Mamy bardzo groźnego sąsiada, który jak widzimy, nie ma skrupułów, także w sferze cyfrowej. Ale z drugiej strony zarówno po rosyjskim konwencjonalnym wojsku, jak i po cyberarmii widać dzisiaj, że nie są aż tak potężne, jak mogło się wydawać. Rozmowa z Sylwią Czubkowską, redaktorką prowadzącą Magazynu Spider’s Web+.
Katarzyna Przyborska: Coraz więcej z nas dostaje podejrzane SMS-y z różnych instytucji o rzekomych niedopłatach czy dziwne telefony od osób, które chcą coś oferować, ale najpierw koniecznie chcą poznać datę urodzenia, PESEL i nr dowodu. Zdarzają się nawet sytuacje, kiedy nieznajomy głos informuje o nagłej śmierci bliskiej osoby. Taki rodzaj prześladowania do niedawna dotykał tylko polityków, teraz może dotknąć każdego. Co się dzieje?
Sylwia Czubkowska: Mamy tu wiele różnych ataków, o których oczywiście teraz sporo słychać. Co może, ale nie musi być wcale ze sobą powiązane. Te socjotechniczne ataki na styku państwa, urzędów, rządu i społeczeństwa wskazują na to, że za częścią spoofingową może stać tak zwany podszywacz, czyli może jeden, a może cała grupa złośliwych czy wynajętych cyberprzestępców, którzy mają wprowadzać chaos.
Wielu ekspertów w ostatnim czasie wskazywało na zbieżność zagęszczenia tych działań z atakiem na Ukrainę. Może to wskazywać na próbę zmęczenia przeciwnika. Przecież początkowo te ataki dotykały tzw. bezpieczników, czyli ludzi odpowiedzialnych za kwestie cyberochrony, a dopiero potem polityków.
Mamy tu kilka nowych pojęć. Spoofer, ale i phishing oraz smishing. Co one oznaczają?
Phishing i smishing to wyłudzanie danych poprzez podszycie się pod jakąś osobę czy instytucję. Czasem celem jest dobranie się do konta bankowego za pomocą linku przesyłanego w SMS-ie lub mailu, np. z informacją od rzekomej gazowni. Czasem cel jest bardziej miękki, np. przejęcie konta w mediach społecznościowych. Spoofing to podszywanie się pod numer telefonu, czasem nawet taki należący do służb. Cele mogą być różne, ale ostatnio u nas obserwowaliśmy takie silne, emocjonalne uderzenia w ludzi, poprzez przestraszenie dramatycznymi historiami, np., że czyjeś dziecko miało wypadek czy też po prostu przez zwyzywanie, oskarżenie o jakieś straszne, wymyślone historie.
czytaj także
Ataki łączą dwie sfery: psychologiczną i informacyjną.
Ta psychologiczna wciąż jest kluczowa, atak ma osłabić zaufanie, wprowadzić chaos, doprowadzić do tego, że ludzie podadzą swoje dane, zapłacą okup, zrobią przelew. W ogóle mamy natłok trudnych okoliczności. Najpierw pandemia, inflacja, teraz wojna i jeszcze jakieś linki, które będą czyścić konta, albo spoofer, który dzwoni do ludzi i bluzga. To wprowadza stan ciągłego nabuzowania.
CERT Polska, czyli zespół reagowania na incydenty komputerowe, odnotował w raporcie za 2021 rok wzrost liczby incydentów o 182 proc. w stosunku do roku wcześniejszego. Liczba phishingów w porównaniu do roku 2020 wzrosła o 196 proc. To aż 22 575 incydentów. Nie radzimy sobie z atakami cyfrowymi?
To, że te incydenty zaczęły docierać do ludzi, do konsumentów, do opinii publicznej, pokazuje, że rzeczywiście jest ich dużo, bo sito bezpieczników instytucji i ekspertów zajmujących się cyberochroną nie zdołało wszystkich przesiać. Ale dane, które przytaczasz, pochodzą z CERT-u przy NASK-u, czyli Naukowej i Akademickiej Sieci Komputerowej. To taki instytut badawczy, który zajmuje się m.in. analizami ataków na firmy, na obywateli, i oczywiście ochroną przed nimi. Te dane nie pokazują więc skali ataków na cele strategiczne, instytucje państwa, kluczową infrastrukturę. A przecież i do nich dochodzi.
Atakami na urzędy czy infrastrukturę zajmują się inne CERT-y?
Przede wszystkim swoje CERT-y – czy raczej CSIRT-y, bo dziś obowiązuje inna nazwa, choć to dla zwykłych ludzi nie jest kluczowe – mają służby państwowe. Jest więc CSIRT GOV, czyli specjalny zespół chroniący infrastrukturę polityczną państwa, urzędy, polityków działających w ABW.
A wojsko?
CERT Ministerstwa Obrony Narodowej dotyczy obszaru wojskowości. Jest odpowiedzialny za szybkie reagowanie na ataki o podłożu wojskowym, ale zajmuje się także choćby kryptologią. To są trzy podstawowe zespoły odpowiedzialne za całość państwa. Ale także telekomy – konkretnie Orange i T-Mobile – mają swoje własne zespoły, które starają się wyłapywać przypadki ataków na ich klientów, w tym choćby tego podszywania się pod czyjeś numery telefonu, czyli spoofingu. Część ataków jest dosyć prosta, powtarzalna i z miejsca jest blokowana, algorytmy doskonale je wyłapują, trochę jak spam. Niektóre jednak są bardziej zaawansowane, wykorzystują nielegalnie wykupywany dostęp do specjalnych bramek do tworzenia numerów.
Telekomy współpracują z państwem?
Oczywiście, że współpracują. Mają nawet taki obowiązek, informują służby państwowe o incydentach, często współpracują przy ich zwalczaniu.
Jaki jest nasz stopień przygotowania?
Myślę, że wbrew tym statystykom coraz lepszy. Świadomość zagrożeń i wyzwań bardzo wzrosła. Państwo i jego instytucje są poddawane ciągłym atakom i w tym roku – oczywiście ze względu na wojnę w Ukrainie − na pewno o większej skali niż w poprzednich latach. Mamy bardzo groźnego sąsiada, który jak widzimy, nie ma skrupułów, także w sferze cyfrowej. Ale z drugiej strony zarówno po rosyjskim konwencjonalnym wojsku, jak i po cyberarmii widać dzisiaj, że nie są aż tak potężne, jak mogło się wydawać, nie są nie do złamania. Dlatego tym cyfrowym atakom jesteśmy w stanie się oprzeć, aczkolwiek oczywiście nie zawsze.
Co ważne, te rosyjskie ataki dotykają też infrastruktury amerykańskiej czy brytyjskiej – a przecież te państwa bardzo dużo inwestują w cyberbezpieczeństwo – i niektóre z nich też okazują się skuteczne. Mamy więc taki wieczny ping-pong i czasem coś się przebije, bo po tej drugiej stronie jest przeciwnik bez skrupułów, tam nie ma żadnej etyki.
NATO rozpoznało cyberprzestrzeń jako tę, którą trzeba chronić, właśnie w wyniku kolejnych cyberataków. Pierwszym był chyba ten w Estonii w 2007 roku?
To był dokładnie 27 kwietnia 2007 roku. Władze w Tallinie chciały zmienić położenie pomnika żołnierzy radzieckich. Do tej pory Brązowy Żołnierz − pomnik „wyzwolicieli” Tallina − stał w centrum miasta, blisko rynku, a wtedy, czyli przed Dniem Zwycięstwa 9 maja, został przeniesiony na cmentarz wojskowy. Początkowa reakcja była przewidywalna, czyli noty dyplomatyczne, oburzenie Kremla.
A potem?
Oprócz tych wszystkich dyplomatycznych działań zaczęły się ataki cyfrowe na strony sejmu, urzędów, ministerstw, banków, urzędów samorządowych, które tak jak u nas odpowiadają za szkolnictwo, ochronę zdrowia. Na początku rząd Estonii nie wiedział, co się dzieje, bo jeszcze nikt wcześniej na świecie niczego podobnego nie doświadczył. Wszystkie ślady wskazywały na kierunek rosyjski, ale trudno było dowieść, że to działalność inspirowana przez Kreml, a nie jacyś samowolni hakerzy-patrioci. Zresztą oni też często są na usługach Kremla.
Kto nas hakuje? Ważniejsze jest to, czego dowiedzieliśmy się o polskim państwie
czytaj także
Sytuacja narastała, po tygodniu sparaliżowane były estońskie urzędy. Zaczęły pojawiać się komentarze polityków, że to najważniejszy atak od drugiej wojny światowej. Ale to – mimo tej skali − jeszcze nie była faktyczna cyberwojna, bo owszem, strony internetowe zostały podmienione na inne, nie było dostępu do wielu portali, ale zasadniczo nie doszło do takich fizycznych zniszczeń w wyniku cyberataku.
Jak to się skończyło?
Ataki zaczęły ustawać po 9 maja. Był to wyraźny sygnał ze strony Rosji, a także zimny prysznic dla struktur NATO. Po 2007 roku powstało NATO-wskie centrum cyberbezpieczenistwa, założone właśnie w Tallinie. Od tego wydarzenia NATO zaczęło też rozwijać swoją doktrynę cyberwojny, która doprowadziła do uznania cyberprzestrzeni za domenę operacyjną. A dla Estonii, która już wtedy była cyfrowo rozwinięta, był to impuls, by jeszcze bardziej się rozwijać.
Drugim impulsem był 2014 rok i atak na Ukrainę.
W okolicach aneksji Krymu i Donbasu, podobnie jak i przed 24 lutego, oprócz ataków konwencjonalnych Rosja uruchomiła też ataki cyfrowe na Ukrainę, które miały osłabić struktury państwowe, wprowadzić tam chaos. W 2014 roku to były ataki podobne jak na Estonię, czyli na infrastrukturę państwową, na banki.
Poważniejsze były ataki na infrastrukturę energetyczną z 2015 i 2016 roku. Ten z 2015 roku w zachodnio-południowej Ukrainie to był pierwszy atak hakerski w historii, który wyłączył sieć energetyczną. Prawie ćwierć miliona ludzi nie miało prądu przez sześć godzin. Niemal dokładnie rok później nastąpił kolejny atak na sieć energetyczną, tym razem w stolicy kraju, Kijowie, i to w grudniu, czyli w momencie, gdy sieć energetyczna jest naprawdę niezbędna. To była dramatyczna sytuacja. Taki atak stwarza zagrożenie życia i zdrowia.
czytaj także
A to i tak był tylko początek, bo w 2017 roku doszło do ataku, który zyskał nazwę NotPetya. Na pierwszy rzut oka wyglądał na klasycznego ransomware’a, czyli złośliwy atak włamujący się na sprzęt i szantażujący właściciela: nie odzyskasz dostępu, jeśli nie zapłacisz określonej kwoty. Tyle że nawet jeśli ktoś zapłacił, to nic się nie działo. W tym ataku bynajmniej nie chodziło o pieniądze, tylko o trwałe zniszczenie znajdujących się na nim danych. NotPetya był tak złośliwy, że przeszedł też na firmy polskie, europejskie, światowe, m.in. Maersk, wielką firmę transportową.
NotPetya też pochodził z Rosji?
Oczywiście Rosja odżegnywała się od niego, ale śladów i dowodów było tyle, że nie ma wątpliwości. Wszystkie te działania skłoniły NATO, by cyberprzestrzeń uznać za kolejną pełnoprawną domenę prowadzenia działań bojowych, oprócz wody, lądu i powietrza. Ta decyzja została ogłoszona na szczycie NATO w Warszawie w 2016 roku.
I od tego czasu zaczęły się wspólne manewry dotyczące właśnie tego obszaru. Tegoroczne wygraliśmy, grając wspólnie w jednej drużynie z Litwą. Czy w takim razie możemy się czuć bezpieczni?
Zwykli obywatele mogą się czuć bezpiecznie.
Bo?
Nie ma sensu, żebyśmy my, obywatele, się tym denerwowali. Od tego są służby − wojsko, powołane w tym roku w lutym Wojska Obrony Cyberprzestrzeni.
Spokój wynika z zaufania. Czy możemy ufać, wiedząc, że wielu profesjonalistów odeszło z wojska? Czytając maile, które wyciekły ze skrzynki Dworczyka?
Oczywiście afera Dworczyka pokazała, że nie ma dobrych, jasnych i przestrzeganych reguł w komunikacji międzyrządowej. Służby nie miały odpowiednio mocnego wejścia, siły przekonania, żeby przypilnować przestrzegania zasad. Wtedy złamanie zabezpieczeń byłoby trudniejsze. Afera Dworczyka dotyczy jednak rządu, nie wojska.
czytaj także
Resorty wojskowe podlegają dużo większym rygorom. Funkcjonowanie w strukturach NATO zmusza nas do przestrzegania standardów. Powstały Wojska Obrony Cyberprzestrzeni, mają swojego dowódcę, generała Karola Molendę, są nakłady finansowe. Współpracujemy z NATO, odbywają się wspólne ćwiczenia. To o tyle ważne, że w ich trakcie poszczególne państwa nawzajem się próbują, porównują kompetencje. To nie są prawdziwe ataki, ale pokazują, gdzie są słabe punkty. Myślę, że warto mieć zaufanie do naszej obronności, choćby dla zachowania spokoju tak niezbędnego, by też nie poddawać się dezinformacji.
A co z dezinformacją sączoną przez telewizję publiczną?
Mamy pod kątem kwestii związanych z szeroko rozumianymi tematami cyfrowymi duże podziały w rządzie. Z jednej strony telewizja została praktycznie przejęta przez Jacka Kurskiego i grupę skupioną wokół Nowogrodzkiej, z drugiej Solidarna Polska jeszcze w styczniu, miesiąc przed inwazją na Ukrainę, twierdziła, że właściwie nie ma takiego problemu jak dezinformacja. I równolegle mamy grupę polityków zgromadzonych wokół KPRM, którzy jak się wydaje, rozumieją, co się dzieje. A to jest spora zmiana. W 2018 roku po aferze Cambridge Analytica, kiedy mieliśmy już dowody wpływu dezinformacji w social mediach na wybory polityczne, przepytałam wszystkie instytucje: Ministerstwo Cyfryzacji, MON, ABW, MSW − co z dezinformacją? Wtedy nikt w Polsce nie myślał o tym poważnie. Teraz przynajmniej NASK się tym zajmuje od strony edukacyjno-świadomościowej.
Komu podlega NASK?
Od strony organizacyjnej: NASK jest jednostką badawczą, która podlega KPRM, odkąd Ministerstwo Cyfryzacji zostało wchłonięte przez Kancelarię Premiera. Jeszcze wcześniej podlegało pod resort szkolnictwa wyższego. To specyficzna jednostka. NASK zakładał ponad trzydzieści lat temu polski internet. Prócz dużej liczby jego badań o wpływie cyfryzacji na społeczeństwo, na dzieci, zarządza też Ogólnopolską Siecią Edukacyjną oraz odpowiada za rejestr domen. W NASK-u działa także wspomniany już CERT Polska, odpowiedzialny za cyberbezpieczeństwo w sferze cywilnej.
Rosja po sankcjach, czyli nawet burak potrzebuje technologii
czytaj także
KPRM pracuje teraz nad Zintegrowaną Platformą Analityczną naszych danych. Co to ma być?
Żeby dane analizować, trzeba je mieć. Na razie są one porozsiewane w różnych rejestrach, które ciągle niekoniecznie się widzą, więc ten duży rejestr jest sam w sobie pomysłem zrozumiałym i potrzebnym. Jednym z elementów, których stanowczo brakuje do dobrego zarządzania w Polsce, jest porządna analiza danych. Ale oczywiście w poprzek tej dobrej intencji staje wspomniane przez ciebie niskie zaufanie do państwa, do polityków i do procesu tworzenia prawa. Brak dobrego procesu legislacyjnego i zaufania do niego powoduje, że nawet gdy pojawia się jakiś dobry pomysł, tak jak ten wielki rejestr, to budzi ogromne i niestety zrozumiałe obawy.
Co obywatele mogą zrobić na własną rękę, by mimo tego braku zaufania nie stać się narzędziami w atakach cyfrowych?
Możemy się edukować medialnie od przedszkola do końca życia. Nasi rodzice wiedzieli, żeby zamykać drzwi, bo im dziadkowie powiedzieli, a im pradziadkowie i tak dalej. Ale nikt nie uczy zasad funkcjonowania w świecie cyfrowym, medialnym, cyberbezpieczeństwa. Być może pierwszym pokoleniem, które się od rodziców będzie mogło czegokolwiek nauczyć w tej dziedzinie, będzie to, które się teraz rodzi, ale i ono stanie przed kolejnymi nowymi wyzwaniami. Potrzebne są więc do takiej edukacji ramy oświaty powszechnej. Mam poczucie, że zagadnienia z jej zakresu powinny być wpisane do podstawy programowej, bo inaczej nie będą traktowane poważnie.
Co jeszcze? Zimna krew?
Na pewno, trzeba zawsze mieć się na baczności, kiedy widzimy, że coś wywołuje w nas nagłe gwałtowne emocje: wielki entuzjazm, euforię albo ogromny sprzeciw. Dwadzieścia razy się zastanowić, jaką konkretną będę miał korzyść z tego, że udostępnię coś dalej. Przefiltrować komunikaty, w miarę możliwości sprawdzać, czy to na pewno prawda. To działa zarówno w przypadku treści politycznych czy społecznych, jak i tych nagłych wezwań do zapłaty rozsyłanych SMS-ami czy mailami. Warto zastanowić się, czy ja muszę w tym momencie na pewno kliknąć. Jak jest 5 zł niedopłaty, to warto sprawdzić, skąd się to wzięło. Prawie nigdy nie ma sytuacji aż tak alarmowej.
Co myślimy, gdzie kupujemy, kogo kochamy. Dane osobowe to nowa ropa kapitalizmu
czytaj także
A co z podejrzanymi telefonami, kiedy nie wiesz, czy o panelach słonecznych rozmawiasz z osobą, czy z robotem?
Z robotami wykorzystywanymi w robocallach nie rozmawiać. Chyba że ktoś ma ochotę na rozrywkę i potrollowanie robota. Też mam takie nagrania, gdy pani odpowiada, że nie jest robotem, tylko tak brzmi. Podejrzane numery można też zgłaszać operatorowi i zablokować we własnym telefonie. Ale od walki z robocallami nie jesteśmy my, tylko urzędy, jak chociażby UOKiK, który przygotowuje teraz bardziej szczegółowe regulacje w tym zakresie.
WhatsApp czy Signal?
Dla znajomych WhatsApp, dla polityków i informatorów Signal.
Czy każdy może zostać zaatakowany Pegasusem?
Pegasus to nie jest żaden zwykły robak, wirus. Nikt nie zarazi się Pegasusem dlatego, że wszedł na rosyjską stronę czy korzystał z niepewnego sprzętu. To jest atak celowany typu Hacking as a service, zatem choć może być przeprowadzony w zasadzie każdym dowolnym komunikatorem, to tylko na konkretnie wskazany cel. Ta usługa w firmie NSO Group, czyli twórcy Pegasusa, wykupywana jest na konkretną liczbę urządzeń, na konkretny czas, i jest na tyle droga, że żadne służby nie będą jej używać do masowej inwigilacji zwykłych obywateli.
**
Sylwia Czubkowska − redaktorka prowadząca Magazynu Spider’s Web+. Wieloletnia dziennikarka ekonomiczna i technologiczna. Pisała dla „Gazety Wyborczej”, „Dziennika Gazety Prawnej” i tygodnika „Przekrój”. Trzykrotnie nominowana do nagrody Grand Press w kategorii dziennikarstwo specjalistyczne. Czterokrotna laureatka nagród Prezesa Urzędu Patentowego za teksty na temat innowacji i wynalazków.