Atak na ministra Dworczyka to operacja wschodnich służb? To nie musi być prawda

Wątpliwości, dotyczące faktycznego przebiegu hakerskiego ataku na prywatną skrzynkę mailową szefa Kancelarii Premiera Michała Dworczyka narastają z każdym dniem. Najpopularniejsza teoria głosząca, że za atakiem stoją rosyjskie lub białoruskie służby, oparta jest o poszlaki, a jej popularność utrudnia racjonalną analizę faktów.

Sprawa jest poważna – nie chodzi bowiem ani o prywatne rozmowy ministra, ani o szybkie znalezienie winnych. Z perspektywy bezpieczeństwa państwa najważniejsze jest zrobienie wszystkiego, by tego rodzaju sytuacje więcej się nie powtórzyły.

Co naprawdę wiemy dziś na temat włamania na maila ministra Dworczyka? Niewiele. Samo włamanie potwierdził właściciel skrzynki. Jednocześnie w oświadczeniu z 11 czerwca dodał, że część materiałów, które są publikowane na platformie Telegram jako pochodzące z jego skrzynki, została sfabrykowana – oraz ubolewał, że „ujawnione mogą zostać informacje zawarte w prowadzonej przez niego korespondencji”. Można z tego wywnioskować, że nie wszystkie ujawniane dokumenty są prawdziwe, ale niektóre – owszem.

Zaczęło się 4 czerwca

Fakty są takie:

4 czerwca nieznana osoba założyła na platformie Telegram kanał, na którym zaczęła publikować dokumenty. W pierwszym wpisie poinformowała, że jest to „wyciek informacji od Szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka”.

Pierwszym wrzuconym plikiem było zestawienie pracowników polskich służb, którzy zgłosili się do szczepienia. W pliku tym podano dane osób kontaktowych w konkretnej służbie, zajmujących się koordynacją szczepień oraz liczbę pracowników mundurowych każdej formacji. Nie było wówczas żadnych dowodów na to, że jest to materiał rzeczywiście pochodzący z maila Dworczyka.

5 czerwca pojawiły się kolejne materiały, tym razem dotyczące prac nad ustawą o rezerwach strategicznych oraz dokumenty dotyczące państwowej polityki migracyjnej. Nadal bez dowodów, że pochodziły ze skrzynki ministra.

8 czerwca opublikowano dokumenty dotyczące rozmieszczenia żołnierzy w ramach „Projektu etatu kompanii zmechanizowanej (szwadronu zmechanizowanego)”. Kanał na Telegramie miał wówczas niewiele ponad stu obserwujących, wpisy nie wywoływały żadnej dyskusji, nie były udostępniane dalej.

W tym samym dniu, 8 czerwca, haker dostał się na konto żony ministra Dworczyka na Facebooku i zamieścił tam wpis, w którym podszył się pod właścicielkę konta. Agnieszka Dworczyk miała informować, że skrzynka mailowa jej męża została zhakowana, a on utracił też dostęp do swego konta na FB.

Dalej zamieszczono oświadczenie Dworczyka (jak się potem okazało fałszywe). Informowano w nim, że wykradzione dokumenty zawierają „informacje niejawne i mogą być wykorzystane do wyrządzenia szkody bezpieczeństwu narodowemu RP, a także mogą być wykorzystane jako dowód rzekomej polskiej ingerencji w sprawy wewnętrzne Białorusi”.

Podano również link do kanału na Telegramie, publikującego dokumenty oraz opublikowano screen jednego z nich. To właśnie te ostatnie elementy wskazywały, że wpis spreparowano i że jest on prawdopodobnie autorstwa hakera, a nie żony ministra.

Wtedy sprawą zainteresowały się duże media, w efekcie na kanale założonym przez hakera zaczęło masowo przybywać obserwujących – dziś ma on 1700 subskrybentów.

Dworczyk wskazuje na Wschód

Michał Dworczyk kilka godzin później w oświadczeniu potwierdził sfabrykowanie wpisu na koncie jego żony na FB, zdementował wpis, że na zhakowanej skrzynce znajdowały się informacje o charakterze niejawnym.

Poinformował też, że zawiadomił o sprawie służby i wskazał, że „traktuje ten atak jako jeden z elementów szeroko zakrojonych działań dezinformacyjnych”, ze względu na jego zaangażowanie w przemiany demokratyczne na terenie dawnego ZSRR, fakt, że miał przez 11 lat zakaz wjazdu na Białoruś i do Rosji oraz dlatego, że informacje opublikowano „w rosyjskim serwisie społecznościowym Telegram”.

Choć nie napisał tego bezpośrednio, wynikająca z wypowiedzi sugestia, że za atakiem stoją służby ze Wschodu (rosyjskie lub białoruskie), wydaje się oczywista.

Od tej pory powszechnie obowiązująca w dyskursie publicznym stała się właśnie ta teza: że skrzynkę mailową ministra zhakowały rosyjskie służby.

Atak dotyczył prywatnej skrzynki ministra, na serwerze poczty Wirtualna Polska.

9 czerwca na Twitterze Michał Siegieda, dyrektor komunikacji Wirtualnej Polski, poinformował: „Dokładnie przeanalizowaliśmy tę sytuację. Nie doszło do żadnego włamania na konto w WP. Najwyraźniej osoba nieuprawniona znała hasła dostępu”.

Jeśli sprawdzimy prywatny adres mailowy ministra (który w końcu został ujawniony na telegramowym kanale) na stronie analizującej dane znajdujące się w wykradzionych bazach danych (np. ze sklepów internetowych, platform społecznościowych etc.), okaże się, że w latach 2016-2020 adres ministra znalazł się w pięciu wykradzionych bazach danych.

Wycieki, w których oprócz adresów mailowych były też hasła dostępu, miały miejsce na pewno w 2016 roku (być może też później). Nie wiemy jak często i czy w ogóle minister zmieniał hasło do swojej prywatnej skrzynki. Jeśli nie zmieniał, hasło można było wziąć wprost z krążących po sieci baz danych. Ale nawet jeśli zmieniał, dla hakerów to nie problem – są programy łamiące hasła, można też przygotować atak phishingowy, umożliwiający uzyskanie loginu i hasła od ich właściciela.

Nie wiemy, w jaki sposób haker zdobył hasło do maila ministra, ale widać, że nie były do tego niezbędne działania profesjonalnych służb wywiadowczych. Prawdopodobnie wystarczyły podstawowe umiejętności hakerskie.

Bo publikują dokumenty na „rosyjskim” Telegramie…

W dyskursie publicznym do udowadniania tezy, że za opisywanym włamaniem stały służby wywiadowcze ze Wschodu, używa się trzech argumentów. Przyjrzyjmy się im po kolei.

Pierwszy argument, widoczny już w oświadczeniu Michała Dworczyka: materiały ze skrzynki są publikowane na „rosyjskim” Telegramie.

To podkreślanie rosyjskości komunikatora ma oczywiście sugerować, że nie jest to komunikator wiarygodny, może być inwigilowany i wykorzystywany przez rosyjskie służby. Ba, pewnie nawet jest przez nie wykorzystywany, tak jak inne komunikatory i platformy społecznościowe, zapewne wykorzystują go również służby innych państw.

Telegram został założony przez rosyjskiego przedsiębiorcę Pawła Durowa, który w 2006 roku stworzył także inną platformę – VKontakte (VK), bardzo popularną w krajach wschodnich. Potem kilka razy nie zgodził się na spełnienie żądań rosyjskich władz dotyczących użytkowników VK, m.in. w 2014 odmówił przekazania danych ukraińskich demonstrantów oraz zablokowania konta opozycjonisty Aleksieja Nawalnego. Chwilę później stracił stanowisko w zarządzie VK oraz samą firmę. Opuścił Rosję i dopiero wtedy założył Telegram – szyfrowany komunikator. Pierwszą siedzibą firmy był Berlin, a dziś jest to Dubaj.

Durow chwali się, że nigdy nie przekazał danych z Telegramu żadnym władzom. Między innymi to sprawia, że z Telegramu korzysta masowo białoruska opozycja. Kiedy Łukaszenko podczas protestów Białorusinów w 2020 roku blokował internet, jedynym komunikatorem, który działał, był właśnie Telegram – opozycjoniści sami słali prośby do Durowa, by zrobił wszystko, co możliwe na poziomie technicznym, aby komunikator funkcjonował.

To na Telegramie działa relacjonujący białoruskie protesty opozycyjny kanał „Nexta”, którego jeden z administratorów – Roman Protasiewicz – został niedawno zatrzymany w Mińsku, podczas przymusowego lądowania samolotu Ryanair.

Oczywiście anonimowość na Telegramie sprawia również, że korzysta z niego wielu ekstremistów, antysystemowców, a nawet przestępców. Nie tylko ze Wschodu, wręcz przeciwnie – popularność komunikatora w czasie pandemii gwałtownie wzrosła w krajach zachodnich.

Wcześniej był używany także przez członków Państwa Islamskiego. Rosnąca aktywność antysystemowców niemieckich na Telegramie do tego stopnia zaniepokoiła Niemcy, że władze tego państwa chcą wykorzystać wysokie kary finansowe, by wymusić na zarządzie Telegramu współpracę.

Co więcej, z tej platformy od kilku miesięcy intensywnie korzystają również Polacy. Kiedy główne platformy społecznościowe zaczęły uniemożliwiać publikowanie treści antyszczepionkowych i podważających naukową wiedzę na temat COVID-19, polscy antysystemowcy przenieśli się właśnie na Telegram – i nadal na nim są, tworząc przynajmniej kilkutysięczne środowisko, stale aktywne.

Teza o „rosyjskości” Telegramu to raczej dowód na niespójność wywodu lub niewiedzę, a nie na udział akurat rosyjskich (lub białoruskich) służb w ataku na maila ministra.

Bo składnia jest rosyjska…

Drugim argumentem na udział Rosjan w ataku hakerskim ma być błąd językowy we wpisie na facebookowym koncie Agnieszki Dworczyk. Chodzi o ten fragment zdania:

„Sprawcami zostały skradzione dokumenty służbowe, które zawierają informacje niejawne i mogą być wykorzystane do…”

Niewątpliwy błąd jest tu często interpretowany jako „rosyjska składnia”, niewystępująca w języku polskim – i ma być to dowód na to, że wpis napisała osoba rosyjskojęzyczna. Nawet gdyby zbitkę „sprawcami zostały skradzione dokumenty” uznać za rosyjską składnię, trzeba też wziąć pod uwagę drugą możliwość, dużo prostszą. Otóż wystarczy usunąć pierwsze słowo, by zostało nam poprawne, polskie zdanie: „Zostały skradzione dokumenty służbowe, które zawierają informacje niejawne…”

Wyraz „sprawcami” na początku może być więc wynikiem edycji postu w trakcie pisania go i zmiany konstrukcji wpisu – bardzo częsta sytuacja w sieci. Błędy językowe we wpisach internetowych pojawiają się powszechnie i poza nielicznymi wyjątkami nie świadczą o narodowości piszącego. Rozpoznawanie po nich tzw. ruskich trolli było aktualne kilka lat temu, dziś nie jest – także trolle profesjonalizują swoją działalność i językowo są coraz lepiej przeszkolone.

Tezie, że haker to osoba rosyjskojęzyczna, przeczy również lektura jego wpisów na kanale na Telegramie. Ich autor biegle posługuje się językiem polskim i w zasadzie nie popełnia błędów. Nie ma tam kolejnych przykładów nietypowej składni. Cytowany błąd z Facebooka może więc coś mówić o hakerze - ale nie musi.

Bo w metadanych jest cyrylica…

Trzeci argument to metadane (informacje zapisane we właściwościach pliku) opublikowanych przez hakera plików. To najciekawsza poszlaka.

Piszące o niej media powołują się na wpis na - nomen omen - telegramowym kanale Nexta (czyli z jednej strony mamy zły, bo „rosyjski Telegram”, ale z drugiej - wiarygodne dane z kanału Nexta na Telegramie – czy tylko ja widzę tu niespójność?).

Napisano w nim: „Kilka dni temu ktoś włamał się na konto Michała Dworczyka, szefa kancelarii polskiego premiera. Ściągnięte z niego poufne dane hakerzy opublikowali na jednym ze swoich kanałów na platformie Telegram. W metadanych opublikowanych plików są rosyjskie symbole”. I zamieściła przy tym jeden screen metadanych.

Haker udostępnił już kilkadziesiąt plików: tekstowych, prezentacji, zdjęć. Za pomocą narzędzia metadata2go.com (i kilku innych, by potwierdzić wiarygodność) sprawdziłam metadane 20 pierwszych plików, zamieszczonych na Telegramie.

Zanim do nich zajrzałam, musiałam zmierzyć się z jeszcze jedną teorią na temat całej akcji: niektórzy eksperci przypuszczają, że dokumenty mogą być zainfekowane oprogramowaniem szpiegującym po to, by uzyskać dostęp do urządzeń osób, które je pobiorą. Sprawdziłam więc pobrane materiały programem typu antyspyware – nie znalazł podejrzanych aplikacji szpiegujących.

Z metadanych można się dowiedzieć, kto jest autorem danego pliku, kiedy go utworzono czy edytowano, w jakim programie. Większość zhakowanych dokumentów nie zawiera nic nietypowego, może poza tym, że w kilku jako autor występuje… James Bond.

Natomiast w metadanych trzech plików rzeczywiście niektóre informacje są podane w języku rosyjskim – świadczą one raczej o języku oprogramowania, użytego przy tworzeniu pliku. Daty edycji plików wskazują, że treść dokumentów nie była zmieniana w ciągu ostatnich miesięcy.

Jakie to pliki?

- CV obecnego szefa Rządowe Centrum Bezpieczeństwa, płk. Konrada Korpowskiego,

- pismo wiodące do kompletu dokumentów dotyczących prac legislacyjnych nad projektem ustawy o rezerwach strategicznych, pochodzące z Departamentu Analiz Przygotowań Obronnych Administracji Kancelarii Prezesa Rady Ministrów.

W metadanych każdego z tych dwóch plików cyrylicą zapisane jest jedno słowo, w części dotyczącej formatowania (a dokładnie: nagłówków).

Trzeci materiał to wojskowa prezentacja, której autorem – wg. meta danych – jest płk Krzysztof Gaj, obecny doradca Dworczyka, wcześniej związany z Antonim Macierewiczem, który musiał odejść z wojska po ujawnieniu jego antysemickich i antyukraińskich wypowiedzi. Tutaj rosyjskich słów jest znacznie więcej, ale również dotyczą formatowania prezentacji. To właśnie metadane tego pliku opublikowała Nexta.

Służby, dowcip albo… prawdziwe dane

Jak te dane odczytać? Możliwości, jak zwykle, jest kilka, przy czym żadna z nich nie jest oczywista.

Metadane plików można bowiem edytować. Przyjmijmy na początek, że cyrylica świadczy o ingerencji rosyjskich lub białoruskich służb. Jeśli tak, dlaczego rosyjski alfabet pojawia się wyłącznie w danych dotyczących formatowania, a nie w nazwie autora czy tytule?

I dlaczego te same metadane pokazują, że pliki były edytowane kilka miesięcy temu (plik Gaja – 19 października 2020, plik Korpowskiego – 2 lutego 2021, plik z departamentu KPRM – 3 listopada 2020 roku), a nie ostatnio?

Ktoś może powiedzieć: spreparowali metadane. Edytowali daty tak, by odsunąć podejrzenie o ingerencję w pliki. To możliwe. Ale czy w takim razie osoby zmieniające dane zostawiłyby wpisy w cyrylicy, widniejące kilka wersów obok? Popełniłyby przecież potężny błąd, jeśli ich celem było odsunięcie od siebie podejrzeń. Co prawda każdy popełnia błędy, ale trudno budować na takim przekonaniu teorię o autorstwie operacji.

Druga opcja: cyrylicy specjalnie użył haker podczas edycji metadanych – na przykład po to, by odsunąć podejrzenia od siebie i przerzucić je na Rosjan. To przecież najbardziej oczywiste skojarzenie obecnie w polskiej polityce: jeśli ktoś atakuje w przestrzeni cyfrowej, na pewno stoi za tym Kreml. Więc wstawmy kilka słów w cyrylicy, będzie ciekawie albo zabawnie.

Uważacie, że to za poważna sprawa, by ktoś mógł coś takiego zrobić dla zabawy? Dla hakerów absolutnie nie, wielu z nich doskonale się bawi hakując VIP-ów czy najbardziej strzeżone instytucje i chwaląc się tym przed znajomymi. Nawet w analizowanym przypadku mamy przecież pliki autorstwa Jamesa Bonda – albo ich prawdziwy autor ma takie poczucie humoru, albo właśnie zabawić postanowił się haker.

Trzecia opcja: metadanych nikt nie edytował, są prawdziwe. W całości. Skąd w takim przypadku cyrylica? Ano od autorów plików, czyli dwóch ważnych polskich wojskowych i z Departamentu Analiz Przygotowań Obronnych Administracji KPRM. Tu pojawia się kluczowe pytanie: czy posługują się oni oprogramowaniem w rosyjskiej wersji językowej? Jeśli tak – dlaczego?

Żadnej z tych możliwości nie jesteśmy w stanie wykluczyć, przy obecnym stanie wiedzy wszystkie są równorzędne. Zaś teoria o ingerencji w pliki wschodnich służb obarczona jest dodatkowo poważną niespójnością.

Element operacji Ghostwriter czy naśladowca?

Naprawdę istotny jest inny argument: podobieństwo modus operandi ataku hakerskiego na maila Dworczyka do cyberataków, do których również użyto kont polskich polityków.

Wcześniej kompromitujące wpisy lub fałszywki pojawiły się na kontach: posłanki Joanny Borowiak (PiS), posła Marcina Duszka (PiS), Marleny Maląg (PiS), Iwony Michałek (Porozumienie), Marka Suskiego (PiS), Włodzimierza Bernackiego (PiS), Arkadiusza Czartoryskiego (PiS), byłego posła Andrzeja Melaka (PiS), byłego senatora Jarosława Chmielewskiego (PiS). Zhakowano również stronę internetową marszałkini Sejmu Elżbiety Witek, a na Twitterze powstało fałszywe konto senatora PiS Marka Martynowskiego.

Amerykańska firma Fire Eye, zajmująca się cyberbezpieczeństwem, dokładnie przeanalizowała te ataki i przypisała je grupie hakerów UNC1151, podejrzanej o działalność szpiegowską finansowaną przez państwa (prawdopodobnie przez Rosję), a realizowaną przez nią operację nazwała „Ghostwriter”. Jest ona prowadzona nie tylko w Polsce, ale także na Ukrainie i w krajach nadbałtyckich, a ostatnio została rozszerzona na Niemcy.

Hakerzy rozprowadzają złośliwe oprogramowanie, by zdobyć dane uwierzytelniające (np. loginy i hasła) użytkowników. Celują przy tym głównie w podmioty rządowe, wojskowe, dziennikarzy i aktywistów. Raz nawet rozesłali mailem fałszywy newsletter Polskiego Radia.

Anna Gielewska i Konrad Szczygieł tak pisali o przyjętym w operacji modus operandi: „Praktyka stosowana przez cyberprzestępców do rozpowszechniania treści online wydaje się identyczna – włamują się do niszowych witryn medialnych i witryn instytucjonalnych lub tworzą fałszywe witryny, które są bliskimi kopiami tych wykorzystywanych przez instytucje publiczne (jak miało to miejsce w przypadku litewskiej policji i krajowego Inspektoratu Bezpieczeństwa Jądrowego). Ważnym nowym kanałem ataków jest wykorzystanie kont w mediach społecznościowych polityków (przejętych w wyniku phishingu), które zwiększają zasięg i pomagają rozpowszechniać treści bez pozostawiania śladów (jak miało to miejsce w przypadku cyber ataku na Akademię Studiów Wojennych). Hakowanie kont e-mail może również potencjalnie służyć do pozyskiwania poufnych informacji do przyszłego użytku operacyjnego”.

Rozprowadzane treści mają na celu przede wszystkim dyskredytowanie NATO, ale ostatnio celem stało się także dyskredytowaniem polityków rządzących w wymienionych wcześniej państwach, stąd zapewne akcje kompromitujące polityków Zjednoczonej Prawicy w Polsce.

W przypadku litewskiej posłanki Ausrine Norkiene wygenerowano fałszywe maile, podszywając się pod jej adres. Charakterystyczne dla „Ghostwriter” jest wykorzystywanie różnych kanałów rozpowszechniania informacji, hakowanie nie tylko kont społecznościowych, ale i witryn, oraz szybkość przeprowadzania operacji publicznych.

Różnice są wyraźne

Podobieństwa do modus operandi ataku hakerskiego na konto Michała Dworczyka są wyraźne – ale jednocześnie widać też istotne różnice. To na pewno nie jest szybka operacja. Nie wiemy, kiedy miało dojść do włamania na skrzynkę, ale wiemy na pewno, że od założenia kanału na Telegramie i opublikowania na nim pierwszych materiałów do zainteresowania tematem mediów minęły cztery dni. Długo jak na operację w sieci.

Operacja zresztą cały czas trwa, założyciele kanału codziennie publikują nowe materiały. Wyraźnie zależy im nie na szybkości, lecz na długotrwałym ośmieszaniu czy dyskredytowaniu ministra, powolnym ujawnianiu nie tyle dokumentów niejawnych, ile informacji kłopotliwych dla niego, odkrywających polityczną kuchnię.

Osoba prowadząca kanał jest też zainteresowana opiniami, które pojawiają się na jej temat w mediach - niektóre cytuje, czasem wstawia memy. Zrobiła nawet sondę o tym, jakie prawo dotyczące aborcji powinno obowiązywać w Polsce. Śledzi Twitter, ciekawszymi wpisami dzieli się z obserwującymi. Wyraźnie zależy jej na osobistym rozgłosie.

Pamiętając o modus operandi "Ghostwirter" monitorowałam również rozchodzenie się treści związanych z atakiem hakerskim na maila ministra Dworczyka w sieci. I tu także jest wyraźna różnica: nie znalazłam ani jednego przypadku, by wykorzystano niszową witrynę internetową czy zhakowano jakiś portal, by udostępnić materiały na ten temat i w ten sposób przebić się z tematem do głównego nurtu.

Inaczej niż w pozostałych przypadkach, haker przez cztery dni nie był w stanie znaleźć publiczności dla swoich działań, a dopiero potem zhakował konto żony Dworczyka, czym zainteresowały się mainstreamowe media.

Dane z sieci pokazują, że intensywnie pracował nad tym, by dotrzeć do mediów i polityków. Użył do tego konta na Twitterze, które 8 czerwca, w godzinach 19:00-21:00 opublikowało na Twitterze 76 wpisów, wszystkie w formie odpowiedzi pod tweetami mediów, dziennikarzy i polityków, o tej samej treści: „SKRZYNKA e-mail Michała DWORCZYKA została zhakowana. Zostały skradzione dokumenty służbowe. Część już opublikowana w Telegramie”. I tu podawano link do wpisu na FB na koncie Agnieszki Dworczyk oraz do kanału na Telegramie.

Dziś konto nie działa – zostało zawieszone z powodu naruszenia regulaminu Twittera. Jeden wpis pojawił się prawdopodobnie również na facebookowym koncie jednej z posłanek PiS – pokazuje go narzędzie do monitoringu, jednak sam wpis jest usunięty. Być może haker miał więc również dostęp do tego konta.

Czy te działania, widziane jako całość, są typowe dla Ghostwritera? Nie, choć niektóre ruchy rzeczywiście przypominają ten sposób działania. Czy dowodzą one udziału rosyjskich/białoruskich służb? Nie. Czy możemy mieć do czynienia z tą samą operacją, tyle że ewoluującą? Tak. Ale czy może stać za tym na przykład naśladowca Ghostwritera, zainspirowany informacjami z mediów? Tak. Po raz kolejny trzeba powtórzyć: na tym etapie nie można wykluczyć żadnej z hipotez.

To nie muszą być wschodnie służby

Jeśli nie obce służby, to kto miałby włamywać się na skrzynkę szefa Kancelarii Premiera i po co? Możliwości jest kilka. Możemy mieć do czynienia z wolnym strzelcem, prywatną inicjatywą osoby z hakerskimi umiejętnościami.

Dlaczego zaatakowała Dworczyka? Motywacji da się znaleźć dużo, od zupełnie prywatnych, przez potrzebę zdobycia rozgłosu i sławy, po np. chęć ośmieszenia go jako ministra rządu PiS.

Możemy mieć też do czynienia z hakerem, który jest inspirowany przez kogoś z zewnątrz, na przykład służby rosyjskie czy białoruskie (albo inne, stosunki obecnego rządu z wieloma państwami nie należą do najlepszych). Ta opcja uwzględnia zarówno wpływ służb, jak i np. chęć uzyskania rozgłosu przez hakera.

Przyznanie się do niewiedzy wobec ataku hakerskiego na skrzynkę ministra powinno być początkiem porządnego śledztwa, w którym rozpatruje się wszystkie opcje i rezygnuje się z nich dopiero po dokładnym sprawdzeniu. Tylko wtedy można dociec, kto rzeczywiście przeprowadził atak, po co to zrobił oraz – co ważne – wyciągnąć wnioski na przyszłość.

Z perspektywy bezpieczeństwa państwa najważniejsze nie są bowiem prywatne maile ministra Dworczyka ani fakt, że wykorzystywał prywatną skrzynkę do służbowej korespondencji, lecz to, by tego rodzaju sytuacje więcej się nie powtórzyły.