- OPINIA
- WIADOMOŚCI
Mówmy więcej o powstrzymanych atakach [OPINIA]
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
„Wielkie wycieki danych” czy „ogromne cyberataki paraliżujące (…)” będą się dobrze klikały – niezależnie od tego, czy incydent faktycznie jest poważny, czy podczas opisywania incydentu poniosły kogoś emocje (lub halucynacje ChataGPT). Ostatnie sytuacje pokazują, że możliwość pokazania „defensywnej strony” zdarzeń jest również możliwa.
- Narracja medialna o cyberbezpieczeństwie w dużej mierze opiera się na udanych atakach.
- Ważna jest „druga strona medalu” - to, czego czasem nie widać.
- Ostatni raport CERT Polska doskonale obrazuje potrzebę informowania o powstrzymaniu cyberprzestępców.
Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.
Z bólem serca stoję na stanowisku, że narrację związaną z przeciwdziałaniem cyberatakom (a może i ogólnie cyberbezpieczeństwem) w dużym stopniu przejęły przedsiębiorstwa, które chcą „zapewnić” cyberbezpieczeństwo (spojler: nie da się) za pomocą swoich produktów. Cyberbezpieczeństwo jest bardziej złożonym procesem niż zakup jednego urządzenia czy usługi – choć to oczywiście nie oznacza, że inwestycje nie są konieczne.
Dotyczy to praktycznie wszystkich mediów – zarówno tych branżowych i bardziej „popularnych”.
Nierównowaga sił
Zadajmy sobie pytanie: który nagłówek brzmi lepiej?
- Super-hiper-wielki wyciek danych z gigantycznej polskiej organizacji
- Służby zapobiegły poważnemu cyberatakowi
I choć obydwa mogą (potencjalnie) dotyczyć tego samego incydentu – jeden wariant dotyczy udanego, zaś drugi nieudanego – bardziej prawdopodobne jest to, że większe zainteresowanie wywoła ten o wycieku danych. Uważam, że to normalne i zgodne z ludzką naturą.
Postawmy się jednak w innej sytuacji: udało się zapobiec atakowi ransomware na podmiot publiczny. W tej sytuacji mamy dwa wyjścia:
1. … (nie zrobić absolutnie nic pod kątem informowania)
2. Poinformować o tym, jak udało się zapobiec konkretnemu zagrożeniu.
Kontrargument i cytaty mądrych głów
Jasne, można powiedzieć: „dokładnie w tym celu mamy ISAC-i” (centra wymiany i analiz informacji – przyp. red.). Zgadzam się, lecz chcę poruszyć również inny ważny temat: świadomości wobec działań w cyberprzestrzeni osób spoza „bańki”.
W tym miejscu pragnę przytoczyć kilka stanowisk, które odnoszą się bezpośrednio do tematu:
Z punktu widzenia interesu Polski dobrze byłoby, gdyby media mniej nagłaśniały mało istotne osiągnięcia naszych geopolitycznych przeciwników. Warto z kolei wspominać o sukcesach obrońców naszej infrastruktury - ale nikt nie jest wdzięczny za incydenty, które się nie wydarzyły.
[Adam Haertle](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-informowac-o-incydentach-wskazowki-adama-haertle)
Wśród głównych zagrożeń identyfikowanych przez Zespół CSIRT GOV wymienić można ataki na dostępność usług (DoS/DDoS) oraz zagrożenia wynikające z podatności stosowanych produktów i usług. Niektóre z wymienionych ataków trwają niemal stale, jednak użytkownicy końcowi nie odczuwają nawet skutków ich występowania ze względu na bieżącą mitygację zagrożenia ze strony atakowanego podmiotu i podmiotów pośredniczących.
[Agencja Bezpieczeństwa Wewnętrznego](https://cyberdefence24.pl/cyberbezpieczenstwo/media-robia-prezent-cyberprzestepcom-sluzby-ostrzegaja)
Media skupiają się na spektakularnych atakach na korporacje, ignorując miliony Polaków tracących oszczędności przez podstawowe oszustwa internetowe. (…) Desperacko potrzebujemy praktycznych poradników zamiast clickbaitowych tytułów - jak zabezpieczyć firmę, jak reagować na incydent, gdzie szukać pomocy.
[Andrzej Piotrowski](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-media-manipuluja-strachem-jalowa-panika-po-cyberataku)
Media często podchwytują tematy, które są bardzo niszowe, ale potencjalnie bardziej „klikalne”. Daje to odbiorcom mylne pojęcie o tym z jakimi atakami mierzymy się w cyberprzestrzeni.
[NASK](https://cyberdefence24.pl/cyberbezpieczenstwo/cybermagazyn-media-w-pulapce-pr-u-cyberprzestepcow-nask-wskazuje-drugie-dno-atakow)
Ale o co ci chodzi?
„Przeciętnemu Kowalskiemu” niepotrzebne są IOC (ang. indicators of compromise) czy inne techniczne parametry. Problem jest jednak inny: często w przestrzeni publicznej pojawia się wyłącznie narracja o udanych kampaniach – do niedawna brakowało rzetelnych i prostych przykładów tego, że umiemy się bronić.
Można tutaj przytoczyć kilka „ciekawych” tytułów artykułów:
- „Pilne. Masowy atak pozbawił miliony Polaków dostępu do usług!” – DDoS trwający kilkadziesiąt minut;
- „Atak hakerski na PKP Intercity. Co z danymi pasażerów?” – nic, bo chodziło o niedostępność strony sprzedażowej;
- „Olsztyn sparaliżowany od tygodni po cyberataku. Miasto otrzyma miliony z nowego funduszu” – chodziło o brak możliwości zakupu biletów komunikacji miejskiej.
Będąc bombardowanym dziesiątkami takich nagłówków, człowiek może odnieść mylne wrażenie, że wokół nas są jedynie udane ataki. Brakuje mi pewnej równowagi; pokazania: „jasne, faktycznie jesteśmy nieustannie atakowani w cyberprzestrzeni, ale nie jesteśmy bezbronni”.
Słowa uznania
Pod koniec stycznia br. CERT Polska opublikował raport dotyczący niedawnego incydentu w sektorze energii, dotyczącego prób ingerencji w działanie farm OZE oraz dużej elektrociepłowni.
Jestem zdania, że dokładnie takich opracowań potrzebujemy – jako obywatele zasługujemy na rzetelny dostęp do informacji. Dokument pozwolił również uniknąć pewnych spekulacji związanych z incydentem.
Stoję na stanowisku, że takich opracowań (nie tylko od CERT Polska) powinno być jak najwięcej – publicznie dostępnych „case study”, które pokazują, czemu złośliwe działanie się nie powiodło.
W innym przypadku, narracja zostanie zdominowana przez to, co się udało atakującym. Niejednokrotnie cyberprzestępcy chwalą się tym w publicznie dostępnych źródłach. Mowa tu m.in. o Telegramie czy blogach w Dark Webie.
Wniosek
Moją daleko idącą tezą jest to, że niektóre podmioty nie rozumieją, iż dziennikarz może opisać incydent bez konieczności uzyskania zgody w tym aspekcie czy dodatkowego komentarza. Mowa tutaj nie tylko o podmiotach publicznych, ale również firmach (w tym dużych).
Oczywiście ważna pozostaje kwestia etyki dziennikarskiej oraz pytania o zasadność informowania, ale podejście: „nie potwierdzimy, to nikt się nie dowie” jest po prostu błędne.
Pokazał to np. przypadek incydentu w Panrest – zarówno nasz portal jak i Sekurak do dziś nie otrzymały odpowiedzi w zakresie prawdopodobnego wycieku danych Polek i Polaków.
Dużą szkodę w zakresie informowania o incydentach wyrządzają też przemówienia polityków, często będące dość luźno związane z faktami lub zawierające mało konkretów. Mówienie o odpieraniu X procenta ataków bez wyszczególnienia ich rodzajów nie wnosi wiele do rzetelnej dyskusji, ponieważ ich skutki są nieporównywalnie różne (np. DDoS a ransomware).
Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.




Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].