KOMENTARZ
prof. nzw. dr hab. inż. Konrad Świrski,
Transition Technologies SA
Ostatnie dni to nieprzerwany potok informacji o spektakularnych awariach systemów informatycznych- zasilanie na całkiem sporym obszarze Turcji, system informatyczny niemieckiego Bundestagu, amerykańskie oprogramowanie dla kontroli wydawania wiz i ruchu granicznego, w Polsce system niezbędny dla kontroli ruchu lotniczego czy na dniach znowu linie lotnicze – tylko tym razem amerykańskie oraz amerykańska giełda.
Na dodatek kolejne informacje o wykradzeniu danych bankowych, numerów kart kredytowych, haseł dostępowych czy zwykłej korespondencji mailowej osób prywatnych lub rozbieranych, prywatnych zdjęć celebrytek. W większości tych przypadków pojawiają się w tle hakerzy i ataki cyberinformatyczne, aczkolwiek zaraz częściowo dementowane lub dla odmiany chętnie potwierdzane. W końcu już sami nie wiemy czy to indolencja twórców oprogramowania, złe utrzymanie systemów, kłopoty ze sprzętem lub obsługą czy naprawdę ataki hakerskie lub jeszcze groźniejsze militarne (cyberinformatyczne). Nawet jak to ostatnie jest potwierdzone to specjaliści IT wcale nie pomagają w detekcji problemu i zagrożeń, bo zwykle udaje im się złapać ślad w postaci adresu ostatniego komputera w sieci połączeń, który dokonywał niegodziwych czynności, co jak wiadomo w IT niekoniecznie musi wskazywać sprawcę (a prawie zawsze na pewno nie). Za chwile może to zrodzić poważne problemy w przyszłości z samą definicją ataku i kto kogo atakuje lub kto komu wypowiada wojnę, bo przecież może okazać się, że krytyczne systemy w USA czy w Polsce zostały zniszczone z komputera w Belize, Nauri lub Rodezji czy na Malcie. O ile z prostym odpaleniem rakiety można dać sobie rade przy dokładnej analizie trajektorii, nawet (hipotetyczny) wybuch jądrowy daje się w pewien sposób dokładnie śledzić (skład izotopowy radionukleoidów wskazujący na pochodzenie paliwa, a więc praźródło skąd materiał rozszczepialny) to w IT zaczynamy być bezradni. Coraz więcej więc wysiłku idzie w obronę i zabezpieczenia, ale jak na dziś przewagę mają atakujący.
Klasyczna walka atakujący – obrońca – trwa przez historię ludzkości. Na każdą broń ofensywną, po pewnym czasie znajdowane jest lepsze czy gorsze antidotum, ale zwykle za chwilę jest ono niszczone przez kolejną techniczną wersję urządzeń tych co wolą zadać cios jako pierwszy. Czasy starożytne i średniowiecze to klasyczna walka pomiędzy tymi, którzy chcą siec, tłuc czy strzelać strzałami i rzucać kamieniami, a tymi co wymyślają coraz bardziej odporne zbroje i tarcze. Przez pewien moment nawet we wczesnym średniowieczu wydawało się, że ciężkozbrojni rycerze (o ile mieli naprawdę dobre zbroje) byli w miarę zabezpieczeni, kiedt nagle na polu walki pojawiła się … kusza. Tak naprawdę urządzenie, które znane było nawet w starożytności (dawne Chiny, Grecja a potem Rzym), ale przez zostało na jakiś czas zapomniane, znów pojawiło się na polu walki. Kusza dzięki przemyślnej konstrukcji, szybko wprowadzonego pomysłu zastosowania kompozytów (różne rodzaje drewna odpowiednio przenoszące naprężenia, a wiec i wielka siła wystrzału) i możliwości napinania cięciwy za pomocą mechanizmu korbowego, dawała niesamowitą przewagę w stosunku do klasycznie wykorzystywanego łuku. Większa prędkość początkowa i płaski tor lotu powodowały, że wszystkie ówczesne wersje zbroi były przebijane z odległości poniżej 150 m. Dodatkowym plusem była możliwość zredukowania treningu personelu, konkurencyjni w formacjach łucznicy musieli posiadać bardzo duże umiejętności (długi czas szkolenia no i też siłę w rękach), natomiast łuczników można było przeszkolić relatywnie szybko. Oczywiście byli też i szkoleni na szybko jak i zupełni mistrzowie, jak na przykład bardzo poszukiwani najemni kusznicy genueńscy. Kusza była tak straszliwą bronią (władcy zachwyceni, bardziej empatyczni ludzie oraz sami ciężkozbrojni rycerze – przerażeni), że pojawiały się apele podobne do współczesnych traktatów o zakazanej broni lub nieproliferacji uzbrojenia. Kolejni papierze zakazywali stosowania kusz (nawet można znaleźć to literalnie w postanowieniach drugiego Soboru Laterańskiego), co prawda w nieco dziś zastanawiający sposób, bo tylko w wojnach przeciwko chrześcijańskim władcom i rycerzom (więc przeciw niewiernym całkowicie dozwolone i z powodzeniem stosowane w krucjatach). Dziś trudno sobie wyobrazić np. traktaty o zakazie broni chemicznej czy jądrowej tylko w użyciu w wojnie w Europie czy na terytorium USA – choć może się mylę i może tak naprawdę jest zupełnie tak jak dawniej. Tak czy inaczej – wszelkie zakazy były oczywiście nieprzestrzegane i chrześcijanie kuszowali się na zabój bardzo często, praktycznie aż do powszechnego pojawienia się broni palnej na polu walki. Tu znowu można snuć historie o coraz lepszych karabinach i epokowym wynalazku kamizelki kuloodpornej (i tu nawet pojawiają się polskie nazwiska, bo w 1901 Jan Szczepanik wynalazł prekursora obecnych kamizelek wykorzystując w wynalazku bardzo dużą ilość kolejnych warstw jedwabiu, są też znane dość makabryczne ryciny z jego osobistych testów – ubrany w kamizelkę swojej konstrukcji Szczepanik wytrzymał strzał z bliska z 7 mm rewolweru). Obecnie standard w postaci kevlarowych ubranek większości armii, stanowi jednak trochę złudną imitację średniowiecznych zbroi, dobrych na konflikty ze słabiej wyposażonym przeciwnikiem, bo zarówno nowe generacje broni jak i szczególnie nowe pociski , zaczynają sobie dawać rade z nimi bez trudności. Jak zawsze – atakujący mają przewagę.
W systemach informatycznych – nie jest inaczej. Pomijając problem, że samo IT staje się coraz bardziej skomplikowane, a nasza zależność od IT całkowita i, że w dużej liczbie przypadków po prostu systemy są źle zaprojektowane lub utrzymywane, a problem warto zwalić na kogoś innego, to niewątpliwie ataki cyberinformatyczne będą nieodłącznym znakiem kolejnych miesięcy i lat. Informatyka w ataku, nie jest już tylko domeną niezależnych hakerów – a jest bronią. Świadczą o tym zarówno doświadczenia z kolejnymi generacjami malware (Stuxnet i pochodne) jak i coraz bardziej oficjalne programy militarne USA, Chin czy Rosji. Te militarne stają się właśnie najgroźniejsze bo jak kusza zbroję – tak militarne cyberbronie, łatwo pokonują nawet najlepsze klasyczne zabezpieczenia, dostępne na rynku. Wynika to po części z tego, że zarówno oprogramowanie (środowiska operacyjne) jak i komercyjny sprzęt jest pełen dziur bezpieczeństwa, zarówno takich zrobionych przez pomyłkę lub brak uwagi, jak i takich, które zostały zrobione celowo (dla własnych służb militarnych). Amerykanie w końcu wiedzą co robią zakazując stosowania chińskich komponentów w niektórych swoich krytycznych systemach, wiedząc prawdopodobnie co mogą też i robić sami w systemach „made in USA”. Co można zrobić w praktyce dziś – kiedy właściwie każdy z naszych biurowych systemów może być (lub już dokładnie jest) spenetrowany przez specjalizowane grupy informatyczne?
Kierunki obrony z kolei są dwa – całkowita izolacja lub ucieczka na zewnątrz – w chmurę. Całkowita izolacja dla systemów przemysłowych (sterowanie urządzeniami jak blok energetyczny lub np. energetycznymi sieciami dystrybucyjnymi) albo krytyczne sieci komputerowe firm (projektowanie – prototypy urządzeń lub inne informacje wrażliwe). Przez całkowitą izolację rozumiemy zupełnie coś innego niż dzieje się u nas – co zwykle kończy się komercyjnym zabezpieczaniem przed prostymi atakami z zewnątrz za pomocą … również komercyjnych technologii, ale zupełne odcięcie systemów informatycznych. Brak możliwości komunikacji internetowej (to robi się z zupełnie innych komputerów) i brak możliwości działania na innym niż wysokospecjalizowanym oprogramowaniu. Też i ucieczka w bardziej hermetyczne systemy operacyjne i specjalne konfiguracje, ciągła kontrola zawartości naszego systemu, nie mówiąc o braku możliwości wgrywania własnych programów czy dostępu z jakąś pamięcią przenośną. Warto to porównać do standardowego systemu polskich ministerstw i zadać sobie pytanie czy tam pracownicy mają sieci odcięte, czy nie wysyłają z kompów prywatnych maili, czy nie zabierają komputerów do domu i nie wpinają ich do ministerialnej sieci po powrocie do pracy, czy też wreszcie czy korzystają z pendrive`ów niewiadomego pochodzenia do wymiany informacji. Po oczywistych odpowiedziach możemy również w oczywisty sposób zapytać (i odpowiedzieć) czy nasze polskie informacje są już dostępne na zagranicznych serwerach (i pomyśleć, że w Budnestagu atakujący zablokowali sieć, u nas pewnie nie muszą, bo po co jak i tak wszystko widać). Tu jak mantrę należy powtarzać, że konieczna jest nowa polityka cyberbezpieczeństwa (krajowy Program Ochrony infrastruktury Krytycznej jest niestety już archaiczny wobec tego co robi się na świecie) jak i konieczne duże środki (najlepiej z budżetów wojskowych jak stać nas na lekkie 20-30 miliardów na rakiety i śmigłowce). Ostatnie informacje w Wlk. Brytanii – tam podnieśli budżet o 800 mln funtów, u nas – co jest ewenementem na skalę światową (!!!) – pisze się w oficjalnych dokumentach ze ochronę cyberinformatyczną wdroży się …. bezkosztowo.
Drugim możliwym kierunkiem jest chmura. Coraz częściej, szczególnie komercyjne przedsiębiorstwa, rezygnują z własnej infrastruktury i przenoszą wszystko w chmury dostawców. Wielcy producenci np. IBM, Oracle, Microsoft – traktują ofertę chmury jako priorytet i już myślą, że w przyszłości nie będą sprzedawać sprzętu ani oprogramowania, dostawcy zintegrowanych technologii – Google, Salesforce – tylko chmurują, obok wyrastają nowi wielcy – kto by jeszcze kilka lat temu myślał o Amazon (a jest jeszcze np Synergy Research Group). Chmura daje kilka możliwości – zabezpieczenia wielkich będą bardziej profesjonalne niż nasze własne, ale przede wszystkim łatwiej o backup i recovery. Tu nie ma problemu z dowolna skalowalnością niezbędnych maszyn, stworzeniem dodatkowych środowisk testowych czy developerskich czy kolejnymi zabezpieczeniami w postaci replikacji systemu. Cała komercja (w USA) idzie w chmurę bezdyskusyjnie. Oczywiście problem jest – czy rzeczywiście chmury są naprawdę nieprzemakalne dla obcych, czy chmury zapewniają prawdziwą gwarancję prywatności danych i czy wreszcie jak już tak całkiem się przeniesiemy, to czy nie dostaniemy zaraz znacznie podwyższonych rachunków od dostawców. Trudno powiedzieć, ale tak jak w epoce nowych kolei spalinowych i elektrycznych zastępujących stare lokomotywy na węgiel (i parę) , tak teraz chmura wypiera własne środowiska informatyczne firm. Wszystkie firmy działające na komercyjnym rynku muszą się na coś takiego przestawić bo jest po prostu taniej – i przynajmniej jak pokazują doświadczenia USA, bez chmury, nie wytrzymają konkurencji. U nas jak zawsze troszkę inaczej, bo i wewnętrznemu rynkowi trochę nie po drodze, i zwykle wielkość szefów informatyki mierzy się liczbą serwerów jakie mają pod kontrolą, a też ma i wielkie pole do popisu biurokracja ze wszelkimi regulacjami dotyczącymi dostępu do danych i bezpieczeństwa danych (co jest nieco paradoksalne że z jednej strony nasze systemy IT, a więc i dane są bardzo słabo zabezpieczane a więc pewnie i penetrowane, a z drugiej strony mamy rygorystyczne procedury administracyjne kontroli danych). Z resztą całkowitą analogię widzi każdy, podpisując na każdym kroku stosowne zezwolenia na przetwarzanie danych osobowych (nawet ostatnio zdarzyło się mi w SPA przed masażem) a z drugiej strony co chwila będąc bombardowanym niechcianymi ofertami i spamem, który jakoś te nasze dane w dziwny sposób posiada.
Jakby nie było – te dwa trendy – izolacja lub chmura … to jedyne drogi w przyszłości. USA właściwie nie robi już nic inaczej, i tam nie prowadzi się żadnej dyskusji. U nas nawet jeszcze się nie dyskutuje, ale patrząc na nasze umiejętności (choćby z frontu ustaw ideologicznych) , zanim coś się wdroży to na pewno jeszcze długo trzeba będzie gadać …