W oczekiwaniu na Cyber-Westerplatte

Jest kilka takich przypadków zwalczania cyberzagrożeń, które na trwałe weszły do historii. Czytamy o nich w prasie branżowej i słyszymy często na konferencjach czy seminariach. Co ciekawe nie są to wcale przypadki, w których udało się w pełni i skutecznie te zagrożenia odeprzeć lecz takie, które cechowały się dwoma elementami: po pierwsze ci, którzy byli zaangażowani w ich odparcie potrafili się zjednoczyć i koordynować obronę, a po drugie – niemniej ważne – po przejściu cybernawałnicy, niezależnie jak była silna, chcieli i potrafili zrobić wiele aby w przyszłości nie stanąć kolejny raz na straconej pozycji.

Cyberataki na Estonię

Niestety, obserwując to co się dzieje w Polsce w dziedzinie zwalczania cyberzagrożeń trudno mieć nadzieję, że dołączymy do grona “cytowanych”, chyba że jako przykład negatywny. Wspomniane wcześniej ataki są powszechnie znane. Najsłynniejszy z nich to przypadek estoński. Przywoływany praktycznie na niemalże każdej konferencji. Ataki na ten kraj z 2007 r. to często podawany przykład poważnego cyberataku, działania typu “state-sponsored attack”, ataku na infrastrukturę krytyczną i.t.p.. Specjaliści reprezentujący Estonię powszechnie uznawani są za wartych wysłuchania a kraj doczekał się stworzenia w Tallinie NATO-wskiego Centrum Doskonałości Współdziałania w obronie przed Cyberzagrożeniami (NATO Cooperative Cyber Defence Centre of Excellence). Co ciekawe w momencie cyberataków na Estonię kraj ten nie jawił się jako potęga cyberobronna, a specjaliści z tamtejszego CERT-u dopiero przystępowali do współpracy międzynarodowej.

Cyberataki na Gruzję

Dość często przywoływany jest również przypadek gruziński, który miał miejsce rok po estońskim i towarzyszył wojnie pomiędzy Gruzją i Federacją Rosyjską. Co prawda w przypadku Gruzji nie było aż tak wielu krytycznych obiektów do zaatakowania, jednakże wówczas (2008 rok) te ataki uzmysłowiły, że konflikt w cyberprzestrzeni to praktycznie integralny element konfliktu politycznego, nawet tego ekstremalnego jakim jest wojna. W odróżnieniu od Estonii, Gruzja nie jest postrzegana jako przykład organizacji cyberobrony. Trochę niesłusznie, ponieważ jak przypatrzeć się z bliska to kraj ten poczynił bardzo duże postępy w przygotowaniu się na kolejny konflikt tego typu. Element cyberbezpieczeństwa odgrywa ważną rolę w narodowej strategii obronnej. Po 2008 roku powstały nie tylko Narodowa Strategia Cyberbezpieczeństwa, ale i wiele inicjatyw na rzecz jego poprawy. Przede wszystkim w 2010 roku stworzono Agencję Wymiany Danych (Data Exchange Agency), a w jej ramach powstał rządowy zespół CERT, jasno wskazany w prawodawstwie krajowym, o szczególnym nastawieniu na rozwijanie współpracy publiczno-prywatnej i otwarty na współpracę międzynarodową.

Korea

Na koniec przykładów trochę dalszym kulturowo, geograficznie i oddalonym również w czasie – przypadek koreański. Warto o nim wspomnieć dlatego, że po Slammerowym tsunami z 2003 roku, właśnie w Korei Południowej powstała jedna z najbardziej zaawansowanych struktur organizacyjnych cyberbezpieczeństwa, z wiodącym podmiotem jakim jest KrCERT/CC Korea Internet Security Center. Slammer “szalał” w styczniu 2003, a na koniec roku już funkcjonowały zaawansowane systemy współpracy i obrony (http://eng.krcert.or.kr/krcert_cc/organization.jsp).

Hakerzy zaatakowali strony internetowe największych banków w Czechach

Ostatnio do zestawu ciekawych przypadków aspirują zmagania naszych południowych sąsiadów znad Wełtawy, którzy w marcu tego roku mieli masowe ataki na strony internetowe banków, giełdy i największych portali internetowych. Czesi sami nie są skłonni traktować tych ataków jako niezwykle groźnych i są wyraźnie zaskoczeni popularnością ich przypadku, co swoją drogą zapewne stanowi pomysł na kolejny rozdział do Gottlandu. Mimo to, kiedy na ostatniej konferencji ENISA rozmawiałem z przedstawicielką czeskiego CERT-u, opowiadała że to już jej 13-te wystąpienie na ten temat i w kolejce stoją dwa następne z tą samą prezentacją. Zastanowił mnie ten fenomen. Dlaczego tak jest skoro przypadek nie był groźny? Wydaje mi się, że powodem jest to, że najważniejsze jest konstruktywne podejście Czechów do problemu jaki ich spotkał. To co wydaje się interesować najbardziej słuchających to ich sprawozdania z ataków, sposób w jaki się zorganizowali? Jak komunikowali o problemie? W ich przypadku praktycznie od początku było wiadomo kogo on dotyczy, a wszyscy zainteresowani, tj. poszkodowani, operatorzy telekomunikacyjni i odpowiedzialni za sprawy cyberbezpieczeństwa w kraju (np: CERT-y), potrafili szybko dość skutecznie wymieniać informacje i ustalać wspólne działania. Doszło do realnej wymiany danych i informacji oraz spotkań koordynacyjnych.

Wcześniejsze przypadki pokazywały, że wysoka ocena działań cyberobronnych to wynik walki z krytycznym cyberzagrożeniem i duża zdolność do współdziałania już w momencie wystąpienia kryzysu, a po jego zakończeniu wyciągania odpowiednich wniosków na poziomie organizacyjnym i technicznym. Przypadek czeski natomiast uświadamia, że warunek krytyczności wcale nie jest konieczny dla wysokiej oceny. Czesi odpowiadają otwarcie na pytanie “jakie były skutki ataków?”. Odpowiedź brzmi – “Prakticky žádný”. Najbardziej liczy się właśnie współdziałanie i wyciąganie wniosków. Dlatego tym bardziej prowadzi to do smutnej konstatacji, że jak na razie są nikłe szanse aby Polska znalazła się na liście krajów, na które patrzy się z uznaniem jeśli chodzi o zdolność do koordynacji działań cyberobronnych, że o wyciąganiu wniosków nie wspomnę. Nasze przypadki ze stycznia 2012 (przy okazji ACTA) i ataki DDoS z wiosny tego roku mogły być doskonałym pretekstem wskoczenia na wyższy poziom współdziałania i koordynacji. Niestety to nie nastąpiło. W czasie ataków ACTA skupiono się na jego dewaluacji. Jeden z ministrów cieszył się z dużego zainteresowania serwisami rządowymi, inny na twitterze prowokował atakujących do ataków, bo to „fajne” testy bezpieczeństwa, a jeszcze inny uzupełnił strategię ataku DDoS o zaproszenie do ściągania z jego strony 25 MB-owego pliku. W czasie ataków DDoS na wiosnę 2013 tylko jeden z podmiotów wystąpił z otwartą przyłbicą, a współpraca odbywała się co najwyżej w  trybie peer-to-peer. Jeśli chodzi o działania już po zakończeniu ataku to też nie było dobrze. Powstałe po atakach ACTA rekomendacje dotyczące ochrony portali rządowych stały się bardziej przyczyną żartów niż poważnego potraktowania. Zaś uchwalona po blisko 4 latach procedowania “Polityka Ochrony Cyberprzestrzeni RP” to nie jest powód do dumy, a raczej kolejne zagrożenie w związku z przeświadczeniem, że coś wreszcie mamy. Co ciekawe jeśli chodzi o ten dokument – to prawie wszyscy są świadomi jego niskiej wartości – nawet, ci którzy z tym dokumentem się identyfikują. Krytykę natomiast odpierają tym, że “no ale przecież coś mamy” i to “dobry punkt wyjścia do dalszych działań i poprawy”. Tylko jakoś tych dalszych działań i poprawy nie widać, a sposób przyjęcia Polityki, na przykład kompletne zignorowanie zgłoszonych do niej wielu poprawek, nie napawa optymizmem co do dalszej pracy nad nią.

To wszystko dość przykre wnioski i spostrzeżenia. Nic nie wskazuje na to, żebyśmy byli w przededniu ogłoszenia cyber-Odsieczy Wiedeńskiej czy zwycięstwa w cyber-Bitwie Warszawskiej. Co najwyżej z takim podejściem czeka nas Cyber-Westerplatte. Choć i to porównanie może być zbyt optymistyczne, bo na Westerplatte mieli plan – obrona miała trwać przez 6 godzin. Zróbmy więc plan cyberobrony chociaż na 6 minut!

No cóż – w tej chwili opowiadając o atakach ACTA zmuszeni jesteśmy pokazywać zdjęcia z Sejmu z posłami jednej z partii w maskach Anonymous i przekonywać, że to nie było nic ważnego.

Mówiąc o polskich sukcesach na polu odpierania ataków pozostanie opowiadanie o ważnych, ale pojedynczych sukcesach w walce z zagrożeniami, które wcale nie są wynikiem współdziałania, a raczej determinacji, pracowitości i talentu poszczególnych podmiotów lub pojedynczych specjalistów od cyberbezpieczeństwa, niestety coraz częściej pracujących dla zagranicznych firm a nawet rządów innych krajów. Co ciekawe, jak się dowiedziałem ostatnio od jednego z przedstawicieli administracji rządowej, wykorzystanie takich specjalistów na wzór Estonian Defence League’s Cyber Unit, czyli ochotniczych oddziałów specjalistów od cyberobrony (co zaproponowałem na jednym ze spotkań poświęconych problemowi) też nie ma sensu bo Estonia jest mała i można ją tak bronić a Polska jest duża i nie można. Hm, chyba nie jest to jednak słuszna konkluzja!

Żeby nie być klasycznym malkontentem warto na koniec wskazać światełko w tunelu, lub choćby nadzieję na nie. Być może okaże się nim inicjatywa Biura Bezpieczeństwa Narodowego, które w ramach Strategicznego Forum Bezpieczeństwa podjęło inicjatywę rozmowy i konsultacji tego jak powinna wyglądać strategia bezpieczeństwa narodowego w zakresie cyberbezpieczeństwa. Sposób w jaki rozpoczęto pracę nad tym napawa optymizmem. Trzymamy kciuki!

Mirosław Maj
Share Button