Europos Komisija nurodė daliai aukščiausio rango pareigūnų uždaryti „Signal“ programėlėje naudotą grupinį pokalbį, nes kilo baimių, kad jis gali tapti įsilaužėlių taikiniu.

Pasak trijų su situacija susipažinusių Komisijos pareigūnų, šioje grupėje bendravo departamentų vadovai ir jų pavaduotojai. Sprendimas priimtas tuo metu, kai ES susiduria su virtine šnipinėjimo ir kibernetinių incidentų įtarimų, o Europos Komisija neseniai paskelbė tirianti kibernetinę ataką prieš savo interneto svetaines.

Vokietijos analitinio centro „Interface“ kibernetinio saugumo ir kylančių grėsmių tyrėjas Svenas Herpigas teigė, kad „kibernetinės operacijos“ „didėja tiek kokybe, tiek kiekiu“ ir jas vykdo tiek duomenų siekiantys nusikaltėliai, tiek užsienio valstybių institucijos. Jis pridūrė, kad politikai ir politinės partijos visada buvo šnipų bei įvairių sekėjų taikinys.

Du pareigūnai nurodė, kad Komisija apie šį grupinį pokalbį sužinojo praėjusį mėnesį ir paprašė jo dalyvių jį ištrinti, baiminantis galimų įsilaužimų. Vienas pareigūnas pabrėžė, kad nėra jokių įrodymų, jog kas nors iš grupės narių būtų buvęs perimtas, o sprendimas priimtas dėl augančių institucijos susirūpinimų, susijusių su žinučių programėlių saugumu.

Praėjusį mėnesį buvo perimtas ir internete paviešintas privatus žurnalisto iš „POLITICO“ pokalbis telefonu su vienu ES pareigūnu.

Dar du Komisijos pareigūnai bei vienas iš minėtų šaltinių, sutikę kalbėti anonimiškai dėl klausimo jautrumo, patvirtino, kad komisaro kabinetų nariai ir kiti aukšto rango tarnautojai gavo žinučių su raginimu suvesti „Signal“ PIN kodus. Tokie pranešimai buvo įvardyti kaip sukčiavimo (phishing) bandymai.

S. Herpigas pažymėjo, kad „Signal“ laikoma gana saugia, tačiau rizika išlieka: „„Signal“ yra gana saugi, bet jei užpuolikas perima jūsų telefoną, jis gali gauti prieigą prie jūsų pokalbių, įskaitant nuotraukas ir viską, kas yra telefone.“ Jo teigimu, politikams ar parlamentarams geresnių alternatyvų dažnai tiesiog nėra.

Pasak dviejų pareigūnų, taikiniais yra tapę ir „WhatsApp“ naudotojai, tačiau pastaruoju metu įsilaužimo bandymai dažniau fiksuojami būtent „Signal“ aplinkoje.

Oficialiose Europos Komisijos gairėse darbuotojams rekomenduojama vengti „WhatsApp“ ir vietoje jos naudoti „Signal“, kurią kibernetinio saugumo ekspertai paprastai vertina kaip saugesnę.

Komisijos atstovas spaudai komentavo: „Mes nekomentuojame vidinių saugumo praktikų. Kibernetinio saugumo riziką vertiname labai rimtai ir turime aiškias vidines gaires darbuotojams.“

Du Komisijos pareigūnai teigė, kad institucija į pastarųjų savaičių atakas reaguoja rimtai: atliekami išsamūs kibernetinio saugumo vertinimai, reguliariai keičiami pareigūnų telefonai ir kiti įrenginiai.

Europos Komisija tiria kibernetinę ataką prieš savo interneto svetaines. Institucija penktadienį pranešė, kad pirminiai vertinimai rodo, jog dalis duomenų galėjo būti pavogta. Sausį Komisija taip pat skelbė aptikusi įrodymų apie kibernetinę ataką prieš techninę infrastruktūrą, naudojamą mobiliesiems įrenginiams valdyti. Tokia ataka „galėjo lemti“ įsilaužėlių prieigą prie darbuotojų vardų ir mobiliųjų telefonų numerių.

„Signal“ pažeidžiamumo ir įsilaužimų tema aktuali ne vien Komisijai. Nyderlandų žvalgybos tarnybos praėjusį mėnesį perspėjo apie „didelio masto pasaulinę kibernetinę kampaniją“, per kurią su Kremliumi siejami įsilaužėliai apsimetė netikru „Signal“ pagalbos pokalbių robotu ir taip bandė išvilioti pareigūnų programėlės PIN kodus. Panašius įspėjimus paskelbė ir Prancūzijos, Vokietijos, Portugalijos bei Jungtinės Karalystės saugumo tarnybos.

S. Herpigo teigimu, šiuo metu geriausios prieinamos alternatyvos yra „Signal“ ir „Threema“, o po jų, iš dalies, galima vertinti ir „WhatsApp“. „Threema“ yra Šveicarijoje sukurta šifruoto susirašinėjimo programėlė.

Tuo metu „Element“ vadovas Matthew Hodgsonas atkreipė dėmesį, kad „Signal“ ir „WhatsApp“ trūksta funkcijų, reikalingų valstybinėms institucijoms. Jo teigimu, sudėtinga užtikrinti prieigų kontrolę: iš „WhatsApp“ grupės negalima patikimai pašalinti žmogaus, jei jis atleidžiamas iš valstybės tarnybos, nėra vieningo prisijungimo (single sign-on), autentifikacijos ir prieigos kontrolės, o visa sistema turi vieną kritinį gedimo tašką.

Komercinių žinučių programėlių naudojimas valdžios institucijose išryškėjo ir per JAV atvejį, kai žurnalo „The Atlantic“ vyriausiasis redaktorius per klaidą buvo įtrauktas į „Signal“ grupę, kurioje, kaip skelbta, kai kurie aukščiausi JAV administracijos pareigūnai aptarinėjo detalius karinius planus. Šis incidentas parodė, kaip giliai tokios programėlės yra įsitvirtinusios valstybiniame valdyme.

Prie rengimo prisidėjo Koen Verhelst.