Syta: Gigantyczny cyberatak pokazał, że Polska nie może czuć się bezpieczna (ROZMOWA)

16 maja 2017, 07:31 Bezpieczeństwo

Z Jakubem Sytą, dyrektorem biura zarządzania usługami bezpieczeństwa w firmie Exatel, rozmawiamy o ataku cybernetycznym, który swym zasięgiem objął cały świat. Nieznane są nadal wszystkie jego możliwe konsekwencje dla bezpieczeństwa w sieci.

BiznesAlert.pl: W piątek świat obiegła informacja o gigantycznym ataku, który zaszyfrował stacje robocze i uniemożliwił pracę organizacji na całym świecie. Wśród ofiar wymienia się placówki ochrony zdrowia, firmy telekomunikacyjne, potężne korporacje, urzędy administracji publicznej… Czy wiadomo już co spowodowało atak?

Jakub Syta: Tak. Atak był najpotężniejszą, jak dotąd, kampanią ransomware. Wykorzystano do tego celu robaka ochrzczonego nazwą WANNACRY. Robak rozprzestrzeniał się samodzielnie. Przeskakiwał ze stacji roboczej na kolejną i wykorzystywał do tego exploit tj. program wykorzystujący błędy w oprogramowaniu odkryty przez amerykańską NSA (skradziony rok temu w trakcie głośnego włamania). Dodam, że złośliwy kod wykorzystywał załataną dwa miesiące temu lukę w usłudze SMB, w systemach Windows.

Załataną dwa miesiące temu? Czy to znaczy, że infekcji można było uniknąć?

Dokładnie tak – jak brutalnie by to nie zabrzmiało. Pozwolę sobie jednak stwierdzić, że ofiary same prosiły się o to, by zostać zaatakowane. Europol szacuje, że jest ich do tej pory 200 tysięcy. Funkcjonowanie w cyberprzestrzeni, podobnie jak np. bycie uczestnikiem ruchu drogowego, wymaga przestrzegania szeregu zazwyczaj całkiem prostych zasad. Jedną z najważniejszych jest korzystanie z systemów operacyjnych z zainstalowanymi łatami bezpieczeństwa. Ktoś, kto świadomie zaniecha zainstalowania krytycznej łaty, prosi się o kłopoty. Podobnie zresztą jak organizacje, które korzystają z niewspieranego oprogramowania. Skala tego ataku dowodzi, jak powszechnym zjawiskiem jest ignorancja w zakresie bezpieczeństwa IT. A na podstawie moich doświadczeń muszę zaznaczyć, że bardzo często dotyczy to osób decyzyjnych w firmach. Nie znajdują środków na ochronę, bo nie widzą wartości we właściwym zabezpieczeniu infrastruktury teleinformatycznej. Proszę jednak zwrócić uwagę, że żądanie 300$ okupu za odszyfrowanie stacji jest niczym wobec braku możliwości pracy przez gigantyczne światowe koncerny, czy też braku możliwości ratowania ludzkiego życia – w przypadku szpitali.

Ale atak udało się już powstrzymać. Czy to znaczy, że nie ma już powodów do obaw?

Niezupełnie. WANNACRY zawierał funkcję wyłączenia dalszego rozprzestrzeniania (tzw. kill switch). Dlatego dość szybko udało się go odnaleźć i powstrzymać atak. Jednak już w weekend pojawiła się jego udoskonalona wersja, która nie zawiera tej funkcjonalności. Ataki mogą więc być kontynuowane.

Z tego co wiadomo w Polsce skala zjawiska była niewielka. Czy to oznacza, że poziom świadomości w naszym kraju jest wyższy niż w innych krajach?

Jestem bardzo daleki od wyrażania takich opinii. Poziom świadomości w zakresie bezpieczeństwa w Polsce jest niezmiennie na dramatycznie niskim poziomie. Jeden z portali popularyzujących wiedzę o bezpieczeństwie informacji, przypadkowo również w piątek, opisał przykład, jak osoby zarządzające spółkami, które obracają miliardami złotych podchodzą do tej kwestii. Absolutny brak świadomości wagi tego zagadnienia woła o pomstę do nieba. Trzeba było eskalacji – na szczęście skutecznej – na poziomie ministerialnym, by temat został pchnięty na właściwe tory. Tak długo jak w organizacjach najwyższe kierownictwo będzie ignorować temat bezpieczeństwa, a zespoły administratorów będą traktować go po macoszemu, walcząc przede wszystkim o jakiekolwiek środki na rozwój i utrzymanie, tak długo społeczeństwo będzie narażone na równie dramatyczne zdarzenia.

To dlaczego Polska nie została pokonana?

Kampanie tego typu są, jak to się mówi, targetowane. Przestępcy doszli do wniosku, że nie jesteśmy atrakcyjnym celem. Przygotowywanie takiego ataku jest zazwyczaj mocno drobiazgowe, bo od tego zależy koszt przeprowadzenia ataku. Jeśli przestępcy wybraliby Polskę, skutki byłyby tak żałosne jak w Wielkiej Brytanii, Hiszpanii czy Rosji.

To co można zrobić, by ochronić polskich internautów?

Należy przestać gadać i wziąć się do roboty. Systemy operacyjne powinny być aktualne, obsługą powinni zajmować się doświadczeni administratorzy, architektura sieci i systemów powinna zostać sprawdzona pod kątem luk bezpieczeństwa, rekomendacje powinny być wdrożone, a zdarzenia istotne z punktu widzenia bezpieczeństwa powinny być stale monitorowane. Jest to zresztą jedna ze specjalizacji Exatel. W naszym SOC (ang. Security Operations Center) świadczymy m.in. usługę monitoringu zarówno potencjalnie niebezpiecznych maili, ruchu wychodzącego z firmy, jak i dogłębnego monitorowania bezpieczeństwa stacji roboczych. Firmy, posiadające taką usługę, mogłyby błyskawicznie powstrzymać atak. Jednak rozsądne podejście do bezpieczeństwa wciąż jest rzadkością. Pokutuje u nas coś, co nazywam „papierowym bezpieczeństwem”. W oficjalnych dokumentach opisywana jest przepiękna rzeczywistość. Nie ma jednak nic wspólnego ze stanem faktycznym. Organizacje przygotowują opasłe procedury, których nie znają nawet ich autorzy i których nikt nawet nie próbował kiedykolwiek przestrzegać. A bezpieczeństwem zajmuje się w wolnych chwilach administrator czy kierownik IT, mimo oczywistego konfliktu interesów. Z racji pełnionych obowiązków przede wszystkim zależy im na tym, by infrastruktura działała w sposób zaspokajający potrzeby użytkowników. Osoby od bezpieczeństwa IT są lub powinny być pierwszą linią obrony. Powinni patrzeć administratorom na ręce i sprawdzać, czy dobrze wykonują swoje obowiązki. Nie można być jednocześnie wykonawcą i kontrolującym. Niestety to wciąż jest powszechnie niezrozumiałe.

Nie przedstawia Pan optymistycznej wizji rzeczywistego stanu cyberbezpieczeństwa w Polsce.

Nie ma co się łudzić, że jest inaczej. Raporty NIK, interpelacje poselskie czy doniesienia prasowe, jak choćby to z ostatniego tygodnia, same dowodzą, jak jest. Zamiast kontynuować dyskusję, kto ma za co odpowiadać, może warto zacząć egzekwować bezpieczeństwo IT i wykorzystać do tego obecne możliwości. Nie trzeba czekać na kary, jakie pojawią się wraz z wejściem w życie nowej dyrektywy dotyczącej danych osobowych (GDPR). Mamy parę ustaw i rozporządzeń w tym zakresie. Zacznijmy rozliczać osoby odpowiedzialne za zaniechania. Mam na myśli na przykład rozporządzenie Krajowe Ramy Interoperacyjności, które w administracji publicznej wprowadziło pewne minimalne ramy dla cyberbezpieczeństwa. Dlaczego nikt nie rozlicza kierowników jednostek, które zamiast wdrażać bezpieczne rozwiązania, dopuszczają niezgodność z rzeczywistością? Czy naprawdę trzeba czekać na kolejny atak – tym razem nakierowany na Polskę? Temat zwalczenia „papierowego bezpieczeństwa” jest tematem mojego wystąpienia oraz sesji round table, które w tym tygodniu poprowadzę w trakcie konferencji CyberGov. Może dzięki dyskusji, przynajmniej niektórzy uczestnicy przekonają się, że muszą po prostu wziąć się do pracy. A jeśli nie będą wiedzieli, jak to zrobić lub nie mają zasobów – skorzystają z pomocy zewnętrznych ekspertów. Exatel z przyjemnością przedstawi wówczas swoją ofertę specjalistycznych i po prostu skutecznych usług.