Wicepremier i minister cyfryzacji Krzysztof Gawkowski zaapelował w środę o niezwłoczne zaprzestanie użytkowania oprogramowania PAD CMS, służącego do zarządzania stronami internetowymi, w tym prowadzonymi przez administrację publiczną Biuletynami Informacji Publicznej. Powodem są luki bezpieczeństwa oraz brak wsparcia aktualizacyjnego, co stanowi poważne zagrożenie dla bezpieczeństwa państwa.

Podmioty krajowego systemu cyberbezpieczeństwa, do których skierowano rekomendację, to m.in. operatorzy usług kluczowych, dostawcy usług cyfrowych, instytuty badawcze, ale też organy władzy publicznej.

Wicepremier, minister cyfryzacji i pełnomocnik rządu ds. cyberbezpieczeństwa Krzysztof Gawkowski w środowej rekomendacji opublikowanej na stronie resortu zalecił im bezzwłoczne zaprzestanie wykorzystywania oprogramowania PAD CMS, które służy do zarządzania treściami na stronach internetowych.

Jak wskazano na stronie gov.pl, za udostępnianie oprogramowania odpowiada Polska Akademia Dostępności. To projekt realizowany przez Fundację Widzialni, który był dofinansowany ze środków Ministerstwa Cyfryzacji. Platforma pad.widzialni.org oferuje m.in. zestaw 180 bezpłatnych, gotowych wzorów stron www oraz Biuletynów Informacji Publicznej (BIP) wraz z systemem zarządzania treścią CMS - podano.

Rekomendacja Ministerstwa Cyfryzacji

Jak wskazało MC, decyzja o rekomendacji wynika z wykrycia poważnych podatności (luk bezpieczeństwa - red.) oraz braku wsparcia ze strony producenta PAD CMS.

Brak wsparcia dla oprogramowania oznacza, że krytyczne podatności nie otrzymają stosownych poprawek bezpieczeństwa, co "stwarza realne ryzyko incydentu krytycznego" i stanowi zagrożenie dla bezpieczeństwa państwa.

Decyzja zapadła po konsultacjach z zespołami CSIRT NASK, CSIRT GOV oraz CSIRT MON.

CSIRT - ang. Computer Security Incident Response Team - to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego i odnosi się do wyspecjalizowanej jednostki lub zespołu osób odpowiedzialnych za zarządzanie incydentami związanymi z cyberbezpieczeństwem. Istnieją różne rodzaje CSIRT-ów, np. krajowe, jak CSIRT GOV, CSIRT NASK, sektorowe - np. CSIRT CeZ dla ochrony zdrowia, lub wewnętrzne - w ramach przedsiębiorstwa.

"Eksperci wskazali, że dalsze stosowanie oprogramowania obarczonego tymi podatnościami może negatywnie wpływać na bezpieczeństwo publiczne oraz istotny interes państwa" - podało MC.

OGLĄDAJ: TVN24 HD