...pod polskimi strzechami
Na co dzień większości z nas ataki hakerskie wydają się odległą rzeczywistością. Przeciętnemu Kowalskiemu niebo nie przypomina „monitora nastrojonego na nie istniejący kanał”[1] Coraz częściej słyszymy o: atakach hakerskich, wirusach komputerowych, wykradzionych danych osobowych milionów osób. Czas odrzucić przekonanie, że zagrożenia w internecie dotyczą innych tylko nie nas. Niestety, można odnieść wrażenie że właśnie takie myślenie wciąż u nas pokutuje.
Niedawno Rzeczpospolita pisała:
„Cyberprzestępcy z Rosji wzięli na cel Polskę. To właśnie z tego kraju pochodzi najwięcej ataków na rodzime komputery. Dziennie dochodzi do blisko 65,5 tys. takich prób – wynika z najnowszych danych firmy F-Secure”[2]
Warto przypomnieć atak i złośliwego oprogramowania (ransomware) WanaCry. Atak boleśnie odczuły: szpitale, ministerstwa, banki, firmy telekomunikacyjne.[3] Zainfekowana strona Komisji Nadzoru Finansowego przyczyniła się do cyberataku na polskie banki.[4] To zaledwie kilka przykładów które obrazują skalę zagrożenia.
Konferencje o cyberbezpieczeństwie
W ostatnim czasie można zauważyć coraz większe zainteresowanie tematem cyberbezpieczeństwa. Odbyło się kilka konferencji poświęconej tej tematyce. Część z nich można obejrzeć w internecie. Polecam. To dobra okazja by uzupełnić wiedzę. Warto wymienić:
1) Konferencję w Sejmie RP - Cyberbezpieczeństwo w jednostkach samorządu terytorialnego. Odbyła się 12 kwietnia 2017.[5]
W jej trakcie poseł Andrzej Maciejewski stwierdził, że być może najlepszym sposobem na przekonanie wójta lub burmistrza o potrzebie inwestycji w zabezpieczenia informatyczne jest przynieść mu wydruki z jego komputera. Okazuje się też, że tylko w 11 procentach samorządów pracownicy przeszli szkolenie w sprawie cyberbezpieczeństwa. Nadal szwankuje świadomość ryzyka, brakuje szkoleń i nakładów finansowych.
"Połowa jednostek samorządowych w Polsce nie przywiązuje żadnej wagi do cyberbezpieczeństwa. To jest spowodowane w większości brakiem środków, które trzeba przeznaczyć chociażby na szkolenie pracowników"
- mówił Jan Maciej Czajkowski z zespołu Komisji Wspólnej Rządu i Samorządu Terytorialnego.
2) 8 maja miała miejsce konferencja Cyber.gov.[6]
3) 21 listopada zaś odbyło się III Forum Bezpieczeństwa Sieci Technologicznych[7]
Na tym ostatnim wydarzeniu miałem okazję być jako reprezentant Niezależnego Portalu Służby Cywilnej. Konferencja odbyła się w futurystycznej siedzibie Polskich Sieci Elektroenergetycznych S.A. Jednym z pierwszych wystąpień miał mieć wiceminister Krzysztof Silicki, odpowiedzialny za cyberbezpieczeństwo w Ministerstwie Cyfryzacji. Obowiązki nie pozwoliły mu uczestniczyć w forum. W jego zastępstwie wstąpił Piotr Januszewicz, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji. W wystąpieniu akcentował potrzebę zmian w administracji w zakresie bezpieczeństwa. Polska potrzebuje specjalistów z zakresu cyberbezpieczeństwa. W tej chwili są duże niedobory. Pan Januszewicz podobną diagnozę przedstawił także na konferencji Cyber.gov.
„Szacunki pokazują, że w Europie będzie ich brakować od 800 tys. do miliona. Nie oszacowaliśmy jeszcze dokładnie, ilu ludzi będzie brakować w Polsce” (…) „Wiemy, że ludzie wykształceni w przygotowywanym przez nas systemie będą odchodzili. Chcemy jednak by zostawali w administracji publicznej minimum przez kilka lat”
– mówił Januszewicz. W porozumieniu z uczelniami zapewne już niedługo zostaną uruchomione studia w tym zakresie. Podobną diagnozę przedstawił przedstawiciel NASK. Według Juliusza Brzostka, NASK nie jest w stanie długo utrzymać specjalistów. Duże firmy prywatne są w stanie zaoferować dużo lepsze warunki finansowe niż NASK. W efekcie informatycy pracują kilka lat i przechodzą do sektora prywatnego.[8]
Warto przypomnieć, że NASK odpowiada za bezpieczeństwo w polskim internecie, działa tam zespół CSIRT czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego.[9]
Nowe przepisy prawne
W tym miejscu warto przywołać kolejną informację. Obecnie Polska wdraża dyrektywę w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i informacji w obrębie Unii. Dyrektywa zwana jest też jako NIS.[10] Zapisy dyrektywy będzie wprowadzała do polskiego porządku prawnego ustawa o krajowym systemie cyberbezpieczeństwa. Jej projekt jest dostępny TUTAJ
Dlaczego jest ważna?
Nakłada bowiem szereg obowiązków w zakresie bezpieczeństwa informatycznego na podmioty uznane za kluczowe. Za takie podmioty uznano jednostki zajmujące się: energetyką, transportem, bankowością a także szpitale. Wspomniane kluczowe jednostki będą zobowiązane do wdrożenia zabezpieczeń, a także szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach oraz ich obsługi we współpracy z zespołem CSIRT MON,CSIRT NASK lub CSIRT GOV. Przepisy nakazują, by zostały powołane wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub też zostały zawarte umowy z podmiotami świadczącym usługi z zakresu cyberbezpieczeństwa. Artykuł 15 projektowanej ustawy zobowiązuje też podmiot kluczowy do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo. Tu pewna dygresja. Miałem okazję rozmawiać z osobą odpowiedzialną za bezpieczeństwo w dużym szpitalu. Informacje o dyrektywie NIS i wynikających z niej obowiązkach były jej całkowicie nieznane. Jeśli taka jest świadomość w ogólnopolskim szpitalu, nie chcę sobie wyobrażać jak to wygląda w mniejszych jednostkach.
Poza dyrektywą NIS i ustawą o cyberbezpieczeństwie administrację czekają wyzwania związane z rozporządzaniem RODO.[11]
Wprowadza ono szereg nowych nowych obowiązków na podmioty przetwarzające dane osobowe. Czy administracja jest dostatecznie przygotowana na te wyzwania? Można mieć uzasadnione wątpliwości. Zarówno z wystąpienia dyrektora Januszewicza jak i pana Czajkowskiego wyłania się duża skala zaniedbań. Potrzebne są zarówno nakłady finansowe jak i zmiana postaw.
Hakerzy wyłączają prąd
Niewiele firm w Polsce może wykazać się odpowiednimi działaniami w sferze bezpieczeństwa. Dużą wagę do bezpieczeństwa przywiązują Polskie Sieci Elektroenergetyczne. PSE, jako operator systemu przesyłowego, odpowiada za dostawy energii elektrycznej dla całego kraju.
"PSE zajmują się przesyłaniem energii elektrycznej do wszystkich regionów kraju. Spółka odpowiada za bilansowanie systemu elektroenergetycznego oraz utrzymanie i rozwój infrastruktury sieciowej wraz z połączeniami transgranicznymi. Spółka udostępnia także, na zasadach rynkowych, zdolności przesyłowe dla realizacji wymiany transgranicznej. PSE są właścicielem 14 123 kilometrów linii oraz 106 stacji elektroenergetycznych najwyższych napięć"[12]
Bezpieczeństwo ma wiele wymiarów. Każdy z nas używa laptopa, smartfona. Czy wiemy jakie zagrożenia czyhają na nas? Warto odsłuchać świetnego wystąpienia Marcina Spychały z IBM. W trakcie konferencji w Sejmie[13] zaprezentował kilka zagrożeń dla bezpieczeństwa. Czy każdy ma świadomość jak można wykorzystać WiFi do ataku? Zapewne nie. Dobrze koresponduje z tym wykład na konferencji FBST. Marek Wośko zaprezentował bezpieczny telefon Kaymera. Telefon jest oparty na tak zwanym utwardzonym systemie Android i jest przeznaczony do prowadzenia bezpiecznych połączeń głosowych, SMS i danych.[14] Jak działa Kaymera? Wyobraźmy siebie że jesteśmy w niebezpiecznej sytuacji. Wystarczy nacisnąć jeden przycisk. Telefon wysyła na wybrany e-mail nagranie wideo z otoczenia, dźwięk oraz swoją lokalizację. W ten sposób jest bardzo łatwo ustalić źródło niebezpieczeństwa.
W wielu firmach pracownicy dostają telefon służbowy. Nie maja jednak świadomości, że jest on specjalnie zabezpieczony. Wykorzystuje się MDM czyli Mobile Device Management. Jest to rozwiązanie, które umożliwia monitorowanie i zarządzanie sprzętem mobilnym który firma daje pracownikom. Zainteresowanym tematem polecam materiały umieszczone TU i TU.
Zapewnienie bezpieczeństwa jest trudnym zadaniem. Ataki na sieć informatyczną mogą skutkować awarią sieci telekomunikacyjnej. Bezpieczeństwo sieci energetycznej silnie oddziałuje na sieć telekomunikacyjną.Warto przypomnieć ataki na ukraińską sieć energetyczną. Jak wyglądał atak który pozbawił energii kilkaset tysięcy obywateli Ukrainy? Tak opisują to eksperci z firmy Eset.
„Najpierw pracownik firmy energetycznej otrzymał email, którego nadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomości dodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. Postąpienie zgodnie z zaleceniem skutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Następnie zagrożenie to pobierało kolejne złośliwe oprogramowanie KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów. W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie. W efekcie w wigilię 2015 roku niemal milion mieszkańców ukraińskiego obwodu iwanofrankiwskiegozostała pozbawiona na kilka godzin prądu.”[15]
Atak na ukraińskie sieci energetyczne rozpoczął się od banalnego zdarzenia. Pracownik otworzył e-mail z zainfekowanym załącznikiem. Ilu pracowników w Waszych instytucjach zrobiłoby podobnie? W trakcie konferencji eksperci zwracali uwagę na fakt, że takie narzędzia jak te wykorzystywane do ataku na ukraińska sieć energetyczną są bardzo skomplikowane. Nie tworzą ich amatorzy. A same ataki są często przygotowywane przez kilka lat. Tak, kilka lat. Już tylko te fakty skłaniają do wniosku, że za atakami stoi rząd jakiegoś państwa, który może sobie pozwolić na zaangażowanie tak dużych środków.
Klika dni bez prądu
Jednak zagrożeniem mogą być nie tylko hakerzy. Część Polski niedawno doświadczyło silnych huraganów. Efekt? Zniszczenia, zerwane linie energetyczne, brak połączeń telefonicznych. Wystarczy zadać sobie pytanie - ilu z nas jest w stanie przetrwać kilka dni bez prądu? W dłuższym czasie okazuje się, że nie mamy możliwości wypłacenia gotówki z banku, brak jest bieżących dostaw żywności, wody, łączności. Brak prądu szybko skutkuje brakiem kontaktu ze światem. Nagle uświadamiamy sobie, że nie mamy dostępu do internetu a telefon komórkowy działa bez ładowania zaledwie dzień lub dwa. Nawet jeśli ktoś jest szczęściarzem i ma powerbank lub generator prądu to szybko okazuje się, że przestaje działać sieć komórkowa. Dlaczego? Stacje BTS, których zadaniem jest przekazywać połączenia mają krótki czas działania na zasilaniu awaryjnym.
„Tak jest w tej chwili, że sieci telefonii komórkowej podtrzymują zasilanie w sposób automatyczny przez pojedyncze godziny, a następnie mają możliwości serwisowe dostarczenia agregatów. Jednak operatorzy nie byli przygotowanie na sytuację, kiedy pada takich stacji bazowych kilkanaście albo kilkadziesiąt” - mówił przy okazji sierpniowych nawałnic wiceminister energii Andrzej Piotrowski.[16]
Kilka lat temu niemieccy naukowcy przeprowadzili symulację jak wyglądałby Berlin bez prądu. Wnioski są niewesołe.
„W mieście wystąpiłyby także zmasowane problemy infrastrukturalne. Paliwo do agregatów prądotwórczych dla służb policji, straży pożarnej i szpitali wystarczyłoby tylko na jedną dobę. Zaopatrzenie miasta w wodę możliwe byłoby tylko pół dnia.”[17]
Opis podobnej sytuacji w Szczecinie także nie napawa optymizmem.[18]
Wszystkie te informacje skłaniają do refleksji, że potrzebujemy zdecydowanych działań by podnieść poziom bezpieczeństwa. Energetyka, internet, telekomunikacja oddziałują na siebie nawzajem. Zagrożenia w jednej z tych sfer skutkuje w drugiej. Bezpieczeństwo wymaga komplementarnego podejścia. W trakcie konferencji prelegenci zwracali uwagę, że Polska potrzebuje ofensywnych działań. Często jest to jedyny skuteczny sposób odparcia ataku. Czy doczekamy się cyber jednostek wojskowych?
Polska przyjęła strategię cyberbezpieczeństwa na lata 2017 – 2022. Do 2022 roku Polska ma być krajem bardziej odpornym na ataki i zagrożenia płynące z cyberprzestrzeni.[19]
Na razie miejmy nadzieję, że włączając komputer nie zobaczymy „monitora nastrojonego na nie istniejący kanał”.
[1] Cytat z Neuromancera, William Gibsona
[2] http://www.rp.pl/Telekomunikacja-i-IT/304289934-Rosyjscy-hakerzy-masowo-atakuja-polskie-komputery.html
[3] https://niebezpiecznik.pl/post/zamkniete-szpitale-i-zaklady-pracy-uderzenie-robaka-wannacry-i-olbrzymie-straty-na-calym-swiecie/
[4] http://www.rp.pl/Banki/302059917-Cyberatak-Bedzie-wiecej-atakow-na-banki-i-ich-klientow.html&cid=44&template=restricted
[5] Jest do obejrzenia na:
http://www.sejm.gov.pl/sejm8.nsf/transmisje.xsp?unid=5D253E0ACFF9A353C12580FD0059F5D7
[6] Relacja jest na stronie: https://cybergov.pl/relacja-2017/#relacja
[8] Jego prezentacja jest dostępna pod adresem:
https://fbst.pl/wp-content/uploads/2017/11/Juliusz-Brzostek-NASK.pdf
[9] https://www.nask.pl/pl/aktualnosci/wydarzenia/wydarzenia-2017/877,NASK-w-krajowym-systemie-cyberbezpieczenstwa.html
[10] http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:52013PC0048&from=PL
https://portal.dzp.pl/files/shares/Art/Samorzady%20i%20szpitale%20lekcewaza%20hakerow.pdf
[16] https://www.polskieradio.pl/5/3/Artykul/1817856,Nawalnice-nad-Polska-W-kraju-pradu-nie-ma-jeszcze-44-tys-odbiorcow
https://www.spidersweb.pl/2017/08/operatorzy-burze-polska.html