Każda grupa hakerów ma swoją specyfikę działania. Jak ją rozpoznać?

Postuluje Pan konieczność budowy zespołów do walki z cyberzagrożeniami, w skład których będą wchodzić eksperci z różnych dziedzin. Sami informatycy nie poradzą sobie z atakiem hakerów. Czemu jest to tak istotne? W jaki sposób np. lingwista pomoże powstrzymać cyberatak?

Zbudowanie takich zespołów ma ogromne znaczenie. Wiedza o sposobie działania hakerów, informacja o tym, skąd pochodzą jest kluczowa, by przygotować się do obrony. Chodzi o antycypowanie działań przestępców. Kluczowe znaczenie w przypadku strategicznego spojrzenia na ochronę cyberprzestrzeni ma zrozumienie, jaki jest cel atakujących. W przypadku gdy celem jest kradzież danych, zadaniem cyberobrońców jest prawidłowe zrozumienie, jaki jest cel kradzieży tych danych: Czy chodzi o kradzież własności intelektualnej, uzyskanie wiedzy, która może posłużyć do kompromitacji danej osoby lub przedsiębiorstwa, czy też pozyskanie informacji dających przewagę rynkową.

Dlatego kiedy mamy do czynienia z hakerami operującymi w innych kręgach cywilizacyjnych, musimy wejść w ich skórę i poznać ich motywacje, sposób działania, kontekst językowy, kulturowy, psychologiczny. Pamiętajmy, że na stu najważniejszych hakerów na świecie 80 to Rosjanie i Chińczycy. Można przypuszczać, że większość działań przestępczych w cyberświecie ma swoje źródła w Chinach i Rosji, ale nie musi tak być. Silną pozycję mają też grupy przestępcze z mniejszych państw. Ponieważ cyberprzestrzeń jest nieograniczona i ciężko jest precyzyjnie określić, kto jest odpowiedzialnym za atak, państwa budujące strategie cyberbezpieczeństwa powinny wdrożyć niestandardowe sposoby walki, oraz rozbudowywać swoją bazę wiedzy o sposobach i metodach walki używanych przez atakujących.

Czym w takim wypadku różni się np. atak hakerów chińskich od rosyjskich?

Rosjanie dużo częściej stosują metodę brutalnej siły. Ich ataki są mniej wysublimowane, służą bardzo konkretnemu celowi związanemu z prowadzoną polityką. Jeżeli weźmiemy na warsztat Estonię, Gruzję czy Ukrainę to zauważymy, że w każdym z tych wypadków doszło do różnego rodzaju ataków, ale wszystkie charakteryzowały się zmasowaną obecnością hakerów rosyjskich w cyberprzestrzeni danego państwa. W Estonii był to brutalny atak DDoS, w wojnie gruzińskiej doszło do przejęcia kont i spowolnienia transferu danych pomiędzy Europą i USA a Gruzją. W grę wchodziło też ograniczenie możliwości transferów pieniędzy z Abchazji i Osetii.

W przypadku Chińczyków jest inaczej. Specjalizacją chińczyków jest kradzież danych. W tym są mistrzami. Potrafią miesiącami prowadzić operację, żeby pozyskać interesujące ich dane lub środki pieniężne. Widać to, gdy spojrzy się na ataki prowadzone przez chińczyków na Stany Zjednoczone, czy kraje UE. Z kolei Izrael specjalizuje się w precyzyjnych atakach. Izraelczycy przykładają duże znaczenie do zachowania anonimowości. Chińczycy czy Rosjanie nie zwracają na to tak dużej uwagi. Poza tym trzeba cały czas pamiętać, że sytuacja jest dynamiczna, a hakerzy są bardzo kreatywni.

Czy jakaś nacja przoduje pod względem kreatywności cyberataków?

Nie ma granicy pomysłowości przestępców. Wszystkie kraje biorą udział w tym wyścigu. Myślę, że Polacy są na tym polu bardzo kreatywni.

Które dziedziny powinni reprezentować eksperci, którzy wejdą do takich zespołów? Czy któryś kraj na świecie pracuje już w ten sposób?

Amerykanie już teraz budują bardzo szerokie zespoły. To korporacyjny model działania, który stopniowo przebija się na poziom państwowych teamów. Należy zaznaczyć, że nie ma jednego, gotowego modelu działania zespołów chroniących cyberprzestrzeń. Większość państw testuje dopiero metody ich tworzenia, choć najbardziej zaawansowane są w tym zakresie Amerykanie. W amerykańskich zespołach walczących z cyberzagrożeniami poza informatykami mogą znaleźć się także prawnicy, wojskowi, czy oficerowie służb specjalnych, wyposażeni w specjalistyczną wiedzę. Niekiedy do służby na tym odcinku zatrudnia się np. lingwistów czy specjalistów znających dobrze kontekst kulturowy rejonów z których prowadzone są działania w cyberprzestrzeni.

Nie wszyscy muszą pracować w jednej chwili, część zespołów może składać się z osób pracujących zdalnie, na zlecenie. W tej pracy trzeba zrozumieć specyfikę działania hakerów. Bardzo często tworzą oni swoiste subkultury, które wykorzystują wewnętrzną symbolikę i kod komunikacyjny. Czasem „pieczętują” swoje działania wewnętrznym kodem, który ma być zrozumiały w środowisku, a pozostać zagadką dla zespołów tropiących ich działania. Do ich rozpracowania potrzebna jest swoista grupa detektywistyczna o bardzo szerokim spojrzeniu. W walce z hakerami nie powinniśmy ograniczać się tylko do informatyków.

Potrzebne są także osoby zdolne do strategicznego myślenia. Eksperci, którzy mają wiedzę o aktualnej sytuacji geopolitycznej, rozumiejący specyfikę, kulturę przestępców. A także lingwiści potrafiący przełożyć język, a raczej sposób komunikowania hakerów. Tu nie chodzi o fizyczny język. W cyberświecie nie mają znaczenia kategorie języków, jakich uczą nas w szkołach. Tu chodzi o sposób myślenia danego kraju, państwa, grupy etnicznej. W takich zespołach bardzo często działa też psycholog, który próbuje zrozumieć sposób myślenia hakerów. Cyberprzestępcy to nie tylko informatycy. Tak długo, jak nie wykształcimy zintegrowanych zespołów specjalistów z różnych dziedzin, nie zrozumiemy szerszego kontekstu ataku. A bez tego będziemy skazani na porażkę.

Piotr Trąbiński – ekspert Narodowego Centrum Studiów Strategicznych (NCSS) w dziedzinie cyberbezpieczeństwa. Jest absolwentem Uniwersytetu Warszawskiego z tytułem magistra w dziedzinie prawa i doktorantem w Katedrze Prawa Informatycznego na UKSW.

Czytaj też: Ekspert: Międzynarodowe prawo cyberprzestrzeni to kwestia czasu