba Kontroli. Niepokój kontrolerów wzbudziły niedociągnięcia w tzw. zarządzaniu bezpieczeństwem. „Kontrolowani na ogół nie przywiązywali dostatecznej wagi do zapewnienia bezpieczeństwa przetwarzania informacji z wykorzystaniem SRP. (…) Audyty i testy bezpieczeństwa SRP przeprowadzone były jedynie w trakcie jego wytwarzania i wdrażania, natomiast przez niemal półtora roku od jego uruchomienia nie przeprowadzono audytu/testu bezpieczeństwa” – stwierdzili kontrolerzy.
Wczorajszą awarię udało się usunąć w ciągu kilku godzin. Ale mogło być znacznie gorzej. NIK zwrócił uwagę, że w przypadku tzw. incydentów krytycznych – a jak słyszymy, ten wczorajszy można do takowych zaliczyć – zgodnie z umową podpisaną z Ministerstwem Cyfryzacji COI miałby nawet trzy dni na usunięcie awarii.
COI zapewnia, że rekomendacje NIK zostały wdrożone, a główny zarzut dotyczył tego, że urzędnicy pracujący w systemie, wbrew polityce bezpieczeństwa, korzystali z komputerów podłączonych do otwartej sieci internetowej. – Dlatego została m.in. opracowana Polityka Bezpieczeństwa, jak korzystać z SRP – podkreśla Igor Ryciak. ©℗