Cyberbezpieczeństwo - redefinicja zagrożeń. "Dobrze to już było"

Artykuł sponsorowany

10 października odbyła się konferencja Cyber24 Day, organizowana przez redakcję CyberDefence24. W czasie jednej z debat prowadzonej przez Aleksandra Piskorza, współpracownika CyberDefence24, eksperci dyskutowali o krajobrazie cyberzagrożeń i o tym, czy zmieniło się podejście do cyberbezpieczeństwa w związku z wojną w Ukrainie.

W dyskusji wzięli udział: nadinsp. Adam Cieślak, Komendant Centralnego Biura Zwalczania Cyberprzestępczości; Paweł Dawidek, CTO Fudo Security; płk Łukasz Jędrzejczak, zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni; Joanna Karczewska, audytorka SI, ekspertka ds. cyberbezpieczeństwa i ochrony danych osobowych; dr Krzysztof Malesa, National Security Officer w Microsoft Polska; Maciej Siciarek, dyrektor Pionu CSRIT NASK.

Dezinformacja, ransomware, ataki DDoS

Debata rozpoczęła się od pytania, jakie wnioski wyciągnięto z wojny w Ukrainie w zakresie cyberbezpieczeństwa i na jakie aspekty obecnie kładzie się szczególny nacisk.

Nadinsp. Adam Cieślak zaznaczył, że Centralne Biuro Zwalczania Cyberprzestępczości powstało w styczniu 2022 roku. „Wcześniej była to rozproszona struktura w komendach wojewódzkich policji, zatem przypadł mi zaszczyt kierowania biurem praktycznie tuż przed wybuchem wojny w Ukrainie” - podkreślił.

Jak dodał, cyberpolicja zajmuje się monitorowaniem cyberprzestępczości i widzi w pewnych aspektach większą skalę incydentów. „Najmniej dolegliwe to kampanie dezinformacyjne, które monitorujemy i nie noszą znamion przestępstwa, ale mają na celu wprowadzenie niepokoju, zmiany nastrojów w społeczeństwie” - objaśnił.

Zdaniem szefa CBZC, w analizie krajobrazu cyberzagrożeń trzeba brać pod uwagę przede wszystkim masowe wysyłanie maili do instytucji państwowych, urzędników, szkół, przedszkoli, które po wybuchu wojny w Ukrainie miały zabarwienie polityczne.

„Często argumentem ich wysłania był fakt pomocy sąsiadom zza wschodniej granicy. Pojawiały się też poważniejsze kwestie, jak ataki ransomware i szyfrowanie danych, natomiast nie dążono do okupu, lecz miało to na celu destabilizację działania organów państwowych. W zeszłym roku i w obecnym doszło do czterech poważniejszych ataków ransomware. Do końca nie jest znane ich źródło, ale mamy pewne przypuszczenia i hipotezy. Większość instytucji, banków, organów państwowych mierzyło się też z atakami DDoS, których jest dość dużo, natomiast nie przekładają się na liczbę spraw prowadzonych w biurze. Instytucje zwykle nie składają w tej sprawie zawiadomień, a to przestępstwo, które jest ścigane na wniosek” - objaśnił nadinsp. Adam Cieślak.

„Dobrze już było”

Z kolei dr Krzysztof Malesa z Microsoft zaznaczył, że w cyberprzestrzeni „dzieje się bardzo dużo i nie jest to nic nadzwyczajnego”.

„Krajobraz zagrożeń stale ewoluuje. W krótkim czasie nałożyły się na siebie trzy dosyć poważne kamienie milowe: pandemia, wojna w Ukrainie i gwałtowna demokratyzacja technologii. Trudno rozstrzygnąć jednoznacznie, które zmiany w podejściu do bezpieczeństwa są bezpośrednio spowodowane wojną. Środowisko cyber radykalnie się zmieniło. Wojna ma to do siebie, że karmi się strachem. Szczególnie w pierwszej fazie adwersarz prowadził operacje informacyjne w ramach działań sojotechnicznych, by wyzwalać w ludziach niepewność, że można ich np. pozbawić dostępu do usług, wywołać zamieszanie na rynku paliwowym lub by ludzie rzucili się na gotówkę. To działo się tylko za pomocą paru wpisów w mediach społecznościowych. Oprócz czysto technicznych aspektów, z naszych raportów wynika, że coraz istotniejszą rolę odgrywają operacje informacyjne, służące szerszym działaniom hybrydowym” - podkreślił.

Przedstawiciel Microsoft polecił, by zapoznać się z „Microsoft Digital Defense Report 2023”, który warto porównywać rok do roku, by zobaczyć, jak rośnie liczba ataków.

„W przypadku ataków ransomware coraz większy procent stanowi żądanie okupu, ale też kradzież informacji. Trendy pokazują nieubłaganie, że »dobrze już było«, ataków przybywa lawinowo. Co chwilę blokujemy tysiące wyłudzeń tożsamości, bo to nasz największy skarb. Aby móc przewidywać trendy, trzeba analizować ogromne ilości danych, a są pewne granice ludzkiej percepcji. Dzięki uczeniu maszynowemu - co nazywamy na wyrost sztuczną inteligencją - jesteśmy w stanie przerobić kosmiczne ilości sygnałów. Zachęcam, aby zapoznać się z informacjami, jak prowadzone są operacje wyłudzające tożsamość przez obce państwa, w jaki sposób dokonuje się fraudów finansowych poprzez ingerencję w firmę oraz jakie nowe rodzaje phishingów wymyślają nasi adwersarze” - podsumował dr Krzysztof Małesa.

Stały stopień CHARLIE-CRP

Przy okazji dyskusji o zagrożeniach, płk Łukasz Jędrzejczak, zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni i szef CSIRT MON, przypomniał, że w Polsce wciąż obowiązuje trzeci stopień alarmowy CHARLIE-CRP, nieprzerwanie od 598 dni (debata odbywała się 10 października br., trzeci stopień alarmowy nadal obowiązuje – red.). Wprowadzono go 3 dni przed rosyjską inwazją na Ukrainę.

„To nowe, bardzo poważne obowiązki nałożone na infrastrukturę krytyczną oraz na niektóre inne podmioty, również nowe. Wymusiło to posiadanie zespołów SOC przez 24 godziny, 7 dni w tygodniu oraz obowiązek raportowania. Czy to dobrze? Nie jestem w stanie udzielić jednoznacznej odpowiedzi. To tak, jakbyśmy musieli trzymać boksera przygotowanego do ciosu przez kilka godzin. Pewne procesy zostały uruchomione i tego się już nie cofnie. To, co wywołał ten konflikt, to na pewno większe zapotrzebowanie na cyberbezpieczeństwo. Wszyscy CTO, prezesi i dyrektorzy wiedzą, że jest coś takiego jak cyberbezpieczeństwo i że będą musieli ponosić w związku z tym koszty. Dla nas to dobrze, bo można powiedzieć, że »wojna wytłumaczyła, że cyberbezpieczeństwo ma znaczenie«” - ocenił szef CSIRT MON.

Był także dopytywany o rolę Polski w NATO w kontekście współpracy w zakresie wymiany informacji dotyczących cyberprzestrzeni. Według płk Łukasza Jędrzejczaka, „nasza rola w NATO jest teraz bardzo wyraźna i widoczna”.

„Polska jest hubem komunikacyjnym dla transportu sprzętu i uzbrojenia na Ukrainę, co stawia nas z jednej strony w bardzo odpowiedzialnej, trudnej pozycji. Jestem szefem CISRT MON od blisko 4 lat. Dużo płynniej współpracujemy obecnie z naszymi partnerami ze względu na zrozumienie, że mamy wspólnego wroga; że gramy w jednej drużynie. Mamy też bardzo dobrą współpracę z CSIRT-em na Ukrainie; nasze wspólne analizy z CSIRT NASK pozwoliły pomóc Ukraińcom. Skrócenie komunikowania do jak najkrótszego czasu to zawsze będzie nasz cel” - podkreślił.

Zaufanie w cyberbezpieczeństwie

Do kwestii zaufania odniósł się Paweł Dawidek, CTO w Fudo Security, który ocenił, że w pewnych obszarach rynek cyberbezpieczeństwa jest ciągle niedojrzały.

„Często w dyskusjach pada słowo »zaufanie«: czy ufamy dostawcy, sojusznikowi. Tam, gdzie musimy zastosować zasadę zaufania, kończy się bezpieczeństwo i nasza próba niezależnej weryfikacji. Abyśmy mieli pełną transparentność; abyśmy mieli kody źródłowe i mogli z nich zbudować produkt, wiedzieli jak on działa, nie musimy nikomu ufać. Pod zaufanie często zamiata się słabości, które mogą być potencjalnie wykorzystane” - wyraził swoje zdanie ekspert.

Jak dodał, w USA już widać, że odbywa się weryfikacja łańcucha dostaw. „Nawet vendor jest firmą, która ma siedzibę w państwie NATO-wskim, ale pracownik – jeden z developerów – może być przecież spoza NATO. Jest cały szereg zagrożeń, które trudno przewidzieć. Jestem zwolennikiem zmierzania do pełnej transparentności. Zaufanie to nie jest rozwiązanie. Elementów niedojrzałości na rynku jest więcej, takie konflikty wyostrzają zmysły” - stwierdził.

Nie jest dobrze z cyberbezpieczeństwem

O cyberbezpieczeństwo cywilne oraz ochronę danych osobowych była natomiast pytana Joanna Karczewska, audytorka SI, ekspertka ds. cyberbezpieczeństwa i ochrony danych osobowych. Oceniła, że „w Polsce RODO nigdy nie wystartowało tak, jak to było przez wszystkich oczekiwane”.

„Jesteśmy w… czarnej dziurze. Są miejsca, gdzie coś się dzieje, ale nie ma całego systemu. Nie wypowiadam się w sprawach dotyczących cyberbezpieczeństwa wojska, tak cyber cywilne to mój żywioł. Chciałabym państwu dać do myślenia, dlaczego jestem tak bardzo sceptyczna. W 1983 roku miał miejsce największy incydent dotyczący niedostępności systemu, to był ZUS. Piorun trafił w ZUS i przez pół roku świadczeniobiorcy z Warszawy nie dostawali rent i emerytur. Wtedy pracowałam jako szeregowy programista i widziałam to od środka. To była dla mnie niebotyczna nauka. Obiecałam sobie, że jeśli tylko będę miała wpływ, będę robiła wszystko, aby nie doszło do powtórki tej sytuacji. Szłam ulicą i widziałam, jak starsza pani szukała w portfelu pieniędzy, ponieważ nie dostała renty, bo… system padł. Przez pół roku. To był stan wojenny. Manifestacja, która przeszła Nowym Światem, to byli emeryci i renciści. Płakaliśmy wtedy podwójnie: przez gaz łzawiący i przez emerytury. Dlatego dziś mam mocno krytyczne podejście do tego, co się dzieje i co się nie dzieje. Z ochroną danych osobowych, jak i cyberbezpieczeństwem cywilnym, nie jest w Polsce dobrze” - podsumowała.

Niska świadomość społeczna

Natomiast Maciej Siciarek, dyrektor Pionu CSRIT NASK, odniósł się do tej opinii mówiąc, że „z cyberbezpieczeństwem jest nadal słabo i to dobra uwaga, również w kontekście takim, że czas trwania wojny, kryzysu ekonomicznego powinny w nas rozwijać myślenie strategiczne”.

Jego zdaniem, tak się jednak nie dzieje, ponieważ wielokrotnie w historii Polski pojawiało się myślenie reakcyjne, a strategiczne nie jest Polski najmocniejszą stroną. „Na pewno można usprawnić wymianę informacji pomiędzy poszczególnymi CSIRT-ami. Stan CRP i zbyt długie jego utrzymywanie nie jest dobre, bo opadają siły i mobilizacja, ale pozycja lekkiego ataku raz na jakiś czas przydaje się. To dobre, aby się obudzić i zacząć działać” - powiedział.

Odniósł się także do wypowiedzi Krzysztofa Malesy o tym, że „dobrze już było i lepiej nie będzie”. „My jako CSIRT też to widzimy. Potrzebna jest jeszcze wyższa świadomość informatyków i kadry zarządzającej i nie chodzi mi tylko o instytucje publiczne. W firmach, biznesie też bywa bardzo słabo. Uwaga płk Łukasza Jędrzejczaka na temat świadomości kadr zarządzających moim zdaniem jest zbyt optymistyczna. Świadomości wielokrotnie nie ma, trzeba ją budować od podstaw, nawet w kryzysie spowodowanym wojną. Nie ma jej, bo to kosztuje. Przestępcy będą wykorzystywali każdą sytuację niepokoju społecznego, aby wykraść pieniądze, ale również wymuszać dane, które potem są dalszym materiałem do kolejnych ataków” - podkreślił.

Płk Łukasz Jędrzejczak z DKWOC dodał, że kiedy nastąpiła rosyjska inwazja na Ukrainę, oczekiwano „cyberbomby” o ogromnej skali, jednak tak się nie stało. „Widzimy te same ataki, tylko w innych szatach; widzimy ChatGPT zaangażowany do pisania malware. Liczba ataków na Polskę wzrosła ok. 5-krotnie. Ataki kierowane na resort obrony narodowej są szczególne. Realizują je zespoły APT, których celem jest przejęcie informacji, jakie posiadamy. Nie padamy ofiarą DDoS-ów, bo to nie ma dla nas wielkiego znaczenia. MON nie musi być widoczny w sieci” - objaśnił.

Zaznaczył również, że to jak wojsko przeciwdziała cyberatakom nigdy nie zostanie ujawnione na żadnej konferencji. „Mamy własne narzędzia, wymyślone przez programistów w naszych zespołach, które pozwalają nam być o krok przed przeciwnikiem. Będziemy wiedzieć, skąd przeprowadzane będą ataki i możemy się w jakimś stopniu się na nie przygotować. Nigdy jednak nie będziemy mogli powiedzieć, że jesteśmy w pełni cyberbezpieczni. Taki system, to ten niepodłączony do internetu. To, co widzimy każdego dnia, to ataki dezinformacyjne, których celem jest sianie zamętu. Wcześniej widzieliśmy ataki, by zdyskredytować Polskę na arenie międzynarodowej. Używane są te same narzędzia do spamu, który ma wywołać zamęt” - podsumował przedstawiciel cyberwojsk.

Potrzeba „wyjścia z bańki”

Krzysztof Malesa podsumował, że miarą sukcesu będzie wyjście z własnej bańki środowiskowej i informacyjnej, ponieważ nie sztuką jest przytakiwanie sobie i kiwanie głowami, a takie informowanie o zagrożeniach, by społeczeństwo było ich świadome.

„Chodzi o to, by wyjść w jakiś sposób z tej bańki informacyjnej, w której kiwamy głową. Miarą naszego sukcesu będzie zejście do podstaw” - zakończył dyskusję.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].