- Globalna cyberwojna
- Rola Polski
- Zdolności cyberofensywne Rosji
- Przygotowanie Ukrainy i Zachodu
- Zalecane działania i rola firm
Globalna cyberwojna
Pod koniec lutego, kilka dni po ataku Rosji na Ukrainę, napisała Pani, że rozpoczyna się globalna cyberwojna. Co to właściwie oznacza?
Jeśli służby ds. cyberbezpieczeństwa takich krajów jak Stany Zjednoczone, ostrzegają teraz przed cyberatakami na wielką skalę, jeśli w Polsce utrzymuje się już od ponad dwóch miesięcy stopień alarmowy Charlie-CRP, to musimy przyjąć że ryzyko przeniesienia się konfliktu ze świata realnego do cyberprzestrzeni oraz rozlania się tego cyberkonfliktu poza Ukrainę jest realne.
Na to zagrożenie wskazują nie tylko oficjalne ostrzeżenia instytucji odpowiedzialnych za cyberbezpieczeństwo państw, ale również raporty firm technologicznych, które podkreślają, że choć wiele już widzieliśmy jeżeli chodzi o cyberataki Rosji na systemy ukraińskie, to prawdopodobnie jeszcze wiele przed nami.
Nie zapominajmy też, że zarówno prezydent Putin, jak i rosyjscy dygnitarze, grożą wielu krajom konsekwencjami za pomoc udzielaną Ukrainie. Zatem opcja odwetu w cyberprzestrzeni staje się tym bardziej realnym scenariuszem.
Od czasu rozpoczęcia inwazji przez Rosję minęły już ponad dwa miesiące. Czy coś Panią zaskoczyło jeśli chodzi o działania w cyberprzestrzeni?
Przede wszystkim nie sądziłam, że Rosja zaatakuje Ukrainę na wszystkich trzech frontach. Spodziewałam się raczej, że ten atak będzie bardziej hybrydowy, że będziemy obserwować więcej ataków w cyberprzestrzeni i że Rosjanie będą zaprzeczać, że to ich działania – tak jak robili to w przeszłości, w przypadku wielu cyberataków, „zielonych ludzików”, czy kryzysu migracyjnego na polsko-białoruskiej granicy.
Tymczasem Moskwa zdecydowała się na otwartą wojnę, na niezwykle okrutny pełnoskalowy konflikt, w którym nie ma miejsca na zaprzeczanie. Przekraczając granice Ukrainy, oni po prostu dokonują kolejnych ataków na miasta, obiekty infrastruktury krytycznej, cywilów, a bomby i rakiety wciąż niszczą skuteczniej niż cyberataki, których skutki są zazwyczaj ograniczone w skali i czasie.
Myślę, że wojnę w XXI wieku wyobrażaliśmy sobie w ten sposób, że obok bomb i rakiet, czyli działań konwencjonalnych, będzie znacznie więcej działań ofensywnych w cyberprzestrzeni, że działania przeciwnika w domenie cyber będą znacznie bardziej destabilizujące i dominujące, niż to co widzimy obecnie na Ukrainie. Oczywiście nie znamy kulis i pewnie dopiero za jakiś czas dowiemy się, co tak naprawdę się dzieje i jaka jest prawdziwa skala działań.
A jakie działania można było zaobserwować dotychczas?
Ze strony rosyjskiej, widzieliśmy ataki typu malware oraz DDoS, które destabilizowały działanie ukraińskich serwisów rządowych. Najpoważniejszy rosyjski atak, który miał miejsce do tej pory i przeprowadzony został 24 lutego godzinę przed agresją na Ukrainę, to zainfekowanie złośliwym oprogramowaniem infrastruktury sieci satelitarnej KA-SAT. Wiązało się to z wyłączaniem nie tylko wszystkich modemów sieci na Ukrainie, ale doszło też do awarii, która się rozlała na inne kraje Europy. 10 maja atak ten został potępiony jako „nieakceptowalny” w imieniu całej Unii w deklaracji Wysokiego Przedstawiciela UE Spraw Zagranicznych i Polityki Bezpieczeństwa. Mimo tych ataków i tak wyobrażaliśmy sobie, że proporcja działań w cyberprzestrzeni do działań kinetycznych będzie większa oraz że będą one miały poważniejsze skutki.
Rola Polski
Czy Polska jest już „stroną” tej cyberwojny?
Dziś wiemy, że polskie sieci i systemy są przedmiotem ataków i tych cyberoperacji jest więcej niż przed wojną. Zatem jesteśmy narażeni na większą aktywność ofensywną strony rosyjskiej i dlatego musimy podejmować więcej działań, żeby się przed tymi atakami bronić. W tym sensie – defensywnym – można powiedzieć, że jesteśmy zaangażowani w ten konflikt, ale nie nazwiemy tego „byciem stroną w cyberwojnie”, ponieważ niesie to za sobą istotne konsekwencje w wymiarze prawa międzynarodowego. Natomiast same cyberataki będą się nasilać i z pewnością musimy być na nie przygotowani.
Czego możemy się spodziewać?
W kontekście odwetu, którym grozi Rosja, możemy spodziewać się zdecydowanie więcej ataków typu DDoS, malware, wszelkiego rodzaju ransomware. Nie możemy też wykluczyć poważniejszych ataków typu APT, które mogą dotknąć infrastruktury krytycznej czy też systemów automatyki przemysłowej w krajach NATO. Możemy również spodziewać się ataków (także fizycznych sabotaży) na infrastrukturę cyfrową - przy tej okazji zwraca się uwagę na globalne zagrożenia dla infrastruktury światłowodowej czy też protokołów BGP (Border Gateway Protocol) czy DNS (Domain Name System). Wszystko to leży w potencjalnym w zasięgu działań Rosji.
Zdolności cyberofensywne Rosji
Czy biorąc pod uwagę dotychczasowe działania Moskwy w czasie wojny, można powiedzieć, że zdolności cyberofensywne Rosji są jednak przeszacowane przez Zachód, tak jak okazały się przeszacowane konwencjonalne zdolności ofensywne?
Część informacji z tego zakresu może być niedostępna dla szeroko rozumianej opinii publicznej. Ale też natura cyberzdolności jest też taka, że wiemy o nich tylko tyle, ile z nich już widzieliśmy. W kontekście rosyjskich działań zaś trzeba powiedzieć, że widzieliśmy już sporo, mam tu na myśli przykłady także jeszcze sprzed wojny, które pokazały, że Rosjanie z pewnością mają jedne z najbardziej zaawansowanych zdolności cyberofensywnych na świecie.
Można przywołać choćby atak na łańcuch dostaw oprogramowania SolarWinds, który dotknął około 500 firm, ze skutkami tego ataku zmagali się również operatorzy telekomunikacyjni w USA, wszystkie rodzaje sił zbrojnych Stanów Zjednoczonych, Pentagon, Departament Stanu, NSA czy Biały Dom. Wcześniej mieliśmy do czynienia z atakiem NotPetya, który także przypisywano Rosji. Był to jak dotąd najbardziej destrukcyjny, rozległy i kosztowny atak w historii świata, który rozlał się na tysiące firm. Mieliśmy również największe ataki ransomware wiązane z Rosją, na przykład atak na Colonial Pipeline.
W kontekście tej wiedzy możliwości cyberofensywne Rosji jednak nie są przeceniane. Natomiast wszystko zależy też od tego, jak jesteśmy przygotowani na odparcie tych ataków, bo wtedy te zdolności się tak naprawdę materializują. Liczne z tych cyberoperacji były zatem bardzo poważne, natomiast, co należy zaznaczyć, nie wszystkie kraje byłyby na nie wystarczająco przygotowane.
Przygotowanie Ukrainy i Zachodu
A jak jesteśmy przygotowani?
Sądzę, że z wielu z tych dotychczasowych ataków wyciągnęliśmy wnioski. Po każdym z nich zarówno firmy informatyczne, jak i odpowiednie instytucje państwa, starały się wyeliminować luki bezpieczeństwa, technologiczne, proceduralne, czasami organizacyjne. Ponadto jesteśmy w takiej, a nie innej sytuacji geopolitycznej, która skłoniła wiele krajów i agencji zajmujących się cyberbezpieczeństwem do wzmocnienia ochrony sieci i systemów, do wprowadzania lepszych procedur, do współpracy i pogłębienia wymiany informacji.
Pojawia się wiele opinii, że Ukraina radzi sobie bardzo dobrze.
Ukraina z pewnością była przygotowana, bo Rosjanie co najmniej od 2014 roku regularnie atakowali ukraińskie systemy, w tym elektrowni oraz wielu innych elementów infrastruktury krytycznej. Ukraińcy się uczyli, wyciągali wnioski, dostosowali swoje zdolności obronne do zagrożeń, mieli także wsparcie NATO i sojuszników, w tym USA. Można powiedzieć, że na ten moment jest to jeden z lepiej przygotowanych do tego typu rosyjskich ataków krajów. Zresztą niedawno Wiktor Żora, jeden z najważniejszych decydentów zajmujący się cyberbezpieczeństwem na Ukrainie, ocenił, że Moskwa mogła już maksymalnie wykorzystać swoje zdolności przeprowadzenia ataków na ukraińskie systemy i że prawdopodobnie te operacje osiągnęły swój pełen potencjał.
Natomiast nie należy wyciągać z tego wniosków, że gdyby Rosja podobnym potencjałem zaatakowała inne kraje, to odpowiedź ze strony tych krajów byłaby równie skuteczna jak w przypadku Ukrainy. Cyberoperacje zawsze się od siebie trochę różnią, ponieważ wykorzystują inne luki bezpieczeństwa i dotyczą różnych systemów, i o ile Ukraińcy zostali już w dużej skali „przetestowani”, to kraje Zachodu z pewnością jeszcze nie, a na pewno nie z podobną intensywnością i agresywnością.
Przez wiele lat w kontekście cyberbezpieczeństwa mówiło się najczęściej o obronie, tymczasem można odnieść wrażenie, że obecnie na Zachodzie coraz częściej mówi się także o zdolnościach ofensywnych.
Budowanie zdolności ofensywnych jest z pewnością bardzo ważne, według mnie jednak wciąż kluczowe jest zbudowanie zaawansowanych zdolności obronnych i odporności systemów, bo to nie my mamy intencje atakowania kogokolwiek. Taka też jest natura Sojuszu Północnoatlantyckiego, który jest sojuszem obronnym. Dlatego Polska i kraje Zachodu przede wszystkim rozbudowują swoje zdolności defensywne.
Natomiast, w obliczu agresywnej postawy Rosji, sytuacja się zmieniła i uważam, że nasze zdolności ofensywne, są bardzo ważne chociażby ze względu na funkcję odstraszania. Pokazując, że posiadamy większe, a co najmniej równe zdolności ofensywne, możemy zniechęcić agresora do ataku.
Oczywiście zdolności ofensywne są również istotne w sytuacji, kiedy ta pierwsza opcja obronna i druga opcja odstraszania nie pozwolą nam skutecznie odeprzeć cyfrowego ataku. Wtedy ofensywne użycie cyberbroni należałoby uznać za niezbędne. W tym sensie z pewnością warto mieć takie zdolności, natomiast trzeba robić wszystko, aby ich użycie nie było konieczne.
Na początku rosyjskiej inwazji pojawiało się sporo medialnie nośnych informacji o atakach grupy Anonymous na rosyjskie systemy i np. pozyskaniu danych z rosyjskiego resortu obrony. Jakie jest znaczenie takich działań - to bardziej elementy wojny informacyjnej i podtrzymywania na duchu czy też ważne czynniki mogące mieć wpływ na przebieg wojny kinetycznej?
Na gruncie tego co wiemy, działania grupy hakerów Anonymous przede wszystkim budowały morale po stronie Ukrainy i Zachodu. Zapowiedzi cyberoperacji pokazywały, że w pewnym sensie nie ma granic w tym, co można zaatakować i co można ujawnić i brzmiały bardzo „obiecująco”. Natomiast jak dotąd nie było takiego wielkiego, zapowiadanego przez tę grupę „trzęsienia ziemi”, które skompromitowałoby stronę rosyjską. Zatem są to raczej działania, które wciąż nie zmieniły losów tej wojny, a jedynie wspierają stronę ukraińską i też oczywiście warto je docenić, ale nie przeceniać.
Ataki w cyberprzestrzeni m.in. na serwisy administracji publicznej poprzedziły rosyjską inwazję na Ukrainę z lutego 2022 roku. Czy wedle Pani wiedzy obecnie toczą się jakieś specyficzne działania w domenie cyber, które pozwalałyby nam na podobnej zasadzie przewidzieć kolejne działania Rosji lub ich kierunek?
Pewne wnioski nie są powszechnie dostępne opinii publicznej, ale mogę przytoczyć konkluzje raportu jednej z globalnych firm technologicznych, który dwa tygodnie temu odbił się szerokim echem. Otóż firmy analizujące na bieżąco cyberataki pod względem jakościowym i ilościowym przewidują, że ataki te będą się nasilać wraz z toczącym się konfliktem, a Rosjanie będą dalej prowadzili destrukcyjne działania - zarówno jeśli chodzi o sieci i systemy ukraińskie, jak i też poza Ukrainą, w celu chociażby dokonania zemsty na kolejnych krajach, które zdecydują się udzielić Kijowowi jeszcze większej pomocy wojskowej.
Istotne są również ostrzeżenia publikowane przez agencje rządowe z USA oraz z innych krajów. Należy je traktować poważnie i podejmować zalecane działania.
Zalecane działania i rola firm
Jakie?
Trzeba zabezpieczać infrastrukturę krytyczną i działanie kluczowych usług, wzmacniać koordynację pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa. Coraz częściej mówi się o tym, że potrzebne są tzw. Security Operations Center (SOC), których wciąż jest za mało, a które są w stanie podejmować efektywne działania po stronie firm i dużych organizacji, żeby skutecznie i szybko wykrywać zagrożenia i eliminować cyberataki. Jeśli takich ataków będzie więcej, wypadałoby się zastanowić nad zapewnieniem środków na budowę tego rodzaju centrów. Trzeba dalej i jeszcze intensywniej rozwijać cyberwojsko, przeznaczać na to jeszcze więcej pieniędzy i rozwijać polskie zdolności cyberofensywne.
Konieczne jest również rozwijanie technologii dla cyberbezpieczeństwa. Na przykład sztuczna inteligencja może być wykorzystywana przez hakerów do zautomatyzowania i zwiększenia efektywności ataków, ale także do cyberobrony przed nimi.
Należałoby także rozpocząć realną współpracę z polskimi firmami technologicznymi. Ukraina nauczyła nas na swoim przykładzie, że taka współpraca jest kluczowa.
Jak taka współpraca wygląda na Ukrainie?
Gdy ukraińskie służby bezpieczeństwa miały coraz większe trudności w radzeniu sobie z liczbą ataków, to zaproszono do współpracy prywatne firmy. Doszło w ten sposób do wydarzenia bez precedensu, bo powstała swoista armia IT składająca się z przedstawicieli ukraińskich firm z sektora teleinformatycznego. Ta „armia” jest zadaniowana przez służby ukraińskie, które codziennie proszą firmy o wykonanie jakiegoś zadania, przez co aktywnie pomagają w ochronie ukraińskich sieci i systemów.
Cyfrowa "żelazna kurtyna"
Z jakimi scenariuszami w szerszej skali w cyberprzestrzeni musimy się liczyć w kontekście wojny na Ukrainie? Niektórzy mówią np. o cyfrowym odcięciu Rosji czy powstaniu sojuszu technologicznego Zachodu.
W dłuższej perspektywie rzeczywiście może do tego dojść, bo wyraźnie widzimy, że łańcuch dostaw w obszarze technologii budujących cały ekosystem IT w Rosji został rozerwany. Chodzi o to, że coraz więcej firm wychodzi z rosyjskiego rynku, przestaje świadczyć tam usługi i nie chce obsługiwać nowych klientów. W związku z tym Rosjanie prawdopodobnie będą starali się te braki w obszarze sprzętu i oprogramowania uzupełnić swoimi zdolnościami lub - co bardziej prawdopodobne - będą starali się kupować sprzęt czy usługi w innych krajach.
Ponadto Rosjanie rozwinęli całkiem zaawansowany narodowy internet, czyli Rusnet. W tym kontekście zarówno działania Zachodu związane z odcinaniem części ruchu sieciwego z Rosji, jak i działania Rosji, mogą rzeczywiście doprowadzić do zapadnięcia cyfrowej „żelaznej kurtyny”.
