- OPINIA
- WIADOMOŚCI
Mówmy więcej o powstrzymanych atakach [OPINIA]
„Wielkie wycieki danych” czy „ogromne cyberataki paraliżujące (…)” będą się dobrze klikały – niezależnie od tego, czy incydent faktycznie jest poważny, czy podczas opisywania incydentu poniosły kogoś emocje (lub halucynacje ChataGPT). Ostatnie sytuacje pokazują, że możliwość pokazania „defensywnej strony” zdarzeń jest również możliwa.
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
- Narracja medialna o cyberbezpieczeństwie w dużej mierze opiera się na udanych atakach.
- Ważna jest „druga strona medalu” - to, czego czasem nie widać.
- Ostatni raport CERT Polska doskonale obrazuje potrzebę informowania o powstrzymaniu cyberprzestępców.
Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.
Z bólem serca stoję na stanowisku, że narrację związaną z przeciwdziałaniem cyberatakom (a może i ogólnie cyberbezpieczeństwem) w dużym stopniu przejęły przedsiębiorstwa, które chcą „zapewnić” cyberbezpieczeństwo (spojler: nie da się) za pomocą swoich produktów. Cyberbezpieczeństwo jest bardziej złożonym procesem niż zakup jednego urządzenia czy usługi – choć to oczywiście nie oznacza, że inwestycje nie są konieczne.
Dotyczy to praktycznie wszystkich mediów – zarówno tych branżowych i bardziej „popularnych”.
Nierównowaga sił
Zadajmy sobie pytanie: który nagłówek brzmi lepiej?
- Super-hiper-wielki wyciek danych z gigantycznej polskiej organizacji
- Służby zapobiegły poważnemu cyberatakowi
I choć obydwa mogą (potencjalnie) dotyczyć tego samego incydentu – jeden wariant dotyczy udanego, zaś drugi nieudanego – bardziej prawdopodobne jest to, że większe zainteresowanie wywoła ten o wycieku danych. Uważam, że to normalne i zgodne z ludzką naturą.
Postawmy się jednak w innej sytuacji: udało się zapobiec atakowi ransomware na podmiot publiczny. W tej sytuacji mamy dwa wyjścia:
1. … (nie zrobić absolutnie nic pod kątem informowania)
2. Poinformować o tym, jak udało się zapobiec konkretnemu zagrożeniu.
Kontrargument i cytaty mądrych głów
Jasne, można powiedzieć: „dokładnie w tym celu mamy ISAC-i” (centra wymiany i analiz informacji – przyp. red.). Zgadzam się, lecz chcę poruszyć również inny ważny temat: świadomości wobec działań w cyberprzestrzeni osób spoza „bańki”.
W tym miejscu pragnę przytoczyć kilka stanowisk, które odnoszą się bezpośrednio do tematu:
Z punktu widzenia interesu Polski dobrze byłoby, gdyby media mniej nagłaśniały mało istotne osiągnięcia naszych geopolitycznych przeciwników. Warto z kolei wspominać o sukcesach obrońców naszej infrastruktury - ale nikt nie jest wdzięczny za incydenty, które się nie wydarzyły.
[Adam Haertle](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-informowac-o-incydentach-wskazowki-adama-haertle)
Wśród głównych zagrożeń identyfikowanych przez Zespół CSIRT GOV wymienić można ataki na dostępność usług (DoS/DDoS) oraz zagrożenia wynikające z podatności stosowanych produktów i usług. Niektóre z wymienionych ataków trwają niemal stale, jednak użytkownicy końcowi nie odczuwają nawet skutków ich występowania ze względu na bieżącą mitygację zagrożenia ze strony atakowanego podmiotu i podmiotów pośredniczących.
[Agencja Bezpieczeństwa Wewnętrznego](https://cyberdefence24.pl/cyberbezpieczenstwo/media-robia-prezent-cyberprzestepcom-sluzby-ostrzegaja)
Media skupiają się na spektakularnych atakach na korporacje, ignorując miliony Polaków tracących oszczędności przez podstawowe oszustwa internetowe. (…) Desperacko potrzebujemy praktycznych poradników zamiast clickbaitowych tytułów - jak zabezpieczyć firmę, jak reagować na incydent, gdzie szukać pomocy.
[Andrzej Piotrowski](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-media-manipuluja-strachem-jalowa-panika-po-cyberataku)
Media często podchwytują tematy, które są bardzo niszowe, ale potencjalnie bardziej „klikalne”. Daje to odbiorcom mylne pojęcie o tym z jakimi atakami mierzymy się w cyberprzestrzeni.
[NASK](https://cyberdefence24.pl/cyberbezpieczenstwo/cybermagazyn-media-w-pulapce-pr-u-cyberprzestepcow-nask-wskazuje-drugie-dno-atakow)
Ale o co ci chodzi?
„Przeciętnemu Kowalskiemu” niepotrzebne są IOC (ang. indicators of compromise) czy inne techniczne parametry. Problem jest jednak inny: często w przestrzeni publicznej pojawia się wyłącznie narracja o udanych kampaniach – do niedawna brakowało rzetelnych i prostych przykładów tego, że umiemy się bronić.
Można tutaj przytoczyć kilka „ciekawych” tytułów artykułów:
- „Pilne. Masowy atak pozbawił miliony Polaków dostępu do usług!” – DDoS trwający kilkadziesiąt minut;
- „Atak hakerski na PKP Intercity. Co z danymi pasażerów?” – nic, bo chodziło o niedostępność strony sprzedażowej;
- „Olsztyn sparaliżowany od tygodni po cyberataku. Miasto otrzyma miliony z nowego funduszu” – chodziło o brak możliwości zakupu biletów komunikacji miejskiej.
Będąc bombardowanym dziesiątkami takich nagłówków, człowiek może odnieść mylne wrażenie, że wokół nas są jedynie udane ataki. Brakuje mi pewnej równowagi; pokazania: „jasne, faktycznie jesteśmy nieustannie atakowani w cyberprzestrzeni, ale nie jesteśmy bezbronni”.
Słowa uznania
Pod koniec stycznia br. CERT Polska opublikował raport dotyczący niedawnego incydentu w sektorze energii, dotyczącego prób ingerencji w działanie farm OZE oraz dużej elektrociepłowni.
Jestem zdania, że dokładnie takich opracowań potrzebujemy – jako obywatele zasługujemy na rzetelny dostęp do informacji. Dokument pozwolił również uniknąć pewnych spekulacji związanych z incydentem.
Stoję na stanowisku, że takich opracowań (nie tylko od CERT Polska) powinno być jak najwięcej – publicznie dostępnych „case study”, które pokazują, czemu złośliwe działanie się nie powiodło.
W innym przypadku, narracja zostanie zdominowana przez to, co się udało atakującym. Niejednokrotnie cyberprzestępcy chwalą się tym w publicznie dostępnych źródłach. Mowa tu m.in. o Telegramie czy blogach w Dark Webie.
Wniosek
Moją daleko idącą tezą jest to, że niektóre podmioty nie rozumieją, iż dziennikarz może opisać incydent bez konieczności uzyskania zgody w tym aspekcie czy dodatkowego komentarza. Mowa tutaj nie tylko o podmiotach publicznych, ale również firmach (w tym dużych).
Oczywiście ważna pozostaje kwestia etyki dziennikarskiej oraz pytania o zasadność informowania, ale podejście: „nie potwierdzimy, to nikt się nie dowie” jest po prostu błędne.
Pokazał to np. przypadek incydentu w Panrest – zarówno nasz portal jak i Sekurak do dziś nie otrzymały odpowiedzi w zakresie prawdopodobnego wycieku danych Polek i Polaków.
Dużą szkodę w zakresie informowania o incydentach wyrządzają też przemówienia polityków, często będące dość luźno związane z faktami lub zawierające mało konkretów. Mówienie o odpieraniu X procenta ataków bez wyszczególnienia ich rodzajów nie wnosi wiele do rzetelnej dyskusji, ponieważ ich skutki są nieporównywalnie różne (np. DDoS a ransomware).
Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?