Polska nieprzygotowana do cyberwojny

Był 27 kwietnia 2007 r. Wszystko zaczęło się od usunięcia pomnika poświęconego żołnierzom radzieckim. Zaraz potem hakerzy dokonali bezprecedensowego, zmasowanego ataku na estońskie serwery i serwisy internetowe sektora publicznego oraz prywatnego. Zablokowano witryny www, przestały działać strony prezydenta Estonii, rządu, ministerstw, parlamentu, partii politycznych, koncernów medialnych oraz największych banków. W szczycie tego kryzysu nie działały karty płatnicze i telefony komórkowe, a całe państwo zanotowało miliardowe straty, o które politycy estońscy oskarżyli Rosjan.

- Atak na Estonię był pierwszym przypadkiem w historii, w którym obcemu państwu poprzez atak cybernetyczny udało się sparaliżować na pewien czas funkcjonowanie kluczowych instytucji publicznych i prywatnych. Był to atak kategorii Distributed Denial of Services potocznie określany jako DDoS i polegający na zablokowaniu systemów komputerowych, poprzez zajęcie wszystkich wolnych zasobów. Przyjęcie tego sposobu ataku było możliwe dzięki rozbudowanej sieci botnet, czyli grupy komputerów zainfekowanych złośliwym oprogramowaniem i kontrolowanych z ukrycia przez zarządzających daną siecią hakerów – wyjaśnia Łukasz Gawior, dyrektor operacyjny polskiej firmy hostingowej Zenbox.pl.

9 maja (rosyjski Dzień Zwycięstwa) sytuacja zaczęła przypominać powieść science fiction: dwa największe banki, Hansapank i SEB Uhispank, musiały zawiesić usługi online i wstrzymać transakcje zagraniczne. Zamarła też strona największego dziennika „Postimees”. Prezydent Toomas Hendrik Ilves powiedział potem: „W obecnych czasach nie potrzeba pocisków, żeby zniszczyć infrastrukturę. Można to zrobić online”. Jeszcze bardziej ponuro zabrzmiał komentarz Gadi Evrona, izraelskiego eksperta ds. bezpieczeństwa, który był w tym czasie w Estonii: „Za pomocą cyberbomby Estonia została niemal zepchnięta do epoki kamiennej”.

Przykładów podobnych ataków w ostatnim dziesięcioleciu jest mnóstwo. Mimo, iż nie wszystkie z nich ingerowały w infrastrukturę krytyczną państw, to skutecznie udowodniły, że odpowiednie wykorzystanie cyberprzestrzeni w trakcie sporu politycznego może przynieść znaczące korzyści i spowodować paraliż informacyjny. Symbolem nowych czasów niech będzie stworzenie w Estonii – w rok po cybernetycznym kryzysie -  Cooperative Cyber Defence Centre of Excellence, czyli ośrodka koordynującego obronę NATO-wskiej cyberprzestrzeni. Czy w analogicznej do Estonii sytuacji powinniśmy czuć się zagrożeni?

Bezbronna Polska

Pod koniec września w Pieniężnie usunięto pomnik radzieckiego generała, co wywołało ostrą krytykę ze strony rosyjskiej i wezwanie do rosyjskiego MSZ polskiej ambasador. Tym razem skończyło się na dosyć nieprzyjemnych oskarżeniach i oficjalnych oświadczeniach. Jednak w odniesieniu do incydentów w Estonii można się zastanawiać, co by było gdyby hakerzy zaatakowali Polskę…

Patrząc na „stan obronności cybernetycznej” w Polsce można się nieco przestraszyć. Gdyby dzisiaj przeprowadzono na nas atak cybernetyczny jedyne, co moglibyśmy zrobić, to liczyć na łut szczęścia. Według  przeprowadzonej w czerwcu oceny NIK, bezpieczeństwo w cyberprzestrzeni w Polsce nie jest właściwie chronione, a mówiąc wprost: jesteśmy kompletnie nieprzygotowani do nawet niepozornych działań, nie mówiąc już o zmasowanych atakach hakerskich. Jako główny problem NIK wskazała brak spójnej strategii i jednego ośrodka decyzyjnego koordynującego działania innych instytucji publicznych. Oprócz chaosu kompetencyjnego, przygotowywane w ramach Krajowego Planu Zarządzania Kryzysowego scenariusze skupiają się głównie na konwencjonalnych typach zagrożeń, takich jak klęski żywiołowe całkowicie pomijając temat bezpieczeństwa w cyberprzestrzeni.   

Co więcej, obowiązujące przepisy dotyczące prawa telekomunikacyjnego nie były wykorzystywane w celu opracowywania procedur obowiązujących w sytuacjach kryzysowych związanych z cyberprzestrzenią, a kierownictwo odpowiedzialnych podmiotów państwowych nie dostrzegało potrzeby podjęcia działań w tym zakresie. W związku z tym NIK wskazała na konieczność bezzwłocznego podjęcia skoordynowanych, systemowych działań, prowadzących do wdrożenia realnych mechanizmów ochrony cyberprzestrzeni RP.

- W świecie otaczającym nas przez różne urządzenia, usługi chmurowe i szeroko pojęte nowe technologie, nikogo nie powinno dziwić, że liczba cyberataków stale wzrasta i również charakteryzuje się coraz bardziej zaawansowanymi technikami. Wyzwania związane z bezpieczeństwem IT są różnorakie, od kwestii zabezpieczenia się przed utratą danych bądź ich wyciekiem po zapewnienie ich dostępności dla użytkownika. Stworzenie spójnych rozwiązań i strategii obrony jest niezbędne – komentuje Łukasz Gawior.

W Polsce za kwestie bezpieczeństwa cybernetycznego „odpowiedzialnych” jest kilka podmiotów. Minister Administracji i Cyfryzacji, Minister Spraw Wewnętrznych, Minister Obrony Narodowej, Prezes UKE, Rządowe Centrum Bezpieczeństwa, ABW, NASK i kilku innych. Teoretycznie więc powinniśmy być cybernetyczną twierdzą nie do zdobycia. Problem w tym, że dotychczas nie powiodło się wypracowanie zintegrowanego i systemowego wspierania przez państwo badań w obszarze ochrony cyberprzestrzeni oraz możliwości praktycznego zastosowania ich wyników w celu poprawy bezpieczeństwa teleinformatycznego na terenie Polski. Czy można więc dalej liczyć na instytucje publiczne?

Jakość bezpieczeństwa zależy od biznesu

W ostatnich dniach września nad cyberbezpieczeństwem debatowano w Krakowie. Uczestnicy największej w Europie konferencji CYBERSEC starali się nakreślić kierunek polityki bezpieczeństwa oraz przygotować rekomendacje do zbliżającego się szczytu NATO, który odbędzie się latem 2016 roku w Warszawie. Biorący udział w konferencji wiceministrowie MON, MAC, przedstawiciele polskich organizacji oraz ponad 100 ekspertów z Europy i USA odnieśli się do biznesu. Patrząc na cyberbezpieczeństwo z poziomu szeroko pojętych rozwiązań informatycznych, to w dużej mierze od decyzji „gigantów” IT zależy, jak te zabezpieczenia będą wyglądać. Mowa tu nie tylko o zaawansowanych systemach, ale także internetowych wyszukiwarkach, programach do obsługi poczty elektronicznej, etc. Wiele zależy od samego biznesu, ale tutaj trudno o optymizm.

- Na początku września br. przeprowadziliśmy badanie dotyczące bezpieczeństwa wśród 300 osób odpowiedzialnych lub współodpowiedzialnych za bezpieczeństwo IT w polskich organizacjach z różnych sektorów gospodarki. Wyniki wskazują, że choć dla 78 proc. z nich ochrona i ciągłość dostępu do danych firmy jest bardzo ważna, to 75 proc. nigdy nie słyszało o pojęciu BCM (Business Continuity Management). To dowód, jak bardzo nasz rynek IT wymaga edukacji – uświadamiania, że planowanie i inwestycje w bezpieczeństwo są uzasadnione – wyjaśnia Ewelina Hryszkiewicz, kierownik produktu w ATMAN.

Niestety, w ostatnich latach, ze względu na niepewną koniunkturę gospodarczą wiele firm wstrzymywało inwestycje IT, w szczególności te związane z bezpieczeństwem. Dziś niewiele się pod tym względem zmieniło. Według danych IDC, mimo dynamicznie rosnącej liczby zagrożeń oraz faktycznych ataków na polskie firmy, wydatki na bezpieczeństwo IT rosną umiarkowanie i stanowią, w zależności od wielkości i rodzaju firmy, od 2-5 proc. do 15 proc. całkowitych kosztów IT. Niewiele. Co istotne, firmy często nie wiedzą czy wydatki te są efektywne i uzasadnione. Ponad jedna trzecia respondentów badania IDC formalnie nie mierzy efektywności wydatków na bezpieczeństwo IT, a tylko znikoma część liczy zwrot z inwestycji w bezpieczeństwo IT (ROI).  

- Bez sektora prywatnego państwo nie zapewni bezpieczeństwa, ponieważ stosowane przez firmy zabezpieczenia są istotnym elementem całego ekosystemu – tłumaczy Łukasz Gawior z Zenbox.pl.  

Szybka poprawa poziomu bezpieczeństwa byłaby możliwa gdyby biznes chętniej decydował się na korzystanie z profesjonalnie zabezpieczonych centrów danych. Zwłaszcza, że stajemy się regionalną potęgą pod względem zaawansowania i powierzchni „cyfrowych sejfów”.

- Doświadczenie z zakresu bezpieczeństwa i ochrony danych wskazuje, że przeniesienie zasobów IT do profesjonalnego centrum danych podnosi ich bezpieczeństwo lub utrzymuje je na stałym poziomie przy znacznie niższych kosztach utrzymania infrastruktury informatycznej i telekomunikacyjnej – tłumaczy Ewelina Hryszkiewicz. Jej zdaniem dbałość o zapewnienie cyberbezpieczeństwa powinna być takim samym standardem, jak instalowanie monitoringu i alarmów antywłamaniowych w siedzibach firm. Na to przyjdzie nam chyba jeszcze niestety trochę poczekać.