Czy Polska jest gotowa na wojnę w cyberprzestrzeni?
Dlaczego cienka czerwona linia?
Wczesnym rankiem 25 października 1854 r., podczas wojny krymskiej, w pobliżu Bałakławy ustawiona w dwóch liniach garstka szkockich górali z 93. pułku piechoty Sutherland Highlanders powstrzymała szarżę rosyjskiej kawalerii, uniemożliwiając jej zdobycie brytyjskiego obozu. Ich wyczyn rozsławił obraz Roberta Gibba pod nazwą „Cienka czerwona linia” (brytyjscy żołnierze nosili czerwone kurtki). W języku angielskim zwrot ten opisuje sytuację, w której nieliczna grupa staje do walki z potężniejszym przeciwnikiem. Dziś tym mianem określa się zespoły informatyków walczących w sieci z atakami hakerów.
W ostatnich tygodniach wraz ze wzrostem napięcia na granicy polsko-białoruskiej nasze służby odnotowały niepokojący wzrost liczby incydentów w sferze cyberbezpieczeństwa. Zagrożenie jest realne i poważne, a potencjalne straty spowodowane atakiem hakerów mogłyby sięgać setek milionów złotych.
Dlatego w stan gotowości postawiono także specjalistów odpowiedzialnych za zapewnienie bezpieczeństwa w sieci. Bardzo dobry zespół cyberkontrwywiadu ma Służba Kontrwywiadu Wojskowego. Działa powołane w 2013 r. Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni im. Jerzego Witolda Różyckiego. Jednostką podległą MON dowodzi gen. bryg. Karol Molenda, będący jednocześnie pełnomocnikiem rządu ds. utworzenia Wojsk Obrony Cyberprzestrzeni. Centrum podlega 10 jednostek rozmieszczonych na terenie kraju, w których pracuje ok. 5,5 tys. żołnierzy i cywilów.
Wojsko Polskie dysponuje też elitarnym Centrum Operacji Cybernetycznych – wyspecjalizowanym zespołem, którego zadaniem jest prowadzenie operacji militarnych w cyberprzestrzeni w sytuacjach, gdy użycie sił konwencjonalnych nie jest możliwe z przyczyn politycznych, operacyjnych lub technicznych.
Dziś nie wiemy nic o prowadzonych przeciw naszemu krajowi groźnych atakach na infrastrukturę telekomunikacyjną, energetyczną i administracyjną, podobnych do tych, które miały miejsce w roku 2007 w Estonii czy w roku 2017 na Ukrainie.
Czy możemy czuć się bezpieczni?
Z pewnością nie. Choć sytuacja Polski jest znacznie lepsza niż krajów, z którymi sąsiadujemy. Działający w strukturach NASK – Państwowego Instytutu Badawczego zespół CERT Polska podał w raporcie za rok 2020, że zarejestrował 10 420 incydentów z obszaru cyberbezpieczeństwa, o ponad 60% więcej niż w roku 2019.
Z kolei Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego Agencji Bezpieczeństwa Wewnętrznego odnotował w roku ubiegłym aż 246 107 zgłoszeń dotyczących potencjalnego wystąpienia incydentów teleinformatycznych, z czego 23 309 okazało się faktycznym zagrożeniem.
Wydaje się, że to dużo, lecz większość tych zdarzeń dotyczyła mniej groźnych prób wyłudzenia haseł, danych osobowych lub zainstalowania oprogramowania szpiegowskiego. Jedynie 32 przypadki ataków hakerskich zakwalifikowano jako „poważne, czyli takie, których wystąpienie ma istotny skutek zakłócający świadczenia usługi kluczowej”. Szczegółów nie ujawniono.
Bezpieczeństwa administracji państwowej, instytucji rządowych, sektorów bankowego, łączności, energetycznego, służby zdrowia, państwowych i prywatnych firm strzegą informatycy ABW oraz NASK-PIB. Ściganiem przestępców działających w internecie zajmuje się zaś policyjne Biuro do Walki z Cyberprzestępczością Komendy Głównej Policji.
W przyszłym roku ma zostać utworzone policyjne Centralne Biuro Zwalczania Cyberprzestępczości, zatrudniające docelowo 1,8 tys. funkcjonariuszy. Rząd zakłada, że w latach 2022-2031 na ochronę cyberprzestrzeni w Polsce trzeba będzie wydać z budżetu 4,4 mld zł, co nie jest zbyt wielką kwotą, zważywszy na szkody, jakie mogą spowodować ataki na kluczowe dla funkcjonowania państwa systemy.
Co nam grozi?
Straty spowodowane działalnością hakerów w krajach wysoko rozwiniętych liczone są rocznie w setkach miliardów dolarów i wiadomo, że będą rosły. Dlatego rosną wydatki na zapewnienie bezpieczeństwa w sieci, a cyberprzestępcy są bezwzględnie ścigani. Nasz kraj także musi radzić sobie z tym wyzwaniem.
Na początku roku klienci Home.pl otrzymali mejle z informacją: „Automatyczne obciążenie faktur nie powiodło się” i poleceniem, by zalogować się pod wskazanym adresem. Spełnienie żądania mogło oznaczać utratę środków na rachunku bankowym.
Klienci banków otrzymują czasem mejle z żądaniem zalogowania się na stronę internetową i zmiany hasła. Strona oczywiście jest fałszywa.
Ofiarami podobnego ataku padły we wrześniu br. osoby korzystające z usług InPost i DPD, którym wysłano SMS-y z informacją, że „przesyłka posiada błędny adres”. By rozwiązać problem, należało kliknąć na wskazany link. Kryła się pod nim założona przez hakerów strona, bliźniaczo podobna do witryn firm kurierskich. Następnie ofiara była nakłaniana do pobrania i zainstalowania rzekomo niezbędnej aplikacji. Jeśli to zrobiła, mogła się pożegnać z pieniędzmi.
30 września br. hakerzy zaatakowali prowadzącą zakłady bukmacherskie spółkę Totolotek SA (nie mylić ze spółką Totalizator Sportowy SA, która prowadzi zakłady Lotto). Uzyskali dostęp do archiwalnych danych tysięcy klientów Totolotka, obejmujących m.in. imię i nazwisko, datę urodzenia, numer dowodu osobistego, adres zamieszkania, numer PESEL oraz numer rachunku bankowego. By opanować kryzys, spółka musiała odciąć swoje serwery od sieci. Wykradzione dane przestępcy mogą teraz wykorzystać do zaciągania pożyczek w instytucjach pozabankowych, zakładania pod cudzym nazwiskiem kont na serwisach społecznościowych itp. Mogą też je sprzedać innym podmiotom.
Natomiast na początku listopada br. pojawiła się informacja, że zaatakowane zostały serwery i sieci grupy Media Markt i Saturn. Przestępcy zażądali pieniędzy za „rozwiązanie problemu”. Tym razem informatycy poradzili sobie z wyzwaniem. Sklepy nie zawiesiły działalności, a klienci mogli bezpiecznie dokonywać zakupów.
Rozsyłane są także niewinnie wyglądające mejle reklamowe z załącznikiem lub załącznikami, które zawierają złośliwe oprogramowanie – ransomware, szyfrujące dane znajdujące się na dyskach komputera lub komputerów. Blokuje ono dostęp do systemu, a następnie żąda okupu za przywrócenie stanu pierwotnego.
Analitycy firmy SonicWall w opublikowanym w sierpniu br. raporcie podają, że w pierwszej połowie roku na świecie zanotowano 304,7 mln podobnych incydentów. Ich ofiarami byli najczęściej użytkownicy i podmioty z USA, Wielkiej Brytanii, Niemiec, Afryki Południowej i Brazylii.
7 maja 2021 r. amerykańska spółka Colonial Pipeline z siedzibą w Teksasie, zarządzająca systemem rurociągów transportujących benzynę i paliwo lotnicze na południowy wschód Stanów Zjednoczonych, została zaatakowana przez hakerów, którzy „zaszyfrowali” jej systemy komputerowe. By powstrzymać atak, spółka zmuszona była wstrzymać pracę rurociągów i zapłaciła żądaną kwotę – równowartość 4,4 mln dol. w bitcoinach. Przestępcy po otrzymaniu okupu przesłali firmie aplikację, która przywróciła działanie sieci komputerowej. Po jakimś czasie Departament Sprawiedliwości USA ogłosił, że udało mu się odzyskać ok. 2,3 mln dol. z wypłaconego okupu. Był to najpoważniejszy cyberatak na amerykańską infrastrukturę naftową.
W lipcu br. hakerzy zażądali 50 mln dol. od największego na świecie koncernu naftowego, Saudi Aramco, któremu wykradli 1 terabajt danych dotyczących pracowników oraz lokalizacji należących do Saudyjczyków rafinerii ropy naftowej. W sieci pojawiły się doniesienia, że szantaż się opłacił.
Miesiąc później operator sieci telefonii komórkowej T-Mobile ogłosił, że zagrożone zostały pliki zawierające poufne dane ok. 40 mln byłych lub potencjalnych klientów. Interpretowano to jako skuteczną kradzież danych, choć nikt tego oficjalnie nie potwierdził. Analitycy SonicWall przewidują, że liczba ataków typu ransomware na świecie nie zmniejszy się w dającej się przewidzieć przyszłości.
Polska, ze względu na niski PKB, jest w lepszej sytuacji. Okup, na jaki mogliby liczyć przestępcy, byłby skromny i nie pokrywałby kosztów ryzyka. Pewnie też z tego powodu strony internetowe i dane zgromadzone przez nasze ministerstwa oraz urzędy centralne są względnie bezpieczne.
Za to sytuacja administracji samorządowej mogłaby być lepsza. Eksperci NASK-PIB są przekonani, że liczba ataków hakerskich na należące do tych instytucji systemy komputerowe będzie rosła. Głównie z powodu słabości zabezpieczeń.
W październiku br. hakerzy, korzystając ze złośliwego oprogramowania, zaatakowali serwery urzędu miasta w Otwocku i zażądali okupu za ich odblokowanie. Urzędnicy zawiadomili policję i ABW, lecz mieszkańcy przez jakiś czas nie mogli załatwić najprostszych spraw.
Cywilnym odpowiednikiem należącego do wojska Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni im. Jerzego Witolda Różyckiego jest wspomniana już Naukowa i Akademicka Sieć Komputerowa. Jedna ze spółek zależnych NASK zajmuje się prowadzeniem data center dla ministerstw i urzędów państwowych. Inna, NASK CSIRT (Computer Security Incident Response Team), rejestruje płynące z sieci zagrożenia i nie bez sukcesów stara się im przeciwdziałać.
W Polsce raz zdarzyło się, że z powodu ataku hakerskiego w trybie alarmowym zebrał się Rządowy Zespół Zarządzania Kryzysowego. Było to 28 czerwca 2017 r. Powodem był groźny program o nazwie Petya lub NotPetya, jak później podawały media. Pierwotnie zaatakował on ukraińskie firmy i instytucje państwowe, lecz wymknął się spod kontroli i zaczął infekować komputery na całym świecie.
W Polsce pierwszy podniósł alarm koncern Raben. Potem okazało się, że Petya unieruchomił komputery firm InterCars i Kronospan. Na szczęście, dzięki pracy rządowych specjalistów, systemy komputerowe administracji publicznej okazały się bezpieczne.
Jeśli w latach późniejszych zdarzały się podobne ataki, to nic o nich nie wiemy. Natomiast były włamania na prywatne skrzynki polityków, a to dlatego, że nie korzystali z rządowych systemów. Rządowe skrzynki są podwójnie zabezpieczone; by z nich korzystać, należy użyć kodu wysłanego na wskazany numer telefonu komórkowego. Rzecz w tym, że politycy PiS najwyższego szczebla nie ufają takiemu rozwiązaniu. Wskazują, że Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni im. Jerzego Witolda Różyckiego i Centrum Operacji Cybernetycznych podlegają ministrowi obrony Mariuszowi Błaszczakowi, z kolei ABW – Mariuszowi Kamińskiemu. Dlatego premier Morawiecki (morawiecki@gmail.com) czy wiceminister finansów Piotr Patkowski (piotr.a.patkowski@gmail.com) bardziej ufali Google, a Michał Dworczyk (m.dworczyk@wp.pl) Wirtualnej Polsce i dziś mają problem.
Internet rzeczy i nowe zagrożenia
Dzisiaj dostęp do internetu traktujemy jak coś naturalnego i nie zastanawiamy się, co grozi nam, jeśli zostaniemy zaatakowani. Namiastką tego, co nas czeka, była niedawna największa w historii awaria Facebooka, która na początku października dotknęła 3,5 mld użytkowników na całym świecie. W mediach pokazywano i opisywano reakcje młodych ludzi, przerażonych z powodu odcięcia od mediów społecznościowych. Pracownicy Marka Zuckerberga szybko uporali się z awarią, lecz straty wizerunkowe Facebooka były tak potężne, że firma będąca właścicielem serwisu zmieniła nazwę i dziś jest to Meta Platforms.
A to nie koniec. W przyszłości rozwinie się internet rzeczy, w którym wszystkie urządzenia: roboty kuchenne, pralki, lodówki, smartfony, samochody, rozruszniki serca itd., zostaną połączone w jedną wielką sieć. Szacunki mówią, że znajdzie się w niej 50-70 mld urządzeń, co oznacza przepływ ogromnych ilości danych, którym trzeba będzie zapewnić bezpieczeństwo.
Z jednej strony, świat stanie się inteligentniejszy, bardziej wydajny, łatwiejszy i przyjemniejszy do życia. Z drugiej, będzie to spełnienie marzeń hakerów, gdyż o ile protokoły bezpieczeństwa i wdrożone już praktyki dla serwerów, komputerów osobistych i smartfonów są dobrze rozumiane, szeroko przyjęte i zapewniające względne bezpieczeństwo, o tyle standardy zabezpieczeń dla urządzeń tworzących internet rzeczy dopiero powstają i – jak się wydaje – nie są dziś wystarczająco pewne. W niezbyt odległej przyszłości może się okazać, że od informatycznego chaosu dzieli nas cienka czerwona linia.
m.czarkowski@tygodnikprzeglad.pl
Fot. US Army
Odpowiedz na treść artykułu lub innych komentarzy