Czy w skrzynce mailowej ministra Dworczyka były wrażliwe dokumenty? Co wiemy o hakerskim ataku

Są bowiem tam między innymi dokumenty dostępne publicznie np. tzw. OSR – czyli dołączane do projektów ustaw oceny skutków regulacji – czyli przewidywane konsekwencje wejścia w życie określonej ustawy.

W opublikowanym w środę 9 czerwca oświadczeniu minister Dworczyk przyznał, że doszło do hakerskiego ataku na jego pocztę elektroniczną. Nie sprecyzował, czy celem ataku była jego prywatna, czy służbowa skrzynka mailowa.

"W związku z doniesieniami dotyczącymi włamania na moją skrzynkę email i skrzynkę mojej żony, a także na nasze konta w mediach społecznościowych, poinformowane zostały stosowne służby państwowe" – napisał minister Michał Dworczyk na Twitterze.

"Zważywszy na to, że informacje zostały opublikowane w rosyjskim serwisie społecznościowym Telegram oraz fakt, że przez 11 lat miałem zakaz wjazdu na teren Białorusi i Rosji jako osoba aktywnie wspierająca przemiany demokratyczne na terenie byłego ZSRR, traktuję ten atak jako jeden z elementów szeroko zakrojonych działań dezinformacyjnych zawierających sfałszowane i zmanipulowane informacje" – dodał w oświadczeniu minister.

Szef kancelarii premiera nie napisał, kiedy doszło do ataku hakerów. Jego wpis pojawił się 20 minut po północy 9 czerwca, trzy godziny po tym, jak w mediach społecznościowych pojawiły się pierwsze informacje o możliwym ataku hakerskim na konta Michała Dworczyka i jego żony Agnieszki.

8 czerwca o godzinie 21.39 użytkownik Twittera Marcin Kokosz napisał: "#PolskiŁad albo grubo, albo wcale. Robię popcorn". Do tego krótkiego wpisu dołączył zrzut ekranu z rzekomego konta na Facebooku Agnieszki Dworczyk, żony ministra Dworczyka.

"Skrzynka mailowa mojego męża Michała Dworczyka została zhakowana, utracony dostęp do konta na Facebooku. Michał Dworczyk: Z przykrością muszę poinformować, ze moja skrzynka e-mail została zhakowana przez nieznane osoby. Sprawcami zostały skradzione dokumenty służbowe, które zawierają inforacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodoweu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi" - czytamy w rzekomym wpisie Agnieszki Dworczyk.

Po jakimś czasie wpis rzekomej Agnieszki Dworczyk zniknął z Facebooka. W swoim późniejszym oświadczeniu minister Dworczyk napisał, że "oświadczenie, które zostało opublikowane w mediach społecznościowych na koncie mojej żony, jest sfabrykowane i zawiera nieprawdziwe treści".

O godzinie 21.58 portal Onet.pl poinformował o włamaniu do skrzynek mailowych Agnieszki i Michała Dworczyków. Fakt ten mieli potwierdzić rozmówcy Onetu ze służb specjalnych. "Rzeczywiście doszło do włamania na prywatną skrzynkę pocztową Dworczyka na jednym z polskich serwisów z darmową pocztą. — To była słabo zabezpieczona skrzynka — twierdzi jeden z naszych rozmówców. Drugi dodaje: — Służbowa poczta ma coraz lepsze zabezpieczenia, więc hakerzy coraz częściej próbują się włamywać na prywatne konta polityków" – napisał onet.pl.

Dwadzieścia minut później, o 22.20 portal niebezpiecznik.pl, specjalizujący się w analizach bezpieczeństwa internetu, podał, że dokumenty, które miały się znajdować w poczcie elektronicznej Michala Dworczyka pierwszy raz na rosyjskim Telegramie pojawiły się 4 czerwca. To oznaczałoby, że ani minister, ani też służby specjalne nie wiedziały o hakerskim ataku, skoro zareagowano dopiero 8 czerwca.

Zapytaliśmy Centrum Informacyjne Rządu oraz Stanisława Żaryna, rzecznika koordynatora służb specjalnych o to, kiedy doszło do cyberataku i kiedy odpowiednie służby zareagowały.

W międzyczasie Stanisław Żaryn poinformował na Twitterze, że "W związku oświadczeniem Pana Ministra Michała Dworczyka wydanym we wtorek informuję, że służby specjalne analizują wydarzenia opisane przez Pana Ministra w ww. oświadczeniu. Zgłoszenie w tej sprawie wpłynęło do #ABW w dniu wczorajszym."

W mailu do redakcji Konkret24 Stanisław Żaryn do powyższych informacji dodał zdanie: "Na tym etapie nie przekazujemy innych informacji."

Wiceminister rozwoju Waldemar Buda zasugerował w "Rozmowie Piaseckiego" na antenie TVN24, że "ktoś mógł podszyć się pod ślad rosyjski" – czyli hakerzy chcieli sprawić wrażenie, że stoją za tym Rosjanie.

Na rosyjskim portalu społecznościowym Telegram zamieszczono 15 różnego rodzaju dokumentów, które miałyby pochodzić ze skrzynki mailowej Michała Dworczyka. Nie ma pewności, czy wszystkie pochodziły z tego samego źródła i są autentyczne.

"Pragnę podkreślić, że w skrzynce mailowej będącej przedmiotem ataku hakerskiego nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny lub ściśle tajny" – napisał w oświadczeniu szef kancelarii premiera. W swoim oświadczeniu ani minister Dworczyk, ani też rzecznik koordynatora ds. służb specjalnych w swoim wpisie na Twitterze nie precyzują o jaką skrzynkę mailową chodzi – prywatną czy służbową. Michał Dworczyk używa jedynie sformułowania „skrzynka mailowa, będąca przedmiotem ataku hakerskiego”. O tym, że była to prywatna skrzynka mailowa mówili portalowi Onet.pl dwaj anonimowi przedstawiciele służb.

Ze sformułowania, użytego przez ministra Dworczyka: „nie znajdowały się żadne informacje, które miały charakter niejawny, zastrzeżony, tajny lub ściśle tajny” – także jednoznacznie nie wynika, czy jakiekolwiek dokumenty zostały wykradzione. Oświadczenie nie wyjaśnia też, czy na skrzynce „będącej przedmiotem ataku hakerskiego” były przechowywane inne dokumenty państwowe, które nie były zastrzeżone, tajne czy ściśle tajne. Bez odpowiedzi pozostaje także pytanie, czy jeśli była to prywatna skrzynka, to czy minister przechowywał w niej służbowe dokumenty.

Jak sprawdziliśmy, w Telegramie opublikowano następujące dokumenty:

pięć dokumentów dotyczących etatowego składu kompanii zmechanizowanej na bojowych wozach piechoty

życiorys szefa Rządowego Centrum Bezpieczeństwa płk. Konrada Korpowskiego (jest dyrektorem RCB od listopada 2020 roku)

sześć dokumentów dotyczących projektu ustawy o rezerwach strategicznych, w tym sam projekt ustawy, uzasadnienie, ocena skutków regulacji oraz zgłoszenie do wykazu prac legislacyjnych rządu

zestawienie instytucji i służb państwowych, których pracownicy byli uprawnieni do szczepień przeciwko COVID-19 wraz z liczbą chętnych do szczepień i wyznaczonymi punktami szczepień

streszczenie analizy Departamentu Studiów Strategicznych Kancelarii Prezesa Rady Ministrów z 25 sierpnia 2020 roku p.t. "Ułatwienia dla osiedlania się w Polsce Białorusinów, w tym polskiego pochodzenia"

Na żadnym z tych dokumentów nie widnieją adnotacje dotyczące klauzul tajności – nie są sygnowane jako zastrzeżone, poufne, tajne czy ściśle tajne. Życiorys dyrektora RCB z pliku na Telegramie zawiera niewiele więcej informacji (poza szczegółowymi datami i numerem telefonu komórkowego) niż ten, który został opublikowany 23 listopada 2020 roku przez portal polskazbrojna.pl.

Dokumenty dotyczące projektu ustawy o rezerwach strategicznych: projekt, uzasadnienie, ocena skutków regulacji są dostępne publicznie na stronach Rządowego Centrum Legislacji.

Opublikowane w Telegramie zgłoszenie projektu tej ustawy do wykazu prac legislacyjnych Rady Ministrów ma tę samą merytoryczną treść, co informacja znajdując się w publicznie dostępnym wykazie na stronach kancelarii premiera. Różnica polega na tym, że w dokumencie na Telegramie widnieją dane kontaktowe do osoby odpowiedzialnej za koordynowanie prac nad projektem.

Nie są za to publicznie znane dwa dokumenty: pismo dyrektora Departamentu Analiz Przygotowań Obronnych Administracji do ministra Dworczyka z dokumentami niezbędnymi do zgłoszenia projektu ustawy o rezerwach oraz pismo (niepodpisane) do ministra Łukasza Schreibera z wnioskiem o wpisanie projektu ustawy do wykazu prac legislacyjnych rządu. Oba pisma są formalne, nie zawierają żadnych informacji wrażliwych.

Na marginesie, ustawa o rezerwach strategicznych została uchwalona przez Sejm 17 grudnia 2020 roku i podpisana przez prezydenta 3 lutego 2021 roku.

Z kolei wykaz instytucji i służb, których pracownicy i funkcjonariusze mieli być szczepieni (dla przypomnienia – Michał Dworczyk jest pełnomocnikiem rządu odpowiedzialnym za Narodowy Program Szczepień) – nie zawiera tak wrażliwych danych jak numery PESEL, numery telefonów, adresy zamieszkania i poczty elektronicznej. A takie dane aż 20 tys. funkcjonariuszy wyciekły pod koniec kwietnia tego roku z Rządowego Centrum Bezpieczeństwa.

Bardziej "wrażliwe" mogą być dokumenty (jeśli zostanie potwierdzona ich autentyczność) dotyczące składu kadrowego kompanii zmechanizowanej czy analiza dotycząca osiedlania się Białorusinów w Polsce, zwłaszcza w kontekście obecnej sytuacji na Białorusi.

Michał Dworczyk nie jest jedynym polskim politykiem, który stał się ofiarą hakerskiego ataku. 19 stycznia 2021 roku poseł Marek Suski z sejmowej komisji do spraw służb specjalnych poinformował, że doszło do włamania na jego konto społecznościowe na Twitterze, na prywatną skrzynkę pocztową, a także hakerzy przejęli jego e-mail używany w celach służbowych. Podobne ataki dotknęły wcześniej minister rodziny i polityki społecznej Marlenę Maląg, posłów Arkadiusza Czartoryskiego, Marcina Duszka i posłankę Joannę Borowiak.

W tej sprawie interpelację do premiera 21 stycznia 2021 roku zgłosił poseł Koalicji Obywatelskiej Marcin Kierwiński. W odpowiedzi z 10 marca sekretarz stanu w kancelarii premiera Marek Zagórski (były minister cyfryzacji) napisał, że "niedawne ataki dotyczyły prywatnych kont poczty elektronicznej parlamentarzystów oraz profili w sieciach społecznościowych, które podlegają ogólnym przepisom w zakresie świadczenia usług drogą elektroniczną oraz przepisom Kodeksu karnego. Ściganie sprawców takich przestępstw prowadzone jest na wniosek pokrzywdzonego".

Poinformował również, że "Pełnomocnik Rządu ds. Cyberbezpieczeństwa w listopadzie 2020 roku polecił podjęcie dodatkowych działań, których celem ma być zwiększenie poziomu cyberbezpieczeństwa parlamentarzystów". 29 stycznia do Kancelarii Sejmu trafił poradnik dla parlamentarzystów, jak chronić się przed cyberatakami.

O procedury bezpieczeństwa w kancelarii premiera zapytaliśmy Centrum Informacyjne Rządu. Czekamy na odpowiedź.

Autor: Piotr Jaźwiński / Źródło: Konkret24