Cyberataki to nie tylko problem banków, dużych korporacji czy firm energetycznych. Dziś to codzienne wyzwanie także dla państw, ich instytucji i urzędników. Niestety w Polsce wciąż nie są traktowane wystarczająco serio.
200 milionów – tyle zgłoszeń trafiło w 2015 r. do zespołu CERT działającego przy Naukowej i Akademickiej Sieci Komputerowej (NASK). CERT to specjalny zespół, który zajmuje się badaniem i rozwiązywaniem cybernetycznych problemów w firmach i administracji publicznej. Tak gorącego roku jak ubiegły jeszcze w nim nie było. Nie tylko samych zgłoszeń (oczywiście nie zawsze równie poważnych) było rekordowo dużo, ale także po raz kolejny wzrosła liczba incydentów obsłużonych w sposób nieautomatyczny, czyli takich, gdzie trzeba już specjalnie uruchomić ludzi – a więc często tych najpoważniejszych. W 2015 r. było takich sytuacji aż 1456, czyli o blisko 200 więcej niż rok wcześniej.
A to i tak nie są pełne dane o realnej skali zagrożenia. Jeszcze nie ma opublikowanego raportu za ubiegły rok przygotowywanego przez inny CERT, działający przy Agencji Bezpieczeństwa Wewnętrznego. Ten jest wyspecjalizowany w walce z zagrożeniami właśnie w instytucjach rządowych. W 2014 r. raport mówił o tym, że zarejestrowano w stosunku do instytucji publicznych aż 12 017 zgłoszeń, z których 7498 zakwalifikowano jako konkretne incydenty. Dodatkowo ARAKIS-GOV, czyli system wczesnego ostrzegania działający przy ABW, zarejestrował kolejnych 28,3 tys. alarmów, z czego 1140 okazało się naprawdę poważnych .
Trzeba się przygotować
Eksperci są pewni: nie ma co się spodziewać, że ostatnie miesiące pod tym względem były spokojniejsze. – Cyberbezpieczeństwo? Dziś już nie ma co dzielić bezpieczeństwa na to tradycyjne i cyfrowe. Nie ma jednego bez drugiego – tłumaczy Michał Jarski, ekspert z firmy Trend Micro przygotowującej usługi dla bezpieczeństwa sieciowego. – I tu nawet nie chodzi o rosnącą skalę zagrożeń, tylko po prostu o to, że tak dużo naszych, także urzędniczych działań przeniosło się już w świat cyfrowy, że wpływając na nie, można wywołać bardzo negatywne skutki w świecie offline – dodaje Jarski.
– Jeszcze kilka lat temu walka z cyberzagrożeniami była skoncentrowana na tym, by do ataku nie dopuścić. Dziś już wiemy, że to mrzonka. Zasięg cyberataków jest tak duży, że naprawdę można założyć, że każda instytucja, organizacja czy urząd prędzej czy później padnie ich ofiarą. A więc choć nadal warto inwestować w ochronę, to równie ważne jest także, by zadbać o szybkie wykrywanie cyberataków, które już się udały – żeby nie dopuścić do nazbyt poważnych strat, a następnie w działania mające na celu posprzątanie i zminimalizowanie negatywnych skutków takiego incydentu – tłumaczy nam Michał Jarski.
Jednak to, co tak ładnie brzmi w ustach eksperta, w polskiej praktyce okazuje się bardzo trudne.
Brakuje kapitana
Nie chodzi wcale o jakieś dramatyczne zapóźnienia technologiczne, tylko o to, że latami nie zrobiono nic, by porządnie uregulować prawnie i organizacyjnie kwestie systemu cyberzabezpieczenia całego kraju. I to pomimo tego, że przedsiębiorcy, urzędnicy i samorządowcy coraz lepiej sobie z tego zagrożenia zdają sprawę. – Naszym zdaniem ogólna świadomość tematu rośnie, ale nie zawsze idzie to w parze ze zrozumieniem istoty problemu. Brakuje odpowiednich mechanizmów szacowania ryzyka i określenia priorytetów, przed czym chcemy się zabezpieczyć – ocenia Piotr Kijewski, kierownik CERT Polska, zespołu działającego w ramach NASK. W konsekwencji choćby samorządy mogą się stać atrakcyjnym celem dla cyberprzestępców, gdyż obracają dużymi pieniędzmi, a niekoniecznie mają wdrożone adekwatne zabezpieczenia – dodaje specjalista.
Jego opinię potwierdzają inni. – Nasze urzędy nie są dostatecznie przygotowane na cyberataki i z takim stanem mamy do czynienia od dawna. Potwierdzał go raport Najwyższej Izby Kontroli z czerwca 2015 r., który wykazał liczne zaniedbania w dziedzinie cyberbezpieczeństwa jednostek administracji centralnej – podkreśla Artur Józefiak, dyrektor Zespołu Bezpieczeństwa Accenture w Polsce. – Fundamentalną przeszkodą w rozwiązaniu tego problemu jest niewystarczający poziom wydatków na cyberbezpieczeństwo w naszej administracji: przede wszystkim na ludzi, ale też technologie.
Ponadto brak jest precyzyjnej strategii i standardów wdrożenia systemu cyberbezpieczeństwa dla całej administracji. Wydatki na zabezpieczenie powinny wynosić około 5–10 proc. budżetu informatycznego instytucji, które od lat inwestują w cyberbezpieczeństwo. Gdy tymczasem polska administracja ma do nadrobienia co najmniej 5–10-letnie zaniedbania w tym obszarze – podkreśla ekspert.
Takie same wnioski przyniosła wspomniana przez niego ubiegłoroczna kontrola NIK. „Podmioty państwowe nie prowadzą spójnych i systemowych działań związanych z ochroną cyberprzestrzeni RP. Jako działania pozytywne i wzory dobrych praktyk można wskazać jedynie »fragmentaryczne« działania poszczególnych instytucji, np. powołanie i utrzymywanie na wysokim poziomie Zespołów CERT przez ABW, MON oraz NASK” – stwierdzali inspektorzy NIK.
Okazało się m.in., że w ówczesnym Ministerstwie Administracji i Cyfryzacji do lutego 2014 r. doraźnie – na wypadek takich wydarzeń jak ataki podczas protestów przeciwko ACTA – cyberzagrożeniami zajmowała się tylko jedna osoba. Resort, który miał powołać specjalny zespół, by wdrażać politykę ochrony cyberprzestrzeni, zrobił to dopiero po informacji o kontroli NIK. Litania błędów, ale głównie po prostu braku działań, była tak długa, że NIK postanowiła badanie powtórzyć.
Właśnie ukazał się najnowszy raport pokazujący jak wybrane, przebadane instytucje są przygotowane na takie zagrożenia. Okazuje się, że „procesy zapewnienia bezpieczeństwa informacji realizowane były w sposób chaotyczny i – wobec braku procedur – intuicyjny”. Choć przebadano sześć dużych instytucji – Ministerstwo Spraw Wewnętrznych, Ministerstwo Sprawiedliwości, Ministerstwo Skarbu Państwa, Komendę Główną Straży Granicznej, NFZ i KRUS – to tylko w tej ostatniej izba oceniała poziom prac i zabezpieczenia tamtejszego systemu FARMER za zadowalający.
Reszta instytucji? Jak piszą kontrolerzy, „w ograniczonym zakresie wykorzystywały metody identyfikacji, monitorowania i zapobiegania ryzyku związanemu z bezpieczeństwem informacji przetwarzanych w systemach teleinformatycznych”. Wszędzie ten sam grzech: wykonywały tylko niezbędne, wymagane przepisami minimum, nie podejmowały żadnych kroków, by realnie zminimalizować niebezpieczeństwo choćby przez chronienie informacji, które może nie są ustawowo wypisane, ale o których ochronę każda jednostka powinna zadbać samodzielnie. W żadnej ze skontrolowanych jednostek nie określono też precyzyjnie zakresu odpowiedzialności poszczególnych osób za zapewnienie bezpieczeństwa danych, co prowadziło do sporów kompetencyjnych. Istotnym problemem był jednak brak konsekwencji i zaangażowania kierownictw kontrolowanych jednostek w realizację zaleceń audytorów. Większość podjętych interwencyjnie działań, mających poprawić stan bezpieczeństwa IT, utraciło początkowy impet, powołane zespoły specjalistyczne zbierały się nieregularnie, przygotowywanie nowych regulacji przebiegało opieszale, co przy ograniczonych zasobach wymuszało powrót do realizacji jedynie rutynowych zadań.
Najbardziej jednak alarmujące jest to, że najgorszą ocenę w tym raporcie izba wystawiła MSW. Resort zajmujący się bezpieczeństwem wewnętrznym w kwestii cyberbezpieczeństwa okazał się opierać na doraźnych działaniach. Przykładem tego może byc´ fakt, że z 55 incydento´w dotyczących MSW zarejestrowanych przez zespo´ł CERT.GOV.PL w ośmiu przypadkach ministerstwo nie było w stanie zidentyfikowac´ żadnych szczego´ło´w incydentu i podac´ sposobu reakcji.
Przed rokiem ostro skrytykowano zaś przede wszystkim to, że najważniejsze instytucje odpowiedzialne za bezpieczeństwo państwa słabo ze sobą współpracują. Widać to było choćby w pracy policji, która starała się informować o zagrożeniach, ale nie miała kompleksowego systemu reagowania na incydenty komputerowe, a jej rejestr incydentów informatycznych nie zawierał żadnego zapisu, mimo że w latach 2013–2015 zespół CERT działający w ABW zgłosił policjantom blisko 2 tys. alertów dotyczących systemów teleinformacyjnych tej formacji.
Taki brak współpracy prowadził do rozmycia kompetencyjnego oraz paraliżów decyzyjnych, jak w przypadku budowania potencjału cybernetycznego w Siłach Zbrojnych RP. Ponadto, zdaniem ekspertów, w ochronę cyberprzestrzeni w Polsce zaangażowanych jest zbyt wiele osób, nie do końca uświadomionych o swoich uprawnieniach.
Realne zagrożenie za miedzą...
Raport NIK był zimnym prysznicem dla rządu. Szczególnie że zbiegł się z pokazem tego, jak bardzo poważne może być zagrożenie z cyberstrony. Na przełomie 2015 i 2016 r. właśnie w wyniku takiego ataku poważne straty poniosła Ukraina. Najpierw pod koniec grudnia zeszłego roku wirus o nazwie Black Energy zaatakował system komputerowy ukraińskiego przedsiębiorstwa energetycznego Prykarpattiaobłenerho. Efekt: w całym liczącym niemal półtora miliona mieszkańców obwodzie iwanofrankowskim wystąpiły problemy z dostarczeniem prądu. A ledwie kilkanaście dni później ten sam wirus znaleziono w systemie komputerowym stołecznego lotniska Boryspol. Dosyć szybko w sprawie pojawił się rosyjski trop – wirus wprowadzono z serwerów z tego kraju.
To nie jest jedyny przykład wykorzystania cybernetycznych środków w ramach walki różnych państw. Najsłynniejszym zaatakowanym w taki sposób krajem była Estonia w 2004 r. Banki, e-administracja, telekomy – całe państwo było sparaliżowane.
– Powszechny rozwój i dostęp do technologii teleinformatycznych oraz internetu powoduje, że aktywność cyberprzestępców rośnie wykładniczo, a sytuacja geopolityczna w regionie Europy Środkowo-Wschodniej dodatkowo jeszcze nasila działania grup specjalizujących się w cyberatakach – ostrzega w rozmowie z nami Daniel Grabski, chief cybersecurity officer w Microsoft Central and Eastern Europe. – Cyberprzestępcy są bardzo dobrze zorganizowani, wspierani finansowo przez różne instytucje oraz grupy interesów i niestety szybciej dostosowują swoje metody działania do najnowszych osiągnięć technologicznych niż klienci i użytkownicy broniący dostępu do swoich systemów i znajdujących się w nich danych – dodaje Grabski.
...i w kraju
Także w Polsce ostatnie lata to prawdziwy festiwal mniejszych i większych problemów związanych ze sferą cyberprzestrzeni. W sierpniu 2014 r. przestały działać serwisy internetowe warszawskiej Giełdy Papierów Wartościowych oraz Prezydenta RP. Do ataku przyznała się grupa Cyber-Berkut, która żądała, by Polska przestała wspierać ukraińskich „faszystów”. Tuż po wyborach samorządowych, jesienią 2014 r. system PKW został dodatkowo zblokowany w efekcie cyber ataku. Wciąż nie do końca jasna jest też sytuacja sprzed roku, gdy być może właśnie działania hakerskie sparaliżowały lotnisko na Okęciu.
Najbardziej oczywiście narażone na takie problemy są przedsiębiorstwa, ale jak wskazuje raport Dell Security, ogólnie Polska jest obecnie jednym z najbardziej zagrożonych państw.
Najczęściej atakowane są firmy i internauci ze Stanów Zjednoczonych. W samym tylko listopadzie 2015 r. doszło tam według różnych szacunków od miliona do 10 mln infekcji złośliwym oprogramowaniem. W tym samym czasie podobnie było w Holandii. Francja doświadczyła w listopadzie od 500 tys. do miliona infekcji. A Wielka Brytania, Włochy i Polska od 100 do 500 tys. To pięć najwyższych wyników w Europie.
Wszystkie te alarmujące informacje oraz zmiana rządu doprowadziły do tego, że w ostatnich miesiącach zaczęły się wreszcie poważniejsze prace nad lepszym zabezpieczeniem naszej cyberprzestrzeni.
– Poprawiło się przede wszystkim podejście podmiotów centralnych. Ministerstwa, w szczególności cyfryzacji, traktują temat bardzo poważnie. Poprawia się też świadomość zagrożeń, ale wciąż nie ma idących za tym decyzji o źródłach finansowania zabezpieczeń, brakuje także rzetelnego oszacowania kosztów wdrożeń – ostrzega Artur Józefiak.
– W dużych, centralnych instytucjach państwowych, świadomość wagi problemu wzrasta, przy czym presja jest istotnym elementem motywacji. Jednak pamiętajmy, że nie możemy postrzegać całej Polski tylko pod kątem większych ośrodków miejskich. W mniejszych miastach świadomość tego zagrożenia jest często na niższym poziomie, a potrzeba budowania świadomości i narzędzi na równie wysokim. Wymagane jest, aby lokalne władze również identyfikowały ten problem i zadbały o efektywne wdrożenie spójnych zasad, oczywiście uwzględniając profil ich ryzyka – podkreśla Marcin Ludwiszewski, Lider działu cyberbezpieczeństwa w Deloitte w Polsce.
5–10 proc. powinny wynosić wydatki budżetu informatycznego instytucji, która od lat inwestuje w cyberbezpieczeństwo
Zasięg cyberataków jest tak duży, że można założyć, iż każda instytucja, organizacja czy urząd prędzej czy później padnie ich ofiarą. Choć więc nadal warto inwestować w ochronę, to równie ważne jest także, by zadbać o szybkie wykrywanie cyberataków, które już się udały. Tak by nie dopuścić do nazbyt poważnych strat
Cyberprzestępcy są bardzo dobrze zorganizowani, wspierani finansowo przez różne instytucje oraz grupy interesów i niestety szybciej dostosowują swoje metody działania do najnowszych osiągnięć technologicznych niż klienci i użytkownicy broniący dostępu do swoich systemów i znajdujących się w nich danych
Jak uzbroić cybertarczę
Rząd ma pomysł, jak zorganizować system cyberochrony: konkretnie podzielone zadania i silny koordynator. Tylko czy uda się to wprowadzić?
Cała rządowa administracja ma znaleźć się w specjalnym „klastrze bezpieczeństwa”. Specjalny państwowy zespół monitorowania sieci i szybkiego reagowania na incydenty ma działać 24 godziny na dobę przez cały rok, a nie tylko w sytuacjach, gdy coś złego już się wydarzyło. Dodatkowo na poziomie województw powstaną zespoły do spraw ochrony sieci samorządów. To kluczowe zapowiedzi zmian w zarządzaniu polską cybertarczą, co do których już zapadły decyzje w Ministerstwie Cyfryzacji. Przedstawił je generał Włodzimierz Nowak podczas branżowej konferencji Cybergov. Teoretycznie Nowak jest tylko społecznym doradcą ministra, w rzeczywistości jednak to właśnie on najprawdopodobniej zostanie pełnomocnikiem ds. cyberbezpieczeństwa w randze podsekretarza stanu w resorcie cyfryzacji.
Zarówno to, co przedstawił, jak i znane od kilku miesięcy założenia strategii ochrony cyberprzestrzeni można opisać jednym słowem: rewolucja.
Ministerstwo Cyfryzacji postawiło sobie za cel wreszcie jasno opisać: kto, za co i w jakim zakresie odpowiada w tej dziedzinie.
Eksperci właściwie jednogłośnie oceniają pozytywnie już to, że takie założenia się pojawiły. – Bardzo dobrze, że Ministerstwo Cyfryzacji pracuje nad strategią cyberbezpieczeństwa RP, która powinna być punktem odniesienia dla budowy systemu cyberochrony państwa. Liczne grono opiniodawców założeń do strategii – wpłynęło ponad 80 uwag – pokazuje, że temat jest ważny i jest nim zainteresowanych wiele podmiotów, także biznesowych – ocenia Artur Józefiak, dyrektor w firmie Accenture. – Pamiętajmy jednak, że opublikowanie nawet najlepszej strategii jedynie stawia fundamenty do budowy systemu zabezpieczeń. Równolegle trzeba bardzo pilnie podjąć działania zmierzające do natychmiastowego podniesienia bezpieczeństwa administracji publicznej. Z założeń strategii wciąż nie wynika jasny podział kompetencji instytucji i podmiotów biznesowych, które będą odpowiedzialne za realizacje zadań cyberochrony. Zważywszy na to, że będzie ona punktem odniesienia dla bardzo wielu podmiotów, powinna wskazywać ośrodki decyzyjne i wykonawcze oraz ich rolę. Mam nadzieję, że w wersji, która ma być przedstawiona przez Ministerstwo Cyfryzacji w czerwcu, zostanie to wyjaśnione, w przeciwnym wypadku istnieje ryzyko, że wszystko zostanie tylko na papierze – dodaje ekspert.
Przytakuje mu Marcin Ludwiszewski: – Opracowanie strategii to właściwy kierunek. Najważniejsze wnioski, które pojawiły się podczas konsultacji, dotyczyły, m.in. struktury systemu zarządzania. Według postulujących powinna być ona prosta, a powiązania informacyjne pomiędzy jej elementami jednoznacznie zdefiniowane. Dodatkowo, powinien zostać zwiększony nacisk na profilaktykę i edukację. Konieczne jest także wypracowanie jednolitych standardów dla rozwiązań technologicznych i zwiększenie bezpieczeństwa przy wyborze sprzętu i oprogramowania dla instytucji publicznych.
W konsultacjach najmocniej przebijały się zaś takie wnioski: struktura systemu zarządzania powinna być prosta, a powiązania informacyjne pomiędzy jej elementami jednoznacznie zdefiniowane, powinien zostać zwiększony nacisk na profilaktykę i edukację, konieczne jest wypracowanie jednolitych standardów dla rozwiązań technologicznych i zwiększenie bezpieczeństwa przy wyborze sprzętu i oprogramowania dla instytucji publicznych. Ale już co do zasadniczej kwestii, czyli jak powinno wyglądać zarządzanie systemem, pojawiały się dwie sprzeczne typy opinii. Jedne sugerują decentralizację, a drugie wręcz przeciwnie centralizację zarządzania.
Bo rzeczywiście są tu dwie szkoły i dwa modele na których możemy się wzorować. W strategii węgierskiej powstała Narodowa Rada Koordynująca Cyberbezpieczeństwo, czyli taki centralny ośrodek zajmujący się informatyzacją. W drugim modelu brytyjskim założono rozproszenie zadań i tak zbudowano interfejsy, by każda instytucja posiadała pewną dozę samodzielności
A zgodnie z obietnicami Ministerstwa Cyfryzacji prace są rzeczywiście zaawansowane. - Wszystkie terminy przedstawione w założeniach są aktualne - zapewnia nas rzecznik resoru Karol Manys. Dodaje, że już w czerwcu pojawi się pełna wersja strategii.
Według zapowiedzi generała Nowaka ustawa wdrażająca nowe rozwiązania będzie gotowa do końca roku. Więcej czasu zajmie zbudowanie narodowego CERT na bazie NASK, bo do tego potrzebne jest zagwarantowanie odpowiednich środków i wspólne z operatorami zbudowanie systemu wczesnego ostrzegania.
Paweł Sikora
Sylwia Czubkowska