Mówiąc szczerze, coś się we mnie burzy, gdy widzę podtytuł pańskiej ostatniej książki.

Wojciech Kurowski: Jak to?

„Jak organizacje przestępcze kreują wartość w erze cyfrowej” – przestępcy i kreowanie wartości? To dziwne połączenie.

A, o to chodzi! Nie pan pierwszy jest zdziwiony takim sformułowaniem. Gdy po raz pierwszy, chyba w 2004 r., zacząłem używać go w Szkole Głównej Handlowej, niektórzy profesorowie zachodzili w głowę, o co też mi chodzi. To zdziwienie przypominało trochę ten moment, gdy do zapisu liczb zaczęto stosować cyfrę zero. „Zero? To nic nie znaczy! Jak to możliwe, żeby 0 było liczbą, skoro liczba wyraża ilość rzeczy? Czy można stosować w matematyce coś co symbolizuje nicość, czy nic jest ilością?” W ekonomii pojęcie przedsiębiorczości konotuje działanie konstruktywne, jakiś wzrost, na przykład wzrost gospodarczy, a działaniom mafii przypisuje się często coś zgoła przeciwnego – destrukcję wartości. Tymczasem „wartość” i „przedsiębiorczość” można także odnaleźć w cyberprzestępczości w jej wymiarze zorganizowanym.

A nie jest to trochę jak z mitem zbitej szyby? Niektórzy wyobrażają sobie, że gdy zbije się szybę młynarzowi, to da się pracę szklarzowi i w ten sposób wytworzy wartość dodaną.

Nie. Tutaj chodzi o coś innego. Zauważyłem to być może dlatego, że nie jestem tylko ekonomistą. Mam także wykształcenie prawnicze, pracowałem w Komisji Papierów Wartościowych i Giełd, a także miałem własne informatyczne start-upy. Dzięki temu widziałem przestępczość w sieci nie jako po prostu rezultat czyichś kryminalnych działań, który ma konkretne wymiary finansowe, ale patrzyłem na nią od strony pierwotnego algorytmu, modelu działania. E-mafia rozumie, że Internet zwiększa skalę oddziaływania i daje możliwość zwielokrotnienia zwrotu z danego przestępstwa. W sieci tzw. efekt mnożnikowy jest ogromny i cyberprzestępcy umieją to wykorzystać. To widać jak na dłoni z perspektywy czwartego wymiaru.

Czwartego wymiaru?

W geometrii eliptycznej, która okazała się bardzo przydatna w badaniu tego, jak funkcjonują te przestępcze organizacje internetowe, jest coś takiego jak model Poincarégo. Obrazuje on sytuację, w której w trzech standardowych wymiarach widzimy linie równoległe. Równoległe, czyli takie, które nigdy się ze sobą nie stykają, prawda? Można je porównać do pojedynczych wydarzeń w sieci. Zewnętrznemu obserwatorowi, który patrzy zaledwie na efekty, a więc na te pojedyncze wydarzenia, wydaje się, że są one ze sobą niezwiązane. Tymczasem model Poincarégo pokazuje czwarty wymiar, który te linie-wydarzenia kumuluje. W pobliżu punktu „zagnieżdżonej równoległości” procesy nie zachowują się już jak niezależne byty, ale zaczynają być splątane jako całość będącą czymś innym niż tylko sumą swoich mniej skomplikowanych części.

Bardzo to enigmatyczne.

Proszę sobie wyobrazić dwa pająki: wędrowny i sieciowy. Modus operandi pierwszego z nich polega na tym, że atakuje dopiero, gdy widzi muchę. Zabije tyle much, ile zobaczy. Za każdym razem musi ponawiać atak. To jest statyczny model działania. Taki model stosowała na przykład spółka Art-B w aferze z lat 90 – słynny oscylator polegał na tym, że należało dokonywać coraz to nowych przestępstw, korzystając na różnicach w czasie księgowania pomiędzy poszczególnymi bankami. Bardzo pracochłonna metoda kradzieży. I nie takie metody nas tutaj interesują. Modus operandi drugiego pająka polega na tym, że snuje on swoją sieć tylko raz, potem idzie odpocząć, a muchy wpadają w nią same. To jak afera Amber Gold. Tam wystarczyło podjąć jedno działanie, stworzyć mechanizm, który sam się już napędzał – z udziałem i przy nieświadomym wsparciu ofiar. Mieliśmy do czynienia z tzw. rekurencją – znów matematyka! – czyli sytuacją, w której jedno działanie opiera się na poprzednim.

I to jest dokładnie sposób, w jaki działa cybermafia. Ona korzysta z faktu, że np. z jednego programu może skorzystać milion osób. Zwiększanie skali nic nie kosztuje, a mnoży zyski. W lutym 2015 r. w dzienniku „The New York Times” ukazał się artykuł opisujący „największe przestępstwo bankowe naszych czasów.” Pracownicy ponad stu banków z 30 krajów zostali zainfekowani, mowa o ich komputerach oczywiście, stając się nie tylko ofiarami, ale i w pewnym sensie współuczestnikami procederu. Ich komputery zaczęły legitymować pewne nielegalne działania. Rezultat był taki, że popełniono wiele mikroprzestępstw, przelewów na ledwo zauważalne kwoty i jeśli już nawet ktoś je zauważył, to traktował jako osobne wydarzenia. Tymczasem one się kumulowały, służąc określonej grupie, na której konta przelewy te były koniec końców kierowane. Firma Cisco oszacowała kwotę strat na prawie miliard dolarów. To właśnie ten czwarty wymiar. Internet daje możliwość zapewnienia sobie czapki niewidki, a co więcej, wyręczania się innymi tak, aby nasze ręce – pozornie przynajmniej – pozostały czyste.

Wciąż nie widzę, gdzie konkretnie pojawia się ta „wartość” i co może nią być. To po prostu zysk?

Zysk też, ale to byłaby zbyt wąska perspektywa. Wartością może być tutaj władza, monopolizacja, czy dane i kontakty, które można wykorzystać w budowaniu legalnych biznesów. Przecież ten zysk jest właśnie transferowany do legalnej gospodarki i służy np. jako wkład inwestycyjny w różne przedsiębiorstwa. Dla osób zaangażowanych w proceder i wszystkich wokół ta cyberprzestępczość wytwarza więc wartość ekonomiczną.

O jakich grupach właściwie mówimy? Czy „przestępczość zorganizowana w internecie” to klasyczni przestępcy, którzy weszli w nową branżę?

Tu chodzi o coś innego. Prześledźmy to, jak rozwijała się historycznie przestępczość w sieci. U swojego zarania autorami przestępstw byli głównie pojedynczy hakerzy, którzy popełniali je oczywiście dla pieniędzy, ale także dla prestiżu i sławy w swoim środowisku. „Zablokowałem stronę prezydenta!” – chwalili się na swoich forach. Takie podejście jednak zanikło ze względu na pewną demokratyzację hackingu. Każdy może sobie kupić już taką usługę, albo pozyskać program i zostać hakerem. Dwa lata temu głośno było w USA o chłopaku, który zhakował kamerę podobającej się mu dziewczyny – Miss Nastolatek – i podglądał ją przez jej własny laptop. W miejsce konkurujących ze sobą pojedynczych hakerów powstało zjawisko grupowania się hakerów w konkretnych celach – np. zhakowania serwerów jakiegoś banku. Do takich akcji potrzeba już zaawansowanej wiedzy i umiejętności. Staroświeckie struktury mafijne zaczęły się przyglądać skali tego zjawiska i zwietrzyły swoją szansę. Obecnie przegrupowują się one i dostosowują do nowej rzeczywistości. Nie ma już miejsca dla hierarchicznej mafii takiej, jak Cosa Nostra.

Teraz mamy małe liczne grupy, które atakują z wielu stron równocześnie. Rozpraszają zadania na wielu uczestników oraz liczne procesy współbieżne w globalnej gospodarce usług. Pamiętam, że kiedyś polska policja chwaliła się, że duże grupy przestępcze odchodzą do lamusa, a to że w zamian pojawiają się małe nie jest problemem, bo z „małym łatwiej walczyć”. Otóż nie. Nie w sieci. Państwowe instytucje myślą po staremu, nie umieją się dostosować. Do siedziby portalu porównującego ceny wpadła kiedyś kontrola fiskusa żądając pokazania towaru, jakim jego właściciele handlują. Proszę sobie wyobrazić zdziwienie kontrolerów, gdy okazało się, że w firmie nie ma ani jednej paczki z towarem. Bo być nie może! Nie tak działają porównywarki. Urzędnicy tego nie rozumieli i nie rozumieją, że internet stwarza możliwość tworzenia wartości bez realnego posiadania sprzętu, zatrudniania ludzi. Na takim modelu biznes robi firma Uber, oferująca usługi taksówkowe za pomocą aplikacji mobilnej. Na takim modelu działają przestępcy.

Przestępczość w internecie rozwija się szybciej niż instytucje ją zwalczające?

Niestety tak. Wraz z chwilą zorganizowania się cyberprzestępców na kształt międzynarodowych organizacji wirtualnych skończyła się epoka indywidualnej ochrony ryzyka IT. Musimy zacząć myśleć i działać systemowo, algorytmicznie oraz współpracować. Związek Banków Polskich stworzył na przykład komórkę koordynującą walkę z przestępstwami finansowymi w internecie. To świetny pomysł, gdyż umożliwia szybką wymianę wcześniej ukrywanych informacji oraz koordynację działań Ale tu pochwały się kończą, bo ta komórka ma standardową strukturę, z przełożonym i podwładnymi, zespoloną z hierarchiczną organizacją kontroli bezpieczeństwa IT w bankach. To archaiczne podejście, a takie rozwiązania stosują wszyscy walczący z cyberprzestępczością. W końcu sprawą zajmie się pewnie armia i będziemy na rozkaz strzelać z armaty do wróbla. Niestety do takich wniosków można dojść po lekturze „Doktryny Cyberbezpieczeństwa RP” opracowanej niedawno przez Biuro Bezpieczeństwa Narodowego…

Tymczasem na sieciową strukturę przestępstw w internecie należy odpowiedzieć sieciowym sposobem ich zwalczania. Wielu ludzi o podobnych kompetencjach powinno współdziałać jednocześnie i wielokierunkowo, bez konieczności słuchania staroświeckich, jednostronnych rozkazów „z góry.” Żeby walka była skuteczna, trzeba system zaopatrzyć w kreatywność i elastyczność oraz oddolną wzajemną interaktywność, czyli w siatkę samodzielnych ludzi na wzór organizacji Wikipedii. W ten sposób można zadbać, aby pracownicy czy klienci np. banków zamiast być pierwszym celem ataków, stali się pierwszą linią obrony.

Jaka jest skala działania przestępczości zorganizowanej w internecie?

Olbrzymia. Już w 2008 r. FBI podało, że zyski z przestępstw internetowych przekroczyły zyski z handlu narkotykami. A przecież narkotyki to olbrzymi rynek, który szacuje się na ok. 320 mld dolarów rocznie. Raport z 2015 r. opracowany przez Centrum Studiów Strategicznych i Międzynarodowych (Center for Strategic and International Studies – CSIS) i sponsorowany przez firmę McAfee, należącą do Intel Security, szacuje globalne koszty cyberprzestępczości na 445 mld dolarów, co stanowi (według twórców raportu) od 15 do 20 proc. ogólnej wartości generowanej przez Internet.

To faktycznie robi wrażenie. Jak szeroki jest katalog cyberprzestępstw? Czy nie ma problemu z definicjami? Załóżmy, że mam firmę w kraju X, gdzie legalne jest świadczenie usług hazardowych w sieci. Moja strona dostępna jest także w kraju Y, w którym hazard w sieci jest zakazany. Czy to już przestępczość zorganizowana, czy problem innej natury?

Pamiętam, że gdy pracowałem w Komisji Papierów Wartościowych i Giełd, to wiele zagranicznych firm oferowało w Polsce możliwości internetowego inwestowania na Forexie, czyli rynku walutowym. Nie miały pozwolenia? To kierowaliśmy zawiadomienie do prokuratury o popełnieniu przestępstwa. Te firmy jednak tłumaczyły: jesteśmy zarejestrowane w Izraelu, tutaj to legalne! Internet jako środowisko bez granic stwarza takie problemy, ale nie kwalifikowałbym tego do kategorii „internetowa przestępczość zorganizowana”.

Co więc jest najpopularniejszym przestępstwem w tej kategorii?

Tak naprawdę jednak trudno opracować pełny spis e-przestępstw ze względu na ich różnorodność. Ponadto o wielu z nich jeszcze nie wiemy. Odkąd wraz z rozwojem internetu powstał nowy katalog przestępstw: tzw. „przestępstwa internetowe”, zazwyczaj rozpatrywało się je w obrębie oczywistych oszustw, pornografii, hazardu. Obecnie to się zmieniło. Właściwie identycznie jest z pojęciem e-biznesu. Wcześniej rozpatrywane było w kontekście sklepów internetowych, czy tworzeniem stron dla firm. Współcześnie zarówno nazwa „przestępczość internetowa” czy „e-biznes” nie odzwierciedlają ich specyfiki. E-biznes jest obecny prawie w każdej dziedzinie, gdyż niemal wszystko ma związek z internetem.

Przykładowo – bank – jest e-biznesem czy nie? To pytanie chyba najtrafniej odzwierciedla problemy z katalogowaniem cyberprzestępstw. Cyberprzestępczość integruje się z „analogowymi” okazjami przestępczymi i występuje w różnych sferach. Nawet branże niezwiązane z e-biznesem czy „przestępczością internetową” – np. energetyka, przesyl prądu czy ropy naftowej i gazu, poprzez zainfekowanie czujników połączonych z internetem przemysłowym, mogą stać się celem hakerów i wywołać paraliż energetyczny. Najistotniejsze nie są jednak konkretne przestępstwa, a ich mechanizm. Cyberprzestępcy sprawiają, że konkretni, ale często przypadkowi użytkownicy Internetu nolens volens działają tak, jak oni chcą i im przynoszą korzyści. Znany miliarder Elon Musk boi się, że światem zawładną inteligentne roboty, a ja bym tę teorię trochę zmodyfikował. Istnieje ryzyko, że architekci tych szkodliwych systemów informatycznych takich, jak wirusy i oprogramowanie szpiegowskie będą nie tylko korzystać z nieswoich zasobów, ale również zaczną manipulować ludźmi, którzy staną się dla nich „bateriami”.

Nie jesteśmy zbyt blisko teorii spiskowej?

Jestem daleki od wyznawania takich teorii, ale jestem bliski koncepcji „Matriksa”. Wie pan, jak niektórzy informatycy nazywają człowieka? Interfejsem biologicznym. I uważają go za bardzo niedoskonały interfejs. Z tych jego niedoskonałości mogą skorzystać nieuczciwi ludzie. Takich nie brakuje. Blokujące wybrane strony i serwery ataki DDOS, czy infekowanie pecetów trojanami to już codzienność. Być może mój i pański pecet już działa na usługach jakiegoś przestępcy? Sieć to miejsce na naprawdę niezwykłe przestępcze eksperymenty. Kilka miesięcy temu wymyślono algorytm, który „kazał” komputerom dokonywać w tzw. „Darknecie”, czyli szarej strefie internetu, do której dostęp mają wtajemniczeni, przypadkowych zakupów. Automatyczny bot miał za zadanie wydać 100 dolarów tygodniowo. Robot kupiły podróbki jeansów, papierosy, podrobione klucze, ale także 10 tabletek ekstazy, karty kredytowe oraz podrobiony paszport węgierski. Wszystkie produkty zakupione w ten sposób pojawiły się na wystawie, na której hacking posłużył jako forma artystycznej ekspresji. I teraz pojawia się pytanie: kogo za to sądzić? Nikt osobiście nie był odpowiedzialny za te zakupowe „decyzje” komputera.

„Darknet” – czyli w internecie istnieje przestępcze podziemie?

Tak, ale więcej na ten temat wiedzą ci, którzy z tego korzystają. Ja osobiście nie (śmiech). Ten alternatywny internet, sieć do której dostęp uzyskuje się za pomocą specjalnych przeglądarek, stara się być odwrotnością oficjalnego internetu. Jak? Otóż, o ile w normalnym internecie informacje się kumulują, są archiwizowane, każde działanie pozostawia ślady, o tyle „mroczna sieć” stara się zapewnić anonimowość, dane są jedynie tymczasowe, nie zostawia się po sobie aż tylu tropów. To oczywiście jest dla przestępców wygodne. Weźmy taki popularny ostatnio sposób na zarobek – infekujemy pecety programem, który blokuje do nich dostęp ich właścicielom. Włączasz komputer i wyświetla ci się informacja: „Jeśli chcesz odzyskać dane, zapłać 1000 dolarów”. Gdyby ten okup trzeba było zapłacić zwykłym przelewem, przestępca natychmiast by wpadł. Ale nie… okup płaci się Bitcoinami.

Czy fakt emigracji przestępczości zorganizowanej do sieci nie powinien nas cieszyć? Tradycyjny napad na bank to potencjalne ofiary w ludziach. Napady w internecie są bezkrwawe. Bardziej humanitarne, nieprawda?

W wąskiej perspektywie tak. Przestępczość w sieci to zbrodnie w białych rękawiczkach. Faktycznie statystyki pokazują, że w krajach rozwiniętych zmniejsza się liczba przestępstw „kryminalnych”, w których ktoś doznaje fizycznego uszczerbku na zdrowiu. Ale ja mimo wszystko wolałbym, żeby bolało.

Wolałby pan zostać okradziony z portfela i dostać przy okazji w nos niż okradziony przez internet?

Tak. Wróćmy do tego, co mówiłem wcześniej o cyrkulacji pieniądza, który pochodzi ze zorganizowanych przestępstw w sieci – wzmacnia on wybrane grupy interesariuszy oraz monopolizuje prawa do zysków, kosztem np. konkurencyjności, innowacyjności, rozwoju gospodarczego. W szerokiej perspektywie tworzy się przepaść, pogłębia rozwarstwienie, nierównowaga. Historia pokazała, że takie sytuacje są bardzo niebezpieczne, dla wszystkich i także w tym fizycznym wymiarze.

W którym momencie rozwoju cyberprzestępczości jesteśmy?

Ona dopiero się wykluwa, ale zyskuje coraz więcej przestrzeni. Obecnie na 7 mld ludzi przypada 3,5 urządzeń podłączonych do sieci, za pięć lat, będzie to 7 urządzeń. Będzie można nas zhakować przez podłączoną do internetu „gadającą” żarówkę w dużym pokoju. Dom dla sztucznych umysłów znacznie się powiększy. Inteligentne algorytmy przestępcze (być może z własną świadomością) będą wówczas oddziaływać na urządzenia, ale również na podmioty uczestniczące w globalnej gospodarce usług. Istnieje prawdopodobieństwo, że sami (często nieświadomie), będziemy współtworzyć równoległy przestępczy świat. Wszystko to, co wiemy o rzeczywistości, może okazać się nieprawdziwe. Świat biznesu będzie jak gra komputerowa. Przedsiębiorstwa i ludzie, czyli interfejsy biologiczne będą w pewnym sensie zredukowane do roli awatarów, służących do przejmowania wartości przez niedoskonałych bogów – zorganizowane grupy przestępcze.

Z tego, co pan mówi, wyłania się obraz świata zdominowanego przez cyberprzestępców. Czy ten system się nie załamie?

Nie, bo mafia, jak każdy pasożyt, potrzebuje żywego dobrze prosperującego organizmu. Nie jest w jej interesie doprowadzić do jego całkowitej destrukcji.

dr Wojciech Kurowski – ekonomista ze Szkoły Głównej Handlowej i autor książki „Mafia 2.0 – Jak organizacje przestępcze kreują wartość w erze cyfrowej”