W czwartek grupa podająca się za ukraiński Prawy Sektor poinformowała, że jest w posiadaniu istotnych danych z sieci Ministerstwa Obrony Narodowej. Hakerzy zażądali okupu w wysokości 50 tys. dolarów.
Całą sprawę można by zbagatelizować, gdyby nie fakt, że ta sama grupa kilka dni wcześniej opublikowała dane klientów Netii. Dowodem na to, że do wycieku danych z serwerów MON faktycznie doszło, miały być również dokumenty i zdjęcia, którymi autorzy ataku pochwalili się na Twitterze.
Tweet z żądaniem okupu Pravyy Sector/Twitter
Dziś MON odniósł się do sprawy, zaznaczając, że wczorajszy incydent to „manipulacja mająca stworzyć wrażenie groźnego ataku”. Resort podkreślił, że opublikowane przez anonimowego użytkownika Twittera dokumenty i zdjęcia pochodzą z jawnej sieci ministerstwa. Co więcej, są to dokumenty nieaktualne, datowane na rok 2012.
Systemy kierowania i dowodzenia Ministerstwa Obrony Narodowej i Sił Zbrojnych RP działają bez zakłóceń i są całkowicie bezpieczne. Trwają czynności wyjaśniające wszystkie okoliczności, w jakich doszło do tego incydentu.
– czytamy w oświadczeniu ministerstwa.
Tajne dane bezpieczne, ale...
Czym jest sieć jawna, o której mówi resort? To tzw. INTER-MON, czyli odpowiednik Intranetu, z którym do czynienia ma każdy, kto pracuje lub pracował w nieco większej firmie. To w Intranecie znajdują się aktualności i informacje przeznaczone dla pracowników, wyszukiwarka kontaktów, czy też przydatne dokumenty kadrowe. INTER-MON pełni w resorcie obrony bardzo podobną funkcję.
Przez tę stację roboczą hakerzy mieli włamać się do Intranetu Pravyy Sector/Twitter
Czy uzyskanie dostępu do INTER-MON-u stwarza zagrożenie dla tajnych danych przechowywanych na serwerach MON? Nie, bo takie dane są od Intranetu całkowicie odizolowane.
W każdym systemie specjalnego przeznaczenia, jak choćby w systemie informatycznym MON-u, wydziela się specjalne strefy, w których przetwarzane są tajne lub ściśle tajne dane. Te strefy są odpowiednio wyizolowane z systemu i dostęp do nich posiada jedynie wąska grupa osób posiadająca odpowiednie uprawnienia.
- podkreśla Michał Jarski, ekspert Trend Micro.
Zdaniem Jarskiego, wyciek ten możemy porównać z wyciekami danych klientów, do których czasami dochodzi w przypadku operatorów telekomunikacyjnych, czy też banków. To oczywiście bardzo przykry incydent, ale nie stwarza poważnego zagrożenia dla bezpieczeństwa państwa.
Prowokacja, ale czyja?
To, że nie doszło do wycieku tajnych danych nie oznacza jednak wcale, że problem automatycznie znika. Już sam fakt, że ktoś opublikował dokumenty z Intranetu MON-u, powinien i musi budzić niepokój. Choćby z tego powodu, że pozyskanie takich zasobów może prowadzić do działań wtórnych – prowokacji politycznych i kampanii dezinformacyjnych. Właśnie z taką kampanią – zdaniem Jarskiego – mamy do czynienia w przypadku rzekomego ataku na serwery MON-u.
Ekspert zwraca uwagę, że atakujący – kimkolwiek są – bardzo chcą wszystkich przekonać, że działają na polecenie ukraińskiego ugrupowania Prawy Sektor. Już to budzi poważne podejrzenia, bo zazwyczaj w przypadku takich ataków ich autorzy starają się zachować pełną anonimowość.
W jednym z wczorajszych wpisów na Twitterze użytkownik Pravyy Sector opublikował dane osobowe Romana Donika. To rzekomo na jego konto miałby trafić okup, którego hakerzy zażądali od MON-u. Donik to ukraiński bloger, który opisuje przebieg konfliktu pomiędzy Rosją i Ukrainą.
„Jeśli ktoś podaje publicznie numer konta osoby, która jest związana z tym konfliktem, to cel takiego działania wydaje się jasny” – podkreśla Jarski. „Chodzi o klasyczną kampanię dezinformacyjną” – dodaje.
Rzekoma ankieta personalna do służby w ramach programu szpiegowskiego PRISM Pravyy Sector/Twitter
O tym, że cała sprawa wydaje się być polityczną prowokacją, świadczy również jeden z opublikowanych na Twitterze dokumentów zatytułowany: "ankieta personalna kandydata do służby PRISM". Ma on sugerować, że Ministerstwo Obrony Narodowej współpracuje z amerykańską NSA w ramach programu szpiegowskiego PRISM.
Sęk w tym, że - jak wyjaśnia MON - dokument ten został sfabrykowany. Owszem, taka ankieta istnieje naprawdę, ale nie ma nic wspólnego z PRISM. To po prostu standardowa aplikacja złożona przez kandydata do służby za granicą.
Kto więc stoi za prowokacją? „Tego nie wiemy. Możemy się domyślać. Zwróciłbym jednak uwagę na fakt, że do rzekomego ataku doszło tuż po kluczowym – również z perspektywy cyberbezpieczeństwa szczycie NATO” – zaznacza Jarski.
To właśnie w Warszawie sygnatariusze Paktu Północnoatlantyckiego uznali cyberprzestrzeń za kolejne pole prowadzenia działań zbrojnych. To również pierwszy szczyt NATO, na którym zwrócono uwagę na potrzebę zwiększenia bezpieczeństwa systemów informatycznych, w tym tych odpowiedzialnych za funkcjonowanie infrastruktury krytycznej.
Najwidoczniej jest ktoś, komu coraz ściślejsza współpraca państw członkowskich NATO w tym zakresie jest zdecydowanie nie na rękę.
