Rosyjscy hakerzy podczas wyborów w Polsce. Nie ma się co łudzić, że zostawią nas w spokoju.
W XXI wieku wojna przeniosła się z tradycyjnych pól bitewnych do cyberprzestrzeni, gdzie cele atakują hakerzy, a nie bataliony czołgów. Mniej lub bardziej oficjalne jednostki cybernetyczne mają Stany Zjednoczone, Chiny, Francja, Wielka Brytania, Korea Północna czy oczywiście Rosja. Nasz wschodni sąsiad ma wyjątkowo rozwiniętą nową, cyfrową gałąź sił zbrojnych i służb specjalnych. Jednostki znajdują się zarówno w strukturach armii, jak i wywiadu, a w działaniach propagandowych wspierają je organizacje cywilne, wynajęci przez rząd hakerzy oraz media.
19.10.2018 | aktual.: 19.10.2018 14:21
Mroźny wieczór w przeddzień wigilii Bożego Narodzenia 2015 roku. Operatorowi ukraińskiej elektrowni w Zaporożu nagle przestaje działać myszka od laptopa. Może padły baterie? Operator wstaje od biurka sprawdzić bezpieczniki, ale wtedy… kursor myszki sam zaczyna jeździć po ekranie. To nie jest dobry znak. To bardzo zły znak, zwłaszcza że chwilę później na monitorze wyświetla się panel do zarządzania pracą całej elektrowni. Coraz bardziej przerażony operator widzi, jak ktoś na jego monitorze wyłącza jeden po drugim kolejne generatory prądu. W końcu wyłącza nawet światło w sterowni, gdzie spanikowany operator łapie za kable, nerwowo klika w myszkę, próbuje zatrzymać proces. Przez najbliższe kilka godzin 700 tys. domostw na wschodzie Ukrainy nie będzie miało światła i energii.
Jest środek zimy. Tak atakują hakerzy z Rosji.
Polska na pierwszej linii
Nie oszczędzają nie tylko Ukrainy, ale i Wielkiej Brytanii (zaszyfrowanie maszyn ratujących życie w szpitalach), Stanów Zjednoczonych (kradzież maili z Komitetu Partii Demokratycznej) czy szeregu innych krajów. Nie ma co się łudzić – Polski też nie oszczędzą.
Będąc sąsiadem Rosji, członkiem NATO i Unii Europejskiej jesteśmy wręcz naturalnym celem dla rosyjskich służb specjalnych. A wybory to jeden z najlepszych momentów na przeprowadzenie zarówno ataków hakerskich, jak i kampanii dezinformacyjnych. - Co do zasady realizacja cyberataku ukierunkowana na dane wydarzenia zakłada, że wszystkie potrzebne do tego elementy prawdopodobnie już są na miejscu – mówi w rozmowie z WP Tech Marcin Ludwiszewski, dyrektor działu cyberbezpieczeństwa w Deloitte. – Komputery są dawno zainfekowane, botnet w uśpieniu czeka na sygnał, a hasła i maile są wykradzione z prywatnych skrzynek.
Wystarczy jeden błąd, aby atakujący zwyciężył
- Zagrożenia w cyberprzestrzeni, nie tylko przy okazji wyborów samorządowych, możemy podzielić na dwie główne grupy. Pierwsza to ataki hakerskie zarówno na infrastrukturę jak i te na konkretne osoby. Drugą kategorią są kampanie dezinformacyjne. To właśnie w nich specjalizuje się słynna rosyjska farma trolli z Petersburga, czyli Internet Research Agency - komentuje dla WP Tech ekspert fundacji Stratpoints, były zastępca Szefa Służby Kontrwywiadu Wojskowego, płk. rez. Maciej Matysiak.
Do pierwszej kategorii można zaliczyć ataki przy użyciu złośliwego oprogramowania (wirusów, szczególnie ransomware – oprogramowania szyfrującego dane i sprzęt, jak NotPetya w brytyjskich szpitalach) lub ataki DDOS, które mają na celu "wyłączenie" konkretnych usług, stron internetowych i ograniczenie do nich dostępu. Te ostatnie to nic innego jak zapchanie serwera – boty masowo próbują wejść na jakąś stronę lub usługę, by je sparaliżować. To tak, jakby do osiedlowego warzywniaka chciało na raz wejść tysiąc osób. Jeśli spróbują, sklepik nie będzie w stanie przyjąć nowych osób dokładnie tak, jak nie jest w stanie tego zrobić strona www lub serwer w czasie ataku DDOS.
- Możemy sobie wyobrazić atak DDOS na serwery Państwowej Komisji Wyborczej podczas wieczoru wyborczego – dodaje Matysiak. – W takim wypadku mogłoby dojść do spowolnienia lub sparaliżowania prac PKW. Możliwym jest, że Komisja musiałaby zbierać dane z poszczególnych lokali wyborczych tradycyjnie lub nie byłaby wstanie tych głosów policzyć wiarygodnie. Ogłoszenie wyników by się przeciągało, a w najgorszym wypadku wybory trzeba byłoby by powtórzyć. Prawdopodobnie od razu pojawiłyby się głosy o sfałszowanych wyborach, manipulacjach, a zaufanie dla administracji znacznie by osłabło.
- Istotą cyberbezpieczeństwa jest to, że atakujący może wykonać wiele prób ataków, natomiast ten kto się broni wystarczy, że popełni jeden błąd lub wykaże słabość - tłumaczy Marcin Ludwiszewski – Jedyną szansą na sukces jest dbanie o to, aby każda osoba, element systemu bezpieczeństwa zapewniały spójny poziom ochrony.
Do monitorowania i odpowiadania na tego typu zagrożenia Polska jest przygotowana całkiem nieźle. Ustawa o krajowym systemie cyberbezpieczeństwa z 5 lipca 2018 powołała do życia trzy jednostki CSIRT (Computer Security Incident Response Team, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego). Działają one w ramach administracji rządowej CSIRT GOV (MSWIA), sił zbrojnych CSIRT MON oraz Naukowej i Akademickiej Sieci Komputerowej CSIRT NASK (Ministerstwo Cyfryzacji).
DDOS łatwo wykryć, ale reagować trzeba natychmiast
Oprócz jednostek administracyjnych i wojskowych swoje CSIRT-y mają również firmy prywatne takie jak operatorzy komórkowi, banki czy firmy zajmujące się bezpieczeństwem w sieci. CSIRT-y stale monitorują ruch w internecie i są w stanie wykrywać anomalie jak np. ataki DDOS. Po wykryciu takiej anomalii mogą jej następnie przeciwdziałać, odcinać ruch lub go przekierowywać. Ale tylko wtedy, gdy zostaną odpowiednio wcześnie wykryte. Wg danych z 2017 90 proc. ataków DDOS trwa mniej niż 30 minut, co mocno ogranicza czas na reakcję.
Sprawa jest trudniejsza w przypadku reagowania na złośliwe oprogramowanie. Atak przy wykorzystaniu wirusa jest zazwyczaj planowany i przeprowadzany miesiącami na długo przed datą faktycznego ataku. W takim przypadku CSIRT-om pozostaje często jedynie obserwacja i analiza poniesionych szkód. A tych jest sporo. Według "Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2017 roku” w Polsce zgłoszono 28 281 incydentów komputerowych, z czego faktyczne naruszenie bezpieczeństwa teleinformatycznego instytucji miało miejsce w 5 819 przypadkach.
- Jeśli założymy, że w dzień wyborów miałoby dojść do jakiegoś ataku, to wszystkie potrzebne do tego elementy prawdopodobnie już są na miejscu – mówi Marcin Ludwiszewski. – Komputery są dawno zainfekowane, botnet w uśpieniu czeka na sygnał, a hasła i maile są wykradzione z prywatnych skrzynek.
Najsłabsze ogniwo - człowiek
Często mówi się, że Polska ma najlepszych informatyków i specjalistów od bezpieczeństwa na świecie. Jest w tym sporo prawdy. Eksperci z Polski pracują w globalnych firmach i są cenieni przez kolegów ze świata. Jednak nawet najlepsi spece od cyberbezpieczeństwa wyposażeni w najlepszy sprzęt komputerowy nie są w stanie skutecznie zabezpieczyć najsłabszego ogniwa łańcucha cyberbezpieczeństwa – człowieka. Bo większość ataków zaczyna się właśnie od pracownika (na dowolnym szczeblu), który kliknie w nieznany załącznik w mailu (tak doszło do wycieku maili z Komitetu Partii Demokratycznej USA) lub używa hasła typu "haslo123", "123456" albo "qwerty".
- Cyberbezpieczeństwo to nieustanna walka, w której broniący się są zawsze o krok do tyłu od atakujących – mówi Ludwiszewski. – Jedyną szansą na sukces jest dbanie o to, aby każda osoba w równym stopniu dbała o bezpieczeństwo systemu. Co z tego, że w łańcuchu mamy kilka tytanowych ogniw. Najszybciej puści to z cyny.
PSYOPS, czyli operacje psychologiczne
Ataki hakerskie na osoby lub systemy to jeden ze sposobów, w jaki obce państwo może wpłynąć na wybory w Polsce. Jest on o tyle "łatwiejszy" do obrony, że można go łatwo zidentyfikować i na niego zareagować. Sprawa jest zdecydowanie trudniejsza w przypadku drugiej grupy zagrożeń. Są to działania propagandowe i dezinformacyjne, nazywane przez specjalistów działaniami PSYOPS (Psychological Operations, czyli operacje psychologiczne).
W raporcie Rządowego Centrum Bezpieczeństwa o stosowaniu prze Rosję dezinformacji czytamy: "Dezinformacja jest traktowana jako broń w konfrontacji informacyjnej z Zachodem oraz narzędzie wpływu, indoktrynacji i destabilizacji społeczeństw przeciwnika. Oznacza proces ciągły, polegający na systemowej zintegrowanej aktywności państwa na wielu frontach, prowadzonej różnymi kanałami (dyplomatycznymi, politycznymi, ekonomicznymi, militarnymi, społecznymi, medialnymi), zgodnie z celami i zasadami planowania strategicznego”.
- W Polsce mamy ten ogromny problem, że obecnie jest tylko jedna oficjalna jednostka, która w ogóle może zajmować się tym zagrożeniem – mówi płk. rez. Maciej Matysiak, były zastępca szefa Służby Kontrwywiadu Wojskowego i ekspert fundacji Stratpoints. – To Centralna Grupa Działań Psychologicznych z Bydgoszczy. W dzisiejszej sytuacji, to zdecydowanie za mało. Poza tym jednostka ta specjalizuje się w działaniach o charakterze militarnym, a dziś mamy do czynienia z dezinformacją na ogromną skalę w świecie cywilnym.
Robotę za Rosjan wykonujemy sami
Ze smutkiem trzeba przyznać, że Polska i Polacy są idealnym poligonem do walki dezinformacyjnej, bo niezwykle łatwo ulegamy emocjom i nie chcemy spojrzeć poza własny punkt widzenia. Prawdopodobnie gdyby dział rosyjskiej Internet Research Agency (farmy trolli) odpowiedzialny za Polskę wziął miesiąc wolnego, to skutek i tak byłby taki sam: Polacy kłóciliby się ze sobą o wszystko.
- Nasz problem polega nie tylko na tym, że w naszą naturę wpisane są spory i kłótnie – przekonuje Maciej Matysiak. – Dochodzi do tego brak edukacji od najmłodszych lat. Nie potrafimy ze sobą dyskutować na odmienne tematy i wyciągnąć z tych dyskusji wniosków. Rozumiemy tylko jeden sposób "dyskusji", jest nim wręcz agresywna konfrontacja.
W Polsce nie ma służb, które w aktywny sposób mogłyby przeciwdziałać propagandzie, dezinformacji czy trollom w internecie. Mogą jedynie reagować, jeśli zostanie popełnione przestępstwo, a do tego nie musi wcale dojść, aby dezinformacja odniosła skutek.
Najważniejsza jest edukacja
- W tym wypadku najskuteczniejsza jest długotrwała edukacja i informowanie społeczeństw. Niestety u nas ona zupełnie nie istnieje. Mało tego często sami wyręczamy rosyjskich trolli i w ich zadaniach i skaczemy sobie do oczu - mówi Maciej Matysiak.
Wybory samorządowe już za kilka tygodni. Jeśli miałoby dojść do ataku hakerskiego w ich czasie, to możemy mieć nadzieję, że odpowiednie służby i CSIRT-y wykonały odpowiednio swoją pracę i zabezpieczyły rządowe systemy przed atakiem. Na to, że nikt z polityków i pracowników obsługujących wybory nie dał się zhackować, nadzieje już możemy mieć mniejszą. Natomiast na to, że zewnętrzna propaganda i dezinformacja nie wpłynie na wynik wyborów, nie możemy już mieć żadnej nadziei. W wieczór wyborczy będziemy mogli co najwyżej obejrzeć jej efekty.