Wojna – co z bezpieczeństwem w cyberprzestrzeni?

Od ponad pół roku za wschodnia granicą toczy się pełnowymiarowa wojna. Również w cyberprzestrzeni. Jak wpływa to na polskie firmy i instytucje? Czy nasza cyberprzestrzeń jest odporna na ewentualne incydenty? Eksperci odpowiadają.

fot. AdobeStock

Minęło już 200 dni od rozpoczętej przez Rosję pełnoskalowej wojny z Ukrainą. Współczesne pole bitwy to nie tylko żołnierze, samoloty i czołgi, ale też nowe spektrum zagrożeń – tych w cyberprzestrzeni. Organizacje, również w Polsce, znalazły się pod podwójnym potencjalnym ostrzałem. Z jednej strony musiały i muszą zmagać się z zagrożeniami płynącymi ze zwiększonej aktywności cyberprzestępców, związanej ze wzrostem wykorzystania modelu pracy zdalnej w okresie pandemii, z drugiej – musiały liczyć się z możliwością rosyjskiego ataku na infrastrukturę krytyczną państwa i biznes.

O powadze tej drugiej opcji świadczy cały czas utrzymywany (na razie do 30 listopada) od początku wojny (24.02.2022) trzeci stopień alarmowego CRP (CHARLIE–CRP) na terytorium całego kraju.

Zobacz również:

  • Parlament Europejski padł ofiarą cyberataku
  • Platforma Azure ochroni małe i średnie firmy przed atakami DDoS
  • Wirusy na Androida - popularne i niebezpieczne zagrożenia

Computerworld zapytał wybranych ekspertów, przedstawicieli biznesu, instytucji państwowych i producentów technologii o ich ocenę stanu cyberbezpieczeństwa w Polsce, również w ich organizacjach, dziś, ponad 200 dni po rozpoczęciu rosyjskiego ataku na Ukrainę.

Computerworld pyta:

Od ponad pół roku za naszą wschodnią granicą toczy się wojna, która nie pozostaje bez wpływu na Polskę. Również w sferze technologicznej i szeroko rozumianego bezpieczeństwa. Globalizm, skrócenie odległości i uniwersalizm technologiczny powoduje, że nad Wisłą musimy brać pod uwagę wiele nowych czynników, które mogą oddziaływać na nasze organizacje. Co zmieniło się w cyberbezpieczeństwie od lutego 2022?

Sławomir Soszyński, CIO ING Bank

W cyberbezpieczeństwie ciągle coś się dzieje i zmienia. Natomiast wojna w Ukrainie nie spowodowała szczególnego zwiększenia intensywności prac nad zabezpieczeniem platform i systemów banków. A to dlatego, że banki w sposób ciągły przygotowują się na najróżniejsze scenariusze, które mogłyby potencjalnie zakłócić bezpieczeństwo naszych klientów. To, co z pewnością polepszyło się na korzyść to dalsze zacieśnienie współpracy i zaangażowania banków w kontekście wymiany informacji związanych z zagrożeniami cyberbezpieczeństwa. Banki pozostają w stanie wysokiego monitoringu aktywności. Zauważalne były ataki typu DDoS na banki oraz instytucje stowarzyszone, z którymi sektor finansowy w Polsce poradził sobie dobrze. To jednak nie oznacza, że jakiekolwiek sygnały można zlekceważyć i wycofać się z drogi jaką banki obrały już wiele lat temu, czyli ciągle dążyć do odpowiedniego zabezpieczenia aktywów naszych klientów.

Gen. bryg. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni

Zmieniło się przede wszystkim samo postrzeganie cyberbezpieczeństwa. Nie jest to już tylko jakiś wirtualny dla wielu często niezrozumiany i niedotyczący ich obszar, ale obszar, który może dotknąć każdego obywatela czy instytucji.

Wojna w Ukrainie i wszystko to co się dzieje od jej rozpoczęcia w cyberprzestrzeni dotyka nie tylko samych stron konfliktu. Widzimy wpływ na życie naszych obywateli - z jednej strony to ich zaangażowanie w pomoc dla Ukrainy i obywateli z drugiej strony wszelkiego rodzaju działania propagandowe (wojna informacyjna) prowadzone przez stronę rosyjską, podważające słuszność tej pomocy, wszelkiego rodzaje fake newsy, przed którymi trzeba się bronić.

Obserwujemy również bezpośrednie cyberataki wymierzone w instytucje samorządowe jak i państwowe: szpitale, strony urzędowe, próby ataków na wszelkiego rodzaju usługi „E”, jak e-Obywatel, e-Pacjent itp. Coraz częściej ataki wymierzone są bezpośrednio w osobę i to nie koniecznie zajmującą eksponowane stanowisko.

Zmieniła się na pewno nasza świadomość, jeżeli chodzi o naszą prywatność i potrzebę ochrony danych - ogólnie potrzebę bycia bezpiecznym w „Świecie cyberprzestrzeni”.

Łukasz Bromirski, Dyrektor ds. Rozwoju Produktów Bezpieczeństwa, Cisco

Fundamentalnie nic - nadal popularny jest ransomware (choć w Q2 2022 wg raportu Cisco Talos na czele listy najczęstszych rodzajów zagrożeń wyprzedził go tzw. commodity malware), a wektorem ataku poczta elektroniczna. Jednak jeśli przyjrzymy się bliżej temu co i jak jest atakowane, widać wyraźnie, że "aktywiści" białoruscy oraz służby Federacji Rosyjskiej zaczęły zajmować się celowanymi atakami w polskie przedsiębiorstwa. Przez Polskę przetoczyła się, zapewne nie ostatnia, fala ataków DDoS na różne firmy oraz co ciekawe - operatorów internetowych.

Widzimy też początek prób "porywania" prefiksów IP należących do polskich firm przez firmy i operatorów rosyjskich. Na razie trudno jasno wskazać jaki jest ich główny cel - na pewno są one używane do prowadzenia działalności ofensywnej, ale część z tych ataków wskazuje raczej na próbę przechwytywania (i być może modyfikowania "w locie") ruchu. Przechwytywanie prefiksów stało się częścią popularnych od pewnego czasu ataków na łańcuch dostaw - sprzętu, oprogramowania i usług. Zapewne w perspektywie kolejnych miesięcy konfliktu, będziemy coraz częściej obiektem ataku.

Hubert Kozdęba , Head of IT Department, Felgenhauer

Zdecydowanie w ostatnim półroczu duży nacisk położyliśmy na bezpieczeństwo chmury i wszelkie obszary z nią powiązane. Zaobserwowaliśmy wzmożone działania, które miały na celu nieautoryzowany dostęp do danych w chmurze. Działo się to również tuż przed wojną za naszą wschodnią granicą. Można powiedzieć, że był to taki "papierek lakmusowy" tego co nadejdzie. Uruchomiliśmy szereg dodatkowych procedur i warstw ochrony aby zapobiegać takim nieautoryzowanym dostępom.

Kluczowym wyzwaniem było zintegrowanie już istniejących systemów bezpieczeństwa i nowych rozwiązań bezpieczeństwa w chmurze, aby się uzupełniały, a nie wykluczały.

Ważnym czynnikiem było ponownie mocniejsze uświadamianie użytkowników o zagrożeniach, wyczulenie ich na jakiekolwiek anomalia, które również mogły się pojawić w ich poniekąd rutynowej pracy oraz zmotywowanie ich do zgłaszania takich anomalii.

Sebastian Kondraszuk, Kierownik Działu CERT Polska w NASK

Warto zacząć od przypomnienia, że zagrożenia w polskiej przestrzeni cyfrowej, dotyczące zarówno podmiotów publicznych, jak i zwykłych obywateli, występowały już przed napaścią Rosji na Ukrainę. Liczba zgłoszeń przychodzących do CSIRT NASK i incydentów, którymi się zajmujemy, cały czas dynamicznie rośnie (już w tym momencie o ponad 100% w porównaniu do roku ubiegłego), ale nie wiążemy tego wyłącznie z wojną trwającą tuż za wschodnią granicą Polski.

Dlatego warto spojrzeć na kwestię cyberbezpieczeństwa instytucji i obywateli w Polsce w szerszym kontekście. Liczba zagrożeń, liczba działań ze strony przestępców wykorzystujących internet do różnego rodzaju ataków i oszustw, rzeczywiście rośnie, o czym przestrzegamy za pomocą różnych kanałów informacyjnych CSIRT NASK. Ale w dużej mierze wynika to z faktu, że coraz większa liczba przestępców na świecie (i także w naszym kraju) przenosi swoje działania i próby szybkiego wzbogacenia się w nielegalny sposób właśnie do internetu – więc niekoniecznie są to tylko osoby związane w jakiś sposób z reżimem Putina.

Innymi słowy, polska przestrzeń cyfrowa w jakimś sensie jest już ogarnięta „cyberwojną”, czyli wojną z przestępstwami realizowanymi w przestrzeni cyfrowej, od dłuższego czasu, a nie tylko od wybuchu konfliktu w Ukrainie. Z drugiej strony cieszy nas też pogłębiająca się świadomość Polaków dotycząca zagrożeń cyfrowych – większa liczba zgłoszeń, które trafiają do CSIRT NASK, również o tym świadczy.

Computerworld pyta:

Dziś niezmiennym pozostaje pytanie o cyfrowe bezpieczeństwo polskich firm, instytucji, obywateli. Na co – biorąc pod uwagę możliwe scenariusze rozwoju konfliktu na wschodzie i walki w sferze cyber – powinniśmy (jako przedsiębiorcy, administracja, obywatele) zwracać szczególną uwagę? Jakie można wytypować największe zagrożenia i jednocześnie wskazać, gdzie powinniśmy wzmacniać swoją cyberodporność?

Sławomir Soszyński, CIO ING Bank

Poziom zabezpieczeń polskich firm i instytucji, a co za tym idzie i obywateli różni się między sektorami gospodarki. Największy jest tam, gdzie nacisk na właściwe zabezpieczenie i zarządzanie ryzykiem jest wymuszony przez sektorowe regulacje oraz względy biznesowe. Takimi sektorami są: sektor finansowy, telekomunikacyjny, medyczny, itd. Jeśli jednak chodzi o inne sektory gospodarki, to mamy jeszcze dużo do zrobienia w zakresie cyberbezpieczeństwa. Wyzwaniem jest zmiana myślenia i transformacja w kierunku traktowania cyberbezpieczeństwa jako części biznesu i okazji rozwojowej a nie kosztu, którego najlepiej uniknąć. Bardzo wiele należy zrobić w kontekście edukacji obywateli na temat cyberbezpieczeństwa. Świadomość właściwej cyfrowej higieny powinna być tak samo ważna jak właściwa edukacja ekonomiczna czy prozdrowotna. Obecnie największe zagrożenia stanowią ataki uniemożliwiające działanie systemów i infrastruktur, ataki z wykorzystaniem złośliwego oprogramowania o charakterze destrukcyjnym lub wymuszającym okup (ransomware), celowane ataki na organizację, których celem jest kradzież danych lub ich zniszczenie, kradzież środków pieniężnych oraz własności intelektualnej.

Gen. bryg. Karol Molenda, Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni

Należy pamiętać że sposoby prowadzenia walki w cyberprzestrzeni stale ewoluują. Towarzyszy temu dynamiczny rozwój cyberprzestępczości. Grupy cyberprzestępcze są coraz lepiej zorganizowane, a do tego dobrze opłacane, nie tylko przez instytucje prywatne, ale także przez państwa. Doskonałym przykładem tego typu aktywności jest działalność typu APT (Advanced Persistent Threat) charakteryzująca się sponsorowaną przez rządy działalnością mającą na celu utrzymanie możliwie najdłuższej i skrytej obecności w atakowanych sieciach. Większość obserwowanych aktualnie cyberataków realizowana jest właśnie przez grupy APT, których głównym celem jest kradzież danych (cyberszpiegostwo) oraz dezorganizacja sieci teleinformatycznych (cybersabotaż). Jak zatem zadbać o bezpieczeństwo cyfrowe w tak złożonych czasach? Należy zacząć przede wszystkim od nas samych – zwykłych użytkowników i skoncentrować się na cyberhigienie, na przykład poprzez ograniczanie ilości danych i informacji w naszych smartfonach. Przechowywanie zbyt dużej liczby danych wrażliwych i wykorzystywanie telefonu do uwierzytelniania w niemal wszystkich dziedzinach naszego życia generuje duże ryzyko utraty nie tylko naszych danych czy też środków finansowych, ale również danych wrażliwych osób, z którymi zwykliśmy się kontaktować. Świadomość tego, że człowiek jest najsłabszym ogniwem w domenie cyber, powinna towarzyszyć każdemu użytkownikowi sieci.

Poza licznymi cyberzagrożeniami pojawiają się również istotne możliwości ich unikania. W kontekście częstego wykorzystywania jednego urządzenia mobilnego do logowania się do różnych zasobów internetowych obiecujące wydaje się być aktualnie wdrażane logowanie bezhasłowe (uwierzytelnianie biometryczne), lub korzystanie z tzw. menadżerów haseł. Tego typu rozwiązania utrudnią cyberprzestępcom dotarcie do naszych danych.

Z perspektywy firm i instytucji ta problematyka jest bardziej złożona, bo wymaga nie tylko uświadamiania w tym zakresie, ale rzeczywistych i to nie małych nakładów finansowych. W wymiarze instytucji, firm czy też państw, cyberbezpieczeństwo musi być rozpatrywane bardziej holistycznie, z uwzględnieniem szerokiego spektrum czynników – użytkowników, administratorów, ciał zarządczych, sprzętu, a przede wszystkim niezawodnych systemów detekcji cyberzagrożeń. Kwestia ta zresztą stanowiła jedną z głównych przyczyn przyjęcia Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która nakazuje budowanie dojrzałych systemów cyberbezpieczeństwa, zarówno na poziomie krajowym, sektorowym, a także lokalnym (np. samorządowym). Przykładem tego trendu jest powoływanie i doskonalenie zespołów reagowania na incydenty bezpieczeństwa komputerowego – CSIRT.

Obserwowany rozwój cyberzagrożeń, pokazuje jak ważne jest budowania świadomości wśród użytkowników jak również zorganizowanych podmiotów. Potrzeba ta w dzisiejszych czasach ma wysoki priorytet, zwłaszcza w kontekście postępującej wojny na Ukrainie, w ramach której silnie eksploatowana przez przeciwnika domena cyber nabrała jeszcze większego znaczenia.

Łukasz Bromirski, Dyrektor ds. Rozwoju Produktów Bezpieczeństwa, Cisco

Polskie firmy jeszcze w trakcie COVIDu dosyć szybko zaczęły modernizować swoją infrastrukturę bezpieczeństwa, a część pracowników otrzymała dedykowane klucze MFA lub zaczęła wykorzystywać aplikacje mobilne do jednorazowego uwierzytelnienia. Niestety, nadal najsłabszym ogniwem pozostaje człowiek, którego niefrasobliwość może stać się punktem wejścia dla atakującego. Sugerowałbym skupienie się na ciągłym, gruntownym testowaniu własnej gotowości bezpieczeństwa, tym bardziej, że rynek tego typu usług w Polsce stał się bardzo konkurencyjny. Coraz więcej firm inwestuje też w opiekę serwisową w obszarze bezpieczeństwa, co również jest dobrym, choć oczywiście droższym pomysłem.

Ponieważ doskwiera nam niedobór specjalistów ds. bezpieczeństwa, fundamentalne znaczenie będzie miało stosowanie najlepszych praktyk - minimalizacja uprawnień pracowników do systemów których potrzebują do wykonywania swoich obowiązków, wprowadzenie pryncypiów "zerowego zaufania" do sposobu pracy pracowników przez uwierzytelnianie wieloskładnikowe dostępu per-aplikacja i ścisłą separację aplikacji od siebie, i w końcu zabezpieczenie danych firmy w sposób, który w przypadku ataku ransomware pozwoli je szybko i bezproblemowo odzyskać.

Hubert Kozdęba , Head of IT Department, Felgenhaue

Obecnie największym zagrożeniem jest dezinformacja i manipulacja informacją. Dzieje się to w obszarze mediów, zwłaszcza społecznościowych, co ma istotny wpływ na obywateli, na podział społeczeństw i przez to na paraliż decyzyjności w państwie. W obszarze dezinformacji kluczowa jest świadomość obywateli, umiejętność weryfikowania źródeł informacji. W sektorze biznesowym: tutaj od lat niezmiennie najistotniejsze jest zwalczanie wielowymiarowych zagrożeń cyber wymierzonych w obszary i infrastrukturę krytyczną firm, ważnych przede wszystkim dla funkcjonowania państwa. W przypadku uaktywnienia takich zagrożeń konsekwencją może być przerwanie dostaw kluczowych surowców (w tym energetycznych) oraz materiałów jak i zaburzanie łańcuchów dostaw. My - jako obywatele, ale również jako pracownicy firm z różnych obszarów - powinniśmy być szczególnie wyczuleni na dezinformację, manipulację, wyłudzenie informacji, nieświadome przekazywanie poufnych danych.

Sebastian Kondraszuk, Kierownik Działu CERT Polska w NASK

Najpoważniejszym zagrożeniem, jakie dotyczy polskich obywateli, pozostają różne formy phishingu. Z reguły nie są one związane z wojną w Ukrainie, a motywacja przestępców to kwestia czysto finansowa, czyli – mówiąc wprost – kradzież. Stale zmieniają się oczywiście konkretne zabiegi socjotechniczne stosowane przez oszustów, które skłonić mają potencjalne ofiary do kliknięcia w jakiś link, otwarcie załącznika lub wpisania swojego loginu, hasła albo kodu SMS. W pierwszej fazie konfliktu ukraińskiego jako CSIRT NASK rzeczywiście odnotowywaliśmy więcej oszustw podszywających się pod zbiórki internetowe, które w jakiś sposób miały wspomóc Ukrainę, natomiast obecnie dość często spotykane są fałszywe, ale mocno sensacyjne doniesienia o wzbudzających ciekawość wydarzeniach wojennych, skłaniające na przykład do kliknięcia w nieznany link albo podania np. numeru telefonu lub swoich danych dostępowych do portalu społecznościowego. W tym kontekście możemy mówić, że wojna w Ukrainie rzeczywiście stała się mocniej obecna również w polskiej przestrzeni cyfrowej, tak jak kilkanaście miesięcy wcześniej różnorakie sensacyjne doniesienia związane z pandemią. W przypadku tego typu zagrożeń najlepszym sposobem obrony

pozostaje zachowanie szczególnej ostrożności i zdrowego rozsądku. Jeśli w jakimś medium społecznościowym albo w mailu pojawia się nam nagle szokująca informacja, na przykład o tragicznym wypadku lub śmierci znanego polityka w czasie wizyty w Ukrainie, ostatnią rzeczą, którą warto robić, jest szybkie klikanie w odsyłacz, otwieranie załącznika lub podawanie swoich danych, by móc poznać detale tej rzekomo sensacyjnej informacji. Takie sensacje należy koniecznie weryfikować poprzez sprawdzenie, czy występują również w głównych, popularnych mediach informacyjnych.

CSIRT NASK odnotowuje też inne rodzaje ataków w jakiś sposób związanych z wojną w Ukrainie, np. typu DDoS, które dotykają polskich instytucji. Za część z nich rzeczywiście odpowiadają rosyjskie grupy przestępcze, których działanie może być interpretowane jako próba zemsty za pomoc, jaką oferuje Ukraińcom państwo polskie. Żaden z tych ataków nie okazał się jednak na tyle poważny, by realnie zagrozić cyberbezpieczeństwu naszego kraju.

CSIRT NASK odnotowuje też inne rodzaje ataków łączone bezpośrednio z kontekstem wydarzeń na Ukrainie. Do ataków typu DDoS wycelowanych w strony internetowe instytucji, a także podmiotów biznesowych, przyznają się rosyjskie grupy przestępcze, a przyjęta przez nie narracja określa prowadzoną akcję mianem działań odwetowych wobec państw udzielających wsparcia narodowi ukraińskiemu. Warto zaznaczyć, że tego typu prymitywne ataki nasiliły się wobec wszystkich państw naszego regionu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200