Sygnalista branży IT...

...i nie tylko.

Niekomercyjny blog osobisty należący do dobrze poinformowanej osoby fizycznej.
Autor nie wyraża zgody na deanonimizację.


Kontakt

Wyciszony skandal związany z "wdrożeniem" przez spółkę IT Systems and Solutions oprogramowania do szyfrowania plików w PKP Energetyka

Thursday, July 3, 2014 | Link

W trosce o bezpieczeństwo polskiej infrastruktury energetycznej i kolejowej oraz łańcucha dostaw polskiej gospodarki (ciągłości przewozu towarów drogą kolejową), czuję się moralnie zobowiązany do poinformowania opinii publicznej o tym, jak spółka IT Systems and Solutions "wdrożyła" w spółce PKP Energetyka oprogramowanie do szyfrowania plików firmy McAfee.

Jest to informacja sprzed 3 lat, której jednak nie mogłem opublikować wcześniej z uwagi na przepisy dotyczące tajemnicy przedsiębiorstwa. Dopiero teraz upłynął trzyletni ustawowy okres obowiązywania tajemnicy — ITSS nie zabezpieczył się umową NDA ani zapisami w umowach o pracę przed ujawnieniem informacji po upływie terminu ustawowego.

Otóż w styczniu 2011 roku spółka ITSS wgrała na środowisko produkcyjne spółki PKP Energetyka wczesną wersję testową oprogramowania McAfee Endpoint Encryption for Files and Folders 4.0.

Była to wersja beta lub nawet alfa, na pewno nie była to dopracowana, finalna wersja oprogramowania. Producent wprowadził bowiem na rynek finalną wersję tego oprogramowania dopiero kilka miesięcy później.

Paczka z oprogramowaniem nie była nawet prawidłowo podpisana przez producenta oprogramowania, więc w istocie nie można mieć pewności, co zostało zainstalowane.

Istniały co prawda stabilne (starsze) wersje Endpoint Encryption for Files and Folders, jednak nie współpracowały one z serwerem McAfee ePolicy Orchestrator.

Efekt "wdrożenia" był taki, że duża część komputerów wpadła w pętlę niebieskich ekranów i restartów systemu operacyjnego, co zupełnie uniemożliwiało na nich pracę.

Na domiar złego, standardowa dezinstalacja tego oprogramowania przez ePO często nie była możliwa — oprogramowanie trzeba było usuwać ręcznie, w trybie awaryjnym systemu Windows.

Ostatecznie jednak, mimo licznych trudności, oprogramowanie udało się odinstalować i sprawa "rozeszła się po kościach".

Ustalono, że u źródła postępowania spółki ITSS i całego incydentu mogła leżeć chęć uniknięcia kar umownych — zgodnie z późniejszą informacją udzieloną przez wysoko postawionego pracownika zatrudnionego w Centrali PKP Energetyki S.A., spółce ITSS groziły bowiem wysokie kary umowne za opóźnienie wdrożenia oprogramowania.

Najwyraźniej całe zamieszanie wynikało z tego, że spółka ITSS przeliczyła się i z chęci wygrania przetargu zobowiązała się wdrożyć wersję czwartą, która w tamtym czasie dopiero powstawała i jeszcze nie istniała w swojej finalnej postaci.

Następnie, gdy nadszedł termin wdrożenia, a finalnej wersji oprogramowania wciąż nie było, spółka ITSS zainstalowała na środowisku produkcyjnym PKP Energetyki wersję testową, przypuszczalnie licząc na to, że spółka PKP Energetyka nie zorientuje się w sytuacji.

Oszustwo jest przestępstwem zagrożonym karą do 8 lat pozbawienia wolności.


Wszystkie wpisy