Za niecałe trzy miesiące ten popularny system operacyjny stanie się bardziej podatny na ataki hakerskie. Jednostki, które go wykorzystują, muszą kupić nowe oprogramowanie. Inaczej grożą im nie tylko ataki z zewnątrz, lecz także kary.
14 stycznia 2020 r. kończy się okres wsparcia popularnego systemu operacyjnego Windows 7. Jego producent, firma Microsoft, ostrzega, że choć komputery z tym oprogramowaniem będą wciąż działać, to jednak będą bardziej narażone na wirusy i ataki z zewnątrz. By się przed nimi uchronić, ze względu na bezpieczeństwo danych, system operacyjny warto zmienić. Ale nie wszyscy widzą taką potrzebę. W ostatnim czasie grupa posłów Kukiz’15 postanowiła przepytać wszystkie resorty, czy są na zmiany przygotowane. Większość stwierdziła, że na wymianę systemu trzeba będzie jeszcze poczekać. Najciekawsza była odpowiedź ministra cyfryzacji Marka Zagórskiego. Jak napisał, zakończenie wsparcia dla Windows 7 w styczniu 2020 r. nie oznacza, że system ten okaże się bezużyteczny i otwarty na ataki. „Może minąć dużo czasu, zanim pojawią się krytyczne podatności bezpieczeństwa, na które nie będzie poprawek” – ocenił szef resortu. Czy oznacza to, że samorządy mogą spać spokojnie i nie przejmować się stanem swoich komputerów? Chyba jednak nie, bo eksperci przestrzegają – hakerzy tylko na to czekają.

Dodatkowe zagrożenie

Kamil Sadkowski, starszy analityk zagrożeń w ESET, tłumaczy, że brak gwarancji producenta dla systemu operacyjnego oznacza, iż przestaje on wypuszczać na rynek jego aktualizacje, w tym także te zapewniające bezpieczeństwo. Jeśli hakerzy odnajdą w takim systemie krytyczną lukę, to potencjalnie będą mogli wykorzystywać ją przez nieograniczony czas. – Wraz z zakończeniem wsparcia dla Windowsa 7 można się spodziewać, że wersje niektórych programów przeznaczonych konkretnie na ten system również przestaną być rozwijane i aktualizowane przez ich twórców. Może to rodzić dodatkowe zagrożenie, jeśli hakerzy odnajdą istotne dziury w niewspieranych już aplikacjach – mówi Kamil Sadkowski. Dodaje, że w przeszłości Microsoft decydował się wypuścić aktualizację bezpieczeństwa dla niewspieranej już przez siebie przeglądarki lub systemu operacyjnego, w sytuacji gdy została w nich ujawniona bardzo poważna i aktywnie wykorzystywana podatność na zagrożenia. Nie łatał jednak wszystkich dziur w oprogramowaniu. Jacek Orłowski, redaktor naczelny miesięcznika „IT w Administracji”, mówi wprost, że korzystanie z systemu operacyjnego, dla którego nie wychodzą regularnie poprawki bezpieczeństwa, zwiększa ryzyko ataku. – Dlatego stanowiska komputerowe pracujące pod kontrolą takiego systemu muszą być objęte szczególnym nadzorem. Nie należy wystawiać ich bezpośrednio do internetu, instalować w nich dodatkowego oprogramowania zabezpieczającego czy monitorować ich aktywności. Najlepiej w ogóle odłączyć takie końcówki od jakiejkolwiek sieci komputerowej – mówi ekspert.

Cyber(nie)bezpieczeństwo

W tej sytuacji roztropniej byłoby oprogramowanie wymienić. Ale włodarze często oglądają każdą złotówkę i niechętnie wydają pieniądze na nowe potrzeby komputerowe urzędu. Potwierdził to majowy raport Najwyższej Izby Kontroli – połowa badanych przez kontrolerów samorządów przyznała, że korzysta z systemów operacyjnych bez wsparcia producenta. Teraz może więc być jeszcze gorzej, zwłaszcza jeśli gminy zapomną, że mają obowiązek zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na dbałości o aktualizację oprogramowania. Obowiązek ten wynika z par. 20 ust. 2 pkt 12a rozporządzenia z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r. poz. 2247).
Czym grozi niewypełnienie przepisów? Radca prawny Małgorzata Kurowska, senior associate w kancelarii Maruta Wachta, mówi, że niestosowanie się do rozporządzenia może skutkować odpowiedzialnością służbową kierownika jednostki. Teoretycznie możliwe są też konsekwencje wyciągnięte wobec samorządu przez organy nadzorcze w związku z powtarzającymi się rażącymi naruszeniami prawa. Choć – jak przyznaje ‒ ze względu na bardzo dużą skalę zjawiska (potwierdzonego przez raport NIK) taka odpowiedzialność wydaje się głównie teoretyczna.
Bardziej surowe konsekwencje przewiduje ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560). Jej art. 8 pkt 5 lit. b wprost nakazuje dbałość o aktualizację oprogramowania. Z kolei art. 73 ust. 1 pkt 3 penalizuje brak tego działania. Karę pieniężną nakłada, w drodze decyzji, organ właściwy do spraw cyberbezpieczeństwa. Obowiązek ten dotyczy jednak operatorów usług kluczowych. Zagrożone sankcją są więc wyłącznie samorządy, które kontrolują bezpośrednio takiego operatora, np. jednostkę ochrony zdrowia, systemy uzdatniania i dystrybucji wody, które uzyskały status operatora usługi kluczowej.

Kłopot z RODO

Żadna jednostka publiczna nie ucieknie jednak spod odpowiedzialności wynikającej z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli RODO (Dz.Urz. UE z 2016 r. L 119, s. 1). Artykuł 5 ust. 1 lit. f RODO stanowi, że dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Urząd Ochrony Danych Osobowych może ukarać administratora, który o to nie zadba. Potwierdza to Mateusz Piątek, product manager rozwiązań Safetica w DAGMIE. – Jest wysoce prawdopodobne, że UODO będzie podchodził krytycznie do administratorów korzystających z oprogramowania bez wsparcia producenta, ponieważ oznacza to zwiększone ryzyko podatności tych systemów na potencjalne wycieki danych – mówi. I dodaje, że zgodnie z RODO poziom zabezpieczeń powinien być adekwatny do zagrożenia. Korzystanie z systemów nieposiadających wsparcia producenta prowadzi zaś do powstania ryzyka.
Podobnie uważa mec. Małgorzata Kurowska. Jej zdaniem brak aktualnego oprogramowania sam w sobie nie stanowi naruszenia bezpośrednio przepisów RODO, jednak może zwiększać prawdopodobieństwo wystąpienia zdarzenia stanowiącego naruszenie bezpieczeństwa. – Tłumaczenia administratora, że w niewspieranym systemie nie stwierdzono krytycznych podatności bezpieczeństwa, mogą okazać się niewystarczające dla UODO – mówi Małgorzata Kurowska. Dodaje, że gdyby doszło do naruszenia bezpieczeństwa czy wycieku danych, to brak dbałości o aktualność oprogramowania w sytuacji, w której urząd dysponuje szerokim zasobem danych o obywatelach, stanowiłby – z perspektywy prezesa UODO – okoliczność obciążającą jednostkę samorządu terytorialnego. A przypomnijmy, że zgodnie z art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781) urzędowi grozi kara do 100 tys. zł.

Jakie alternatywy

Pojawia się pytanie, czy samorządy mogą korzystać z innych systemów niż oprogramowanie Microsoftu. Zdaniem Tomasza Izydorczyka, eksperta ds. ochrony danych osobowych w IT i wykładowcy Wyższej Szkoły Bankowej w Poznaniu, może to być problemem. Przede wszystkim większość oprogramowania dla sektora publicznego jest niekompatybilna z innymi systemami, w tym także tymi bezpłatnymi, działającymi w modelu otwartego oprogramowania (z ang. open source), jak np. Linux. Wyjsciem z sytuacji mogą być tzw. rozwiązania chmurowe przeznaczone dla jednostkek publicznych. Jak pisaliśmy w lipcu na łamach Tygodnika Gazeta Prawna (DGP nr 134), rząd planuje uruchomić tzw. sklep z aplikacjami dla administracji rządowej i samorządowej. Robert Kośla, dyrektor departamentu cyberbezpieczeństwa w Ministerstwie Cyfryzacji, wyjaśniał nam wówczas, że dzięki temu urzędy będą mogły kupić możliwość korzystania z konkretnych aplikacji lub całych systemów, zamieszczonych w chmurze obliczeniowej. – To dostawca usług będzie udostępniał konkretne aplikacje czy systemy. Urzędy nie będą więc musiały się zastanawiać, czy na pewno działają we właściwym systemie operacyjnym – mówił Robert Kośla. W ocenie rządu ma to być remedium na nieustający kłopot ze słabymi zabezpieczeniami oraz przestarzałym oprogramowaniem w jednostkach samorządu terytorialnego. Ale na razie rozwiązania tego jeszcze nie ma.

opinie ekspertów

Przestarzałe nie znaczy od razu nielegalne

Tomasz Izydorczyk ekspert ds. ochrony danych osobowych w IT i wykładowca Wyższej Szkoły Bankowej w Poznaniu
Gdyby doszło do wycieku danych osobowych z systemu komputerowego korzystającego z przestarzałego i niewspieranego sytemu operacyjnego, to Urząd Ochrony Danych Osobowych ma prawo takie podejście krytykować. Jednak zanim orzeknie ostatecznie w wyniku prowadzonego postępowania, organ powinien zebrać dowody, że bezpośrednim i jedynym źródłem takiego wycieku danych było korzystanie z systemu operacyjnego, którego producent zaprzestał wsparcia bezpieczeństwa. Korzystanie ze starego oprogramowania nie jest samo w sobie nielegalne. Ale sposób, kontekst i powody korzystania z takiego nieaktualizowanego Windowsa 7 będą miały kluczowe znaczenie dla oceny stanu faktycznego związanego z ewentualnym wyciekiem danych osobowych. ©℗

Lepiej się zabezpieczyć innym rozwiązaniem

Małgorzata Pałka-Jarema radca prawny, senior associate w kancelarii Maruta Wachta
Koniec wsparcia technicznego w przypadku produktów Microsoft jest o tyle niebezpieczny, że nie dotyczy on jedynie bieżącej pomocy technicznej świadczonej przez producenta, ale przede wszystkim oznacza brak poprawek bezpieczeństwa.
Podmioty administracji publicznej nie powinny liczyć na to, że może minąć wiele czasu, zanim pojawią się krytyczne podatności bezpieczeństwa. Nie jest możliwe przewidzenie, jak duże problemy związane z brakiem poprawek bezpieczeństwa pojawią się po styczniu 2020 r. Microsoft namawia klientów do migracji na Windows 10 lub chmurowe systemy operacyjne, co jest zrozumiałe ze względu na zyski producenta z zakupu nowych licencji przez klientów. Jednak także eksperci od bezpieczeństwa są zgodni – żeby spać spokojnie, należy przemigrować do innych rozwiązań, wspieranych poprawkami bezpieczeństwa.
Dla organizacji, które z jakichś powodów nie planują lub nie zdążą z migracją systemu operacyjnego, Microsoft przygotował program Extended Security Updates (ESU). Jest on aktywny od 1 kwietnia 2019 r. i będzie działał do 2023 r. z możliwością wykupienia uprawnień na każdy rok. W ramach ESU będą dostarczane jedynie poprawki bezpieczeństwa (krytyczne lub ważne). Mniejsze problemy związane z bezpieczeństwem w ogóle nie będą rozwiązywane. Nie można także liczyć na wsparcie techniczne w razie problemów z działaniem Windows 7 ani dostarczanie zwykłych poprawek doskonalących funkcjonowanie. Obecnie z dostarczanych poprawek bezpieczeństwa mogą też skorzystać klienci z umową Enterprise Agreement, użytkujący Windows Virtual Desktop (na Azure) oraz Microsoft 365. Propozycją dla klientów, którzy chcą pozostać przy rozwiązaniach on-premis, jest jedynie opcja zawarcia umowy Enterprise Agreement. To jednak opcja dość droga. Opłata liczona jest od każdego urządzenia korzystającego z ESU, a dodatkowo z każdym rokiem będzie coraz wyższa.