Czy strony polskich instytucji państwowych są bezpieczne? Czy użytkownik może mieć pewność, że odwiedzając je - jego działania i komunikacja pozostają prywatne? Jaki wpływ na reputację instytucji mogą mieć strony, które nie spełniają tych warunków?

Postanowiłem sprawdzić w prostym eksperymencie, który opisuję niżej. Tekst ten nie jest tekstem technicznym - chciałbym, by był maksymalnie dostępny dla szerokiego grona odbiorców. Mam też nadzieję, że przedstawione w nim problemy staną się podłożem dla szerszej dyskusji o tym, jak polskie instytucje publiczne podchodzą do kwestii cyberbezpieczeństwa (i reputacji).

Wchodząc na strony internetowe instytucji publicznych, takich jak ministerstwa czy agencje rządowe, jako obywatele powinniśmy móc oczekiwać, aby sposób komunikacji był bezpieczny, a nasze czynności prywatne. Powinniśmy pozwolić sobie, by mieć zaufanie do treści prezentowanych na stronach, które odwiedzamy. Jako obywatele Polski niestety nie mamy takich możliwości - i wkrótce dla państwa polskiego stanie się to bardzo kompromitujące.

Czy zaufamy stronie Ministerstwa Obrony Narodowej, Ministerstwa Zdrowia, Ministerstwa Sprawiedliwości, Ministerstwa Spraw Zagranicznych - jeśli w sposób oczywisty są oznaczane jako niezabezpieczone? Czy będziemy wierzyć treściom na stronach Narodowego Banku Polskiego, Instytutu Pamięci Narodowej, Sejmu, Senatu, Trybunału Konstytucyjnego, Generalnego Inspektora Ochrony Danych Osobowych, jeśli przeglądarka internetowa powie nam, że strony te są niezabezpieczone?

Użytkownicy są już przyzwyczajeni, że stronom, które oznaczane są przez przeglądarki internetowe jako "zielone" w pasku adresu strony - można ufać trochę bardziej. Że takie strony oferują standard bezpieczeństwa znacznie wyższy, niż chociażby strony bez tego oznaczenia, lub wręcz z oznaczeniem czerwoną kreską (np. w przeglądarce Chrome). Chcesz zobaczyć czerwone przekreślenie na stronie, która jest niepoprawnie skonfigurowana, oznaczona jako niebezpieczna? Odwiedź w styczniu 2017 stronę Ministerstwa Obrony Narodowej. Użytkownik widząc coś takiego w przeglądarce prawidłowo stwierdzi, że treściom na takiej stronie nie warto ufać. I o tym jest ten artykuł.

Dostarczanie treści na stronie internetowej za pomocą bezpiecznego protokołu HTTPS jest już standardem. W uproszczeniu, którego dokonamy na potrzeby artykułu - kiedy łączymy się ze stroną internetową za pomocą tego protokołu, zapewnione są (wymieniam tylko część najważniejszych):

• Poufność połączenia - trudno jest podsłuchać, co robi internauta odwiedzający stronę internetową. Połączenie jest szyfrowane.
• Integralność - odwiedzający stronę internetową może być pewien, że podczas ściągania zawartości strony internetowej, nie zmodyfikował jej zawartości. Połączenie jest zabezpieczone przed modyfikacjami. Zabezpiecza to nie tylko treść tekstu czytanego, ale - technicznie rzecz biorąc - chroni przed ewentualnymi atakami wykorzystującymi możliwość aktywnej podmiany części strony internetowej.
• Certyfikaty używane w HTTPS zaświadczają też o tożsamości - o tym, że odwiedzany podmiot jest faktycznie tym, za kogo się podaje.

Powyższe punkty są zawsze ważne, ale w pewnych sytuacjach stają się szczególnie istotne. Z takimi przypadkami mamy do czynienia na przykład łącząc się ze stroną internetową np. w kawiarni, na konferencji, na lotnisku - przy użyciu sieci wifi. W praktyce, z punktu widzenia użytkownika wykorzystanie HTTPS chroni przed łatwą możliwością zdarzeń typu podsłuchanie hasła (i inne ataki na użytkownika), podszycie się pod stronę internetową (czy wchodzisz na tę stronę, o której myślisz?).

Systemy, gdzie ważne jest zaufanie użytkowników - są udostępniane za pomocą protokołu HTTPS. Takimi systemami są z oczywistych powodów wszystkie strony internetowe instytucji publicznych, a brak tego typu zabezpieczeń powinien niepokoić. Oczywiście nie wolno wyciągać prostego wniosku, że brak wsparcia dla HTTPS oznacza, że poziom cyberbezpieczeństwa danej instytucji jest niski. Są to przecież tylko strony internetowe, często zarządzane przez podmioty zewnętrzne, zwykle (oby!) bez żadnych treści niejawnych. Chodzi tutaj tylko i aż o kwestię zaufania obywatela, o reputację.
Wkrótce reputacja ta będzie przechodziła duży test. Dlaczego? Wyjaśnię niżej.

Internet zmienia się bardzo szybko. Ekspertom bezpieczeństwa i prywatności w końcu udało się uruchomić ważny proces: coraz więcej stron internetowych jest dostępnych za pomocą HTTPS. Aktywnie na tym polu działają też producenci przeglądarek internetowych. W styczniu 2017 przeglądarka Chrome (dołączy także Firefox) zacznie oznaczać pewne strony internetowe jako niezabezpieczone. Początkowo dotyczy to stron logowania (z możliwością wpisania hasła) i płatności (z możliwością wpisania numeru karty kredytowej) - a docelowo zmiany obejmą wszystkie strony bez HTTPS. Strony takie będą wyraźnie oznaczone jako niezabezpieczone. Słowo "Not secure" (ang. niezabezpieczone, niebezpieczne) znajdzie się obok pola z adresem strony internetowej. To bardzo dobre rozwiązanie: pomoże to bezpośrednio ludziom w zrozumieniu bezpieczeństwa w sieci - zwiększy to świadomość i rozumienie kwestii bezpieczeństwa. W interesie właścicieli stron internetowych w oczywisty sposób będzie to, by ich strony nie były naznaczone jako niebezpieczne, niezabezpieczone.

Dla użytkowników będzie to wyłącznie pozytywne. Dla właścicieli stron - stanie się to stawką reputacyjną.

Z takimi problemami wkrótce spotkają się strony internetowe na całym świecie. Skłoniło mnie to do sprawdzenia, co za jakiś czas czeka strony w polskim internecie. Wybrałem te o dużym profilu, wobec których nie powinno być żadnych wątpliwości co do treści na nich obecnych. Mówię tu o stronach rządowych (ministerstwa), jak i agencji publicznych. Po wykonaniu moich testów mam dość mieszane uczucia. Ale odpowiedzialni za zarządzanie tymi stronami - wkrótce będą mieli znacznie większy problem niż tylko dyskomfort.

Do wykonania takiego testu wystarczy najnowsza rozwojowa (niestabilna) wersja przeglądarki Chrome. Oznacza ona domyślnie wszystkie strony z formularzami haseł lub możliwością wpisania numeru karty kredytowej jako niezabezpieczone, jeśli nie są dostarczane za pomocą HTTP.
Mnie jednak interesuje co się stanie, gdy przeglądarki zaczną oznaczać wszystkie strony bez HTTPS jako niebezpieczne. Aby to przetestować, wystarczy zmienić ustawienia przeglądarki Chrome w chrome://flags/#mark-non-secure-as.

I wtedy wystarczy już tylko przeglądać internet i... sprawdzać. Po kolei odwiedziłem wszystkie strony polskich ministerstw. Jako niezabezpieczone oznaczone są: Ministerstwo Infrastruktury i Budownictwa, Ministerstwo Sportu, Ministerstwo Rolnictwa, Ministerstwo Energii Ministerstwo Pracy i Polityki Społecznej.
Jako niezabezpieczone, oznaczone są także: Ministerstwo Finansów, Ministerstwo Sprawiedliwości, Ministerstwo Spraw Zagranicznych, Ministerstwo Obrony Narodowej. Jeśli przeczytanie tych słów nie obrazuje problemu, może warto zobaczyć to na własne oczy.

Poniżej strona Ministerstwa Obrony Narodowej:

Ministerstwo Obrony Narodowej ma zresztą większy problem: otóż serwer MON umożliwia łączenie się za pomocą bezpiecznego protokołu HTTPS, ale przeglądarki również oznaczają to jako niebezpieczne, niezaufane - przeglądarka domyślnie odradza wtedy odwiedzanie takiej strony.

Powodem jest fakt, że osoby odpowiedzialne za serwer Ministerstwa odpowiedzialnego za bezpieczeństwo państwa najwyraźniej nie pofatygowały się, by konfiguracja działała prawidłowo. Certyfikat dla strony MON jest wystawiony dla strony [wp.mil.pl][https://wp.mil.pl], która z kolei i tak przekierowuje na stronę... MON. A jest jednak różnica między nie zrobić, a "zrobić źle".

Strona Ministerstwa Cyfryzacji jest na szczęście oznaczona jako zielona, “Bezpieczna”. Ministerstwo Cyfryzacji ma też pomysł, aby zunifikować strony wszystkich ministerstw. Jest to świetny pomysł - zmniejszy on skalę problemów (i kosztów) z zarządzaniem treścią, utrzymaniem infrastruktury itp. Będzie to dobry moment, by zainwestować zasoby w prawidłową konfigurację bezpieczeństwa i prywatności tego nowego systemu.

Ale pomysł Ministerstwa Cyfryzacji nie rozwiąże innych problemów - bo takie same wyzwania reputacyjne dotkną innych instytucji: Instytut Pamięci Narodowej, Komisja Nadzoru Finansowego, Narodowy Bank Polski, Sejm, Senat, Trybunał Konstytucyjny, Zakład Ubezpieczeń społecznych - wszystkie strony tych instytucji mają ten sam problem. Ich strony są oznaczane jako niezabezpieczone.

Ironicznie, przed identycznym wyzwaniem stoi też Generalny Inspektor Ochrony Danych Osobowych.

Wbrew pozorom przejście HTTPS nie jest problemem trywialnym - ważne by zrobić to poprawnie, mając także na uwadze całość udostępnianych treści. Jest to zatem wyzwanie, a im strona bardziej skomplikowana (i z dłuższym stażem), tym trudniej przeprowadzić takie przejście. Warto rozważyć dobre zaplanowanie tego procesu.

Podsumowanie

Wiele pracy włożono w to, by uruchomić trend stopniowego przechodzenia na bezpieczny sposób udostępniania treści w internecie poprzez protokół HTTPS. Poprawi to - w skali Internetu - poziom bezpieczeństwa. Ale stworzy też wyzwania. Jedna z najnowszych zachęt do przejścia na protokół HTTPS pochodzi od producentów przeglądarek internetowych. Jest to rozwiązanie w pewien sposób drastyczne, ostatecznie doprowadzi do zwiększenia bezpieczeństwa i zaufania w skali internetu. Ale w fazie przejściowej stworzy to wyzwanie i ryzyko dla reputacji, zwłaszcza dla ważnych instytucji - rządowych, mediów.