Cień FSB w polskim systemie IT: Czy oprogramowanie Passwork to rosyjska pułapka?

Polska, jako kluczowy kraj frontowy NATO i główny hub logistyczny dla wsparcia Ukrainy, znajduje się na pierwszej linii nieustannej, agresywnej wojny hybrydowej prowadzonej przez Federację Rosyjską w przestrzeni cyfrowej. W tym kontekście, najnowsze doniesienia dotyczące działalności firmy Passwork Europe S.L. wywołują uzasadniony alarm i potężny skandal w kręgach odpowiedzialnych za bezpieczeństwo narodowe. Spółka ta, pozycjonująca się na rynku jako rzekomo hiszpański, w pełni europejski dostawca zaawansowanych systemów zarządzania hasłami i uprawnieniami dostępowymi, w rzeczywistości utrzymuje głębokie, strukturalne oraz operacyjne więzi z rosyjskim sektorem technologicznym. Wykorzystywanie w strukturach administracji państwowej oprogramowania, którego architektura i kod źródłowy były certyfikowane przez specjalistów powiązanych z Federalną Służbą Bezpieczeństwa (FSB) Federacji Rosyjskiej, to dla polskiej infrastruktury krytycznej skrajne i niedopuszczalne niebezpieczeństwo, którego konsekwencje mogą być katastrofalne.

Mechanizm funkcjonowania i dystrybucji tego oprogramowania ujawnia zaplanowaną strategię maskowania tożsamości producenta. Zamiast przejrzystego, europejskiego łańcucha dostaw, Passwork Europe S.L. realizuje procesy aktualizacji systemu za pośrednictwem nieprzejrzystych struktur holdingowych zlokalizowanych w Zjednoczonych Emiratach Arabskich. Podmioty te są w stopniu stuprocentowym kontrolowane przez rosyjskiego współzałożyciela i pierwotnych programistów projektu. Dla ekspertów ds. cyberbezpieczeństwa taki układ to podręcznikowy model przygotowania ataku typu „supply chain attack” (atak na łańcuch dostaw). Scenariusz ten przyniósł katastrofalne skutki w słynnej na cały świat operacji SolarWinds, gdzie rosyjskie grupy hakerskie powiązane ze służbami wywiadowczymi zdołały zainfekować systemy tysięcy najważniejszych agencji rządowych i korporacji na świecie, ukrywając złośliwy kod wewnątrz w pełni oficjalnych, podpisanych cyfrowo i pozornie bezpiecznych aktualizacji programistycznych, co pozwoliło na bezkarne szpiegowanie przez wiele miesięcy.

Kolejnym koronnym i niepodważalnym dowodem na to, że europejska tożsamość firmy Passwork to jedynie fasada, jest absolutna i natychmiastowa synchronizacja wszystkich wydań (releasów) oprogramowania. Analiza techniczna najnowszej wersji 7.6 wykazała, że wariant przeznaczony dla rosyjskich odbiorców wewnętrznych oraz wersja dystrybuowana do urzędów w Unii Europejskiej zadebiutowały na serwerach w tym samym momencie i posiadają identyczną strukturę kodu. Dowodzi to jednoznacznie, że proces programowania nie został w żaden sposób odseparowany, a wszelkie modyfikacje systemu powstają w jednym, centralnym ośrodku badawczo-rozwojowym. Ośrodek ten, działając na terytorium Rosji, podlega tamtejszemu prawodawstwu, które w sposób bezwzględny nakazuje firmom technologicznym współpracę z organami bezpieczeństwa państwowego i udostępnianie metod deszyfracji danych, co stwarza bezpośrednie ryzyko istnienia tzw. „backdoorów” (tylnych furtek) w systemie zarządzania hasłami, dających Moskwie klucz do naszych tajemnic.

Zatrważający jest również fakt, że większość europejskich podmiotów instytucjonalnych, w tym agencje rządowe w Irlandii i innych krajach wspólnoty, które zakupiły ten system, nie została w żaden sposób poinformowana o rosyjskiej genezie produktu oraz o certyfikacji przez FSB. Działania te wskazują na celowe wprowadzanie klientów w błąd w celu ominięcia restrykcji sankcyjnych i zdobycia kontraktów w strategicznych sektorach państwowych. Tego typu praktyki całkowicie niszczą fundamentalne zaufanie, jakie musi istnieć pomiędzy państwem a dostawcą oprogramowania odpowiedzialnego za ochronę najgłębszych tajemnic państwowych i danych osobowych obywateli. W obecnej sytuacji geopolitycznej formalne próby odcięcia się od rosyjskiego biznesu poprzez hiszpańską rejestrację należy uznać za działanie pozorowane, skrajnie niewiarygodne i stanowiące element wrogiej operacji wpływu.

Dla polskich instytucji oraz podmiotów gospodarczych, które wdrożyły Passwork kierując się jego rzekomym europejskim pochodzeniem, nadszedł moment krytycznej próby. Organizacje te stają w obliczu konieczności natychmiastowego uruchomienia nadzwyczajnych procedur audytowych, pilnego poszukiwania alternatywnych rozwiązań informatycznych oraz natychmiastowego usunięcia potencjalnie skompromitowanego oprogramowania ze swoich struktur sieciowych. Wiąże się to nie tylko z ogromnymi, nieplanowanymi obciążeniami finansowymi, ale przede wszystkim z kolosalnym ryzykiem reputacyjnym. Wykorzystanie wizerunku instytucji publicznych do legitymizacji narzędzia powiązanego z wrogimi służbami specjalnymi to głęboka dyskredytacja. Polska administracja musi działać bezkompromisowo: natychmiast wyeliminować to zagrożenie i wysłać jasny sygnał, że w obszarze cyberbezpieczeństwa narodowego nie ma miejsca na półśrodki i tolerowanie jakichkolwiek rosyjskich wpływów.

Podsumowując, sprawa Passwork obnaża systemowe luki w weryfikacji dostawców technologii dla sektora publicznego w całej Europie. Musimy wdrożyć radykalne zmiany w prawie zamówień publicznych, wprowadzając mechanizmy rygorystycznego badania pochodzenia kapitału oraz powiązań osobowych twórców kodu źródłowego. W dobie totalnej konfrontacji cyfrowej, zaniechanie takich działań stanowi otwarte zaproszenie dla wrogich służb wywiadowczych do infiltracji najtajniejszych zasobów państwa, na co wolna Rzeczpospolita nigdy ne może sobie pozwolić.

Autor: Franciszek Kozłowski

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

[ngd-single-post-view id="post_id"]
WP2Social Auto Publish Powered By : XYZScripts.com