W zeszłym tygodniu polski internet obiegła szokująca wiadomość – ktoś rzekomo włamał się na prywatną skrzynkę pocztową ministra Michała Dworczyka, szefa Kancelarii Prezesa Rady Ministrów. 

Sprawa nie byłaby tak głośna, gdyby nie to, że z owego włamania zaczęły wypływać informacje dotyczące np. stanu wyposażenia polskich sił wojskowych.

Nie jest to pierwszy incydent tego typu – w ciągu ostatnich lat ich częstotliwość jednak znacznie się nasiliła. Od pewnego czasu zajmujemy się opisywaniem zjawiska fake news i wykorzystania mediów społecznościowych do dezinformacji na szeroką skalę. Wycieki informacji tego typu często wykorzystywane są także do rozprowadzania dezinformacji – stąd nasze zainteresowanie sprawą ministra Dworczyka.

Historia wycieków danych w Polsce

Oczywiście, nie jest to pierwszy incydent tego typu w Polsce. W samym 2021 roku mieliśmy już do czynienia z dwoma poważnymi wyciekami. Pierwszym z nich był wyciek danych funkcjonariuszy państwowych, w którym ujawnione zostały prywatne dane 20 tysięcy osób pracujących m.in. w służbie ochrony państwa, straży granicznej lub służbie więziennej. 

Drugi wyciek jest wydarzeniem regularnym, do którego zdążyliśmy się już przyzwyczaić. Z pewną dozą rezygnacji przyjęliśmy miesiąc temu wiadomość o kolejnym z rzędu wycieku tematów tegorocznych matur.

Świat polityki również ma pewną historię wycieków. Wystarczy przecież rzucić hasłem “ośmiorniczki” lub “lista Wildsteina” aby przywołać wspomnienia największych afer politycznych od czasu transformacji ustrojowej.

To właśnie te dwie ostatnie sprawy są dla nas szczególnie interesujące. Pokazują one bowiem jak użytecznym narzędziem są wycieki informacji w walce politycznej – często niezależnie od samej treści wycieków. O tym opowiemy za moment – najpierw przyjrzyjmy się bliżej sprawie ministra Dworczyka.

Casus ministra Dworczyka i wyciek emaili

Dane rzekomo pochodzące z prywatnej skrzynki pocztowej szefa KPRM publikowane są w anonimowym kanale na Telegramie. Nie wiadomo jeszcze w jaki sposób doszło do włamania – sprawa badana jest przez służby.

W jednej z analiz sprawy portal Niebezpiecznik.pl wysuwa teorię jak mogło dojść do włamania:

Ujawniony adres e-mail (który ocenzurowaliśmy) faktycznie należy do Michała Dworczyka i jest w użyciu od dawna. Znajduje się w kilku wyciekach danych. Z co najmniej 2 wycieków przestępcy mogą pozyskać hasło (które było) stosowane przez ministra. Z kolejnego wycieku da się pozyskać jego numer telefonu, który, umówmy się — i tak nie jest tajemnicą, zwłaszcza że niedawno wyciekł także z Facebooka.

Źródło: Niebezpiecznik.pl, “Włamywacze opublikowali treść e-maila ze skrzynki ministra Dworczyka”

Wycieki haseł i danych poufnych z różnych serwisów społecznościowych są rzeczywiście nad wyraz częstym zjawiskiem – w kwietniu tego roku z Facebooka wyciekły dane 533 milionów użytkowników. Wyciek takich danych jednak nie musi oznaczać najgorszego – wystarczy zachować podstawowe zasady bezpieczeństwa, takie jak używanie osobnego hasła do każdego konta oraz wykorzystanie weryfikacji dwuetapowej.

Zdawałoby się, że są to bardzo proste rady, które każdy z nas może łatwo wprowadzić w życie. Jednak, jak informuje Onet.pl, szef KPRM nie jest jedyną osobą na której konta weszły osoby niepowołane. 

Według artykułu opublikowanego w serwisie OKO.press, ataki na niekórych polityków mogły mieć miejsce już w listopadzie zeszłego roku. Warto wtrącić, że platformy do monitorowania internetu – takie jak SentiOne – można wykorzystać do nasłuchiwania słów kluczowych (takie jak nasze loginy, nazwiska) w serwisach publikujących wycieki haseł. Trzeba jedynie wiedzieć, że taka możliwość istnieje.

Bezpośrednio zainteresowany wydarzenie skomentował następująco:

Oświadczenie ⤵️ pic.twitter.com/06iWqsdTRy

— Michał Dworczyk (@michaldworczyk) June 8, 2021

Konsekwencje kampanii dezinformacyjnych

Minister Dworczyk ma częściową rację, gdy mówi o wykorzystywaniu tego typu wycieków jako sposobu na rozprzestrzenianie dezinformacji.

Nie trzeba szukać daleko, aby znaleźć doskonały przykład na potwierdzenie jego słów. Kampania prezydencka w Stanach Zjednoczonych w 2016 obfitowała w dezinformację i wycieki. 

Jeden z tych wycieków miał wyjątkowo długofalowe konsekwencje. Chodzi o publikację zawartości skrzynki pocztowej Johna Podesty, jednego z liderów kampanii prezydenckiej Hillary Clinton.

Treści wiadomości z owej skrzynki niemal natychmiast stały się bronią polityczną w kampanii prezydenckiej. Posłużyły też jako punkt zapalny jednej z najważniejszych teorii konspiracyjnych ostatnich dwudziestu lat – PizzaGate.

Według teorii PizzaGate, wiele z wiadomości odkrytych w skrzynce Johna Podesty pisane było szyfrem. Nawiązania do “pizzy” miały tak naprawdę oznaczać handel dziećmi, a sama Hillary Clinton miała przewodzić międzynarodowej, satanistycznej organizacji pedofilskiej. Główna siedziba owej szajki miała znajdować się w piwnicy pizzerii Comet Ping-Pong w Waszyngtonie – jednej z ulubionych restauracji osób zaangażowanych w kampanię Clinton.

Teoria ta doprowadziła Edgara Welcha do wejścia do Comet Ping Pong z karabinem AR-15 w celu zniszczenia satanistów w piwnicy restauracji. Na szczęście nikt nie został ranny – sam Welch był zdziwiony kiedy odkrył, że w Comet Ping Pong nawet nie ma piwnicy. Został skazany na cztery lata więzienia.

Wydawałoby się, że doprowadziłoby to do końca teorii PizzaGate – jednak stało się coś zupełnie innego. Kluczowe założenia PizzaGate, takie jak tajemniczy kult handlujący dziećmi i sprawujący zakulisowo władzę nad światem, stały się zalążkiem teorii spiskowej QAnon, która z kolei doprowadziła do szturmu na budynek Kapitolu szóstego stycznia.

Skomplikowana historia wycieków danych

Oczywiście, wyciek wyciekowi nierówny – nie możemy jednoznacznie potępić tej praktyki. Gdyby nie wycieki Chelsea Manning, nie wiedzielibyśmy o zbrodniach wojennych jakich dopuściły się Stany Zjednoczone podczas inwazji Afganistanu i Iraku. Gdyby nie Edward Snowden, nie wiedzielibyśmy jak daleko sięgają możliwości inwigilacyjne rządów na całym świecie – i jak serwisy społecznościowe ochoczo z nimi współpracują, kosztem naszej prywatności.

To dzięki ujawnieniu danych przez Christophera Wylie wiemy o praktykach firmy Cambridge Analytica – dzięki czemu giganci społecznościowi objęci są np. dyrektywą RODO, która zabrania niejawnego handlu danymi wrażliwymi.

Oczywiście, wyciek danych ministra Dworczyka nawet nie zbliża się do powagi powyższych przykładów. Nie wyciekło nic, co ujawniałoby przestępstwa wojenne lub masową inwigilację obywateli Polski. Sytuacja ma więcej wspólnego z wyciekiem danych funkcjonariuszy – w jednej i drugiej sytuacji widzimy przede wszystkim niekompetencję i niedopilnowanie środków bezpieczeństwa, czego nie przykryjemy słowami o “cyberatakach i dezinformacji”. 

Może być to jednak temat dla Ministerstwa Cyfryzacji – jak skutecznie i bezpiecznie wdrażać cyfryzację do organizacji publicznych? W większości organizacji prywatnych regularnie odbywają się szkolenia pracowników na temat bezpieczeństwa danych, rozpisywane są sposoby przechowywania i procesowania danych oraz uszczelniane i aktualizowane są serwery i oprogramowania zabezpieczające. 

Wspomniany już wcześniej Niebezpiecznik oferuje nawet darmowe szkolenia dla każdego posła, który nie chce skończyć jak minister Dworczyk.

Cyberbezpieczeństwo w pigułce – co możemy zrobić?

Jakie błędy przede wszystkim popełnił prezes KPRM? Przede wszystkim wykorzystywał prywatną skrzynkę e-mail do prowadzenia spraw służbowych. Po drugie, jak zauważył serwis Niebezpiecznik, trzymał na skrzynce dane poufne: skany dowodu osobistego i prawa jazdy. 

Jeśli już koniecznie musimy takie dokumenty wysyłać pocztą elektroniczną, możemy również zachować podstawowe zasady bezpieczeństwa: np. zamieścić je w PDFie zaszyfrowanym hasłem. Można też (a nawet należy) usuwać tego typu informacje ze skrzynki pocztowej w momencie kiedy potwierdzimy ich odbiór przez drugą stronę.

No i najważniejsze – nie używajmy tego samego hasła do wszystkich kont. W tej sytuacji wystarczy jeden prosty wyciek aby położyć wszystkie nasze konta!

Nawet jeśli atakujący ma dostęp do naszego loginu i hasła, można po prostu włączyć weryfikację dwuetapową. Kiedy Gabe Newell, prezes firmy Valve, ogłosił że platforma Steam będzie wspierać weryfikację dwuetapową, zademonstrował skuteczność logowania dwuetapowego i publicznie ogłosił swój login i hasło.

Żadna z tych rzeczy nie jest trudna – wystarczy odrobina kompetencji i dobrej woli. Od kierowców wymagamy prawa jazdy. Dlaczego od najważniejszych osób w państwie nie wymagamy podstawowej znajomości cyberbezpieczeństwa?