20 lat internetu szerokopasmowego w Polsce, kampanie, ostrzeżenia, programy społeczne, a cyberataków notujemy coraz więcej. Ma Pan pomysł, dlaczego tak się dzieje?
Piotr*: Zawsze było tak, że najbardziej narażonym na atak elementem są ludzie, infrastruktura, która ciągle się zmienia wraz z życiem organizacji. Same zagrożenia też ciągle ewoluują. Także politycy i infrastruktura państwowa są celem wielowymiarowych działań. Choć wektory ataku są różne. Tak to jest, kiedy państwo nie ma systematycznego, spójnego podejścia do problemu. Wypracowanej strategii.
Wobec pojedynczych osób też?
To jest to, o czym powiedziałem: brak myślenia strategicznego. Wyobraźmy sobie polityka X, który ma dostęp do danych wrażliwych. Niech będzie posłem komisji spraw zagranicznych, choćby przez jedną lub dwie kadencje. Taki poseł wyrabia kontakty, poznaje ludzi. A potem przestaje być posłem… ale nadal ma nabyte podczas pracy wiedzę i kontakty. Które mogą być łakomym kąskiem dla innych. Ale o takich ludziach się już zapomina. Nie jest politykiem, nie trzeba go chronić kontrwywiadowczo. A to błąd.
Poważny?
Tak. Ten człowiek powinien mieć ochronę w całym cyklu jego kadencji rządowej i po niej, ale to on też musi w to włożyć wysiłek, aby zrozumieć mechanizmy obrony przed zagrożeniami i konsekwentnie je stosować, w tym również rozumieć, ze nie tylko on, lecz także jego rodzina może być przedmiotem zainteresowania.
A jak wygląda taka ochrona?
To temat na osobną opowieść. Nie wchodząc szczególnie w kuchnię tej pracy, zazwyczaj robiło się posłom szkolenie, i mam nadzieje, ze nie tylko prezentację w PowerPoincie pt. „To jest informacja niejawna, chroni się ją tak i tak". I…tyle. Czy on będzie wiedział, jak ma się zachować za granicą, gdy np. na oficjalnym przyjęciu podejdzie do niego przyjazny obcokrajowiec, którego nie zna, a będzie miał propozycję np. rozkręcenia biznesu?
Przypuszczam, że nie.
Jeśli będzie rozsądny, to odmówi, a po powrocie skontaktuje się np. z ABW i opisze tę próbę podejścia. Jeśli będzie nierozsądny, zgodzi się i zatai ten fakt. Albo nawet nie zgodzi się na tym etapie, ale nie powiadomi służb o takiej prośbie. A obce wywiady, szczególnie rosyjski, uwielbiają werbować poprzez biznes. Można też oczywiście uzupełnić te osobowe działania o próby hackowania mediów społecznościowych takiej osoby itd. A jeśli przekaże naszemu posłowi np. pendrive’a z „ofertą biznesową”… Mam mówić dalej? Mówiąc skrótowo, mamy trzy płaszczyzny prewencji: świadomość zagrożenia, chęć współpracy z polską służbą specjalną, która ma chronić oraz technologię mogącą być albo szansą, albo zagrożeniem.
I tak wracamy do punktu wyjścia, czyli twardego hackingu.
Każde państwo, które chce COŚ znaczyć w społeczności międzynarodowej, musi mieć dziś siły i środki do prowadzenia ofensywnych operacji w cyberprzestrzeni: szpiegostwa, dezinformacji, dywersji, pozyskiwania informacji. To ABC działań nowoczesnych służb specjalnych w tym zakresie.
Polska też je ma?
Odpowiem tak. Jestem już poza służbą. Ale byłbym w stanie zebrać kilku bystrych kolegów i może potrafilibyśmy zorganizować zamach stanu w jakimś państwie we wschodniej Afryce. Upraszczam, oczywiście, jednak ideę pewnie pan rozumie. Ale oni w większości są już poza służbą.
Jak się hackuje instytucje państwowe?
Znowu nie wchodząc w szczegóły, wektory ataku są różne. Zadaniem hackera, nazwijmy go X, jest sprawić, by człowiek po drugiej stronie monitora, nazwijmy go Y, dokonał operacji Z. X bardzo tego chce, Y niekoniecznie. Używa się różnych technik. Oszustwa, podszycia, groźby… Nie zmieniło się to aż jakoś znacznie od czasów Kevina Mitnicka, który sięgał głównie po oddziaływanie psychologiczne: nakłaniał ludzi, by sami obchodzili reguły i zabezpieczenia. Dzisiaj zmieniła się technologia, ale działania psychologiczne pozostały podobne. Okazuje się, że kliknęliśmy nieopatrznie link w przesłanej przez znajomą osobę wiadomości, który był zainfekowany, a następnego dnia nie będziemy w stanie zapłacić za kawę czy paliwo, bo ktoś dokonał ataku na aplikację naszego banku. Bo miała dziurę w systemie. Ale przecież sami kliknęliśmy w link, chociaż wyglądał podejrzanie. Prawda?
Prawda. Pretensje do siebie samych.
Otóż to. Ale przecież to wzbudzało zaufanie. Było przesłane przez naszego znajomego, wzbudziło naszą ciekawość, może nas zainteresowało albo przestraszyło – i kliknęliśmy w link. Chociaż wyglądał podejrzanie. To do kogo mamy mieć pretensje, jeśli nie do samych siebie?
A technologia?
Kilka lat temu popularne były działania ransomware: włamania do systemów, szyfrowanie danych z zewnątrz i żądania okupu. Ale na każdą akcję jest reakcja. Poprawiano zabezpieczenia. Opowiem Panu, jak robili to np. Irańczycy. Zakładali masę fejkowych kont na portalach, ale branżowych, takich jak popularny serwis społecznościowy grupujący kontakty biznesowo-zawodowe. Ludzie wchodzili w interakcje, widząc osobę podszywającą się pod pracownika z jednej firmy, a potem wysyłali np. link ze złośliwym oprogramowaniem. I taki klient był ugotowany. Popularnie wykorzystuje się też w niektórych obszarach „0-day exploity”, czyli programy wykorzystujące luki w już istniejącym oprogramowaniu, przed załataniem ich przez dostawcę tego oprogramowania. Gdybym był złośliwym dziennikarzem, zapytałbym, ile w ostatnich latach przeznaczono z budżetu państwa na zakup takich exploitów albo czy temat jest przedmiotem jakiegokolwiek zainteresowania i analizy.
To popularna technika ataku?
Obecnie pracuję w sektorze prywatnym. Mogę powiedzieć tak: niedawno prowadziliśmy sprawdzenia podatności na ataki w pewnej instytucji. Wie pan jakie były skutki?
Nie, ale chętnie się dowiem.
95 procent luk to były luki, które zostały już rozpoznane, ale nie zostały odpowiednio i na czas „załatane”. Ludzkie lenistwo to jedna z najpoważniejszych wad, która czasem może być bardzo, ale to bardzo kosztowna. Dla zwykłego Kowalskiego, dla wielkiej firmy… albo dla całego państwa. Wtedy szkody mogą być niepowetowane. Ale to niejedyne wektory ataku.
Wektory, czyli…
Sposoby lub metody wejścia do systemu, sieci. Drugim popularnym kierunkiem jest atak techniczny. Dajmy na to na zewnętrzne elementy systemu, te mające połączenie z internetem, które mogą być narażone na próby włamań, bramy. Wykorzystuje się też chętnie choćby błędy w aplikacjach.
A tyle się mówi o oszustwach w sieci. Są kampanie, ogłoszenia społeczne…
I wszystko jak krew w piach, dopóki człowiek sam nie stanie w obliczu zagrożenia. Do tego momentu nie rozumie jego istoty. Choćby mu o tym opowiadano, choćby krzyczano do niego z billboardów w mieście i mówiono o tym w telewizji.
Przecież mamy instytucje odpowiedzialne za cyberbezpieczeństwo. Jest CERT, jest NASK, Narodowe Centrum Kryptologii, powstaje rodzaj sił zbrojnych ukierunkowanych na tę dziedzinę.
I co? Nie ma włamań?
Są.
No to ma pan odpowiedź. Jeśli zapytałby pan, czy rosyjskie służby mogą tu robić, co chcą, to moja odpowiedź brzmiałaby: „Tak, mogą”. Bo nie ma ludzi, środków, pieniędzy. Kim mamy pracować, jeśli firmy prywatne oferują kilkukrotnie lepsze wynagrodzenia za to samo? Jeśli kultura pracy w służbach jest, jaka jest (bo nie tylko pieniądze są ważne), jeśli nie ma żadnej strategii zarządzania talentami w służbach, a promuje się tych powiązanych z daną opcją polityczną, najczęściej nieposiadających żadnych kompetencji? Dlatego opowiadanie o CERT-ach, NASK-ach czy wojskach cybernetycznych dobrze brzmi na politycznych naradach czy wyborczych wiecach, ale w rzeczywistości różowo nie jest. Niemniej jednak trzeba uszanować tych, co jeszcze próbują i dają radę wytrzymywać w takich warunkach.
*- imię rozmówcy zostało zmienione. Były oficer jednej z polskich służb specjalnych. Odpowiadał za kwestie bezpieczeństwa cybernetycznego. Obecnie pracuje dla sektora prywatnego.
Twoja opinia pozwala nam tworzyć lepsze treści.