Ubiegłoroczny Szczyt NATO przeszedł do historii nie tylko dlatego, że po raz pierwszy odbywał się w Polsce. To w Warszawie sygnatariusze Traktatu Północnoatlantyckiego podjęli decyzję o uznaniu cyberprzestrzeni za obszar prowadzenia działań wojennych.
Tym samym przywódcy państw NATO potwierdzili coś, co dla wielu osób interesujących się tematyką cyberbezpieczeństwa od dawna jest oczywiste: w sieci toczy się wojna. Wojna, w której uczestniczy większość liczących się na arenie międzynarodowej graczy. Wojna, w której nie obowiązują żadne zasady.
U swoich początków ludzkość znała tylko jeden rodzaj wojny - wojnę lądową. Później konflikty zbrojne rozszerzyły się na morza i oceany. Następnym etapem była wojna powietrzna. Aż w końcu dotarliśmy do kosmicznego wyścigu zbrojeń. Cyberprzestrzeń jest po prostu kolejnym polem działań zbrojnych
- podkreśla Mikko Hypponen, szef działu technologicznego w F-Secure i jedna z największych legend branży cyberbezpieczeństwa.
Podział sił w cyberwojnie zasadniczo pokrywa się z militarną potęgą poszczególnych państw. Najwięcej do powiedzenia mają Stany Zjednoczone, Chiny, Rosja, Wielka Brytania, Izrael, a także Korea Północna.
Każde z mocarstw posiada własną armię hakerów. Przy odpowiedniej motywacji i lukach w infrastrukturze krytycznej przeciwnika, grupy te mogą sparaliżować działanie rządowych systemów teleinformatycznych, wykraść pieniądze z banku, wpłynąć na wyniki wyborów lub wywołać awarię elektrowni. Nie mówimy tu wcale o potencjalnych zagrożeniach, ale o atakach, które rzeczywiście miały miejsce. I to całkiem niedawno.
Tajna armia Kremla
Kiedy słyszymy o cyberwojnie, niemal natychmiast przychodzą nam na myśl dwa słowa: rosyjscy hakerzy. Rzeczywiście, w ciągu ostatniej dekady Rosja wyrobiła sobie opinię państwa, które chętnie korzysta z usług grup hakerskich, a rosyjscy cyber-żołnierze są oskarżeni o każdy większy incydent związany z cyberbezpieczeństwem.
- Rosjanie są absolutną elitą. To jedni z najlepszych specjalistów na świecie - podkreśla Chris Finan, były doradca ds. cyberbezpieczeństwa w administracji prezydenta Obamy.
Lista ataków, które przypisuje się Kremlowi jest imponująca. W 2007 r. rosyjscy hakerzy mieli przypuścić cyberatak na Estonię. Wówczas sparaliżowane zostały m.in. systemy informatyczne estońskiego parlamentu, rządu oraz banków. Rosja miała również korzystać z usług swoich hakerów podczas konfliktu z Gruzją.
Pod koniec 2015 r. cyber-żołnierze Kremla mieli z kolei zaatakować elektrownię jądrową w ukraińskim Zaporożu. Wówczas - na oczach operatora pełniącego wtedy zmianę - w zdalny sposób wyłączyli wszystkie generatory pozbawiając energii elektrycznej niemal 700 tys. domostw.
Wszystkie te ataki łączy jedno: praktycznie niemożliwe jest udowodnienie, że były one inspirowane przez Kreml. Na tym polega "piękno" cyberwojny. Jest prowadzona w "białych rękawiczkach". Wojna, w której do rzeczywistego źródła ataku prowadzi szereg tajemniczych pośredników, fałszywych tropów oraz domniemanych powiązań.
cyber Konrad Kultys
APT28
Najpotężniejszym sprzymierzeńcem Kremla w cyberwojnie jest grupa APT28 (inne nazwy: STRONTIUM, Sofacy oraz Fancy Bear). Eksperci ds. cyberbezpieczeństwa z takich firm jak Microsoft czy Kaspersky sugerują, że APT28 jest nie tylko powiązana z wywiadem Federacji Rosyjskiej (GRU), ale jest wręcz jego integralną częścią.
APT28 oskarża się m.in. o ataki hakerskie na niemiecki parlament, francuską telewizję TV5 Monde oraz o kradzież danych z serwerów Światowej Agencji Antydopingowej. Grupa ta miała też utrudniać śledztwo w sprawie katastrofy MH-17, a także włamać się na serwery polskiego Ministerstwa Spraw Zagranicznych w grudniu 2016 roku.
Bodaj największą sławę tajemniczej rosyjskiej grupie hakerów miała przynieść jednak ingerencja w przebieg ubiegłorocznych wyborów prezydenckich w USA. 14 lipca 2016 r. amerykański dziennik „Washington Post” poinformował, że działający na zlecenie Kremla hakerzy wykradli z serwerów Partii Demokratycznej wszystkie znajdujące się tam e-maile, które następnie zostały opublikowane przez portal Wikileaks.
Te doniesienia zostały później potwierdzone przez CIA. W odpowiedzi pod koniec grudnia prezydent Barack Obama podjął decyzję o wydaleniu z USA 35 rosyjskich dyplomatów. Kreml zaprzecza, jakoby miał cokolwiek wspólnego z atakami. Również twórca Wikileaks Julian Assange twierdzi, że to nie Rosja stała za tymi atakami.
Cała sytuacja tak rozwścieczyła byłego już prezydenta Obamę, że w październiku ub. r. miał on zwrócić się do CIA z prośbą o przygotowanie scenariuszy tajnego cyberataku, który miałby „zastraszyć oraz zawstydzić” Władimira Putina.
Witryna prezydenta Syrii fot. Geek.com
Stuxnet, czyli cyberatak, który wymknął się spod kontroli
Jeśli bowiem istnieje jakiś kraj, który mógłby stanąć w szranki z Rosją i jej hakerami, to są to Stany Zjednoczone. Amerykanie już w 2010 roku powołali specjalną jednostkę Cyber Command, na rozbudowę której wydano miliardy dolarów. Jeszcze w 2014 r. w skład Cyber Command wchodziło 1800 specjalistów. Dziś liczy ponad 6000 osób.
Choć oficjalnie jej celem jest ochrona cyberprzestrzeni, to jednak Cyber Command podejmuje też działania prewencyjnie. Amerykańscy hakerzy dokonali m.in. wielu skutecznych cyberataków wymierzonych w ISIS zakłócając wewnętrzną komunikację i skutecznie sabotując infrastrukturę krytyczną, z której korzysta organizacja.
Największym sojusznikiem USA w cyberwojnie jest Izrael. To właśnie te dwa kraje miały dokonać najbardziej zuchwałego cyberataku w historii. Jego celem było zainfekowanie komputerów w irańskiej elektrowni jądrowej w Natanz, co w miało z kolei doprowadzić do spowolnienia Iranu w pracach nad programem nuklearnym.
Do ataku wykorzystano wirusa Stuxnet, który pozwalał na przeprogramowanie instalacji przemysłowych w elektrowni. Atak zakończył się częściowym sukcesem. W 2010 r. prezydent Iranu Mahmud Ahmadineżad przyznał, że wirus spowodował "problemy w niewielkiej liczbie wirówek używanych do wzbogacania uranu".
Niestety cała operacja wymknęła się spod kontroli. Wirus Stuxnet, który miał zostać wykorzystany tylko przy tym jednym ataku, rozprzestrzenił się poza irańską elektrownię. Szacuje się, że zainfekował co najmniej 100 tysięcy komputerów w 155 krajach.
Przez lata władze USA i Izraela umywały ręce od Stuxneta. Dopiero dziennikarz „NYT” David Sanger ujawni, że to właśnie te dwa kraje stały za włamaniem. Później te informacje zostały również potwierdzone przez administrację Baracka Obamy.
Chińska potęga i ambicje Kim Dzong Una
Krajem, który dysponuje największą liczbą hakerów są oczywiście Chiny. Nie jest to szczególnie zaskakujące zważywszy na liczbę obywateli Państwa Środka. Szacuje się, że Chiny są źródłem 41 proc. cyberataków, do których dochodzi na całym świecie.
W 2013 roku firma analityczna Mandiant opublikowała raport opisujący działania tzw. „Jednostki 61398” – tajnej komórki chińskiego wojska, która ma obejmować tysiące hakerów i programistów z całego świata. Z raportu wynika, że począwszy od 2006 r. "Jednostka 61398" wykradła setki terabajtów danych od 141 firm. Celem hakerów były przedsiębiorstwa ze Stanów Zjednoczonych, Kanady oraz Wielkiej Brytanii.
We wrześniu 2015 r. USA i Chiny zawarły nawet anty-hakerskie porozumienie, na mocy którego obydwa kraje mają się wstrzymywać od wzajemnych cyberataków.
Żadne sojusze nie interesują natomiast Kim Dzong Una. Z informacji Korea Institute of Liberal Democracy wynika, że Korea Północna dysponuje dziś grupą 6800 elitarnych hakerów, których działania generują dla Pjongjangu 680 mln dolarów zysku rocznie.
Polsce brakuje środków, ekspertów
Czy Polska jest przygotowana do cyberwojny? Na te pytanie poniekąd odpowiedziała sama minister cyfryzacji Anna Streżyńska. W październiku ubiegłego roku przyznała, że na ten moment jej resort nie dysponuje ani ekspertami, ani wiedzą, ani środkami, które pozwoliłyby na skuteczną realizację strategii cyberbezpieczeństwa.
Pani Minister potwierdza obawy, że nawet najbardziej ambitne i obiecujące plany administracji publicznej mogą być boleśnie zweryfikowane przez rzeczywistość
– komentował wówczas Michał Jarski, ekspert ds. cyberbezpieczeństwa.
Obecnie Ministerstwo Cyfryzacji pracuje nad ustawą o systemie cyberbezpieczeństwa, która ma trafić do Sejmu w kwietniu. Prace nad projektem odbywają się w oparciu o przygotowaną przez resort „Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2016-2020”. Jej celem jest zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej państwa, zwiększenie zdolności do zwalczania zagrożeń, a także zmniejszenie skutków incydentów godzących w bezpieczeństwo cyberprzestrzeni.
Paradoksalnie najbardziej zagrożone są najnowsze instalacje infrastruktury krytycznej – czyli te, które są dostosowane do zarządzania za pośrednictwem sieci. Dlatego kluczową kwestią jest odizolowanie systemów kontroli systemów, które nimi zarządzają, a także ograniczenie fizycznego dostępu do nich.
- podkreśla Leszek Tasiemski, wiceprezes Rapid Detection Center w F-Secure.
A jak przedstawia się obecnie bezpieczeństwo systemów teleinformatycznych w Polsce? W tym miejscu warto oddać głos Włodzimierzowi Nowakowi, byłemu Dyrektorowi Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.
- Skala problemu jest na tyle wysoka, że ministerstwo cyfryzacji musiało nawet napisać do pani premier niejawną notatkę opisującą stan faktyczny tych rejestrów. Ujęto w niej w jaki sposób są zabezpieczone - a raczej, w jaki sposób nie są zabezpieczone – mówił Nowak w październiku ub. roku, a kilka tygodni później złożył rezygnację ze swojej funkcji.
Zagrożenie związane z atakami na infrastrukturę krytyczną jest dziś jak najbardziej realne. - Sytuacja geopolityczna plasuje nas na pozycji pierwszego celu cyberataków i konieczne jest poważne potraktowanie tej spodziewanej roli i odpowiedzialności. Nie tylko po stronie Ministerstwa Cyfryzacji, ale całego rządu – podkreśla Michał Jarski.
Niedawne ataki hakerskie na serwery MSZ oraz polski sektor finansowy, to tylko dwa przykłady. Przykłady, które udowadniają, że Polska już teraz uczestniczy w cyberwojnie - czy tego chcemy, czy nie. Może więc warto pomyśleć o skutecznej obronie?
