Małecki: Informowanie o atakach hakerskich jest narzędziem ochrony przed ich skutkami (ROZMOWA)

21 grudnia 2020, 13:00 Cyberprzestrzeń
Grzegorz Małecki. Grafika: Gabriela Cydejko

Do opinii publicznej coraz częściej przenikają informacje o atakach hakerskich na całym świecie. BiznesAlert.pl porozmawiał na ten temat z płk. Grzegorzem Małeckim, byłym szefem Agencji Wywiadu. – Polacy nie mają w zwyczaju przyznawać się do porażek. To jest negatywne zjawisko, bo znacząco osłabia profilaktykę. W USA wypływanie informacji pozwala na identyfikację problemu i szybkie podjęcie środków zaradczych – przyznaje nasz rozmówca.

BiznesAlert.pl: W ostatnich dniach pojawiły się informacje o kolejnym dużym ataku hakerskim na amerykańską administrację rządową, firmy z sektora obronnego, energetycznego i teleinformatycznego. Co Rosjanie osiągają poprzez takie działania?

Płk Grzegorz Małecki: To nie jest pierwszy taki atak hakerski, który został ujawniony. Operacje wywiadowcze w cyberprzestrzeni mają miejsce cały czas, to proces ciągły. To o czym się dowiadujemy jest wierzchołkiem góry lodowej. To są operację, które zostały zidentyfikowane i zostały nagłośnione. Nie wszystkie odkryte ataki są ogłaszane przez media. To jest bardzo złożony problem. Operacje rosyjskie, chińskie, irańskie czy północnokoreańskie na amerykańskie systemy są codziennością. Każdego dnia dochodzi do setek tysięcy prób przełamania systemów obrony w cyberprzestrzeni. Te o których my się dowiadujemy to po pierwsze operacje, które zakończyły się powodzeniem, czyli włamano się do systemu i doszło do jej identyfikacji. A po drugie dowiedziała się o nich opinia publiczna. To jedynie ułamek operacji realnie mających miejsce.

A czemu służą te ataki? Pozyskiwaniu informacji, sabotażowi…

Podstawowym celem każdego wywiadu, także cybernetycznego jest pozyskanie informacji przechowywanych czy też przetwarzanych w tych systemach. Chodzi o włamanie się do systemu, zainstalowaniem oprogramowania szpiegującego, który umożliwi transfer informacji i danych do centrali wywiadu. Te dane potem są wykorzystywane do celów wywiadowczych i do celów politycznych. Drugim celem jest pozyskanie danych, które następnie zostaną wykorzystania do przeprowadzenia prowadzenia tzw. Działań ofensywnych w cyberprzestrzeni inaczej mówiąc operacji specjalnych polegających na  przejęciu kontroli nad systemami, sabotażu bądź ich zniszczeniu w odpowiednim czasie. To dwa główne cele operacji w cyberprzestrzeni, czym innym jest pozyskiwanie informacji a czym innym jest operacja ofensywna, która ma na celu sianie spustoszenia u ofiary tej operacji. Tym niemniej w dużym stopniu metody w obu przypadkach są bardzo zbliżone.

Czy Polska jest narażona na takie ataki? U nas raczej milczy się o takich stratach…

Z całą pewnością jesteśmy obiektem tego typu ataków. U nas jest jednak całkiem inna kultura niż na zachodzie w kwestii informowania o takich wydarzeniach. Nie mamy w zwyczaju przyznawać się do porażek, chyba, że wszyscy już o tym wiedzą. To jest negatywne zjawisko, bo znacząco osłabia profilaktykę. W USA jest inna kultura biznesowa i administracyjna, często ta wiedza wypływa z informacji podawanych przez firmy, tak jak w tym konkretnym przypadku, których oprogramowanie zostało zainfekowane. To pozwala na identyfikacje problemu i szybkie podjęcie środków zaradczych. W Polsce po pierwsze nie mamy tak wielkich firm informatycznych, a po drugie mamy w zwyczaju ukrywać takie zdarzenia.

W przypadku Polski na pewno takie działania mają miejsce, ale nie jesteśmy pierwszoplanowym celem. Nie mamy takiego znaczenia dla wywiadu rosyjskiego, poza tym wywiad rosyjski ma cały wachlarz innych narzędzi do działania w Polsce, które nie muszą być związane z cyberprzestrzenią. My też, jako państwo, nie jesteśmy tak scyfryzowani jak Amerykanie, których administracja i gospodarka jest bardzo silnie zinformatyzowana i powiązana z cyberprzestrzenią. Chociaż i u nas ten proces powoli postępuję. Operacje w cyberprzestrzeni są targetowane, one mają konkretny cel. Celem wywiadu nie jest zasypywanie się „śmieciem informacyjnym” a wyłuskiwanie przydatnych dla siebie danych. Taką operację kilka lat temu przeprowadził wywiad chiński, który wykradł ponad 22 milionów danych osobowych pracowników amerykańskiej administracji rządowej, w tym związanej z obronnością i wywiadem, które mogą posłużyć do jego działań w przyszłych operacjach w różnych miejscach świata.

Jak bronić się przed takimi atakami? Czy to kwestia technicznych możliwości, czy może edukacji, profilaktyki?

W tym przypadku powinno się stosować tzw. holistyczne podejście do zagadnienia, które uwzględnia wszystkie rozwiązania i techniczne, organizacyjne, w sferze zarządzania, edukacji. To muszą być działania idące razem, nie osobno, gdyż osobno to się na nic nie zda. Tu musi być działanie od poziomu użytkownika komputera aż po skomplikowane algorytmy i rozwiązania technologiczne. To razem tworzy nam system cyberbezpieczeństwa. Ten system w sposób skoordynowany pozwoli zapobiegać ewentualnym atakom. Od odstraszania, tworzenie wrażenia systemu, który jest nie do zdobycia, poprzez tworzenie stref obrony na przedpolu, skończywszy na rozwiązaniach pozwalającym na podniesienie zaatakowanych już systemów do normalnego funkcjonowania. Poza zapobieganiem, ważny jest element wykrywania. Ten ostatni przykład z USA jest doskonałym zobrazowaniem, że pomimo penetracji systemu, udało się po jakimś czasie wykryć problem. I to jest ważne, bo straty związane z niewykrytym zagrożeniem pogłębiają się z czasem jego obecności w systemie. Chodzi o jak najszybsze powstrzymywanie szkód. Informowanie opinii publicznej i potencjalnych ofiar jest kluczowe w tym elemencie. I stąd wynika amerykańska polityka pełnej informacji.

Rozmawiał Mariusz Marszałkowski

Amerykanie ruszają w pościg za cyberwłamywaczami z Rosji