01 września 2025 r. Pełnomocnik Rządu do spraw Cyberbezpieczeństwa, Krzysztof Gawkowski, wydał oficjalną rekomendację, w której wzywa wszystkie podmioty krajowego systemu cyberbezpieczeństwa do natychmiastowego zaprzestania korzystania z systemu PAD CMS – popularnego oprogramowania do zarządzania treściami na stronach internetowych administracji publicznej.
Powód rekomendacji
Jak wynika z dokumentu, w systemie PAD CMS wykryto szereg poważnych podatności bezpieczeństwa, oznaczonych identyfikatorami:
CVE-2025-7063, CVE-2025-7065, CVE-2025-8116, CVE-2025-8117, CVE-2025-8118, CVE-2025-8119, CVE-2025-8120, CVE-2025-8121, CVE-2025-8122.
Producent oprogramowania nie zapewnia już wsparcia ani aktualizacji bezpieczeństwa, co oznacza, że błędy te nie zostaną naprawione. Według Ministerstwa Cyfryzacji, dalsze korzystanie z tego systemu „stwarza wysokie ryzyko wystąpienia incydentu krytycznego”, czyli poważnego naruszenia bezpieczeństwa danych lub dostępności usług publicznych.
Konsultacje z CSIRT
Rekomendacja została wydana po konsultacjach z zespołami reagowania na incydenty komputerowe:
CSIRT NASK, CSIRT GOV oraz CSIRT MON.
Wszystkie te jednostki potwierdziły możliwość wystąpienia poważnych incydentów w przypadku braku natychmiastowej reakcji.
W piśmie podkreślono, że utrzymywanie stron na oprogramowaniu zawierającym znane luki ma negatywny wpływ na bezpieczeństwo publiczne oraz interes bezpieczeństwa państwa.
Co powinni zrobić administratorzy?
Pełnomocnik Rządu rekomenduje:
-
niezwłoczne wyłączenie i migrację z systemu PAD CMS na inne, bezpieczne rozwiązanie,
-
analizę bezpieczeństwa infrastruktury, która mogła być narażona na atak,
-
powiadomienie odpowiednich służb w przypadku stwierdzenia prób włamania lub utraty danych.
Podmioty krajowego systemu cyberbezpieczeństwa (KSC) mogą – zgodnie z art. 33 ust. 5 ustawy o KSC – wnieść zastrzeżenia do wydanej rekomendacji, jednak zalecenie ma charakter pilny i obowiązujący.
Co dalej w praktyce?
Jeśli Twoja instytucja lub firma nadal korzysta z PAD CMS, nie warto zwlekać z decyzją o migracji. Brak aktualizacji bezpieczeństwa oznacza realne ryzyko ataku i utraty danych.
Podsumowanie
Wydanie tej rekomendacji to pierwszy tak jednoznaczny sygnał ze strony administracji rządowej, że PAD CMS nie spełnia wymogów bezpieczeństwa współczesnych systemów.
Z punktu widzenia zarówno jednostek publicznych, jak i firm komercyjnych, decyzja o szybkim wdrożeniu alternatywnego systemu CMS jest kluczowa dla zapewnienia ciągłości działania i ochrony danych.
Źródło informacji:
Rekomendacja Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa, Krzysztof Gawkowski,
Warszawa, 01.09.2025 r.
