Podmioty krajowego systemu cyberbezpieczeństwa powinny natychmiast przestać używać oprogramowania PAD CMS do bezpłatnego zarządzania stronami internetowymi m.in. BIP; stanowi to zagrożenie dla bezpieczeństwa państwa - zalecił w środę wicepremier, pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski.
Podmioty krajowego systemu cyberbezpieczeństwa, do których skierowano rekomendację, to m.in. operatorzy usług kluczowych, dostawcy usług cyfrowych czy instytuty badawcze.
Wicepremier, minister cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski w środowej rekomendacji opublikowanej na stronie resortu zalecił podmiotom krajowego systemu cyberbezpieczeństwa bezzwłoczne zaprzestanie wykorzystywania oprogramowania PAD CMS, które służy do zarządzania treściami na stronach internetowych.
Jak wskazano na stronie gov.pl, za udostępnianie oprogramowania odpowiada Polska Akademia Dostępności. To projekt realizowany przez Fundację Widzialni, który był dofinansowany ze środków Ministerstwa Cyfryzacji. Platforma pad.widzialni.org oferuje m.in. zestaw 180 bezpłatnych, gotowych wzorów stron www oraz Biuletynów Informacji Publicznej (BIP) wraz z systemem zarządzania treścią CMS – podano.
Jak wskazało MC, decyzja o rekomendacji wynika z wykrycia poważnych podatności (luk bezpieczeństwa – PAP) oraz braku wsparcia ze strony producenta PAD CMS. Brak wsparcia dla oprogramowania oznacza, że krytyczne podatności nie otrzymają stosownych poprawek bezpieczeństwa, co „stwarza realne ryzyko incydentu krytycznego i stanowi zagrożenie dla bezpieczeństwa państwa” – podano.
Decyzja zapadła po konsultacjach z zespołami CSIRT NASK, CSIRT GOV oraz CSIRT MON. CSIRT – ang. Computer Security Incident Response Team – to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego i odnosi się do wyspecjalizowanej jednostki lub zespołu osób odpowiedzialnych za zarządzanie incydentami związanymi z cyberbezpieczeństwem. Istnieją różne rodzaje CSIRT-ów, np. krajowe, jak CSIRT GOV, CSIRT NASK, sektorowe - np. CSIRT CeZ dla ochrony zdrowia, lub wewnętrzne - w ramach przedsiębiorstwa.
Eksperci wskazali, że dalsze stosowanie oprogramowania obarczonego tymi podatnościami może negatywnie wpływać na bezpieczeństwo publiczne oraz istotny interes państwa – podało MC.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC) z 2018 r. ustanowiła trzy krajowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego: CSIRT NASK, CSIRT GOV oraz CSIRT MON. Rekomendacja Krzysztofa Gawkowskiego została wydana także na podstawie UKSC. Zgodnie z ustawą podmioty objęte krajowym systemem cyberbezpieczeństwa, których dotyczy rekomendacja, to m.in. operatorzy usług kluczowych, czyli sektory: energii, transportu, bankowości, uzdatniania wody i odprowadzania ścieków, ochrony zdrowia, a także infrastruktury cyfrowej. (PAP)
mbl/ mick/ mhr/
