Z najnowszego raportu o cyberbezpieczeństwie przygotowanego przez działający przy ABW CSIRT GOV wynika, że liczba faktycznych incydentów w Polsce w 2020 roku wzrosła o 88 proc. względem roku 2019. Z czego wynika Pana zdaniem ten wzrost?

Nie chciałbym komentować raportu opracowanego przez kolegów z CSIRT GOV. W ramach naszej jednostki, czyli Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni (NCBC) funkcjonuje CSIRT MON, który monitoruje zagrożenia związane z bezpieczeństwem sieci teleinformatycznych resortu obrony narodowej i sił zbrojnych. Raporty CSIRT MON, czyli nasze wojskowe, nie są jawne i nie podlegają publikacji.

Natomiast jeśli zapoznamy się z raportem CSIRT GOV, który odpowiada m.in. za bezpieczeństwo systemów teleinformatycznych organów administracji publicznej oraz infrastrukturę krytyczną państwa, to faktycznie widać większą skalę incydentów. Może to wynikać z różnych powodów. Po pierwsze, rośnie świadomość użytkowników, czy to obywateli, czy też urzędników państwowych. Dawniej wiele osób nie zgłaszało incydentów komputerowych, ponieważ nie wiedziało komu i w jaki sposób powinni je zgłosić. Obecnie jeśli są ataki lub próby ataku, to użytkownicy zgłaszają to częściej i chętniej, mając znacznie większą świadomość zagrożenia. Widzimy to również w naszych systemach wojskowych - żołnierze czy pracownicy wojska częściej informują nawet o podejrzanych zachowaniach w sieci. Zgłaszają również przypadki otrzymania maili, co do których nie są pewni, czy nie są to maile phishingowe. W wielu przypadkach okazuje się, że są to zgłoszenia tzw. false-positive, ale w wielu innych okazało się, że rzeczywiście prowadzona była kampania phishingowa.

Po drugie, musimy uwzględnić fakt, o którym mowa jest również w raporcie, że w czasie pandemii przenieśliśmy życie do sieci, a w efekcie tego jesteśmy bardziej narażeni na cyberzagrożenia. Zatem wzrost liczby ataków jest zgodny z pewnymi oczekiwaniami, a cyberprzestępcy podążają za tym trendem. Byłoby wręcz niepokojące i zastanawiające, gdyby więcej użytkowników zaczęło korzystać z sieci, a notowanoby mniej incydentów.

Czyli paradoksalnie dane o wzroście incydentów w dobie pandemii mogą w pewnym sensie cieszyć?

Cieszy fakt, że zespoły odpowiadające za monitorowanie sieci widzą wzrost incydentów. Nawet jeżeli jakiś atak się uda, ale został zauważony post factum, to jest to lepsza sytuacja, niż w przypadku, w którym przeciwnik operuje w sieci, ale nikt o tym nie wie. Pragnę przypomnieć, że w przeszłości taka sytuacja była standardem. W firmach w Polsce mówiono statystycznie o 62 dniach, jakie upływały od momentu infekcji, zanim dział bezpieczeństwa dowiadywał się, że haker operuje w sieci. Z tego punktu widzenia mnie osobiście te dane z raportu nie paraliżują w żaden sposób. Fakt, że incydenty są zauważalne przez różne systemy i zespoły monitorujące bezpieczeństwo, ma swoją wartość i jest zgodny z trendem.

Na podstawie tego samego raportu wiemy, że wzrost liczby cyberataków na służby i wojsko był największy na tle innych instytucji państwa i wyniósł 311 proc. w skali roku. Czy CSIRT MON również odnotował tę skalę wzrostu ataków?

Chciałbym podkreślić, że w raporcie ABW wojsko jest połączone razem ze służbami. Trzeba też dodać, że raport ten dotyczy głównie systemów jawnych. Tymczasem w armii wszystkie kluczowe systemy, takie jak na przykład systemy wsparcia dowodzenia, ale też systemy, które wykorzystujemy do pracy biurowej, są systemami niejawnymi odseparowanymi od sieci Internet. Te niejawne sieci podlegają procesowi akredytacji, zaimplementowano w nich szereg różnych warstw bezpieczeństwa. Dlatego zmaterializowanie się incydentu w tej sieci jest bardzo utrudnione, są monitowane w trybie 24/7, by w porę wykryć ewentualne incydenty i je zneutralizować.

Wojsko wykorzystuje również systemy jawne. Potrzebne są one bardziej do wsparcia działań, choćby do obsługi przetargów, które muszą być opublikowane i dostępne online oraz m.in. do kontaktów z partnerami spoza resortu. Za sieci teleinformatyczne, funkcjonowanie systemów jawnych w resorcie oraz ich bezpieczeństwo również odpowiadamy my. Są one stale monitorowane przez CSIRT MON i reagujemy na wszelkie próby ataku. My te próby widzimy natychmiast i skutecznie im przeciwdziałamy.

Z drugiej strony staramy się też poznawać naszych przeciwników. Można to nazwać pewną grą. Nie wszystkie nasze sieci, które wyglądają na wojskowe, są nimi w rzeczywistości. Musimy się naszych przeciwników i ich strategii gdzieś uczyć. Dzięki sieciom typu honeypot (pułapki mające wykryć nieautoryzowane użycie systemu – przyp. red.) możemy się nauczyć taktyk, technik i procedur, które wykorzystują pewne grupy próbujące na nas oddziaływać. M.in. z takich powodów CSIRT MON nie publikuje swoich raportów. W armii trochę inaczej podchodzimy do cyberbezpieczeństwa. Nie czekamy, aż incydent się zmaterializuje, tylko zakładamy, że nasze sieci mogą być zainfekowane i mamy zespoły huntingowe, które polują w sieci na osoby lub grupy próbujące rozpoznać i operować w naszych systemach. Stąd też nasze działania są bardzo proaktywne.

Zatem w przypadku wojska raport ten nie stanowi powodów do obaw?

Załóżmy, że jakaś osoba, bądź grupa uruchomi próbkę malware’u (złośliwe oprogramowanie - przyp. red.) w naszym honeypocie, co zostanie zarejestrowane jako incydent w sieci. Innymi słowy – ucząc się naszego przeciwnika, pozwalamy mu na pewne działania, sprawiamy wrażenie że działa w naszej sieci, by móc go obserwować. Wiele zaawansowanych działów bezpieczeństwa działa podobnie, nie tylko w wojsku czy służbach, ale też w biznesie wśród bardzo świadomych zespołów bezpieczeństwa.

Wśród różnych rodzajów cyberataków na Polskę jedna kategoria zdecydowanie dominuje jeśli chodzi o liczbę – to wirusy, ale skanowanie, phishing i tzw. podatność też są wysoko. Która z tych kategorii incydentów jest największym problemem w sieciach wojskowych?

W raporcie ABW rzeczywiście widać znaczną liczbę incydentów sklasyfikowanych jako wirusy. Pamiętajmy jednak, że wirus jest aplikacją replikującą się. Jeśli gdzieś doszło do infekcji i wirus uległ replikacji, to siłą rzeczy liczba incydentów wzrosła.

Jeśli zaś chodzi o wojsko, to wirus jest kategorią incydentu, na który zwracamy uwagę, natomiast grupy, które próbują operować w naszych systemach, stosują głównie inne techniki. Raczej nie będą wykorzystywały wirusów, gdyż wirus chociażby przez to, że się replikuje, jest aplikacją bardzo „głośną”, robi dużo szumu i przez to jest łatwo wykrywalny.

Grupy, które wchodzą w interakcje z zespołami wojskowymi, potrafią zbudować złośliwe oprogramowanie, które jest bardziej wyszukane. Grupom APT (z ang. Advanced Persistent Threats) bardziej się opłaca opracować rozwiązania lub przeprowadzić atak tak, żeby być w danej sieci i móc z niej wyprowadzać dane w sposób cichy, dyskretny i niezauważony przez dłuższy okres. Wirusy do tego nie służą. Oczywiście na nie również zwracamy uwagę, nasze bezpieczeństwo bazuje też na rozwiązaniach antywirusowych.

Phishing na poziomie prywatnego użytkownika Internetu kojarzy się głównie z oszustwem w celu wyłudzania pieniędzy, ale takie próby phishingowe są prowadzone również wobec wojska. Jakie przybierają formy?

Przychodzi mi do głowy sytuacja z maja tego roku. Uruchomiono wówczas kampanię phishingową, w której ja jako Generał Karol Molenda nawołuję do zostania cyberżołnierzem. Kampania wyszła z adresu na domenie gmail z moim imieniem i nazwiskiem. W ramach tej akcji podstawiono stronę phishingową. Dowiedziałem się o tym w parę minut po tym, jak ta kampania została uruchomiona i poinformowałem o niej na swoich mediach społecznościowych. Nasz zespół doprowadził do zablokowania strony phishingowej w 30 minut. Wszystko rozpoczęło się po 22:00, a przed 24:00 temat był już zamknięty. Gdyby nie sprawność zespołu oraz fakt, że u nas takie zagrożenia monitoruje się w sposób ciągły 7 dni w tygodniu 24 godziny na dobę, to ta kampania mogłaby trwać całą noc do rana.

Przy okazji phishingu skupiałbym się jednak bardziej na jego wyszukanych formach, takich jak spear phishing, który jest ukierunkowany na konkretną osobę. Dlatego też staramy się zwracać uwagę decydentom i członkom kadry kierowniczej, że mogą stanowić tzw. high-value target i że taki atak może być na nich ukierunkowany.

Czy jesteśmy w stanie w jakikolwiek sposób zidentyfikować sprawców cyberataków? Czy możemy ich powiązać z określonymi państwami?

Wojsko jest atakowane zazwyczaj przez zorganizowane grupy. Oczywiście zwykli cyberprzestępcy również mogą próbować przeniknąć do naszych sieci, ale nasze systemy bezpieczeństwa są już na takim poziomie zaawansowania, że dla zwykłego przestępcy jest to po prostu nieopłacalne. Zwykły cyberprzestępca sięga zazwyczaj po najniżej wiszący owoc. Jeżeli łatwiej jest przeprowadzić atak phishingowy na zwykłego obywatela, to dlaczego miałby trudzić się i próbować przebić wielowarstwowy poziom bezpieczeństwa w sieciach wojskowych? Taki incydent i tak zostanie wykryty. Nawet jeśli takiemu przestępcy udałoby się wejść do sieci jawnej, to nie ma tam nic wartego uwagi, bo tak naprawdę wrażliwe informacje w wojsku przetwarzane są w systemach niejawnych.

Jeśli chodzi o kraje, to nasze oczy zwracamy bardziej na wschód. Gdy mówimy o grupach, które mogą działać pod egidą obcych służb specjalnych, to nasi sąsiedzi z Rosji wiodą prym.

Osoby pracujące w strukturach państwa mogą być celem cyberataków nie tylko jako pracownicy, ale także jako osoby prywatne wraz z rodzinami, czego mieliśmy przykłady w życiu publicznym. Jak NCBC zabezpiecza ten obszar?

Budujemy świadomość całej kadry resortu obrony narodowej, w szczególności kadry kierowniczej, ponieważ jest ona szczególnie rozpoznawalna i narażona na ataki. Dodatkowo utworzyliśmy w ubiegłym roku Eksperckie Centrum Szkolenia Cyberbezpieczeństwa. Z jednej strony odpowiada ono za szkolenie naszych zespołów i żołnierzy, a z drugiej strony przeprowadziło już wiele szkoleń wśród urzędników Ministerstwa Obrony Narodowej. Wychodzimy również poza resort obrony. Prowadziliśmy niedawno szkolenie dla chętnych posłów, posłanek i senatorów.

Niedawny incydent medialny pokazał, że wśród hakerów czy wśród grup przestępczych nie ma świętości. Ich celem są nie tylko służbowe skrzynki e-mailowe, ale i prywatne. Skrzynki służbowe mają tyle poziomów bezpieczeństwa, że dużo łatwiej atakującemu jest próbować dostać się do skrzynek prywatnych. Jeżeli nie są chronione dwuskładnikowym uwierzytelnieniem, to łatwo dostać się do ich zasobów, podając login i hasło użytkownika. Bardzo ważne jest budowanie świadomości, że celem ataku może być nie tylko dana osoba, ale także jej rodzina i dzieci. A przez dzieci można dojść do rodziców i do ich danych.

O cyberbezpieczeństwie coraz częściej mówi się już nie tylko w kategoriach obrony przed potencjalnymi atakami, ale również w kontekście działań ofensywnych. W jakim zakresie Polska takie zdolności rozwija?

Od samego początku, czyli od 2019 roku, gdy zostałem wyznaczony na pełnomocnika ds. utworzenia Wojsk Obrony Cyberprzestrzeni (WOC), moja propozycja szła właśnie w tym kierunku, czyli budowy wojsk z podziałem na trzy grupy zadań. Pierwsza z nich to nasza tarcza, czyli grupa defensywa. Jest ona najważniejsza, ponieważ zanim będziemy atakować, musimy wiedzieć, jak się bronić. Druga z nich to rozpoznanie, czyli ISR (z ang. intelligence, surveillance and reconnaissance). Jest to z jednej strony rozpoznawanie naszego przeciwnika, a z drugiej strony jego infrastruktury, która może być wykorzystana do ataku. Trzecia grupa dotyczy działań typowo ofensywnych, czyli miecza.

Oprócz tego, że budujemy te zespoły, to trzeba je ze sobą zgrać i poddać certyfikacji przez niezależną trzecią stronę. Chcemy, aby do 2024 roku każdy z tych trzech zespołów mógł być zgrany i posiadał odpowiednie swoje zdolności i gotowość do działania.

Zatem polski cyberżołnierz będzie gotowy do oddania pierwszego strzału w cyberprzestrzeni dopiero w 2024 roku?

Tak naprawdę zespoły te już działają i operują. Budowa cyberwojska przypomina trochę budowę samolotu w trakcie lotu. Nie możemy sobie pozwolić na to, aby te zespoły całkowicie wyłączyć i wysłać na szkolenia, bo nasz przeciwnik nie będzie czekał do 2024 roku. Natomiast rok 2024 to termin, do którego chcemy, aby nasze dowództwo było uzupełnione, miało swoje procedury, instrukcje działania i posiadało zgrane i certyfikowane zespoły. Co więcej, tych zespołów będzie po kilka w każdej z grup, więc ich liczba do 2024 roku wzrośnie.

Uwzględniając obecną sytuację międzynarodową – wycofanie się USA z Afganistanu, kryzys na granicy z Białorusią, kwestie energetyczne – na jakie zagrożenia w cyberprzestrzeni Polska powinna się dziś szczególnie przygotować?

Z pewną dozą spokoju można podchodzić do działań wiązanych z Cyber Ops, czyli na przykład typowych ataków na infrastrukturę krytyczną. Nie przewiduję żadnego blackoutu, ani bardzo aktywnych działań w sieci.

Głównym zagrożeniem może być dezinformacja i jej wykorzystanie w przestrzeni wirtualnej do prowadzenia walki informacyjnej. Jeśli poobserwujemy media społecznościowe, to zauważymy, że taka walka ma już miejsce. Kluczowe jest, aby weryfikować informacje i ich źródła. Miejmy też z tyłu głowy, że Rosja, a teraz i Białoruś, mają ogromne doświadczenie w prowadzeniu działań dezinformacyjnych. Takie działania są wręcz wspierane przez osoby sprawujące tam władzę i zapisane w ich strategiach. Jestem przekonany, że to się jeszcze nasili.

Akurat wśród zadań NCBC nie ma walki z dezinformacją, ale są instytucje, które za to odpowiadają i jestem przekonany, że to monitorują.

Czy jednostki zajmujące się dezinformacją wejdą w skład Wojsk Obrony Cyberprzestrzeni (WOC)?

Poszczególne kraje podchodzą do tego w różny sposób i mają różne doświadczenia. Przyjmując nasz scenariusz działania i koncepcję, zakładaliśmy, że typowe kompetencje WOC mieszczą się w zakresie Cyber Ops, a nie Info Ops. W Polsce są już instytucje odpowiedzialne za domenę informacyjną, dlatego w chwili obecnej nie przewidujemy budowy takiego zespołu w ramach WOC. Natomiast nigdy nie wiadomo, co przyniesie przyszłość. Być może okaże się, że będzie to kluczowa domena działania. Kiedyś amerykańskie cyberwojska zaczynały bez tego komponentu, a teraz bardzo poważnie rozważają dodanie domeny informacyjnej, aby ich Cyber Command był też Information Command.

Ustawa o krajowym systemie cyberbezpieczeństwa przewiduje, że na wypadek stanu wojennego lub wojny, to resort obrony przejmuje kierowanie działaniami związanymi z obsługą incydentów w cyberprzestrzeni w skali kraju. Czy NCBC byłoby dziś na to gotowe pod względem koordynacji działań?

Gdy dwa lata temu pojawiła się ustawa o KSC i ten zapis, ciężko byłoby nam wziąć odpowiedzialność za coś, czego się nie zna. Armia skupiała się na swoich systemach, a pozostałe CSIRT-y skupiały się na swojej działalności. Tymczasem w ciągu dwóch lat udało nam się zintegrować z pozostałymi CSIRT-ami. Dziś te zespoły spotykają się, wspólnie wymieniają informacje, znamy się wzajemnie. Dzięki temu w przyszłości, jeżeli byłaby taka potrzeba, pozwoli nam to wziąć odpowiedzialność za domenę cyberprzestrzeni w całym kraju.

Co więcej, zespoły, które budujemy w ramach WOC, związane choćby z obroną, nie są przeznaczone tylko dla wojska. Takie zespoły, w przypadku ataku na infrastrukturę krytyczną, armia będzie mogła skierować do obsługi danego incydentu, jeżeli będzie taka potrzeba i decyzja przełożonych. Oprócz tego mamy zespół Rapid Reaction Team w ramach inicjatywy PESCO, który uczestniczył już w pierwszych realnych ćwiczeniach na terenie naszego kraju i Litwy, w czasie których się sprawdził.

Miejmy również z tyłu głowy, że ustawa o KSC będzie podlegała nowelizacji. Nowelizacja ta może w znaczny sposób doprecyzować jeszcze zakres odpowiedzialności zarówno armii, jak i poszczególnych jednostek za cyberbezpieczeństwo i ich działania.

Jakich zmian w ustawie o KSC oczekuje Pan najbardziej przy okazji zapowiadanej nowelizacji?

Kluczową kwestią jest odpowiednie finansowanie kadry. Inżynierowie ds. cyberbezpieczeństwa są łakomym kąskiem na rynku. Istnieje tu ogromne współzawodnictwo nie tylko pomiędzy wojskiem i administracją państwową, ale także pomiędzy firmami. Przewidujemy zatem, że pojawią się zapisy gwarantujące pewną kwotę wynagrodzenia dla specjalistów, którzy pracują w administracji państwowej bądź w wojsku. Dzięki temu nie będziemy dostarczycielem siły roboczej dla rynku cywilnego. Oczywiście możemy szkolić naszych cyberżołnierzy i pracowników, po czym ich następnym krokiem będzie przejście do firm prywatnych, które ich wyciągną. Jeżeli później specjaliści ci zostaną w Polsce, to możemy wciąż mówić, że inwestujemy w cyberbezpieczeństwo w kraju. Natomiast jeżeli ci eksperci po przeszkoleniu wyjadą za granicę, to będą chronić inne państwa w cyberprzestrzeni.

Druga rzecz to uregulowanie pewnych kwestii związanych z łańcuchami dostaw albo z rozwiązaniami pochodzącymi z krajów niekoniecznie nam sprzyjających. W chwili obecnej, bardzo ciężko jest zabezpieczyć się przed implementacją w sieciach rozwiązań pochodzących z państw, których służby są uprawnione do wykorzystania danych gromadzonych przez te urządzenia, głównie z uwagi na zapisy w prawie zamówień publicznych.

Gen. bryg. Karol Molenda – dyrektor Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni, pełnomocnik MON ds. utworzenia Wojsk Obrony Cyberprzestrzeni. Źródło: Materiały prasowe NCBC / Materiały prasowe
BIO: Gen. bryg. Karol Molenda – dyrektor Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni, pełnomocnik MON ds. utworzenia Wojsk Obrony Cyberprzestrzeni, ekspert ds. bezpieczeństwa cyberprzestrzeni. Wcześniej przez 12 lat służył w Służbie Kontrwywiadu Wojskowego, absolwent Wojskowej Akademii Technicznej i Wyższej Szkoły Menedżerskiej w Warszawie.
Gen. bryg. Karol Molenda był prelegentem tegorocznej konferencji CYBERSEC CEE REGIONS&CITIES, w czasie której otrzymał nagrodę European CYBERSEC Award 2021. Forsal.pl i Dziennik Gazeta Prawna były patronem medialnym konferencji.