- Ministerstwo Cyfryzacji nakazało instytucjom państwowym zaprzestać używania PAD CMS z powodu poważnych luk bezpieczeństwa i braku wsparcia.
- Brak wsparcia dla PAD CMS stwarza "realne ryzyko incydentu krytycznego" i zagrożenie dla bezpieczeństwa państwa.
- Rekomendacja dotyczy kluczowych instytucji, w tym operatorów usług kluczowych i dostawców usług cyfrowych.
- Decyzja jest prawnie wiążąca i ma na celu ochronę infrastruktury przed zagrożeniami cyfrowymi.
Ryzyko dla cyberbezpieczeństwa
Wicepremier, minister cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski opublikował rekomendację nakazującą podmiotom krajowego systemu cyberbezpieczeństwa natychmiastowe wstrzymanie korzystania z PAD CMS. Platforma ta była dotąd wykorzystywana m.in. do obsługi Biuletynów Informacji Publicznej (BIP) oraz zarządzania stronami internetowymi.
Jak podkreślono w komunikacie resortu, decyzja wynika z wykrycia poważnych podatności bezpieczeństwa oraz braku wsparcia ze strony producenta. Oznacza to, że krytyczne luki nie będą naprawiane, co – jak zaznaczyło Ministerstwo Cyfryzacji – „stwarza realne ryzyko incydentu krytycznego i stanowi zagrożenie dla bezpieczeństwa państwa”.
Kto powinien zrezygnować z oprogramowania
Rekomendacja została skierowana do szerokiego grona instytucji tworzących krajowy system cyberbezpieczeństwa. Chodzi m.in. o operatorów usług kluczowych, takich jak sektor energii, transportu, bankowości, ochrony zdrowia czy infrastruktury cyfrowej. Na liście znajdują się także dostawcy usług cyfrowych oraz instytuty badawcze.
Za rozwój i udostępnianie oprogramowania odpowiada Polska Akademia Dostępności – projekt zrealizowany przez Fundację Widzialni, współfinansowany ze środków Ministerstwa Cyfryzacji. Platforma pad.widzialni.org dostarczała zestaw 180 darmowych wzorów stron internetowych i BIP, ułatwiając zarządzanie treściami online.
Brak bieżącego wsparcia technicznego spowodował jednak, że system stał się szczególnie narażony na cyberataki.
Decyzja po konsultacjach z ekspertami
Ministerstwo Cyfryzacji poinformowało, że decyzja o wydaniu rekomendacji zapadła po konsultacjach z trzema wyspecjalizowanymi zespołami reagowania na incydenty: CSIRT NASK, CSIRT GOV oraz CSIRT MON. To jednostki odpowiedzialne za reagowanie na incydenty w obszarze bezpieczeństwa komputerowego zarówno na poziomie krajowym, jak i sektorowym.
Eksperci ostrzegli, że dalsze wykorzystywanie podatnego systemu mogłoby zagrozić bezpieczeństwu publicznemu oraz istotnym interesom państwa.
Podcasty
Playlisty tematyczne
