Dr Joanna Świątkowska: Piątkowy atak DDoS może stanowić preludium do działań dużo poważniejszych w skutkach

We wrześniu br. na blogu Bruce’a Schneiera, eksperta ds. cyberbezpieczeństwa, pojawił się głośny wpis o podejmowanych próbach zakłócenia funkcjonowania krytycznych elementów Internetu przez niezidentyfikowane podmioty. Jego ostrzeżenie wiele osób przyjmowało z powątpiewaniem,  a nawet pewną dozą lekceważenia. Tymczasem, w ubiegły piątek miał miejsce zmasowany atak typu DDoS na jedną z firm, która zarządza usługami DNS. W rezultacie, użytkownicy mieli utrudniony dostęp do sporej ilości serwisów internetowych. Przewidywania Schneiera zaczęły się materializować. Byliśmy świadkiem preludium do możliwych i dużo poważniejszych w skutkach ataków. Krytycy muszą zacząć poważnie traktować informacje, do których wcześniej podchodzili z dystansem. Wiele zostało napisane i powiedziane na temat tego, w jaki sposób przeprowadzono atak oraz kto mógł za nim stać. W całej debacie warto jednak w sposób szczególny zwrócić uwagę na dwa wątki, które powinny wybrzmieć wyjątkowo głośno.

Pierwszy element jest silnie związany z rozumieniem pojęcia infrastruktury krytycznej i działań podejmowanych na rzecz jej ochrony. Zarówno na poziomie krajowym, jak i międzynarodowym,  tematyka zabezpieczenia strategicznych z punktu widzenia niezakłóconego funkcjonowania państw systemów: obiektów, instalacji, urządzeń, usług (takich jak choćby systemów kontroli lotów czy elektrowni), staje się coraz bardziej powszechna i zaawansowana. Powstają standardy, dobre praktyki, instrumenty legislacyjne pozwalające skłonić operatorów do dbania o cyberbezpieczeństwo. Coraz mocniej wybrzmiewa także dyskusja o międzynarodowych mechanizmach powstrzymujących państwa przed stosowaniem cyberataków na elementy infrastruktury krytycznej poszczególnych krajów.

Przykładem mogą być między innymi wyniki pracy Grupy Ekspertów Rządowych (GGE) działających  w ramach ONZ i zajmujących się międzynarodowymi aspektami cyberbezpieczeństwa. Dowodzi to, że wzrasta świadomość faktu, iż bezpieczeństwo państw i społeczeństw w dużej części zależy od stopnia zapewniania cyberbezpieczeństwa narodowej infrastruktury krytycznej. Ale w debacie tej, powinniśmy dostrzec jeszcze szerszy wymiar zagadnienia. Otóż, Internet musi być traktowany jako całość – jako infrastruktura krytyczna społeczności międzynarodowej. Powinny zostać podjęte zdecydowane kroki, aby uświadamiać sojuszników i adwersarzy, że atak na fundamenty Internetu będzie bronią obosieczną. W razie globalnych zakłóceń nie będzie wygranych i przegranych, lecz ucierpią wszyscy, także agresorzy. Możliwe konsekwencje, również gospodarcze, mogą oznaczać katastrofę dla całej społeczności. Wszyscy ‘siedzimy’ na jednej gałęzi. Brzmi jak fantastyka? Przypomnijmy sobie Schneiera i wyciągnijmy wnioski. Potrzeba olbrzymiej mobilizacji na poziomie międzynarodowym, aby znaleźć mechanizmy ograniczające ryzyko.

Drugi aspekt jest ściśle związany ze ślepym zachwytem nad postępem technologicznym, który nie idzie w parze ze zdrowym rozsądkiem. Jak wiadomo, Internet Rzeczy został wykorzystany do przeprowadzenia piątkowego ataku. Czy to wystarczający sygnał, aby uzmysłowić sobie, że tworzenie rozwiązań, produktów i usług, które są budowane wyłącznie na imperatywie funkcjonalności bez fundamentu bezpieczeństwa prowadzą do dramatycznych skutków? Żyjemy w realiach Industry 4.0, zmierzamy w stronę Internetu Wszechrzeczy. Kluczowe projekty cywilizacyjne, wraz z zaufaniem użytkowników do sieci, mogą zostać poważnie naruszone, jeśli nie przewartościujemy stosowanych rozwiązań. Najwyższy czas zacząć podejmować właściwe decyzje. Więcej sygnałów ostrzegawczych może już nie być.

Dr Joanna Świątkowska – dyrektor programowy CYBERSEC, ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa