wtorek, 08 sierpień 2017 05:57

Ekspert Defence24: Każdy z nas może paść ofiarą cyberataku

Jednym z teatrów wojny hybrydowej między Ukrainą, a Rosją stała się cyberprzestrzeń, gdzie obie strony prowadzą aktywne, a czasem spektakularne działania. Wbrew pozorom jednak, ofiarą cyberwojny może paść każdy z nas.

Wschodnik postanowił porozmawiać z dr Andrzejem Kozłowskim z portalu „Cyberdefence24” na temat współczesnych zagrożeń płynących z sieci, sposobach obrony, czy przygotowaniu i głównych działaniach największych państw i organizacji w cyberprzestrzeni.

Zacznijmy „z grubej rury”: wyobraźmy sobie, iż Polska pada ofiarą zmasowanego, pełnoskalowego ataku cybernetycznego. Jak taki atak mógłby wyglądać, jakie byłyby jego efekty i do czego zdolna jest współczesna cyberwojna? Czy różni się od powszechnego wyobrażenia na ten temat?

Powszechne wyobrażenie na temat cyberwojny jest ukształtowane przez filmy i najlepszym tego przykładem jest „Szklana pułapka 4”, gdzie główny czarny charakter podłącza swego laptopa pod jedną z sieci federalnych i zaczyna kontrolować cały kraj. Jest to oczywiście kompletne science-fiction, ale analizując realne możliwości, musimy sobie uzmysłowić, jakby mogło to wyglądać. Jednym z głównym  celów potencjalnego agresora byłby paraliż medialny i informacyjny, czyli ataki DDoS (Distributed Denial of Service, „rozproszona odmowa usługi” – przyp. red.), które mają na celu unieszkodliwienie strony internetowej i tu mam na myśli strony administracji państwowej, najważniejszych serwisów informacyjnych, czy banków. Taka sytuacja miała miejsce w Estonii w 2007 roku. Kolejnym zagrożeniem byłoby czasowe pozbawienie elektryczności, gdyż już mamy do czynienia z udanymi atakami na infrastrukturę energetyczną, chociażby na Ukrainie. Następna rzeczą (która także podobno zadziała się u naszego wschodniego sąsiada) byłaby infrastruktura kolejowa - ucyfrowienie systemów generuje nowe zagrożenia. To są 3 najważniejsze obszary. W przypadku wojska musimy natomiast pamiętać, iż sieci wojskowe są o wiele lepiej zabezpieczone i najczęściej odcięte od sieci globalnej, więc cyberatak byłby trudniejszy do zrealizowania. Podsumowując, chodzi więc o kwestie dominacji informacyjnej i kształtowania narracji przez potencjalnego napastnika, a także infrastruktury krytycznej (możemy tu dodać jeszcze np. system zarządzania światłami i sygnalizacją w miastach) – praktycznie każdy element podłączony do Internetu może się stać celem ataku.

A więc, ludzie nagle zostają pozbawieni dostępu do swej gotówki w banku, składy kolejowe się wykolejają, bo zostaje zaburzona synchronizacja, odcięty zostaje prąd w domach i następuje kompletny chaos.

Tak, to może być jeden z potencjalnych scenariuszy, ale z drugiej strony, nie popadajmy w przesadę - musimy pamiętać, iż na razie nie ma 100% automatyzacji. Występuje element ludzki, który może ten system wyłączyć. Możemy mieć do czynienia z wykolejeniem jednego, dwóch pociągów, ale ciężko mi sobie wyobrazić taki scenariusz na masową skalę.

Wspomniałeś, że aspekty cybernetyczne łączyłyby się z kwestiami informacji, dezinformacji
i propagandy, czyli rozumiem, iż występuje ścisła korelacja między wojna cybernetyczną,
a informacyjną.


Jest ścisła synchronizacja, ponieważ dla niektórych aktorów na scenie międzynarodowej, mam na myśli głównie Rosję i Chiny, działania w cyberprzestrzeni są częścią wojny i operacji informacyjnych. Inaczej się to postrzega na Zachodzie, gdzie traktuje się to jako oddzielny rodzaj operacji. W związku z tym, dominacja w cyberprzestrzeni jest tak ważna - potencjalnym agresorem, nie bójmy się go nazwać po imieniu, byłaby w przypadku Polski Rosja.

Jak kształtuje się stosunek najważniejszych geopolitycznych aktorów do kwestii bezpieczeństwa cybernetycznego i kto jest prymusem w tej dziedzinie?

Jeżeli chodzi o państwa, to z komunikatów medialnych wydaje się, że to Chiny i Rosja dyktują reguły gry, ale wcale tak nie jest. Tutaj bezapelacyjnym supermocarstwem są Stany Zjednoczone. Musimy sobie wyjaśnić, jak taki cyberatak, czy ofensywna operacja w cyberprzestrzeni przebiega, bo może przebiegać przez 2 wektory. Jednym z nich jest człowiek - użytkownik sieci, który popełnia błąd, zostanie zmuszony do kliknięcia w załącznik z zainfekowaną wiadomością i wtedy złośliwe oprogramowanie zostaje załadowane na jego komputer. Drugą kwestia są tzw. „Zero-day exploit”, czyli błędy w oprogramowaniu, lub hardware, przy czym nie muszą być one koniecznie niedociągnięciami, lecz celowym działaniem firm współpracujących z agencjami wywiadowczymi. Informacje opublikowane przez Wikileaks, te które dostarczył Edward Snowden i te, które zostały dostarczone z Vault 7, czyli CIA potwierdzają, że firmy amerykańskie współpracowały ze służbami, specjalnie osłabiając oprogramowanie internetowe, by miały one dostęp do komputerów na całym świecie i mogły się do nich łatwiej włamywać. Biorąc pod uwagę, ile oprogramowania i sprzętu pochodzenia amerykańskiego używanego jest na świecie, a to bodajże 90 kilka procent w prywatnych gospodarstwach, jak i instytucjach rządowych, to musimy zadać pytanie, kto jest absolutnym dominatorem. Skoro USA znają ścieżki ataku jako jedyne na świecie, to mają gigantyczną przewagę. Należy jednak podkreślić , że Stany są też najbardziej podatnym krajem na zagrożenia w cyberprzestrzeni ze względu na stopień  ucyfrowienia swojego społeczeństwa, gospodarki, sił zbrojnych.

A nasi sojusznicy z NATO i UE - jak prezentują się oni?

W obu organizacjach cyberbezpieczeństwo zaistniało na poważnie na agendzie publicznej po ataku na Estonię w 2007 roku. Jeżeli chodzi o NATO, to w ostatnim czasie, zwłaszcza w 2014 roku poczyniło one bardzo duże postępy - na szczycie w Walii uznano, iż atak cybernetyczny może zostać zakwalifikowany jako atak konwencjonalny, który doprowadzi do wywołania artykułu V. W 2016 roku NATO uznało cyberprzestrzeń za kolejny obszar prowadzenia działań wojennych, co oznacza, że każde z państw członkowskich musi przygotować swój potencjał do działań w cyberprzestrzeni, tak jak robi to na lądzie, morzu, powietrzu - to wynika  z art. III Traktatu Waszyngtońskiego. Ponadto, coraz częściej w NATO dyskutuje się nad użyciem środków ofensywnych. Kilka państw, jak Kanada, USA, Wielka Brytania, czy Holandia wprost przyznały się do posiadania takich zdolności, które zostały wpisane w ich doktryny wojskowe.

W NATO mamy aspekt czysto wojskowy, zaś jeżeli chodzi o Unię, to dysponuje ona bardzo ważnym narzędziem, czyli możliwością tworzenia wspólnego europejskiego prawa. Mamy dwa bardzo ważne akty prawne, pierwszym jest dyrektywa NIS (w sprawie bezpieczeństwa sieci i informacji – przyp. red.), a drugim RODO, czyli ogólne rozporządzenie o ochronie danych osobowych. Jest to kwestia głównie cywilna, ale z dokumentów wynika, że zostaną wprowadzone obowiązkowe, minimalne standardy cyberbezpieczeństwa, a za ich niezastosowanie firma może zostać ukarana karą 4% globalnego dochodu - to nie są już małe pieniądze. Moim zdaniem to bardzo dobry pomysł, gdyż analizując przykłady współpracy prywatno-publicznej, opartej na dobrowolności, zaufaniu i wymiany informacji - to nie działa. Podmiotom prywatnym nie zawsze po prostu się opłaca inwestować w zabezpieczenia, uważają to za problem i dodatkowe koszta, a nie jako inwestycję, która po prostu musi być w danej firmie.

Jak na tym tle wypada Polska i jaka jest świadomość problemu wśród naszych polityków, elit?

Polska niestety wypada bardzo słabo, niektórzy mówią o średniej europejskiej, ja natomiast uważam, że jest gorzej. Problemów jest sporo. Pierwszy to taki, że nawet w Grupie Wyszehradzkiej nie jesteśmy liderem - Czechy mają najbardziej rozbudowany system bezpieczeństwa, a my dopiero go budujemy. Ostatnio przyjęte „Krajowe Ramy Polityki Cyberbezpieczeństwa na lata 2017-2022” stanowią jednak istotny krok naprzód. Ogólnym problemem jest jednak to, że do 2015 roku nie działo się za dużo w kwestii cyberbezpieczeństwa, bo nie rozumiało się tego problemu i go lekceważyło. Problemem Polski jest także to, że mamy kilka instytucji odpowiedzialnych za bezpieczeństwo w sieci i ta współpraca wygląda źle (co potwierdził raport NIK). Nowa strategia zakłada dobrą współpracę międzyresortową, lecz niestety nie pokazuje, w jaki sposób to osiągnąć. Co więcej, jeszcze do niedawna, choć to się już powoli zmienia, firmy nie chciały się dzielić z instytucjami państwowymi, czy między sobą informacjami o dokonanych na nie cyberatakach. Dodatkowo, co pokazał atak na Komisję Nadzoru Finansowego, informacja o nim została zlekceważona i to nie państwo go wykryło, lecz banki, które nieformalnymi kanałami komunikacji informowały się nawzajem, że coś jest nie tak ze stroną KNF. Notabene, sektor bankowy ma najlepiej rozwinięte zabezpieczenia, jeżeli chodzi o Polskę. Światełkiem w tunelu jest fakt, że powoli zmienia się wśród decydentów politycznych rozumienie cyberbezpieczeństwa i kwestia ta pojawia się na każdej konferencji dotyczącej bezpieczeństwa. Mamy też bardzo kompetentną minister ds. cyfryzacji, która wykonuje dobrą robotę i mam nadzieję, że pozwoli się jej dalej ją wykonywać.

Wspomniałeś o tym, iż za naszą wschodnią granicą toczy się hybrydowa wojna, której jednym z elementów są działania w sieci. Czy możesz scharakteryzować działania Rosji i Ukrainy na tym polu?

Od akcji najprostszych, które zalicza się do wojny informacyjnej, jak zmasowany udział tzw. "trolli", proste ataki DDoS, czy „Website Defacement” które mają na celu przejęcie danej strony i wstawienie swojego komunikatu - to są działania dokonywane przez obie strony. Kolejną rzeczą są kradzieże informacji, np. ukraińscy hakerzy włamali się do skrzynki Władislawa Surkowa, choć sporo osób, w tym ja, podejrzewa, że duży udział mieli w tym Amerykanie w ramach odwetu za kradzież maili z serwerów komitetu Partii Demokratycznej podczas wyborów w USA. Oczywiście, prawdziwej wersji nie znamy i być może nigdy się nie dowiemy. Najciekawsze z naszej perspektywy są jednak działania najbardziej skomplikowane. Przy zajmowaniu Krymu mieliśmy do czynienia z zakłóceniami w komunikacji wojskowej, była też próba sparaliżowania wyborów ukraińskich poprzez wprowadzenie złośliwego oprogramowania do sieci, które miało się aktywować, gdy zaczną spływać cząstkowe wyniki wyborów z poszczególnych obwodów. Na szczęście został on w porę wykryty, lecz było to bardzo zaawansowane oprogramowanie. Najbardziej znany i pokazujący skalę zagrożeń dla infrastruktury krytycznej był atak na elektrownię i pozbawienie na kilka godzin prądu setek tysięcy mieszkańców w obwodzie iwanofrankiwskim. Podobny atak wystąpił też po raz drugi, ale już na mniejszą skalę. Ukraina jest swoistym polem doświadczalnym i zarazem Polska, jak i NATO powinny obserwować, do czego są zdolni Rosjanie, gdyż testują oni swoje taktyki i doktryny właśnie tam.

Jakie szanse w tym cyberkonflikcie ma Ukraina?

W kontekście ataków na elektrownie ukraińskie były one zaprojektowane, zarówno jeżeli chodzi o systemy, jak i samą konstrukcje przez Rosjan, więc znali je lepiej niż sami Ukraińcy, co bardzo ułatwiło atak. Ukraina oczywiście dostaje wsparcie cybernetyczne chociażby od USA, czy NATO, które zadeklarowały swą pomoc, ale potencjał rosyjski jest o wiele większy, niż ukraiński, choćby za względu na to, iż Rosjanie już w końcu lat 90 dodali operacje w cyberprzestrzeni jako element wojny informacyjnej i instrument działań państwa. Ukraińska armia była mocno zaniedbana i zacofana przez rządy Janukowycza. Nie oznacza to oczywiście, że Kijów jest na straconej pozycji, ponieważ sam konflikt w cyberprzestrzeni charakteryzuje się sporą asymetrią - atakujący ma olbrzymie przewagę nad broniącym się. Rosja nie  zawsze może odeprzeć ataki ukraińskich hakerów i też ponosi od nich straty.

Rosjanie niedawno przyznali się do posiadania specjalnej, cybernetycznej jednostki do działań w sieci. Jaki jest potencjał i główne obszary zainteresowania rosyjskiej cyberarmii?

Jeżeli chodzi o Rosjan, to musimy sprecyzować, że oddziały o których wspominał Siergiej Szojgu zostały utworzone w ramach sił zbrojnych i są odpowiedzialne za operacje informacyjne, a główne ataki cybernetyczne wykonuje FSB i GRU, zwłaszcza podczas ostatnich wyborów w USA. Należy jednak powiedzieć, że Rosjanie poza oficjalnymi jednostkami podlegającymi pod wywiad czy armię, mają też bardzo rozbudowaną sieć cyberprzestępczą. Swego czasu organizacja "Russian Business Network" była największą tego typu organizacją na całym świecie i istniał nieformalny układ między hakerami, a rosyjską policją i FSB, ze dopóki atakują oni zachodnie banki i osłabiają zachodnia gospodarkę, to oni nie interweniują. Jest też cała rzesza utalentowanych, młodych hakerów o patriotycznym nastawieniu, która chce pomóc najprostszymi środkami. Rosja ma ogromny potencjał, który często się ocenia jako groźniejszy i lepszy od chińskiego ale to są trochę porównania prasowe, które nie zawsze stosują odpowiednią metodologię. Zdecydowanie jednak Rosjanie zaliczają się do ścisłej czołówki cyberprzestrzeni, oni cały czas  te działania przekształcają i dostosowują. Kiedyś były to głównie operacje szpiegowskie, które koncertowały się na koncernach z branży energetycznej (co raczej nie dziwi), ale teraz doszły kwestie polityczne, jak działania w Estonii w 2007, czy próba zintegrowania działań w cyberprzestrzeni z działaniami konwencjonalnymi, jak w Gruzji w 2008. Obecnie natomiast jest Ukraina, próby wpływania na przebieg wyborów w USA, czy Francji, jak i potencjalne przyszłe akcje podczas wyborów w Niemczech. Dla Rosji działania w cyberprzestrzeni to jeden z frontów wojny informacyjnej i rozumieją to szerzej, niż państwa zachodnie.

Jak Polska może obronić się przed atakiem cybernetycznym?

Uważam, że nie da się obronić przed takim atakiem, możemy jedynie zminimalizować jego skutki. Jeżeli będzie on przeprowadzony przez profesjonalne służby, to on się w mniejszym, lub większym stopniu uda. Nie istnieje skuteczna, 100% obrona, ale można zwiększyć koszty poniesionego ataku. Działania w cyberprzestrzeni są atrakcyjne dla wielu podmiotów, gdyż wymagają niewielkiego wysiłku i nie wymagają zaawansowanej wiedzy. Na cyfrowych czarnych rynkach można kupić gotowe narzędzia do ataków hakerskich z dołączoną instrukcja obsługi. Należy wzmocnić nasze systemy tak, by koszty potencjalnej agresji były o wiele, wiele wyższe. To bardzo istotne. Drugą kwestią jest przywracanie zaatakowanych systemów do jak najszybszej funkcjonalności. Najważniejsza jednak jest świadomość społeczna, polityków, urzędników, pracowników w korporacjach ze cyberbezpieczeństwo dotyczy wszystkich, a nie garstki maniaków komputerowych.

Nawiązując do tego co powiedziałeś - działania w cyberprzestrzeni kojarzą się raczej z działaniami między państwami, co dla przeciętnego użytkownika internetu wydaje się dość odległe. Czy jednak każdy z nas indywidualnie może paść ofiarą cyberwojny i czy są jakieś ogólne zasady bezpieczeństwa, które każdy z nas powinien znać i stosować?

Zdecydowanie tak, choć nie lubię do końca słowa "cyberwojna”, bo wojna wiąże się z ofiarami i zniszczeniami, a obecne ataki w cyberprzestrzeni takich skutków jeszcze nie powodują. Możemy powiedzieć bardziej o konflikcie w cyberprzestrzeni. Jak wcześniej wspominałem o atakach DDoS, są one przeprowadzane przy użyciu „Botnetów”, które składają się z zainfekowanych komputerów zwanych komputerami-zombie. Może nim być komputer mój, twój, twoich kolegów, co więcej, możemy nawet nie być świadomi, że jesteśmy częścią takiego ataku! Każdy z nas może paść też ofiarą cyberprzestępców. Większość z nas używa bankowości internetowej do płatności, czy sprawdzania stanu konta, inna kwestia to poufne dane, które publikujemy/trzymamy na Facebooku, Gmailu, czy naszych twardych dyskach. Kolejna rzecz to tzw. „Ransomware”, czyli mechanizm okupu za odszyfrowanie  naszego twardego dysku, który został zaszyfrowany przez cyberprzestępców przy użyciu złośliwego oprogramowania. Cyberwojna jest rzeczą dosyć górnolotną, która cieszy się powodzeniem wśród mediów, przyciąga uwagę, ale nie jest to rzecz, która jest największym problemem - sama cyberprzestrzeń jest wykorzystywana głównie przez przestępców, do przeprowadzenia sabotażu, czy przeprowadzenia operacji informacyjnych.

Co do indywidualnej obrony - przede wszystkim trzeba myśleć! Używać własnej głowy obsługując komputer. Czytając mail, który np. mówi "kliknij w załącznik by wygrać milion zł" wiadomym jest, że to nieprawda, gdyż takie rzeczy się nie zdarzają. Należy używać też skomplikowanych haseł, długich, złożonych ze znaków diakrytycznych, cyfr, małych i dużych liter. Niestety problem jest ten cały czas lekceważony, co pokazują statystyki najpopularniejszych haseł, które nie zmieniają się od dłuższego czasu - "123456789", "qwerty", "abcdef” itp. Musimy uważać też, w co klikamy i wchodzimy. Jak otrzymujemy maila z nieznanego źródła, to nie klikamy w zawartość. Musimy po prostu uważać. Jeżeli będziemy stosować tzw. "cyberhigienę" to wedle specjalistów z GSHQ (Government Communications Headquarters, Centrala Łączności Rządowej – przyp. red.), czyli agencji wywiadu radioelektronicznego Wielkiej Brytanii, odpowiednika NSA (National Security Agency, Narodowa Agencja Bezpieczeństwa USA - przyp. red.), 80% cyberataków można spokojnie zatrzymać, gdyż wykorzystują nasze najprostsze błędy wynikające z pośpiechu, lenistwa, naiwności, czy po prostu głupoty. Najsłabszym ogniwem cyberbezpieczeństwa zawsze był i jest człowiek.

Jakie trendy, lub działania mogą wystąpić w najbliższym czasie na polu cyberprzestrzeni i samych cyberkonfliktów?

Ciężko jest mówić o trendach, ale z pewnością będzie utrzymywać się popularność „Ransomware”, czyli wspomnianych już szyfrujących ataków dla okupu. Z pewnością ingerencja hakerów w wybory, którą ma już miejsce, będzie się zwiększać. Trzecia rzeczą będzie upowszechnienie się tzw. "Internetu rzeczy" czyli przedmiotów codziennego użytku podłączonych do sieci, jak np. inteligentnych zegarków, klamr od paska, spinek do krawatów przysyłających informacje do Internetu itp. Są one obecnie bardzo źle zabezpieczone, mają najprostsze, domyślne hasła, których użytkownik nie jest w stanie zmienić.
Tu występuje absolutna konieczność zmienienia pewnej architektury bezpieczeństwa i wywarcia presji na producentach tego typu sprzętu za pomocą legislacji, np. nałożenia kar za niespełnienie minimalnych standardów cyberbezpieczeństwa w tych urządzeniach. Każda nowa technologia wprowadzona do sieci będzie prawdopodobnie celem potencjalnego cyberataku.

Na sam koniec, chciałbym dopytać się o twoją opinię na temat Edwarda Snowdena - czy jest to faktycznie bohater, czy może nie jest on tak kryształowy, jak niektórzy go przedstawiają?

Próbując obiektywnie ocenić Edwarda Snowdena - jedyną zaletą jego opublikowanych informacji jest to, że badacze zajmujący się tematyką cyberprzestrzeni nie mówią już o rzeczach, które się działy i dzieją bez oparcia w twardych dowodach, gdyż Snowden im je dostarczył. Zwiększył on też świadomość cyberbezpieczeństwa i popularność szyfrowanych wiadomości, chociaż jeżeli chodzi o komunikację szyfrowaną, to minusem jest fakt, ze stosowana jest też przez organizacje przestępcze czy terrorystyczne. Ja uważam go po prostu za kłamcę. W momencie gdy schronił się w Rosji, to wszystkie informacje na temat systemów NSA, czy operacjach amerykańskich w sieci na pewno dostarczył rosyjskiemu wywiadowi. Czy współpracował wcześniej, czy nie - są różne teorie, jak np. takie, że został zwerbowany podczas pobytu w Genewie itp. Musimy pamiętać, że po pierwsze, Snowdenowi nie można ufać. Wielokrotnie on kłamał chociażby w takich prozaicznych sprawach jak to, że z wojska został usunięty bo złamał dwie nogi na ćwiczeniach. On nie złamał nóg, tylko miał problemy z piszczelami. To drobiazg, ale świadczy o wiarygodności człowieka. Edward Snowden specjalnie zrezygnował z lepiej płatnej pracy, żeby mieć możliwość dostępu do tajnych informacji. Manipulował również swoimi współpracownikami, by uzyskać dostęp do ich kont, celem pobrania jak największej ilości tajnych danych. Powiedział też, że pozbył się wszystkich swoich dokumentów wjeżdżając do Rosji, po czym nagle na Twitterze publikuje dokument, w którym wskazuje, że NSA wiedziało o rosyjskim monitoringu Anny Politkowskiej,. Skąd w takim razie go wziął?

Musimy o tym pamiętać, że każdy  amerykański dysydent, były oficer wywiadu, armii, który uciekł do Moskwy, był współpracownikiem rosyjskich służb. Nie wierzę w to, że Snowden jest pierwszym, który z nimi nie współpracował. Dla mnie z perspektywy Amerykanina jest po prostu zdrajcą. Musimy też zauważyć, że Rosjanie, którzy zbiegli z Rosji, do dzisiaj, mimo upływu wielu lat obawiają się o swoje życie. Snowden nie obawia się o nie, nie musi - amerykańskie służby go nie zabiją, bo to trochę inna kultura. Poza tym mówienie o wolności w Internecie przebywając w Rosji - to tak jakby mówić o demokracji będąc w Korei Północnej.

Dziękuję za rozmowę.

Rozmawiał: Michał Radecki

 
K small
 
 
 
 
 
 
 
 
Dr Andrzej Kozłowski wykładowca Uniwersytetu Łódzkiego i Collegium Civitas. Redaktor prowadzący portalu „CyberDefence24”, ekspert Warszawskiego Instytutu Inicjatyw Strategicznych i Fundacji Kazimierza Pułaskiego.

 

Praca w Polsce