RAPORT: C://War.exe. Dzisiaj detonuje się pliki

7 stycznia 2017, 07:30 Alert

W świecie technologii cyfrowych zainfekowanie oprogramowania instytucji użyteczności publicznych może całkowicie sparaliżować państwo, nie tylko niszcząc infrastrukturę teleinformatyczną i pogrążając przy tym gospodarkę, ale również terroryzując ludność. Dzisiaj konwencjonalna sztuka wojenna nie absorbuje aż tak jak działania wojenne prowadzone w cyberprzestrzeni. W cyberprzestrzeni nie detonuje się bomb. Tam wybuchają pliki. Czym jest cyberterroryzm i jak temu przeciwdziałać?

Kontekst

Styczniowe wydalenie 35 dyplomatów przez odchodzącego prezydenta USA Baraka Obamę to zaledwie czubek góry lodowej skandalu związanego z wyciekiem e-maili Partii Demokratycznej. Wyciekiem, który w przekonaniu służb zaważył na wyniku listopadowych wyborów prezydenckich. 14 lipca 2016 dziennik Washington Post poinformował, że za publikacją e-maili stoją wynajęci przez Kreml hakerzy. Nad operacją czuwali pracujący pod przykryciem dyplomatów oficerowie rosyjskich służb specjalnych.

Nie była to pierwsza taka ingerencja w wewnętrzne sprawy państwa poprzez cyberprzestrzeń. W grudniu ubiegłego roku Litwa informowała, że na komputerach należących do administracji rządowej wykryto rosyjskie oprogramowanie szpiegowskie. W tym samym miesiącu roku atak hakerski na Niemcy sparaliżował Deutsche Telekom, a przed świętami Bożego Narodzenia dokonano cybernetycznej napaści na Ukrainę. Dzisiaj Rosja toczy otwartą cyberwojnę, której zarzewie miało miejsce prawie 10 lat temu. W 2007 roku kremlowscy cyberżołnierze przeprowadzili cyberataki w Gruzji oraz Estonii.

Dzisiaj wśród państw najbardziej narażonych na ataki cyberterrorystów wymienia się głównie kraje wysoko rozwinięte, jak Japonia, Estonia, Niemcy, Singapur, Szwajcaria, Stany Zjednoczone, Malezja oraz Holandia. (2016, World Economic Forum i Komisja Europejska) ale i również Ukraina i kraje bałtyckie są narażone na ataki. Dzisiaj państwa nie podbije bomba, a paraliż jego infrastruktury teleinformatycznej.

Czym jest cyberterroryzm?

Młody nastolatek nieświadomie włamuje się do głównego wojskowego systemu operacyjnego uruchamiając oprogramowanie, które stawia świat na krawędzi wojny nuklearnej. Kiedyś, dla większości z nas, fabuła filmu Gry Wojenne z 1983 roku była tylko niewinną fikcją. Z dzisiejszej perspektywy jednak, film w reżyserii Johna Badhama ogląda się jak złowrogi prolog nowego rodzaju konfliktu – cyberterroryzmu.

Stworzone w latach 80. przez Barry’ego Collina pojęcie cyberterroryzmu (cyberprzestrzeń i terroryzm) to kompleksowe, świadome działanie wyrażone politycznie (ale nie tylko) motywowanym ataku na system komputerowy, stwarzająca zagrożenie dla życia/zdrowia ludzi lub poważnego naruszenia bezpieczeństwa wewnętrznego państwa, przejawiającego się paraliżem kluczowej infrastruktury lub gospodarki, zastraszenia jego ludności lub jakiejkolwiek innej prowokacji.

Przykłady cyberterroryzmu

O ile definicja cyberterroryzmu jest dość jasna, to zakwalifikowanie pewnych działań hakerów jako przykład cyberterroryzmu może nastręczyć trudności. Różne są bowiem motywy ataków hakerskich. McGregor wyróżnia cztery motywy, dla których dokonuje się ataków hakerskich: geopolityka, odwet, chęć zysku albo zwykły oportunizm.

Przy wyróżnianiu motywów cyberterroryzmu, warto kierować się następującymi kryteriami: podmiotowości (cyberterroryści i ich ofiary, uczestnicy państwowi i niepaństwowi) i przedmiotowości (skutki ataków cyberterrorystycznych, np. militarne, gospodarcze lub polityczne).

Ze względu na małe szkody gospodarcze, atak hakerski na Estonię w 2007 roku można zaliczyć do skutków politycznych. Z kolei przykładem skutków militarnych jest atak hakerów komputerowych działających na zlecenie Chin, którzy pod koniec lat 90. wykradli tajne plany z laboratorium badań nad bronią nuklearną w Los Alamos w Nowym Meksyku. Incydent podano do wiadomości publicznej dopiero w 2000 roku, śledztwo zaś wykazało że Chiny znalazły się w posiadaniu informacji o ,,każdej amerykańskiej głowicy nuklearnej”.

“Działania armii opierają się na podstępach” – sztuka operacyjna i cele cyberterrorystów

Sztukę operacyjna hakerów można podzielić na trzy kategorie:

  1. Wykorzystanie cyberprzestrzeni do przeprowadzenia pewnych działań, niebędących typowym atakiem hakerskim. Do tej kategorii można zaliczyć werbunek, pranie pieniędzy, komunikowanie się między sobą.
  2. Bezpośredni atak. Przykładem jest Blokada Usług (Denial of Service, DoS), która polega na przeciążeniu aplikacji serwującej dane lub wprowadzenie złośliwego oprogramowania, trojanów, wirusów (Stuxnet, Flavo, Dugu).
  3. Wykorzystanie cyberprzestrzeni jako pola ataku innych celów.

Głównym celem cyberterrorystów działających na zlecenie państw lub podmiotów niepaństwowych, jest zakłócenie podstawowych systemów należących do instytucji użyteczności publicznej lub prywatnej. Do obszarów najbardziej zagrożonych cyberatakiem zalicza się: systemy wojskowe, systemy przedsiębiorstw oraz systemy wchodzących w skład infrastruktury krytycznej państwa. Do tych ostatnich należy infrastruktura energetyczna, transportowa, finansowa, sieci teleinformatyczne oraz łączność.

W grudniu ub.roku, ukraiński dostawca energii Ukrenergo poinformował, że awaria elektrowni na północy Ukrainy mogła być wynikiem cyberataku. Napaść zdarzyła się rok po cyberataku na elektrownię w Zaporożu, w wyniku którego prawie 700 tys. domostw zostało pozbawionych prądu. W Polsce, ataki na sieci internetowe należące do administracji publicznej odbywały się przed szczytem NATO (atak na intranet MON).

Jak zauważa Konrad Świrski, zagrożenie atakiem hakerskim polskich instalacji energetycznych było do roku 2010 traktowane nieco z przymrużeniem oka, a działanie ograniczało się jedynie do przeprowadzenia typowych audytów bezpieczeństwa systemów informatycznych. Wraz z pojawieniem się robaka Stuxnet przestano lekceważyć zagrożenie. Użyty po raz pierwszy w 2010 roku robak nie tylko infekował system sterowania, ale również przeprogramowywał parametry operacyjne danej instalacji przemysłowej. Wprowadzony do irańskich urządzeń będących częścią infrastruktury energetycznej, Stuxnet spowodował problemy w wirówkach używanych do wzbogacania uranu. Według danych z 29 września Stux zaraził około 58% irańskich instalacji komputerowych. Robak stał się de facto pierwszą bronią cyberinformatyczną.

Cyberprzestrzeń RP w zakresie infrastruktury energetycznej monitoruje Departament Audytu i Bezpieczeństwa Polskich Sieci Elektroenergetycznych. „Każdego dnia nasze sieci teleinformatyczne są testowane, mamy każdego dnia od kilkuset do kilku tysięcy prób różnego rodzaju ataku, wejścia, skanowania portów. Znaczna część tych ataków jest jednak bardzo prymitywna” – mówi dyrektor departamentu dr Łukasz Kister.

Działania prewencyjne

Specjaliści zauważają, że działania prewencyjne uchronią nas przed cyberatakami. W obszarze cyberbezpieczeństwa, Unia Europejska rozpoczęła pierwsze przygotowania już w 2005 r.  Dzisiaj agenda unijna odnośnie tego wymiaru skupia się głównie wokół założeń Jednolitego Rynku Cyfrowego (Digital Single Market) oraz Dyrektywy dot. Bezpieczeństwa Sieci oraz Systemów Informatycznych (the NIS Directive). Przepisy prawne dotyczące cyberbezpieczeństwa instytucji publicznych pozostają w głównej mierze w domenie państw członkowskich.

Również NATO nie pozostało obojętne na cyberzagrożenia. Po ataku rosyjskich hakerów na infrastrukturę teleinformatyczną Estonii, Sojusz zareagował tworząc nową strategię cyberbezpieczeństwa, która zrównała cyberatak z wojną konwencjonalną. Dzięki tej strategii, zaczęło ono podlegać przepisom prawa międzynarodowego, np. o zakazie używania siły zawartym w Karcie ONZ.  NATO jest też zaangażowane w ochronę krytycznej infrastruktury. Sojusz i Polskie Sieci Energetyczne współpracują w obszarze ochrony infrastruktury energetycznej z Centrum Eksperckim Bezpieczeństwa Energetycznego NATO (Energy Security Centre of Excellence).

Polska ustanowiła trzypoziomowy system reagowania na incydenty w cyberprzestrzeni RP (CRP), który zapewnia wymianę informacji pomiędzy zespołami administracji publicznej oraz zespołami CERT (CERT Polska, TP CERT, PIONIERCERT), CSIRT, ABUSE, przedsiębiorcami telekomunikacyjnymi i usługodawcami świadczących usługi drogą elektroniczną.

Przyjęta w 2013 roku w Polsce Polityka Ochrony Cyberprzestrzeni RP (dalej: Raport 2013), nakazuje instytucjom publicznym nawiązanie współpracy z przedsiębiorcami działającymi w sektorach szczególnie narażonych na ataki hakerskie (energetyka, łączność, transport). Raport 2013 zalecał również podjęcie współpracy z przedsiębiorcami telekomunikacyjnymi, producentami urządzeń i systemów teleinformatycznych.

Istotne jest również kierowanie wystarczającej ilości funduszy na wdrażanie strategii zapobiegającej cyberterroryzmowi, ze szczególnym uwzględnieniem instalacji podlegającej infrastrukturze strategicznej oraz systemom należącym do instytucji publicznych. Jak poinformował MON (4.01.2017), w ministerstwie funkcjonują jednostki odpowiedzialne za cyberbezpieczeństwo. W tym roku, ministerstwo zaplanowało 1 mld zł na przeciwdziałanie zagrożeniom cybernetycznym.

Jak zauważa Mariusz Rzepka z firmy Fortinet, strategia bezpieczeństwa powinna objąć również infrastrukturę IT wykorzystywaną przez instytucje samorządowe. Zapewnienie odpowiedniej kadry specjalistów przez podmioty odpowiedzialne za bezpieczeństwo cyberprzestrzeni w systemach teleinformatycznych należących do samorządów terytorialnych powinny móc przeznaczyć na to stosowne fundusze oraz zapewnić odpowiednią kadrę specjalistów.

Na podstawie ankiety przeprowadzonej przez Fortinet, urzędnicy samorządów często wskazywali brak stosownych środków finansowych jako poważne utrudnienie w walce z cyberterroryzmem. Rzepka wylicza ataki hakerskie z 2015 i 2016 roku, w których z kas samorządów wykradziono miliony złotych lub dane PESEL i zaleca aby nie oszczędzać na budowie systemu ochrony ponieważ straty, które mógłby wyrządzić atak cybernetyczny mogą być nieporównywalnie większe.

 

Źródła:

Weimann, Gabriel. 2006. Terror on the Internet, United States Institute of Peace Press, Washington, D.C.

Słownik terminów z zakresu bezpieczeństwa narodowego. Akademia Obrony Narodowej, Warszawa 2008.

http://konradswirski.natemat.pl/109923,cyberbezpieczenstwo-krytycznych-instalacji-coraz-wiecej-pytan-proste-odpowiedzi-ale-w-dzialaniach-polska-pozostaje-dalej-niezabe

W32.Stuxnet Dossier, Symantec.

https://mc.gov.pl/files/strategia_v_29_09_2016.pdf

http://www.repozytorium.uni.wroc.pl/Content/66149/32_Wieslaw_Smolski.pdf

https://biznesalert.pl/pse-skutecznie-przeciwdzialamy-cyberatakom/