PAD CMS, projekt Polskiej Akademii Dostępności, trafił na czarną listę resortu cyfryzacji. Oprogramowanie wciąż powszechne w instytucjach publicznych i organizacjach pozarządowych jest dziurawe, a jego dalsze stosowanie „może negatywnie wpływać na bezpieczeństwo publiczne”.
Wicepremier i minister cyfryzacji Krzysztof Gawkowski wydał pilną rekomendację dla instytucji publicznych i organizacji korzystających z systemu PAD CMS. To system zarządzania treścią, który powstał w ramach projektu Polska Akademia Dostępności i przez lata był stosowany m.in. w serwisach administracji publicznej oraz Biuletynach Informacji Publicznej (BIP).
Minister Cyfryzacji zaleca jak najszybsze wycofanie PAD CMS
Powód? Poważne luki bezpieczeństwa i brak wsparcia technicznego. Resort cyfryzacji ostrzega, iż dalsze korzystanie z PAD CMS może prowadzić do „incydentu krytycznego”, a więc sytuacji zagrażającej bezpieczeństwu państwa i obywateli.
Zalecam bezzwłoczne zaprzestanie wykorzystywania tego oprogramowania. Brak aktualizacji oznacza, iż wykryte podatności nie będą naprawione
– poinformował minister Gawkowski w komunikacie.Czym jest PAD CMS?
PAD CMS (PAD – Polska Akademia Dostępności, CMS – content management system, system do zarządzania treściami) został stworzony ponad dekadę temu jako element projektu Fundacji Widzialni, współfinansowanego przez Ministerstwo Cyfryzacji. Jego celem było zapewnienie instytucjom publicznym i organizacjom pozarządowym łatwego dostępu do bezpłatnych, zgodnych ze standardami WCAG 2.1 stron internetowych, dostosowanych do potrzeb osób starszych i z niepełnosprawnościami.
Platforma oferowała m.in. 180 gotowych wzorców serwisów www oraz 90 szablonów stron opartych o WordPress, a także e-learningowe kursy z zakresu cyfrowej dostępności. PAD CMS był także możliwy w obsłudze przez osoby niepełnosprawne – w tym niedosłyszące i niedowidzące. Z tego powodu PAD CMS był używany przez m.in. Polski Związek Niewidomych.
PAD CMS był jednym z głównych narzędzi, które miały pomóc urzędom spełniać wymogi dostępności cyfrowej wprowadzane w Polsce od 2012 roku. Możliwość bezpłatnego korzystania z systemu na licencji Creative Commons (CC BY-SA 4.0) oraz duży zasób materiałów wsparcia sprawiły, iż PAD CMS stoi u podstaw wielu stron Biuletynu Informacji Publicznej – urzędów miast, inspektoratów budowlanych czy szkół średnich.
Dlaczego teraz zakaz?
Jak wynika z informacji opublikowanych przez CERT Polska, w oprogramowaniu odkryto aż dziewięć poważnych podatności. Najgroźniejsze z nich pozwalają zdalnym atakującym na przesyłanie własnych plików i wykonywanie dowolnego kodu na serwerze, zmianę haseł użytkowników czy ataki typu SQL Injection.
Problem potęguje fakt, iż PAD CMS nie jest już rozwijany i nie otrzymuje aktualizacji bezpieczeństwa. Oznacza to, iż żadne z wykrytych zagrożeń nie zostanie załatane.
Eksperci wskazali, iż dalsze stosowanie tego systemu może negatywnie wpływać na bezpieczeństwo publiczne oraz istotny interes państwa
– podkreślono w rekomendacji resortu.Co dalej z urzędowymi stronami?
Rekomendacja Ministerstwa Cyfryzacji została skierowana do szerokiego grona instytucji: od operatorów usług kluczowych i dostawców usług cyfrowych, przez instytuty badawcze, aż po organy administracji publicznej. W praktyce oznacza to, iż wiele urzędów będzie musiało możliwie jak najszybciej przejść na inne rozwiązania – np. bezpieczniejsze wersje WordPressa czy alternatywne systemy CMS z aktywnym wsparciem producentów.
Decyzja poprzedzona była konsultacjami z krajowymi zespołami reagowania na incydenty bezpieczeństwa komputerowego (CSIRT NASK, CSIRT GOV i CSIRT MON). To właśnie one potwierdziły ryzyko krytycznych incydentów w przypadku dalszego używania PAD CMS.
Ministerstwo Cyfryzacji podkreśla, iż decyzja o wycofaniu PAD CMS jest krokiem prewencyjnym, mającym zapobiec potencjalnym kryzysom. Teraz instytucje muszą znaleźć i wdrożyć alternatywy – najlepiej takie, które zapewniają regularne poprawki bezpieczeństwa i zgodność ze standardami dostępności cyfrowej.
Dzieje się w Rzeczpospolitej Technologicznej:
- Światłowód obowiązkowy w każdym domu. Rząd szykuje zmiany w prawie
- Raport o 5G na świecie. Wreszcie Polska nie ma czego się wstydzić
- System kaucyjny – wszystko, co musisz wiedzieć
Zdjęcie główne: FotoBed / Shutterstock
