top of page

Najlepsze zabezpieczenia nie zastąpią świadomości

22 lipca 2022

Rozmowa z płk dr Piotrem Potejko, specjalistą w obszarze bezpieczeństwa, Prezesem Zarządu ASIS Polska, prawnikiem, pedagogiem, adiunktem Katedry Nauk o Bezpieczeństwie Instytutu Nauk Politycznych Uniwersytetu Warszawskiego, ekspertem Instytutu Staszica


Elementem szeroko pojętego konfliktu Rosji z zachodnim światem są także działania w sieci. O włamaniach na skrzynki polityków jest głośno, ale czy obecna sytuacja stwarza zagrożenia również dla firm? Czy są one bardziej narażone na cyberataki?

Operacja „Ghostwriter”, prowadzona przez grupę hakerską z Rosji i wspierana przez służby specjalne, Polakom jest bardzo dobrze znana, choć ta grupa ma dodatkowo powiązania białoruskie. To cyberprzestępcy stoją za aferą z wyciekającymi mailami Michała Dworczyka. Już w lipcu 2020 r. grupa ta opublikowała raport opisujący szczegółowo kampanię „Ghostwriter”, która skupiała się na przejmowaniu kont w mediach społecznościowych na Litwie, Łotwie i w Polsce. Potem zaczęły się przejęcia kont polskich polityków.


Przed rosyjską napaścią na Ukrainę…

Kolejnym etapem były właśnie działania na Ukrainie. W ciągu miesiąca wojny Ukraina doznała wielu ataków w cyberprzestrzeni. Od 15 lutego br. na infrastrukturę krytyczną Ukrainy przeprowadzono ponad 3000 ataków DDoS. Rekordem było 275 ataków w ciągu jednego dnia. Sektor publiczny zaobserwował wzrost liczby różnych rodzajów ataków i cyberincydentów.W ciągu pół roku służby ukraińskie zablokowały ponad 1,1 miliona różnego rodzaju ataków na publiczne zasoby informacyjne, a ponadto zablokowano ponad 250 ataków DDoS. Z powodu cyberataku doszło do awarii technicznej w działaniu dostawców usług internetowych, zapewniających wsparcie przedstawicielstw i stron internetowych prezydenta Ukrainy, Służby Bezpieczeństwa Ukrainy i innych władz państwowych. Wraz z początkiem konfliktu rosyjsko-ukraińskiego zaczęły pojawiać́ się̨ oddziały antyukraińskich haktywistów, które uczestniczyły w serii cyberataków na obiekty ukraińskie. Jedną z takich grup był CyberBerkut, która realizowała ataki DDoS, zniekształcanie stron internetowych Ukrainy i NATO, przechwytywanie dokumentów dotyczących współpracy wojskowej USA-Ukraina. Dotychczas jednak nie znaleziono dowodów na zmowę̨ danej grupy z rosyjskim rządem, jednak z pewnością̨ można stwierdzić, że te ataki spowodowały dodatkowe zamieszanie podczas kryzysu, zwłaszcza po stronie ukraińskiej.

W tym samym czasie Kancelaria Premiera poinformowała o zwiększeniu się częstotliwości ataków DDoS wymierzonych w polskie instytucje i podmioty krajowe, co może powodować utrudnienia w dostępie do usług realizowanych za pomocą Internetu. Do fali ataków w otwarty sposób przyznają się rosyjskojęzyczne grupy haktywistów, które za cel obrały sobie uznane przez siebie za istotne strony internetowe. Polskie służby monitorują sytuację i póki co ataki nie mają wpływu na poufność danych i nie stanowią zagrożenia dla infrastruktury krytycznej naszego państwa.


O co zadbać w pierwszej kolejności, by zmniejszyć ryzyko skutecznych ataków?

Wśród szeregu strategicznych zasobów organizacji szczególnego znaczenia, z uwagi na rolę w procesie uzyskiwania wysokiego i trwałego poziomu bezpieczeństwa, nabiera nowoczesna technologia, a przede wszystkim procedury bezpiecznego funkcjonowania w cyberprzestrzeni. Ich znaczenie i rola w organizacji uległy istotnej zmianie, co jest efektem ukształtowanego pod presją zmian otoczenia zagrożeń i ataków cybernetycznych oraz nowego obrazu organizacji opartego współcześnie na szeroko rozumianych zasobach wiedzy. Jesteśmy dziś bardziej obecni w świecie wirtualnym, co powoduje, że potrzebna jest zmiana w świadomości pracowników w otaczającej nas nowej rzeczywistości. Technologia stała się podstawowym czynnikiem tworzenia potencjału konkurencyjnego oraz realizacji celów strategicznych przedsiębiorstw na całym świecie. A skoro nowoczesne technologie – to nowe zagrożenia w cyberprzestrzeni, gdyż rozwiązania te oparte są o infrastrukturę teleinformatyczną, o cyberprzestrzeń. Powoduje to, że wszyscy jesteśmy bardziej podatni na cyberataki. Przykład ukraiński daje nam obraz możliwości przeciwnika, który potrafi przenikać do naszego systemu informacyjnego, blokować go i powodować trudności w prawidłowym funkcjonowaniu.


Czy Rosjanie i ich sojusznicy, jak Białoruś, dysponują profesjonalistami w zakresie cyberprzestępczości? Czy zagrożenie z ich strony jest naprawdę poważne?

Eksperci zajmujący się cyberbezpieczeństwem wskazują, że chociaż za oficjalny początek rosyjskiej inwazji w Ukrainie uważane są bombardowania w nocy z 23 na 24 lutego, to tak naprawdę pierwszą jej fazą były jednak wzmożone działania w cyberprzestrzeni Ukrainy. Cyberatakami szczególnie zagrożone są państwa NATO. Ataki na te państwa mają na celu osłabienie wspólnych działań wspierających Ukrainę i są najczęściej wymierzone w organy rządowe lub infrastrukturę krytyczną państw sojuszniczych. Dodatkowo sankcje gospodarcze, jakie zostały nałożone na Rosję, powodują wzmożone działania służb rosyjskich i współpracujących z nimi grup hakerskich do podejmowania działań odwetowych w cyberprzestrzeni. Przede wszystkim analizowana jest i kontrolowana przez Rosjan infrastruktura krytyczna USA i innych krajów NATO pod kątem ataku na nią. W ostatnich latach liberalne demokracje coraz częściej stają się̨ celem ataków ze strony krajów autorytarnych, zwłaszcza w cyberprzestrzeni. Wszystkie państwa, zarówno demokratyczne, jak i autorytarne, tradycyjnie wykorzystywały możliwości cybernetyczne do gromadzenia informacji o innych krajach, jednak dziś́ wojna polityczna o niskiej intensywności w cyberprzestrzeni stała się̨ bardziej widoczna. Niestety dla demokracji, cyberprzestrzeń jest idealnym środowiskiem do podważania procesów demokratycznych i instytucji poprzez rożne operacje niejawne. Państwa autorytarne wykorzystują̨ cyberataki do wywierania wpływu. W cyberprzestrzeni głównymi państwami przeciwstawiającymi się̨ demokracjom są Chiny, Rosja, Iran i Korea Północna. Wśród nich Chiny i Rosja wypracowały doskonałe strategie i taktyki prowadzenia wojny informacyjnej i operacji informacyjnych, a Iran z powodzeniem je skopiował. Podejście Rosji i Chin w tym aspekcie jest bardzo podobne. Oba kraje postrzegają̨ wolność informacji i zagraniczne technologie jako zagrożenie dla ich „cybersuwerenności” i dążą do kontrolowania cyberprzestrzeni i zawartych w niej informacji. Podobnie w odniesieniu do działań́ związanych z informacją, żaden z tych krajów nie czyni rozróżnienia między czasem pokoju a czasem wojny. Federacja Rosyjska eksploatuje i zaostrza w społeczeństwie zachodnim niezadowolenie społeczno-gospodarcze i ideologiczne związane m.in. z globalizacją, innowacjami technologicznymi, nacjonalizmem, fundamentalizmem, imigracją i zmianami klimatycznymi. Rosja wykorzystuje też nowe możliwości sieci społecznościowych do wzmocnienia ofensywy propagandowej, w szczególności tzw. trolli, które nasycały popularne strony internetowe fałszywymi informacjami. Jak informuje w swoich raportach Służba Bezpieczeństwa Ukrainy (SBU), w cyberataki na ukraińskie strony rządowe zaangażowane są grupy hakerów, powiązane z rosyjskimi służbami wywiadowczymi. Specjaliści wyróżnili pięć grup, które przeprowadziły największą liczbę cyberataków wymierzonych w ukraińską infrastrukturę krytyczną. Działania hakerów są swoistymi operacjami w cyberprzestrzeni prowadzonymi przez Rosję oraz Białoruś. Na liście stworzonej przez CERT-UA znajdują się m.in:

  • UAC-0041 (AgentTesla, XLoader) – rosyjscy haktywiści;

  • UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel) – rosyjscy haktywiści i cyberszpiedzy;

  • UAC-0051 aka UNC1151– podmiot APT (Advanced Persistent Threat), powiązany ze służbami specjalnymi Białorusi, który ma stać za kampanią Ghostwriter (jej elementem była tzw. afera mailowa w Polsce).

  • UAC-0028 aka APT28 (Fancy Bear) – powiązana z rosyjskim wywiadem wojskowym GRU.

Wszyscy eksperci, wywodzący się ze służb specjalnych, zwracają uwagę, że w swoich działaniach rosyjski wywiad udostępnia tym grupom swoje informacje i dane.


Polskie firmy po 24 lutego zaczęły bardziej zwracać uwagę na kwestie cyberbezpieczeństwa, czy też nie widać zmiany w tym zakresie?

Do niedawna strategia cyberbezpieczeństwa w firmach traktowana była jako ta część ogólnej strategii podmiotu, która odnosiła się do wyboru przyszłych systemów technicznych (np. baz danych, instalacji przemysłowych). Zatem postrzegana była głównie jako plan działań odnoszących się do jednego z podsystemów organizacji – podsystemu technologicznego, których realizacja winna pozwolić osiągnąć podstawowe cele. Obecnie w związku z zwiększoną ilością zagrożeń uległo to zdecydowanej zmianie i poprawie.

Wpływ na ten fakt miało m.in. podpisanie przez premiera Mateusza Morawieckiego zarządzenia obowiązywania trzeciego stopnia alarmowego CRP (CHARLIE–CRP), określonego w ustawie o działaniach antyterrorystycznych na terytorium całego kraju oraz drugiego stopnia alarmowego BRAVO na terenie województwa podkarpackiego i lubelskiego. Podwyższenie stopnia alarmowego jest związane z „sytuacją w Ukrainie i działaniami w polskiej cyberprzestrzeni”. Doszło do niego po raz pierwszy. Stopień ten jest wprowadzany w przypadku wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym w cyberprzestrzeni albo uzyskania wiarygodnych informacji o planowanym zdarzeniu. Zadania organów państwa, związane z wprowadzeniem stopni alarmowych CRP, zostały określone w rozporządzeniu Prezesa Rady Ministrów z 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP. W związku z tym polskie firmy zwracają większą uwagę na kwestie bezpieczeństwa w cyberprzestrzeni, dokonują przeglądów swoich systemów w zakresie podatności na włamania i zapewnienia ciągłości działania.


Jeśli miałby Pan porównać świadomość dotyczącą cyberzagrożeń wśród polskich przedsiębiorców i wśród przedsiębiorców z państw „starej Unii”, np. niemieckich – to jak wypadamy na tym tle?

Rosja i Europa to jedno z najbardziej aktywnych miejsc, jeśli chodzi o cyberprzestępczość w ogóle. Dla cyberprzestępców nie mają znaczenia okoliczności, sytuacja polityczna czy wojna. Wprost przeciwnie – wykorzystają każdą okazję do oszustw, by tylko ukraść jeszcze więcej danych i pieniędzy.

Od dłuższego czasu obserwujemy permanentne ataki, które odbywają się na różnych poziomach skali i natężenia. To właśnie wschodnia Europa zawsze była wyjątkowo interesującym regionem do działań w cyberprzestrzeni szczególnie dla Rosji. Na podstawie EY Global Information Security Survey 2020 sytuacja wyglądała następująco: 59% organizacji doświadczyło znacznego naruszenia bezpieczeństwa w ciągu ostatnich 12 miesięcy, 26% przypadków naruszeń bezpieczeństwa w ciągu ostatnich 12 miesięcy zostało wykrytych przez Security Operations Center (SOC). 20% zarządów organizacji jest całkowicie pewnych posiadanych środków mitygujących ryzyko cybernetyczne, 36% organizacji przyznaje, że planując nową inicjatywę biznesową od samego początku uwzględnia kwestie związane z cyberbezpieczeństwem. Jednak przykłady nowych zagrożeń w cyberprzestrzeni oraz intensyfikowania się ataków na przedsiębiorstwa i organizacje powodują nowe, profesjonalne podejście do tworzenia systemów zabezpieczeń. Podobnie jak w innych państwach, także w Polsce nowoczesna i sprawna infrastruktura krytyczna, niezależnie od pojawiających się zagrożeń, jest czynnikiem decydującym o skuteczności funkcjonowania państwa. W sytuacjach nadzwyczajnych przesądza także de facto o jego przetrwaniu. Dlatego możemy powiedzieć, że znacząca większość polskich firm jest przygotowana na cyberzagrożenia, na dobrym światowym poziomie. Jednak jest jeszcze bardzo dużo do zrobienia w zakresie cyberbezpieczeństwa.


Jak skutecznie budować świadomość znaczenia bezpieczeństwa cyfrowego wśród polskich firm?

Współczesne cyberbezpieczeństwo jest dużym wyzwaniem dla struktur państwowych i międzynarodowych. Nie można sobie obecnie wyobrazić́ prawidłowo działającego państwa, bez odpowiedniego zabezpieczonej cyberprzestrzeni. Jest to problem na tyle szeroki i wielopoziomowy, że przeniknął każdy element polityki państwowej. Stąd potrzeba, żeby istniały wyspecjalizowane instytucje, organizacje, jednostki oraz podmioty, które będą̨ umiały przeciwdziałać́ zagrożeniom cyberbezpieczeństwa, ale też współtworzyć́ system, chroniący cyberprzestrzeń państwową, międzynarodową̨ i również wspierający podmioty prywatne.


Czy nasze firmy są na takie ataki przygotowane?

Zagrożenia cybernetyczne są̨ powszechne, częste i niosą̨ ze sobą̨ niebezpieczne skutki. Dlatego też jest niezwykle ważne, by firmy, które coraz częściej wykorzystują technologię teleinformatyczną, były gotowe na ataki w nie wymierzone. Niestety, tylko 20% zarządów ma świadomość konieczności przygotowania na cyberataki. Prawie 40% przedsiębiorstw w budowaniu planów działania, planów inwestycyjnych w ogóle nie uwzględnia cyberbezpieczeństwa. To jest przerażające, gdyż większość zdarzeń przestępczych przeniosła się do cyberprzestrzeni. Obecnie firmy muszą stawić czoła kolejnym, nowym wyzwaniom wpływającym diametralnie na realizację swoich celów biznesowych wraz z organizacją pracy swoich pracowników na czele. To wszystko niesie za sobą nie tylko konieczność zdefiniowania na nowo funkcjonowania przedsiębiorstw w dotąd nietestowanej rzeczywistości, ale przede wszystkim zdefiniowanie procesu zarządzania, który ma na celu podjęcie odpowiednich kroków, by ograniczyć bądź zminimalizować negatywne skutki pojawiających się zagrożeń. Pewne jest, że już teraz należy przygotować długofalowy plan, który pozwoli na stopniowe ustabilizowanie procesów w organizacji.


Jakie powinny być jego założenia?

Powinny się one opierać się na prognozach biznesowych opracowywanych przez systemy analityczne. Audyty bezpieczeństwa i podnoszenie świadomości zagrożeń to podstawowe elementy budowania systemu odporności. Cały proces winien być wspierany cyklicznymi szkoleniami oraz testami podatności firm w zakresie ich odporności na cyberataki. Analizując poszczególne dokumenty dotyczące cyberbezpieczeństwa, powstające na przestrzeni lat, można zauważyć, jak cyberprzestrzeń́ systematycznie stawała się̨ coraz ważniejszą domeną w funkcjonowaniu firm prywatnych. Zagrożenie w cyberprzestrzeni stale rośnie i to, czy polskie firmy sprostają nowym technologicznym wyzwaniom, głównie zależy od poziomu nowych procedur, rozwiązań oraz szkolenia odpowiedniej kadry. Kolejną ważną kwestią przeciwdziałania jest odpowiednia edukacja pracowników i osób korzystających z systemów IT. Wiele ataków byłoby niemożliwe lub trudne do zrealizowania, gdyby ludzie zdawali sobie sprawę̨ z zagrożeń w sieci. Można tutaj podać za przykład chociażby ataki phishingowe. Dlatego też osoby pracujące w podmiotach, czy to publicznych, czy to prywatnych, powinny posiadać odpowiednie przeszkolenie w tej dziedzinie. Nawet najlepsze zabezpieczenia technologiczne i systemowe nie spełnią swojej roli, gdy pracownicy nie zastosują̨ się̨ do elementarnych podstaw cyberbezpieczeństwa. Dopiero dzięki połączeniu wykwalifikowanej kadry pracowniczej oraz odpowiedniej technologii, każda firma będzie dostatecznie chroniona.


Dziękuję za rozmowę.

Rozmawiał Marcin Rosołowski


Zainteresowanych bibliografią dotyczącą tego tematu, zachęcamy do kontaktu z redakcją DWU.TYGODNIKA – kontakt@instytutstaszica.org


Foto: pixabay.com

bottom of page