Mówi się, że po ataku wirusa Stuxnet na irańskie wirówki w 2010 r. świat już nie jest taki, jaki był przedtem. Co w takim razie powiedzieć o tegorocznej październikowej aferze związanej z bezpieczeństwem komputerowym? Stała się rzecz niespotykana: w serwerach produkowanych przez Supermicro wykryto niewielkie chipy, które montowano w Chinach w celu szpiegowania i wykradania danych amerykańskich przedsiębiorstw i instytucji. Brzmi to wprost niewiarygodnie. Proceder trwał co najmniej trzy lata. Odkryła go w 2015 r. kanadyjska firma, której zadanie zlecił Amazon. W 2015 r…

Świat otwiera oczy

Backdoory były instalowane na etapie fabrycznym na płycie głównej komponentów do produkcji serwerów. Serwery wykorzystywały takie firmy, jak: Amazon, Facebook, Apple czy Microsoft. Również najważniejsze agendy amerykańskiej administracji – CIA, Departament Obrony, NASA. Także FBI. Aferę nagłośnili w końcu dziennikarze Bloomberga.

Według nich chiński backdoor mógł nie tylko wykradać dane, ale również wpływać na pracę systemów, np. poprzez spowalnianie serwerów. Podobnego backdoora odkryto również na urządzeniach jednej z amerykańskich firm telekomunikacyjnych. Chipa wkomponowano tam w kartę sieciową. Wielu rynkowych graczy, którzy korzystają z zainfekowanych serwerów, zbagatelizowało sprawę i zaprzecza takiej wersji wydarzeń. To jednak nie zmienia faktu, z czym mamy do czynienia.

Chiński wywiad wziął na celownik amerykańskie organizacje. Ukryte na komponentach serwerów chipy dawały Chinom dostęp do tajemnic państwowych i biznesowych. Runęło przekonanie o bezpiecznych łańcuchach dostaw w branży technologicznej. Dziś z Chin pochodzi 75% produkowanych smartfonów i 90% komputerów, które używane są na całym świecie przez osoby prywatne, firmy, instytucje państwowe. Czy w tym kontekście można jeszcze myśleć o bezpieczeństwie cybernetycznym państwa znanymi dotychczas kategoriami? A co, jeśli…

Jakub Syta, dyrektor Departamentu Cyberbezpieczeństwa, Exatel: Ten incydent otworzył decydentom oczy. Takie działania trudno sobie nawet było wcześniej wyobrazić. O ile łatwo wykryć modyfikację oprogramowania, o tyle dodatkowe komponenty hardware’owe są trudne do znalezienia. Szczególnie, jeśli ktoś nie chce, by można było je znaleźć... Problem zaufania do partnerów powinien zwrócić uwagę zarówno na użytkowników końcowych, jak i pośredników, bo ma on ogromne znaczenie. Opcje są dwie. Albo administracja państwowa zwraca się do uznanych markowych dostawców na rynku międzynarodowym, albo musimy skupić się na budowie własnego krajowego systemu certyfikacji. Lub wręcz rozwijać polską produkcję sprzętu specjalnego przeznaczenia, gdzie jest to ze względów strategicznych konieczne.

Grzegorz Dobrowolski, dyrektor sprzedaży, Dział Rozwiązań Data Center oraz Enterprise Networking, Cisco Systems: Bezpieczeństwo IT to zaufanie do ludzi i procedur, obejmujące także urządzenia i funkcjonalności. To transparentność dostawcy informującego o sposobach tworzenia infrastruktury, o nadzorze nad metodami produkcji. My mamy pełną kontrolę nad produkcją i łańcuchem dostaw oferowanych rozwiązań. Wykorzystujemy własne innowacje technologiczne dotyczące systemów broniących podzespoły przed ingerencją i kontrolujemy produkcję oprogramowania na poziomie stanowiska informatycznego. Kotwiczymy bezpieczeństwo na wszystkich poziomach. Nie wiem, czy w przypadkach poprzedzających amerykański incydent były stosowane podobne procedury.

Komu ufać, kogo sprawdzać?

Zaufanie. Wiele firm i instytucji na całym świecie zastanawia się, czy uda się je odbudować. Niedawna afera pokazuje, jak ingeruje się w bezpieczeństwo danego państwa i może się to stać mimo zaostrzonej, jasno zdeklarowanej polityki cyberbezpieczeństwa. Chińskie wejście bocznymi drzwiami to wyjątkowo niebezpieczny precedens. Jaka będzie reakcja Amerykanów i reszty świata? Administracja amerykańska podchodzi do cyberbezpieczeństwa jednoznacznie, zakazując używania w agendach rządowych produktów od określonych dostawców. Sankcje dotyczą Kaspersky Lab, Huawei czy ZTE. W 2017 r. izraelski wywiad szpiegujący władze rosyjskie odkrył, że Rosjanie za pomocą oprogramowania antywirusowego Kaspersky Lab szpiegują Amerykanów. Federalna Służba Bezpieczeństwa Federacji Rosyjskiej miała dostęp do baz tej firmy oferującej program antywirusowy. Na świecie programy Kaspersky Lab są zainstalowane na kilkuset milionach urządzeń… Po tym wydarzeniu Unia Europejska była w tej kwestii znacznie bardziej wstrzemięźliwa i zręcznie uchyliła się od jednoznacznego zakazu używania oprogramowania Kaspersky’ego. Czy Polska jest gotowa do obrony przed takiego rodzaju atakami? Czy nowa ustawa o Krajowym Systemie Cyberbezpieczeństwa może być odpowiedzią na podobne incydenty? Jej art. 33 przewiduje możliwość prowadzenia przez wskazane instytucje badań sprzętu i oprogramowania w celu wykrycia zagrożeń. Pytanie jednak, komu dziś można ufać, a kogo sprawdzać? A jeśli nie ufać, to jak reagować?

Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, uważa, że choć do tej pory świat był pewien odporności i integralności samego procesora, październikowy incydent zachwiał tą pewnością. „Okazało się, że wszystkie procesory mają podobne słabości, a nasze zaufanie jest nieuzasadnione. Podejście do bezpieczeństwa IT musi być zatem bardziej złożone i wielowarstwowe. Z drugiej strony tego wszystkiego można było się domyślać. Już przed laty Chiny sprzedawały karty sieciowe z wbudowanymi komponentami do nieautoryzowanej transmisji danych. Stąd przecież się wzięła filozofia budowy systemów kryptograficznych dla przekazywania informacji niejawnych, separacji sprzętu od wykonywanych na nim działań. Wynikało to z podejrzliwości, że w samym sprzęcie można dodać niechciany element. O konieczności separacji elektromagnetycznej też wiedzieliśmy. Inna sprawa, że wiedza ta była w posiadaniu ekspertów. Przez incydent amerykański dotarła do decydentów” – zauważa.

Jakub Syta, Exatel: Takie scenariusze trzeba po prostu brać po uwagę. Należy przewidywać, że zwykła listwa elektryczna może mieć wbudowany modem do transferu danych. Mieliśmy ostatnio do czynienia z serwerem wysyłającym do Chin informacje, chociaż przez poprzednie pół roku był on wyłączony z eksploatacji. Chińczycy czy Amerykanie, prawdopodobnie wszyscy tak samo postępują. Chińczycy implementują w fabrykach. Amerykanie po drodze z fabryki do użytkownika. Musimy mieć własną ocenę takich działań. Lepsze z tych dwóch złych przypadków jest chyba branie technologii od sojuszników…

Ochrona z poziomu zamówień publicznych

Czy to oznacza, że świat musi wybierać, przez kogo chce być szpiegowany? Robert Kośla przypomniał przypadek oferty z kraju sojuszniczego, która poddana analizie, wykazała „zagadkową i nieujawnioną przez dostawcę funkcjonalność infrastruktury”.

Europa musi wyciągnąć wnioski z przypadku amerykańskiego. Stary Kontynent może być również w ten sam sposób inwigilowany. „Co do kwestii bezpieczeństwa w Europie, to obecnie mniej mówi się teraz o konieczności obrony przed cyberinwazją, a częściej o konieczności obrony demokracji. Dostrzegana jest np. możliwość ingerencji w strukturę informatyczną odpowiedzialną za systemy wyborcze. W tych okolicznościach uzasadnione są opinie ograniczania swobody ofert rynkowej i konieczności formułowania precyzyjnych specyfikacji zamówień publicznych. Takie podejście wyeliminuje dostawców ograniczonego zaufania. O tym myśleć trzeba również w Polsce” – mówi Robert Kośla. Z drugiej strony Ustawa dotyczy cyberbezpieczeństwa, a nie wykluczenia kogoś lub czegoś z rynku. Certyfikację musi poprzedzać system badań, który da jednoznaczną odpowiedź, czy dany produkt spełnia normy zabezpieczeń w swojej klasie. W świetle ustawy będzie to jedynie rekomendacja.

Marek Bieńkowski, dyrektor Departamentu Porządku i Bezpieczeństwa Wewnętrznego, Najwyższa Izba Kontroli: W takiej sytuacji niewątpliwie ustawodawstwo zamówień publicznych w zakresie dostaw infrastruktury IT musi się zmienić. NIK dostrzega tu pewien absurd. Przetargi muszą być transparentne. Ale to daje pełny ogląd tego, czym posługuje się administracja. Nawet ustawowe odejście od tej praktyki może być niezadawalające, skoro transparentna musi być dokumentacja księgowa. NIK ostatnio przyglądał się infrastrukturze krytycznej. Tam również panuje brak konsekwencji.

Mirosław Maj, prezes Fundacji Bezpieczeństwa Cyberprzestrzeni: Ustawa o cyberbezpieczeństwie daje nam więcej, niż się wydaje. Nie ma w niej wprawdzie mowy o certyfikacji, ale jest mowa o badaniach przeprowadzanych przez CSIR-y, na których podstawie mają być rekomendacje Nie wiadomo, czy brak rekomendacji oznacza zakaz używania produktu. Jeśli pełnomocnik rządu nie będzie czegoś rekomendował, jest to silny argument. Wątpię, aby administracja postępowała wbrew takiemu stanowisku. To ważne, aby nasze standardy zbliżone były do standardów państw sojuszniczych. Jeżeli będziemy używać urządzeń, które nie mają rekomendacji sojuszniczej, to oni po prostu zabronią nam dostępu do swoich sieci.

Grzegorz Dobrowolski, Cisco Systems: Jest wiele modeli certyfikacji. Załóżmy, że urządzenie nie uzyskało rekomendacji, bo wysyła informacje w kierunkach nieznanych, ale to jest tylko brak rekomendacji. Brak świadomości, brak polityki, brak systemów implementacji oznacza, że ten element wykonawczy może zawieść. Proces edukacji trwać może kilka lat. Należy się zastanowić, czy cyberbezpieczeństwo to nie jest czasem obszar, który trzeba uświadamiać na bardzo wczesnym etapie. Dobrze, że w tym obszarze pojawia się regulacja legislacyjna, jednak od postanowienia prawa do jego pełnej implementacji jest jeszcze daleka droga.

Polska gotowa, ale na co?

W kwietniu 2016 r. NIK opublikował raport o wynikach kontroli bezpieczeństwa działania systemów informatycznych wykorzystywanych do realizacji zadań publicznych. Raport stwierdza: „Administracja państwowa nie podjęła dotychczas działań, mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski. Stwierdzono, że działania podmiotów publicznych związane z ochroną cyberprzestrzeni były prowadzone w sposób rozproszony i bez wizji systemowej. Kierownictwo najważniejszych instytucji publicznych nie było świadome niebezpieczeństw związanych z funkcjonowaniem cyberprzestrzeni oraz wynikających z tego faktu nowych zadań administracji publicznej. W rezultacie stwierdzono brak spójnych i systemowych działań mających na celu monitorowanie, przeciwdziałanie zagrożeniom występującym w cyberprzestrzeni RP oraz minimalizowanie skutków ewentualnych incydentów”.

Czy po ponad dwóch latach stan cyberbezpieczeństwa w Polsce się zmienił? Wiele wskazuje, że nie do końca. „Nowe wyniki kontroli, które są jeszcze nieupublicznione, spowodowały, że pierwszy raz prezes NIK zdecydował się uczestniczyć w procesie opiniowania ustawy dotyczącej cyberbezpieczeństwa. Mogę tylko powiedzieć, że ostatnia kontrola wykazała ogromną dychotomię w sprawach bezpieczeństwa teleinformatycznego między sektorem cywilnym i wojskowym. To był stan niebezpieczny” – zauważa Marek Bieńkowski.

Robert Kośla: „Obecna kontrola NIK jest nam bardzo na rękę. To jest dla nas taki bilans otwarcia. Z jakiego punktu wychodzimy”. Pytanie: gdzie należy dojść, by struktury państwowe były odpowiednio zabezpieczone przez zewnętrzną ingerencją? Na to pytanie nie ma dziś jeszcze odpowiedzi.