IT w Agencji Bezpieczeństwa Wewnętrznego

payload.pl 1 rok temu

W tym artykule porównujemy IT w Agencji Bezpieczeństwa Wewnętrznego i Służbie Kontrwywiadu Wojskowego. Skąd wynikają różnice i dlaczego są aż tak zasadnicze?

Tak naprawdę artykuł ten jest kontynuacją aż dwóch różnych artykułów:

Ale na początek aż 3 disclaimery:

  1. Wszystko co publikujemy niżej, to kompilacja informacji jawnych, opublikowanych w większości przez samo ABW. Nie ujawniamy niczego tajnego.
  2. Gdyby jednak komuś przyszło do głowy zdejmować podlinkowane niżej strony lub załączniki - gdy tylko to wykryjemy, opublikujemy ich kopie, więc darujcie sobie. Ktokolwiek z "wrogich służb" chciał, już dawno je pobrał i szczegółowo przeanalizował.
  3. Nie będziemy roztrząsać komentowanego w mediach w momencie pisania tego tekstu jednorazowego zakupu niszczarek. Zakładamy, iż to sprawa polityczna i jednorazowa, na konkretne zamówienie, a takie ani nas, ani naszych czytelników raczej nie interesują.

Podobieństw jest niewiele: obie opisywane instytucje są służbami specjalnymi, a więc działającymi w jakiejś części niejawnie, mającymi siedziby w wielu polskich miastach. Jednocześnie obie te służby są zobligowane do robienia zakupów (a przynajmniej tych jawnych) w trybie zamówień publicznych, a więc muszą publikować wiele ciekawych informacji całkowicie jawnie, aby były one dostępne dla potencjalnych dostawców.

I wreszcie obie służby zastąpiły wewnętrzne BIP-y zewnętrznymi platformami do obsługi przetargów - w przypadku ABW jest to platforma Logintrade. Na tym podobieństwa się kończą.

Najbardziej charakterystyczna różnica pomiędzy ABW i SKW

ABW, pomimo budżetu na rok 2023 raptem niecałe 2x większego od SKW, (710 wobec 482 mln zł) sprawia wrażenie służby wielokrotnie większej i mającej własne zaplecze techniczne. O ile SKW w kwestiach IT polega w dużym stopniu (może choćby głównie?) na dostawcach zewnętrznych, o tyle ABW zdaje się mieć własne kadry zajmujące się:

  • kładzeniem i utrzymaniem sieci LAN (w tym instalacji światłowodowych)
  • składaniem i konserwacją fizyczną komputerów i serwerów
  • zarządzaniem magazynem części (które kupują zbiorczo w ilościach hurtowych, a nie osobno pod każdy projekt)

Z tego zaś wynikają różnice szczegółowe, o których piszemy niżej.

ABW jest dzisiaj dużo bardziej dyskretne od SKW, jeżeli chodzi o pisanie o swoich siedzibach - prawdopodobnie jest to konsekwencja przetargu na dostawę energii elektrycznej o numerze 18/ZP/2020, w ramach którego ujawniona została lista kilkudziesięciu obiektów ABW (tutaj artykuły na ten temat).

Niezależnie od faktycznego powodu, w dokumentach pojawiają się tylko 3 siedziby:

  • Warszawa, Rakowiecka 2A - czyli centrala
  • Warszawa, Samochodowa 5 - Biuro Logistyki - Wydział Zamówień Publicznych
  • Emów, gmina Wiązowna (Centralny Ośrodek Szkolenia) - wymieniany jako jedna z siedzib, do których należy dostarczać zamawianą w ramach przetargu 19/ZP/2022 prasę papierową

Oprócz tego, jeżeli przyjrzymy się dokładniej zwycięzcom poszczególnych przetargów, ich lokalizacja zdradza kolejne miasta - np. Łódź. Natomiast nie wnosi to żadnej nowej wiedzy w stosunku do listy z załącznika do przetargu 18/ZP/2020.

A co oni czytają?

Podobnie jak SKW, również ABW zamawia całą masę różnej prasy: ogólnej, specjalistycznej i politycznej, polskiej i zagranicznej, w formie papierowej i elektronicznej. Listę można znaleźć w przetargach z 2022 i 2023. Są to odpowiednio:

  • prenumerata na rok 2023 - 143 pozycje krajowe i 42 pozycje zagraniczne
  • prenumerata na rok 2024 - 126 pozycji krajowych (w tym 95 papierowych) i 45 pozycji zagranicznych (w tym 26 papierowych)

Jak już zostało wspomniane wyżej, ABW zamawia różne części eksploatacyjne hurtem, zatem cała poniższa wiedza pochodzi raptem z 6 (słownie: sześciu) zamówień.

Drukarki

Z przetargu 3/ZP/2021 można się dowiedzieć, jakich drukarek używa ABW. Są to:

  • HP - 43 różne modele drukarek, od typowych drukarek osobistych po kombajny typu HP LaserJet Enterprise 500 color, oraz dodatkowo 1 ploter HP DesignJet T630
  • Brother - 12 modeli (a zakładając równomierną intensywność drukowania, co inne marki, nie więcej niż 30 drukarek)
  • Konica Minolta - 10 modeli, od średnich po duże typu Bizhub PRO C754e, przypuszczalnie nie więcej niż 2 sztuki każdego z modeli
  • Canon - 3 modele drukarek i 5 modeli faksów, w tym największa drukarka w całym ABW: Canon imagePRESS C750 (możliwe iż mają jej 2 sztuki)
  • pojedyncze egzemplarze innych firm, głównie Epson i OKI
  • kilka sztuk drukarek specjalistycznych (np. co najmniej 2 modele drukarek do etykiet Zebra i 1 drukarka do kart plastikowych HID Fargo HDP5000) - a na kilka kolejnych sztuk wskazują zamówienia części w przetargach niżej
  • 4 modele faksów laserowych Panasonic, prawdopodobnie łącznie od 6 do 9 urządzeń

Nasze ogólne wrażenie na podstawie ilości zamawianych materiałów eksploatacyjnych jest takie, że:

  • od 20 do 40 pracowników wyższego szczebla ma do dyspozycji drukarki osobiste (HP i Epson), podłączane bezpośednio do komputerów przez USB i możliwe iż nieobjęte centralnym systemem kontroli wydruków
  • kolejne od 30 do 40 drukarek to drukarki sieciowe średniej wielkości, przypuszczalnie już objęte centralnym systemem kontroli wydruków, ale prawdopodobnie zlokalizowane lokalnie w biurach dzielonych przez kilku pracowników średniego szczebla, dla ich wygody
  • reszta to większe drukarki sieciowe, przypuszczalnie również objęte centralnym systemem kontroli wydruków, współdzielone przez zwykłych pracowników i funkcjonariuszy

Aczkolwiek to tylko przypuszczenia wynikające z ogólnej wiedzy, jak mniej więcej zarządza się stanami materiałów eksploatacyjnych w normalnych firmach cywilnych. Nie wiadomo też nic o jakimkolwiek centralnym systemie kontroli wydruków, więc to również nasze przypuszczenia na podstawie tego, jak się takie systemy wdraża w polskich oddziałach kilku różnych korporacji.

Inne przetargi

Pozostałe przetargi to:

Przy czym większość z tych pozycji zawiera ilość większą od 1 - najczęściej 5 lub 10 sztuk, ale często więcej, np. 60 dysków twardych SSD min. 120 GB 2,5″ SATA III, r/w 550/510 MB/s, wewnętrznych z ramką do mocowania na 3,5.

Aby było trudniej, ilość nie zawsze określa liczbę osobnych egzemplarzy lub opakowań przedmiotu, ale ilość łączną w wielu opakowaniach - np. ostatni z przetargów zawiera po 1500 sztuk wtyczek RJ-45, RJ-11 i RJ-9 do samodzielnego zaciskania na kablu. Natomiast nie wymieniono wprost wielkości opakowań z tymi wtyczkami (z reguły są pakowane po 100 sztuk). Jednocześnie ten sam przetarg w innych pozycjach ma ilość opakowań, np. z rzepami do grupowania kabli.

Sieci

Zamawiają wręcz gigantyczne ilości kabli (w tym światłowodów) i różnych akcesoriów sieciowych. Wg nas te ilości wskazują, że:

  • całkowicie samodzielnie kładą kable sieciowe w poszczególnych siedzibach
  • chętnie korzystają z instalacji światłowodowych - od poziomu instalacji (między-)budynkowych aż po pojedyncze komputery stacjonarne
  • kładą również własne światłowody WDM między budynkami

Komputery

Nie kupują komputerów w całości, ale osobne części, z których prawdopodobnie je samodzielnie składają i serwisują:

  • całe setki dysków twardych - o bardzo różnych parametrach i pojemności
  • płyty główne - głównie format mini/micro ATX, ze zintegrowanym układem graficznym
  • procesory - wydajność określają w punktach PassMark - większość jako niecałe 3000 punktów (czyli słabe procesory biurowe), ale też część powyżej 20000 punktów
  • pamięci RAM - głównie standard DDR4 (co wskazuje, iż nie próbują reanimować komputerów starszych niż z okolic roku 2015)
  • zasilacze - w 2 wersjach, 400W i 600W
  • obudowy - głównie format midi-tower
  • karty graficzne - w większości bardzo słabe modele, prawdopodobnie jako części zamienne dla starszych komputerów (stosunkowo niewielka ilość sugeruje, iż nie jest to powszechna praktyka, a raczej utrzymanie kilku-kilkunastu konkretnych stacji roboczych, prawdopodobnie dedykowanych do jakichś konkretnych celów, a nie do normalnego użytku biurowego)

Naszą uwagę zwróciły dwie sprawy:

  • nigdzie od co najmniej 2021 nie znaleźliśmy zakupów laptopów - natomiast w każdym przetargu powtarza się 20-30 sztuk uniwersalnych zasilaczy do laptopów i po 5 toreb na laptopy o rozmiarach 14" i 15.6", a w 2022 doszło też kilka zasilaczy USB-C - rozmiary toreb sugerują jednak, iż raczej są to "zwykłe" laptopy z Windows, a nie sprzęt Apple
  • specyfikacja konsekwentnie wymienia "wsparcie systemów operacyjnych Windows 7/10/11" - czyżby ABW przez cały czas używało Windows 7?

Podsumowując, komfort pracy na takim sprzęcie jest raczej niski, co najwyżej średni. Z pewnością o wiele niższy, niż na sprzęcie SKW.

Serwery i macierze

Wprawdzie nigdzie nie ma wprost wymienionego ani jednego serwera, ale w zamówieniach jest kilka pozycji, w których mowa jest o konkretnym sprzęcie, do jakiego ma pasować np. dysk twardy:

  • Dysk twardy do serwera Dell PowerEdge R430 - 4 sztuki
  • Dysk twardy do macierzy dyskowej Equalogic PS6000 - 2 sztuki
  • Dysk do macierzy HPE MSA 2050 SAN - 8 sztuk
  • Dysk do serwerów HPE ProLiant DL380 Gen9 - 5 sztuk
  • Dysk do serwerów HP ProLiant DL380p Gen8 - 5+5 sztuk
  • Dysk twardy do macierzy dyskowej Dell Compellent SC040 - 12 sztuk (6 modeli po 2)
  • Dysk twardy 3,5″, SATA III 6Gb/s, 6 TB, kompatybilny z urządzeniem Qnap TS-219P - 5 sztuk (a samo urządzenie jest 2-dyskowe)

Na innych pozycjach można też znaleźć pojedyncze dyski twarde klasy serwerowej bez konkretnych wymagań odnośnie kompatybilności - np. 2.5" 15K SAS 300GB. Prawdopodobnie są to dyski to jakichś starszych serwerów-składaków (zmontowanych i utrzymywanych samodzielnie, podobnie jak komputery).

Co jeszcze zwróciło naszą uwagę:

  • zdecydowanie najczęściej wybierają dyski twarde Seagate
  • mają kilka do kilkunastu napędów taśmowych LTO6, LTO7, LTO8 i LTO9
  • do lokalnego zarządzania serwerami stosują przełączniki KVMP CS-1764A lub podobne - co za tym idzie, prawdopodobnie mają bardzo niewielkie grupy serwerów, w ramach których wystarczają im raptem 3-4 maszyny zapięte jednocześnie na stałe

Wirtualizacja

Znaleźliśmy tylko taką pozycję (pisownia oryginalna):

  • Karta sieciowa 4x 1 Gb Ethernet, kompatybilna z serwerem HP DL 380 G9, wspierająca Vnware ESX i Microsoft Windows Hyper-V

Nie udało się nam znaleźć niczego, co wprost mówi o stosowanej wirtualizacji - z doświadczenia zakładamy jednak, iż gdyby używali platformy Windows i Hyper-V, to w zamówieniach byłyby jakieś licencje również na Windows Server, a takich nie ma. Wskazuje to, że:

  • albo zamawiają licencje Microsoft w całkiem osobny sposób (co jest bardzo prawdopodobne, zwłaszcza iż w przetargach nie ma też żadnych licencji na "zwykły" Windows i Office dla komputerów stacjonarnych, a konsekwentnie jest mowa o kompatybilności z Windows 7/10/11)
  • albo używają VMware (podobnie jak SKW)

Nośniki, czytniki, nagrywarki

Zamawiają całkiem sporo pen drive’ów - różnej klasy i o różnych pojemnościach. A także różnych kart pamięci, czytników do kart, czystych płyt CD-R i DVD-R oraz nagrywarek do nich itp. akcesoriów.

Naszym zdaniem ilości te wskazują, iż mogą używać tych urządzeń w roli nośników na materiał dowodowy. To oznacza, iż najprawdopodobniej nie są one przypisane do konkretnych funkcjonariuszy (i tym samym np. jakoś przez nich customizowane), ale są pobierane ad hoc do konkretnej sprawy - co potencjalnie nieco ułatwia podrzucenie spreparowanego nośnika.

Telefony

Nie znaleźliśmy wprawdzie żadnych zamówień telefonów, za to znaleźliśmy całkiem sporo zamówień na etui (zwykłe i pancerne) - wszystkie do telefonów Samsung:

  • Samsung S8, S9, S10, S20, S20+, S20 FE, S21, S22 - etui nieco wyższej jakości
  • Samsung J4+, J6+, A10, A13, A20E - etui nieco wyższej jakości, za to większa ilość - czyli przypuszczalnie takie modele telefonów służbowych przysługują zwykłym funkcjonariuszom

Przede wszystkim chałupnictwo i brak standaryzacji:

  • komputery typu składak, do tego ze słabiutkimi procesorami PassMark na poziomie 2900 punktów
  • w ogóle prawie same komputery stacjonarne - dla porównania NIK już w 2007 roku poszedł mocno w laptopy
  • serwery i macierze różnych marek, wszystko jakby kupowane osobno po 1-2 sztukach, do tego pospinane 4-portowymi przełącznikami KVM - ogólnie bez szerszego pomysłu na infrastrukturę serwerową jako całość
  • całość bardzo przypomina instalacje w średniej wielkości firmach IT i pokrewnych (np. operatorach sieci kablowych), które mają przerost kompetencji związanych z utrzymaniem sprzętu IT i sieci LAN, bo realizują takie usługi masowo jako wsparcie swojej głównej działalności - więc nie muszą się przejmować np. brakiem zewnętrznego wsparcia technicznego na serwery

Ten ostatni punkt jest zarazem wskazówką, w jaki sposób ABW rekrutuje (lub w przeszłości rekrutowało) swój personel IT. A także w jakiego typu firmach można spotkać byłych pracowników ABW. My byśmy zaczęli szukanie kandydatów do infiltracji od Play (czyli P4 i dawnego UPC).

Taki nierównomierny wzrost kompetencji w obszarze, który nie jest podstawowym celem działania danej instytucji, a jedynie wsparciem, często prowadzi do podejścia "jesteśmy zajebiści" i stopniowego spadku ostrożności - a to, w połączeniu z realizacją różnych zadań metodami chałupniczymi z kolei prowadzi wprost do incydentów takich jak ten z lutego 2014 z wyciekiem danych pracownika ABW z postawionego "na boku" serwera FTP (chociaż głębiej tej sprawy nie znamy - równie dobrze to akurat mogła być przypadkowa zbieżność).

Co ciekawe, nie dzieje się tak od "wczoraj" - ten załącznik do przetargu 11/II/2010 pokazuje, iż ponad 13 lat temu działali dokładnie tak samo. I to we adekwatnie każdym z opisanych obszarów.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. jeżeli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeżeli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.

Idź do oryginalnego materiału