Jakub Bojanowski – ekspert z zakresu cyberbezpieczeństwa, autor książki Zdążyć przed hakerem (wydawnictwo MT Biznes) wyjaśnia, dlaczego współpraca w zakresie cyberbezpieczeństwa jest tak ważna i jak jest oceniana polska zdolność do obrony przed cyberwojną.
* * *
Jak ocenia Pan przygotowanie polskich firm do potencjalnego cyberataku ze strony Rosji?
Przede wszystkim musimy wyjaśnić, że do takiego scenariusza jak cyberatak ze strony innego państwa powinniśmy się przygotowywać jako państwo, a nie z perspektywy poszczególnych firm. Większość firm – czy większość z nas jako osoby prywatne – w konfrontacji z profesjonalnym atakiem sponsorowanym przez instytucje innego państwa samodzielnie po prostu nie ma żadnych szans.
Cyberbezpieczeństwo na poziomie kraju wymaga natomiast nie zabezpieczenia jednej czy drugiej firmy, ale zbudowania odpowiedniej infrastruktury organizacyjnej, która w skali całego kraju pozwala instytucjom i podmiotom gospodarczym na wymianę know-how, koordynację działań czy wzajemne informowanie się o mających miejsce incydentach.
Właśnie takie działania – głównie dotyczące całego kraju (a nie tylko poszczególnych firm) są istotą dyrektywy unijnej NIS, która została przyjęta w 2016 roku, a ostatnio, kilka dni temu, została znowelizowana przez Parlament Europejski. Zgodnie z tą dyrektywą, odpowiednie struktury są w Polsce tworzone już od kilku lat i stopniowo zdobywają coraz lepsze doświadczenie.
Zamiast subiektywnie oceniać skuteczność tych działań ze swojej perspektywy, wolę posłużyć się raportem The Cyber Defence Index opublikowanym ostatnio przez MIT. Polskie działania w zakresie tworzenia struktur cyberbezpieczeństwa zostały ocenione tam dość wysoko – zajęliśmy 6 miejsce w grupie 20 krajów. Wyprzedziliśmy Wielką Brytanię, Francję, a nawet Niemcy.
Wysoka ocena w badaniu MIT to na pewno dobry wynik, ale równocześnie warto też zwrócić uwagę na inne zestawienie z tego raportu, porównujące percepcję cyberbezpieczeństwa względem realnych działań – tutaj też jesteśmy liderem, czyli mamy wyraźną tendencję do przeceniania własnych sukcesów lub niedoceniania rzeczywistych cyberzagrożeń. Czyli jednak nie należy tu być całkowicie bezkrytycznym. Na pewno, niezależnie od tego, jak dobrze jesteśmy przygotowani do tych negatywnych cyberscenariuszy, jeszcze wiele pozostaje do zrobienia.
Przedstawiciele, których branż dbają o kwestie cyberbezpieczeństwa, a które – Pana zdaniem – nie podchodzą do tego odpowiednio?
Doświadczenia z innych krajów pokazują, że wymogi prawne i regulacje – nawet jeżeli jest to wpływ tylko pośredni – pomagają w budowaniu kultury bezpieczeństwa informacji i przełamywaniu niechęci zarządzających do zajmowania się tym trudnym zagadnieniem, jakim jest cyberbezpieczeństwo. Dlatego niekwestionowanym liderem w tym obszarze jest sektor bankowy, gdzie pierwsze regulacje dotyczące zarządzania ryzykiem informatycznym pojawiły się jeszcze w latach 90 ubiegłego wieku i gdzie związki między technologią i działalnością operacyjną są najsilniejsze. Stopniowo do banków – częściowo wzorując się na ich rozwiązaniach – dołączały inne sektory gospodarki, jak choćby telekomunikacja. Wspomniana wcześniej dyrektywa NIS i związana z nią ustawa o krajowym systemie cyberbezpieczeństwa, włączyła do grupy podmiotów, które cyberbezpieczeństwem zajmują się z obowiązku ustawowego sektory energetyczny, transportowy czy ochronę zdrowia oraz instytucje sektora publicznego. Wraz z nowelizacją dyrektywy do tej grupy wkrótce dołączy sektor usług pocztowych i kurierskich, przemysł chemiczny, spożywczy i kilka innych.
Pozytywne skutki wymogów prawnych widać było ma przykład w branży energetycznej, gdzie dość konsekwentnie rozpoczęto wdrażanie rozwiązań z zakresu cyberbezpieczeństwa. A warto podkreślić, że akurat w tym sektorze, szczególnie w zakresie bezpieczeństwa infrastruktury, jest najwięcej do zrobienia. W energetyce wiele wykorzystywanych systemów opiera się na stosunkowo starej technologii, która nie jest taka łatwa do zabezpieczenia jak nowoczesne systemy bankowe.
Nie chciałbym natomiast wskazywać jakiegoś sektora, który odstaje negatywnie od „średniej rynkowej”. Zagrożenia dla wszystkich są podobne, ale każda branża gospodarki, a nawet firma ma swój „profil ryzyka cybernetycznego” i każda powinna podchodzić do cyberbezpieczeństwa uwzględniając swoją specyfikę. Wymogi bezpieczeństwa w typowej firmie produkcyjnej czy handlowej są zupełnie inne niż u operatora usług energetycznych i dlatego ciężko tego typu instytucje porównywać ze sobą.
Czy polskie firmy coraz częściej dbają o kwestie cyberbezpieczeństwa?
Mówiąc szerzej o „polskich firmach” warto zwrócić uwagę na to, że te scenariusze, o których mówiliśmy, czyli cyberataki ze strony wrogich mocarstw, to tylko fragment szerszego „krajobrazu zagrożeń” – stanowiący 8, może 10% wszystkich cyberincydentów. Jak pokazują statystyki oparte na solidnych, wykonywanych corocznie według tej samej metodyki badaniach, większość cyberataków to dzisiaj działania o charakterze typowo przestępczym, głównie ukierunkowane na kradzież lub wyłudzenie od firm (na przykład przy pomocy cyberszantażu) środków finansowych. Sprawcami, czy jak mówią fachowcy „aktorami”, tych zdarzeń są zorganizowane grupy przestępcze, które niekoniecznie muszą, choć mogą, być sponsorowane przez agendy rządowe. Dla typowej firmy atak szpiegowski to w dalszym ciągu scenariusz typu political fiction, natomiast z próbami wykradzenia środków z konta lub żądaniami okupu stykają się prawie wszyscy. Zjawisko to jest na tyle powszechne, że świadomość cyberzagrożeń wśród zarządów firm i tym samym przygotowanie firm w zakresie cyberbezpieczeństwa jest coraz lepsze. Z drugiej strony, pomimo teoretycznie lepszego przygotowania firm do cyberataków, skala cyberprzestępczości stale rośnie.
Kto bądź co jest teraz największym zagrożeniem dla cyberbezpieczeństwa statystycznego Kowalskiego?
Zanim odpowiemy na to pytanie musimy zwrócić uwagę, że ten „statystyczny Kowalski” to ktoś inny niż jeszcze kilka lat temu. Pandemia zmusiła do korzystania z technologii nawet największych sceptyków i w rezultacie do grona internautów dołączyły osoby mniej wyedukowane w zakresie bezpieczeństwa informacji. „Statystyczny Kowalski” jest bardziej podatny na „inżynierię społeczną” czyli próby oszustwa, podszywanie się pod innych i celowe wprowadzanie w błąd, które są jednym z podstawowych narzędzi stosowanych przez hakerów. Jak obserwujemy, równolegle do zawansowanych cyberataków: tradycyjnych włamań na serwery czy do aplikacji internetowych, wśród cyberprzestępców dalej królują proste metody wyłudzania haseł systemowych czy przejmowania kontroli nad komputerami i telefonami. Rosnące grono internautów zapewnia efekt skali dla najprostszych ataków, które pod względem zaawansowania nie różnią się znacząco od metody „na wnuczka”, którą znamy z tradycyjnej przestępczości.
Kampanie informacyjne coraz częściej przypominają nam o zagrożeniach związanych z klikaniem w linki w mailach czy SMS lub podawaniem swoich danych w sieci, ale skala phishingu, czyli właśnie włamań opartych na rozsyłaniu sfałszowanej poczty rośnie. Drugim, często łączonym z phishingiem, również rosnącym zagrożeniem jest ransomware, czyli wymuszanie okupów za odblokowanie komputera lub danych, zniszczonych przy pomocy złośliwego oprogramowania. Tutaj cyberprzestępcy potrafią działać w dowolnej skali atakując zarówno osoby prywatne jak i duże międzynarodowe korporacje.
Wielu ekspertów zwraca uwagę na fakt, iż wojny w cyberprzestrzeni toczą się od dawna. Czy to prawda?
To zjawisko ma miejsce od samego początku istnienia sieci, a może wcześniej. Nie zapominajmy, że prekursorem Internetu był ARPANET czyli system akademicki, ale stworzony jednak dla zastosowań wojskowych. Niektóre rozwiązania leżące u podstaw działania sieci (które do dzisiaj skutkują trudnościami w zapewnieniu bezpieczeństwa informacji wysyłanej przez Internet) miały za zadanie sprawdzić się „w warunkach bojowych” kiedy działanie sieci może być zakłócone przez działania militarne i gdy część węzłów sieci może być niedostępna.
Przy okazji warto przypomnieć, że film, który do dzisiaj wygrywa plebiscyty na najlepszy film o tematyce hakerskiej i cyberbezpieczeństwa to Gry Wojenne z 1983 roku czyli z czasów początków Internetu. Niby political fiction, ale myślę, że coś jest tu na rzeczy.
Czy cyberbezpieczeństwo powinno być obowiązkowym przedmiotem w szkole średniej?
W ramach szeroko pojętego obszaru cyberbezpieczeństwa możemy znaleźć miejsce dla specjalistów z wielu dziedzin – nie tylko informatyków. Ale przestrzegałbym przed trywializowaniem tej dyscypliny i prezentowaniem jej jako czegoś czego można nauczać w każdej szkole średniej. Obecnie cyberbezpieczeństwo jest uczone na uczelniach, albo jako kierunek studiów, albo przedmiot specjalistyczny i moim zdaniem to jest dobre rozwiązanie.
Szukając nowych miejsc, gdzie można obowiązkowo uczyć cyberbezpieczeństwa raczej pomyślałbym o włączeniu tego przedmiotu w ramach studiów z zakresu zarządzania czy programu MBA niż jako przedmiotu w szkole. Szkoła – i to od szkoły podstawowej, a nie średniej – powinna uczyć natomiast uczniów bezpiecznych zachowań w sieci – odpowiedzialnego posługiwania się pocztą, zwracania uwagi na informacje publikowane w sieci czy ochrony swojej tożsamości, a także korzystania z informacji dostępnych w sieci w sposób rzetelny bez naruszania własności intelektualnej innych osób czy hejtu. Tutaj można pomyśleć o tym, że tego typu tematyka mogłaby być elementem obowiązkowym edukacji, ale chyba nie na odrębną ocenę, tylko przy okazji – zawsze wtedy, gdy uczniowie korzystają z technologii ucząc się języka polskiego, matematyki, a nawet szeroko dyskutowanej ostatnio religii.