Cyberatak zagrożeniem XXI wieku. "Możliwości porównywalne z oddziaływaniem militarnym" [Raport]

Używanie powszechnie sieci komputerowych w systemach zarządzania, przesyłania i nadzorowania/gromadzenia danych w niemal wszystkich dziedzinach funkcjonowania państwa/człowieka, jest powszechnie akceptowane i podlega ciągłemu rozwojowi. Nikt obecnie nie wyobraża sobie życia bez systemów komputerowych, Internetu, czy chociażby elektronicznych form obrotu pieniędzmi.

Ale również niewielu ludzi zdaje sobie sprawę ze skali zagrożeń płynących z tego faktu i skutków, jakie mogą one spowodować. Mogą one być porównywalne do konfliktu zbrojnego. Nie jest to tylko problem poszczególnych państw, firm czy organizacji (w tym międzynarodowych). Dotyczy to każdego z nas. Rzeczą niezwykle istotną jest, by zagrożenie płynące z użytkowanie sieci komputerowych zostało należycie zrozumiane, i by powstały rozmaite formy przeciwdziałania temu zjawisku na różnych poziomach funkcjonowania.

Cyberatak

Zagrożenia związane z użytkowaniem sieci komputerowych związane są z różną działalnością przestępczą – osiąganiem korzyści materialnych i niematerialnych - oraz cyberatakiem, czyli oddziaływaniem na możliwości polityczne, obronne i inne. Wcześniej cyberatak stanowił próbę wskazania niedoskonałości sieci lub po prostu był formą zabawy. Dziś jest to już odmiana cyberwojny, cyberterroryzmu, cyberrewolucji, zastraszania, szantażu oraz zwykłej kradzieży (mienia lub danych).

Historycznie można przyjąć, że już w latach osiemdziesiątych ubiegłego wieku pojawiły się pierwsze wirusy i robaki, w latach dziewięćdziesiątych – polimorfizm, a następnie - wraz z upowszechnieniem Internetu, poczty elektronicznej, portali społecznościowych i aplikacji klienckich -  wszelkie formy aktywnego i pasywnego oddziaływania. Obecnie ograniczenia finansowe oraz różny poziom rozwoju powodują jednak, że stopień ochrony i przeciwdziałania jest niejednolity, co z kolei stwarza duże pole do działania dla potencjalnych „agresorów” oraz komplikuje system przekazywania danych.

Cyberatak jest szczególnym zagrożeniem dla krajów, których sieci komputerowe są mało odporne na działania związane z atakami informatycznymi (przestarzałe, niedoinwestowane, bez wystarczających zabezpieczeń i pozbawione nadzoru). Tak było w wypadku Estonii, która w 2007 roku uległa atakowi aktywistów rosyjskich, jak i Gruzji w 2008 roku (tu atak częściowo powiązany był z działaniami militarnymi). Jednakże, również lepiej rozwinięte kraje takie jak USA są podatne na takie zagrożenia. Przykładem może być uderzenie dokonane ze strony Korei Północnej w grudniu 2014 roku na Sony Pictures Entertainment, będące jednym z największych w ostatnich latach.

Atak ten kosztował Sony ponad 100 mln USD, a dokonała go Jednostka 121 – specjalny oddział do walki w cyberprzestrzeni, zorganizowany w strukturze armii Korei Północnej i mający w swym składzie ponad 6000 żołnierzy-specjalistów. Inny atak miał miejsce na początku 2013 roku i skierowany był przeciwko instytucjom rządowym w Singapurze, nastąpił po wprowadzeniu cenzury w Internecie.

Rejon Azji i Pacyfiku jest obszarem stosunkowo dużego wzrostu gospodarczego i militarnego, co w połączeniu z wyjątkową polityką i unormowaniami prawnymi, czyni z niego terytorium podatne na zagrożenia, ale i sprzyjające działaniom różnych grup i organizacji, dokonujących ataków w cyberprzestrzeni.

Kilkanaście ataków dokonanych przez specjalne grupy bojowników w maju 2014 roku przeciwko instytucjom rządowym w Tajlandii, czy będących protestem wobec władz Hongkongu w październiku 2014 roku wyraźnie pokazują wzrost zagrożenia tego typu działaniami w obszarze Azji i Pacyfiku. Według grupy IT Akamai, mającej swą siedzibę w USA i śledzącej takie działania, skala problemu rośnie i będzie narastać. Liczba ataków w tamtym regionie osiągnęła przedział pomiędzy 60% a 70 % wszystkich działań tego rodzaju na całym świecie. Tajwańskie National Security Bureau odnotowało w 2013 roku 7,2 mln incydentów hackerskich w sieci tego kraju.

Pod koniec października media w Korei Południowej poinformowały o zainfekowaniu 20 tys. smartfonów w tym kraju przez złośliwy wirus przesłany z Korei Północnej pod postacią gry komputerowej. Szczególnego ataku na instytucie rządowe dokonano w rocznicę rozpoczęcia wojny koreańskiej – 25 czerwca tego roku. Zdaniem wielu analityków przywódca Korei Północnej – Kim Jong-un realizuje szeroko zakrojony program rozwoju zdolności swojej armii w tym zakresie (w połączeniu z rozbudową potencjału nuklearnego i rakietowego), mając świadomość, że w konwencjonalnym starciu jego szanse są bardzo małe.

Ataki ze strony Korei Północnej skierowane są głownie przeciwko instytucjom rządowym i firmom (w tym z USA) natomiast dla Chin głównym kierunkiem są państwa stanowiące przeszkodę w realizacji ich planów związanych z rozszerzeniem ich strefy wpływów w obszarze Azji i Pacyfiku (oraz całego świata) czy zakłócających ambitny program rozwoju gospodarczego i militarnego. Intencje co do zdolności i możliwości Chin w cyberprzestrzeni zawarte są m.in. w przyjętym strategicznym programie obronnym na najbliższe lata. Przy czym Chiny często traktują te ataki jako operacje o charakterze militarnym ale wykonywanym przy wysokim wsparciu specjalistów i sprzętu cywilnego.

Trzeci departament Chińskiej Armii Ludowej posiada w swym składzie 12 operacyjnych biur. Ich zadania i ranga nie są dokładnie znane, ale np. szóste biuro (powiązane z Uniwersytetem w Wuhan) zajmuje się zakłóceniami w sieciach teleinformatycznych a drugie nadzoruje specjalną jednostkę 61398 odpowiedzialną z ataki hakerskie. Ocenia się, że bezpośrednio i pośrednio w tym kraju działaniami takimi zajmuje się ok. 10 mln osób.

Jeden z niedawno ujawnionych obiektów (w kształcie olbrzymiej sfery) zainstalowanych w Hong Kongu (na szczycie największej góry) działa już od ponad trzech lat. Oficjalnie chińska armia nie ujawnia jego przeznaczenia. Najprawdopodobniej jego obsada i wyposażenie służą do przeprowadzenia zarówno ataków na  pojedyncze osoby związane z obszarami politycznymi czy obronnymi (wyciagnięcie danych czy zakłócanie ich pracy) oraz na całe organizacje i instytucje (w tym rządowe).  

Obecnie zarówno KRL-D jak i Tajlandia są uważne za jedno z najbardziej nieprzewidywalnych i atakujących krajów w cyberprzestrzeni ale prawie 50% ataków dokonywane jest z terenu Chińskiej Republiki Ludowej. Inne miejsca z których pochodzi realne zagrożenie to Indie, Indonezja, Południowa Korea, Malezja, Filipiny czy Tajwan.

Rosja nie ukrywa, że jedną z form jej oddziaływania w wypadku stanu wojny lub zagrożenia wojennego będą operacje w cyberprzestrzeni. Nie oznacza to jednak, że obecnie nie są one aktywnie prowadzone pomimo braku realnego zagrożenia dla tego państwa.

Przyczyn które powodują, że zagrożeń cyberatakiem jest duże i stale rośnie jest wiele. Do najczęściej wymienianych zalicza się:

-        silne powiązania ekonomiczno - biznesowe pomiędzy różnymi firmami/koncernami;

-        powiązania polityczno-ekonomiczne oraz militarne pomiędzy różnymi krajami;

-        słaba odporność i ochrona systemów przekazywania danych wobec tych zagrożeń;

-        uboga infrastruktura techniczna i systemy wykrywania, przeciwdziałania i neutralizacji;

-        niska świadomość i wiedza użytkowników od zagrożeniu i związanych z tym skutkach;

-        brak odpowiednich struktur (instytucji, ośrodków czy biur) zajmujących się analizą, zapobieganiem i udoskonalaniem systemu przeciwdziałania;

-        brak uregulowań prawnych – zarówno krajowych jak i międzynarodowych zapobiegających i skutecznie odstraszających wobec takich posunięć.

Największym ułatwieniem dla crackerów jest fakt występowania łatwej i mało odpornej na atak sieci oraz powszechna niska świadomość społeczna wobec takiego zagrożenia i jego skutków w każdej możliwej postaci. Nawet pomimo posiadania nowoczesnego systemu zabezpieczeń w krajach o wysoko rozwiniętej technologii (jak Japonia, Australia, USA, Niemcy, Francja, Kanada, Wielka Brytania itp.) powiązania polityczne, ekonomiczne czy społeczne z krajami o uboższej i mniej zaawansowanej infrastrukturze techniczno-informatycznej narażają je na atak oraz powodują utrzymanie wysokich ekonomicznie nakładów na przeciwdziałanie i ochronę własnych sieci.

Należy również pamiętać, że ataki w sieci odbywają się z użyciem coraz bardziej zaawansowanych technik i metod przenikania oraz w wyniku głębokiej analizy wrażliwych punktów i obszarów zarówno samej sieci jak i całego jej otoczenia i obsługujących ją osób. Według specjalistów firmy Kaspersky zajmującej się przeciwdziałaniem i analizą zagrożeń w sieci ryzyko związane z cyberatakiem jest praktycznie tak samo prawdopodobne w każdym miejscu na świecie ale skala tego prawdopodobieństwa może już być różna.

Działania zaradcze 

W 2002 roku podczas szczytu NATO w Pradze po raz pierwszy otwarcie zaczęto mówić o zagrożeniach związanych z atakami w cyberprzestrzeni oraz o sposobach zapobiegania im. W 2010 roku podczas szczytu w Lizbonie jedno z przyjętych założeń nowego programu strategicznego określało ramy współpracy i możliwości poszczególnych członków paktu w zwalczaniu takiego ataku. W 2004 roku utworzono NATO Computer Incident Response Capability (NCIRC), które na mocy kontraktu z Finmeccanica i Northrop Grumman za 50 mln EUR zostało w maju 2014 roku zmodernizowane do prowadzenia operacji przez 24 godziny na dobę przez siedem dni w tygodniu. Powstałe w 2010 roku w NATO Emerging Security Challenges (ESC) Division posiada w swej strukturze sekcję obrony przed cyberatakiem.

W 2012 roku utworzono NATO Communications and Information Agency (NCIA), która przewodniczy programowi Multinational Cyber Defence Capability Development (MN CD2). Założycielami MN CD2 były Finlandia, Kanada, Rumunia, Norwegia i Holnadia, a głównym powodem było zwiększenie własnych zdolności w zakresie rozpoznania i zwalczania zagrożeń  w sieci. NATO Industry Advisory Group (NIAG) zajmuje się organizowaniem szkoleń i badań w zakresie bieżących i przyszłych problemów związanych z użytkowaniem sieci komputerowych. Zgodnie z zapisem artykułu V Traktatu Waszyngtońskiego z 1949 roku o sojuszniczej obronie wzajemnej również cyberatak jest obecnie traktowany jako agresja i podlega zapisom tego postanowienia. NATO traktuje wojnę w cyberprzestrzeni jako jedną z form ataku i obrony na równi z konwencjonalnymi działaniami sił zbrojnych.

Jednym z założeń szczytu walijskiego z 2014 roku było ustalenie tzw. NATO Industry Cyber Partnership (NICP) określającego dwa zasadnicze programy – ochrony i środków zapobiegania sieci NATO i identycznych potrzeb w ramach wewnętrznych sieci narodowych  poszczególnych członków sojuszu.

W 2013 roku Komisja Europejska opublikowała Cyber Security Strategy. Jest to wstępny projekt dyrektywy UE dotyczący przeciwdziałania zagrożeniom i ochrony sieci komputerowych. Dokument precyzuje również podstawowe poziomy ochrony zabezpieczeń w elektronicznych systemach przesyłania i analizy danych. Inne poruszane kwestie to te związane z elastycznością działań w sieci (i tego skutkami), wzrostem świadomości o zagrożeniach i działania badawczo-rozwojowe w tym obszarze oraz rozwoju rynku produktów dających ochronę systemom komputerowym na różnych poziomach wykorzystania.

Dyrektywa UE nakłada obowiązki na poszczególnych członków, ale również przekazuje pewne mechanizmy dziania dla prywatnego i publicznego sektora.

W listopadzie 2014 roku Rada Europy zaaprobowała Cyber Defence Policy Framework. Bazuje na pięciu obszarach:

-        wsparcia rozwoju zdolności zapobiegawczych naruszeniom w sieci dla poszczególnych członków UE;

-        zwiększenia ochrony sieci komputerowych używanych w krajach UE;

-        wsparcia cywilno-militarnej współpracy wobec zagrożeń (w tym również w obszarach sektora prywatnego);

-        rozwoju systemu edukacji, treningu i badań w tym obszarze;

-        zwiększenia współpracy z partnerami z poza UE.

Zagadnienia dotyczące ochrony i zagrożeń w sieci są również w obszarze działania programów UE – Framework Programme 7 i Horizon 2020 Programme.

Europejska Agencja Obrony (EDA) pod koniec 2014 roku uaktualniła Capability Developement Plan, w którym zagrożenie związane z cyberatakiem uznawane jest jako jeden z priorytetów do dalszej działalności. Zadania EDA w tym zakresie są zasadniczo zbieżne z założeniami i zadaniami NATO.

Estonia szybko zareagowała po ataku w 2007 roku tworząc centrum analityczno-zabezpieczające i rozwijając międzynarodową współpracę w dziedzinie zwalczania zagrożeń w sieci. W 2008 roku w kraju utworzono Cooperative Cyber Defence Centre of Excellence (CCDOE), zajmujące się badaniami i doradztwem związanym z rosnącym zagrożeniem cyberatakiem.

Strategię walki z zagrożeniami płynącymi z użytkowania sieci komputerowych w formie narodowych programów w 2009 i 2011 roku przyjęto w Wielkiej Brytanii, w 2011 we Francji i Luksemburgu a w 2012 w Niemczech.

Powstałe w czerwcu 2009 roku US Cyber Command jest stale rozwijane i około 2016 roku ma osiągnąć poziom 6000 specjalistów w tej dziedzinie. W maju 2011 roku Pentagon ujawnił nowe regulacje, zgodnie z którymi w przypadku cyberataku USA może nawet odpowiedzieć militarnie. W ogóle wiele krajów rozwija specjalne jednostki do analiz i walki z zagrożeniami w sieciach komputerowych w oparciu o struktury ministerstw obrony.

W Indonezji utworzono centrum operacji obronnych w cyberprzestrzeni w ramach ministerstwa obrony narodowej oraz oddział specjalny i centrum zarządzania do walki z cyberatakiem w armii i marynarce wojennej. Rząd Indonezji również zaproponował utworzenie międzynarodowej agencji do przeciwdziałania zagrożeniom cyberatakiem, która to miała by nadzorować i usprawniać działania agencji narodowych.

Wietnam przeznacza do 2020 roku 40 mln USD na usprawnienie systemu identyfikacji i przeciwdziałania atakom w sieci.

W Singapurze w 2013 roku utworzono w ramach armii jednostkę zajmującą się analizą i sposobami przeciwdziałania zagrożeniom w cyberprzestrzeni, która ściśle współpracuje z utworzoną w 2009 roku Singapore Infocomm Technology Security Authority oraz innymi instytucjami. Władze Singapuru opracowały program rozwoju zdolności do przeciwdziałania cyberatakom, który w latach 2013-2018 ma kosztować to państwo prawie 105 mln USD.

W grudniu ubiegłego roku w Korei Południowej utworzono w ramach Sztabu Generalnego specjalny zespół zajmujący się zagadnieniami związanymi z bezpieczeństwem i  przeciwdziałaniem zagrożeniom w sieci. Ogółem w Republice Korei w ramach ministerstwa obrony problemami tego rodzaju zajmuje się ponad 1000 żołnierzy-specjalistów.

Podobne kroki poczyniła Japonia powołując w 2014 roku 90-osobową jednostkę działającą w ramach Sił Samoobrony – Cyber Defence Unit.

Australian Signals Directorate (ASD), wchodząca w skład ministerstwa obrony w raporcie z czerwca 2014 roku opublikowała dane z których wynika, że nadal największe zagrożenie stanowią e-malie wysyłane pomiędzy różnymi prywatnymi i państwowymi podmiotami. Inne wynikają z wykorzystania skradzionych poświadczeń dostępu, niezamierzonego/celowego wgrania zainfekowanego oprogramowania, zainfekowania popularnych stron, ataku typu DoS (denial of service).

ASD w listopadzie 2014 roku ustanowiła Australian Cyber Security Centre (ACSC), z którym razem pracuje nad zwiększeniem zdolności przeciwdziałania atakom w cyberprzestrzeni, w zakresie wywiadu elektronicznego, działań policyjnych i legislacyjnych (w obszarze wprowadzenia odpowiednich ustaw prawnych pozwalających na przeciwdziałanie takim praktykom i surowe karanie wszystkich wykrytych przypadków interwencji w sieci). Ponadto rolą ACSC jest organizowanie systemu przeciwdziałania, monitorowanie i prowadzenie analiz związanych z zagrożeniami i sposobami ich eliminacji/zapobiegania. ACSC ma jednocześnie być pewnym rodzajem parasola ochronnego dla państwowych i prywatnych podmiotów (gospodarczych, administracyjnych, naukowych itp.) w zakresie systemu przygotowania, nadzoru i przeciwdziałania cyberatakom.

Przykładem współpracy w walce z zagrożeniami w sieci jest US-Japan Cyber Defence Policy Working Group utworzone w 2013 roku.

Wiele krajów zdaje sobie sprawę, że najważniejszy pod względem bezpieczeństwa w sieci jest obszar obejmujący obronność, bezpieczeństwo wewnętrzne oraz energetykę. Ale równie ważny jest sektor ekonomiczno-przemysłowy. Szacuje się, że w 2014 roku obroty dokonywane w sieci w obszarze Azji i Pacyfiku osiągnęły poziom 17 miliardów USD i stale rosną (średnio ok. 14 % rocznie). Daje to szerokie możliwości crackerom i zorganizowanym grupom do swoistego „szantażu” i grabieży wirtualnych pieniędzy czy wrażliwych danych. Wobec powyższego duże koncerny (jak np. BAE Systems, Boeing czy Lockheed Martin) powołały własne centra analiz i przeciwdziałania mające swoje siedziby  również w krajach o dużym ryzyku zagrożenia cyberatakiem. Poszczególne firmy oferują również swoje usługi w zakresie monitoringu, analiz i usprawniania systemu przeciwdziałania i ochrony wobec powyższych zagrożeń. W 2012 roku Fujitsu ujawniła pierwsze systemy zdolne do wykrywania i przeciwdziałania cyberatakom.

Tak samo jak niektóre reżimy w sposób mniej lub bardziej oficjalny dokonują ataków w sieci, tak już całkiem nieoficjalnie agencie rządowe i wywiady wielu państw posługując się crackerami na całym świecie, atakują obszary ważne dla nich pod względem prowadzonej działalności, a przede wszystkim własnego bezpieczeństwa. Takie działania są prowadzone w oderwaniu od międzynarodowych i wewnętrznych uregulowań prawnych. W przypadku ich wykrycia konsekwencje z tego powodu są dla strony „atakującej” znikome.

Nie należy też zapominać, że sieć komputerowa (a przede wszystkim Internet) jest doskonałym miejscem do działania dla wszelkich radykalnych grup i organizacji (w tym terrorystycznych), które również w sposób oficjalny, za pośrednictwem swoich stron i for internetowych, wpływają na szereg osób, oddziałując na ich poglądy, opinie i zachowanie.

Podsumowanie

Dla struktur militarnych, jak NATO, zagrożenia płynące z ataków w sieci komputerowej mają charakter militarnego zakłócania lub wręcz osłabiania potencjału sojuszu na różnych poziomach działalności (administracyjnym, logistycznym, szkoleniowym, operacyjnym itp.). Natomiast problem cyberataku w obszarach narodowych czy politycznych jak np. wobec krajów UE jest rozpatrywany w dwóch aspektach:

-        przeciwko realizowanej polityce;

-        przeciwko obszarom ważnym z punktu widzenia istnienia państwa/grupy państw – energetyka, bezpieczeństwo, transport itp.

Należy jednak podkreślić konieczność zapewnienia ścisłej współpracy w tym zakresie pomiędzy militarnymi i cywilnymi strukturami na różnych poziomach wzajemnej relacji. Brak takiej współpracy i skutecznych mechanizmów ochrony/obrony może bowiem doprowadzić do użycia elementów sieci powiązanych do ataku na inne struktury i obszary.

Dostęp do sieci (chociażby poprzez Internet) jest otwarty (pomijając mniejsze lub większe ograniczenia w niektórych krajach) ale nie oznacza to, że nie należy rozwijać mechanizmów i sposobów analiz czy zabezpieczeń przed cyberatakiem oraz zwiększać świadomość społeczną o związanych z tym zagrożeniach.

Ważnym i nadal niedostatecznie rozwiązanym problemem są krajowe i międzynarodowe uregulowania prawne, związane nie tylko z analizą, wykrywaniem i zapobieganiem zagrożeniom w cyberprzestrzeni ale również ich skutecznym eliminowaniem i karaniem ich wykonawców.

Analizy i programy badawcze w zakresie ochrony cyberprzestrzeni pozwolą w przyszłości na stworzenie mechanizmów zapobiegających lub redukujących skutki ataków w różnych obszarach funkcjonowania państw, organizacji, przemysłu czy zwykłych obywateli.

Marek Dąbrowski