Zabezpieczenie Polski przez cyberatakimi wymaga jeszcze bardzo dużo pracy, są pojedyncze działania, ale brakuje koordynacji - mówi Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzesteń i ekspert Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA). "Z przykrością stwierdzam, że w Polsce pod tym względem jest słabo" - dodaje.
Czym różnią się takie terminy jak cyberwojna, cyberterroryzm czy cyberzagrożenie?
Mirosław Maj: Najprościej wyjaśnić te terminy odejmując od nich przedrostek "cyber" i wtedy mamy podstawowe definicje zagrożenia, terroryzmu i wojny. Dodanie do tych słów przedrostka "cyber" oznacza, że działania te prowadzone są z wykorzystaniem technik informatycznych. Najwięcej zamieszania jest z terminem cyberwojna, którego w moim odczuciu się nadużywa. Gdyby wziąć pod uwagę, to co mówią eksperci wojskowi, informatyczni i prawnicy, to do czegoś takiego jak cyberwojna jeszcze nie doszło. Amerykanie - choć tego oficjalnie nie powiedzieli - stosują najprawdopodobniej definicję stworzoną przez Micheala Schmitta naukowca, który podaje sześć warunków pozwalających uznać cyberatak za atak zbrojny. Najważniejsze z nich to te mówiące o tym, że w wyniku ataku dochodzi do fizycznych zniszczeń, i zniszczenia te są one bezpośrednim skutkiem ataku informatycznego, ponadto atak taki przekracza granice państwowe. Amerykanie analizują poszczególne przypadki i oceniają, czy dany cyberatak spełnia wymienione warunki. I chyba na razie nie doszło jeszcze do czegoś takiego.
Czy to wszystkie trudności z ustaleniem, czy mamy do czynienia z cyberwojną?
Jeśli mówimy o wojnie to musimy móc zidentyfikowanego atakującego, a w cyberatakach często jest z tym problem. Techniki informatyczne pozwalają na ukrywanie tego, kto jest atakującym. Jak trudne jest zidentyfikowanie atakującego pokazują cyberataki, jakie przeprowadzono w 2009 roku z okazji amerykańskiego święta 4 lipca. Ataki były skierowane między innymi na serwery amerykańskich mediów. Do dziś się twierdzi, że ataki te przeprowadziła Korea Północna, ale nie ma jednoznacznych dowodów na to. Po przeanalizowaniu dokładnie danych dotyczących tych ataków, okazało się, że m.in. wykorzystywane w nich były komputery znajdujące się w Wielkiej Brytanii czy na Florydzie w USA. Ta sytuacja pokazuje, nowy wymiar w działaniach wojennych, który wprowadzają techniki informatyczne - można wykorzystać infrastrukturę teleinformatyczną, która należy np. do atakowanego państwa lub może należeć do państwa, które nie ma nic wspólnego z atakami.
Często w mediach słyszymy informacje, że zostały zaatakowane strony internetowe administracji danego państwa - ministerstw, premiera czy prezydenta. Czy nie należy takich działań traktować, jako cyberwojny?
W sytuacji, kiedy dochodzi do blokowania, lub atakowania internetowych stron administracji rządowej to w istocie nie są to ataki, które mogą doprowadzić do cyberwojny. O cyberwojnie możemy mówić, gdyby doszło do ataku na tzw. infrastrukturę krytyczną danego państwa, czyli systemy komputerowe zarządzające elektrowniami, instalacjami gospodarki wodnej, czy infrastrukturą teleinformatyczną. Taki atak może powodować realne skutki fizyczne czy wręcz ofiary w ludziach. I taki atak cybernetyczny może doprowadzić do wojny, w której do działań mogą być użyte również siły konwencjonalne. W 2007 roku zostały zablokowane strony estońskich kluczowych instytucji państwowych i prywatnych, np. finansowych. Jednak nie można było powiedzieć, że wtedy mieliśmy do czynienia z cyberwojną. Chociażby dlatego, że nikt nie zginął, nie było nawet zniszczeń fizycznych. Z kolei w trakcie wojny rosyjsko-gruzińskiej w 2008 roku również atakowana była infrastruktura telekomunikacyjna w Gruzji. Jednak nie była to cyberwojna, bo przecież ludzie ginęli na froncie a ich śmierć nie była związana z cyberatakimi.
Jakie rodzaje ataków cybernetycznych możemy wyróżnić?
Jeśli chodzi o te najgroźniejsze to w praktyce mamy do czynienia z dwoma rodzajami ataków. Pierwsze to tzw. ataki na dostępność. Najczęściej objawiają się one poprzez ataki DDoS, czyli działania polegające na tym, że ktoś doprowadza do tego, że coś jest niedostępne - strony internetowe, serwisy bankowości internetowej itp. Są też tzw. ataki ukierunkowane, czyli działania, które są skierowane na konkretny cel. Ataki takie coraz częściej określa się jako APT (Advanced Persistant Threat). O ile pierwsze ataki można dość szybko odkryć - bo po prostu jakaś strona internetowa czy serwis są niedostępna to ataki ukierunkowane, coraz trudniej wykryć. Ataki ukierunkowane często są bardzo dobrze przygotowane, poprzedzone dokładnym rozpoznaniem działania instytucji lub ważnych osób, które mają być zaatakowane. W takim rozpoznaniu chodzi o znalezienie słabych punktów, ustalenie procedur działania w sytuacjach kryzysowych. Krótko mówiąc chodzi o zebranie wszystkich informacji o danym celu, które mogą ułatwić przeprowadzenie cyberataku.
A czy jest ustalona jakaś taktyka prowadzenia cyberwojny?
Mirosław Maj: Nie mamy na razie żadnego w tej materii doświadczenia, bo do tej pory nie mieliśmy do czynienia z cyberwojną. Jeżeli jednak się zgodzimy - a ja tak twierdzę - że cyberwojna to są działania całkowicie różniące się jakościowo w stosunku do klasycznych działań wojennych, to doświadczenia, które zostały zebrane nawet w oparciu o historyczne fakty dotyczące wojen, nie dają się przenieść do cyberprzestrzeni. Atak cybernetyczny charakteryzuje się niespotykaną w historii konfliktów dynamiką zmian i zależy od celu, jaki został przed nim postawiony. W przypadku ataków na dostępność, czyli tych, które blokują dostęp do serwisów internetowych mamy kilkadziesiąt sposobów ich przeprowadzenia. Jak taki atak przebiega można sobie wyobrazić na przykładzie gaszenia przez strażaków pożaru. Jeśli coś płonie przyjeżdża straż pożarna gasi pożar i wraca do remizy. Tutaj jest tak, że jest pożar, straż przyjeżdża i gasi pożar - wraca do remizy, ale my znów mamy pożar być może nawet większy niż wcześniej.
A czy Polska w pana ocenie dysponuje odpowiednim zabezpieczeniami przed cyberatakami?
Z przykrością stwierdzam, że w Polsce pod tym względem jest słabo. Bo jeśli oceniać ten nasz poziom przygotowania na podstawie tekstu rządowej "Polityki ochrony cyberprzestrzeni RP" to ja niestety muszę powiedzieć, że to jest zły dokument. Więcej nawet, bo wprowadza dodatkowe zagrożenie, co wynika z faktu, że wprowadza przekonanie, że wreszcie coś mamy w tej dziedzinie. To niestety tylko niepotrzebnie osłabia realną ocenę sytuacji. Sądzę, że jest wiele pozytywnych pojedynczych działań w sektorze prywatnym i nawet w administracji państwowej. Niestety absolutnie nie są one spójne, skoordynowane ze sobą i nie układają się w całość. Myślę, że wymaga to jeszcze bardzo dużo pracy. Być może pozytywne zmiany przyjdą wraz z pracą nad Strategią Bezpieczeństwa Narodowego, którą zapoczątkowało Biuro Bezpieczeństwa Narodowego. Cyberbezpieczeństwo ma być fragmentem tej strategii. Ważne też będą prace związane z wdrożeniem zapisów dyrektywy w sprawie europejskiej cyberbezpieczeństwa. Oba dokumenty odpowiednio przygotowane i wdrożone mają szansę dużo zmienić na lepsze.
(abs)
