Reklama
  • OPINIA
  • WIADOMOŚCI

Mówmy więcej o powstrzymanych atakach [OPINIA]

Czy nasza uwaga powinna być poświęcona wyłącznie osiągnięciom cyberprzestępców?
Czy nasza uwaga powinna być poświęcona wyłącznie osiągnięciom cyberprzestępców?
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where

„Wielkie wycieki danych” czy „ogromne cyberataki paraliżujące (…)” będą się dobrze klikały – niezależnie od tego, czy incydent faktycznie jest poważny, czy podczas opisywania incydentu poniosły kogoś emocje (lub halucynacje ChataGPT). Ostatnie sytuacje pokazują, że możliwość pokazania „defensywnej strony” zdarzeń jest również możliwa.

  • Narracja medialna o cyberbezpieczeństwie w dużej mierze opiera się na udanych atakach.
  • Ważna jest „druga strona medalu” - to, czego czasem nie widać.
  • Ostatni raport CERT Polska doskonale obrazuje potrzebę informowania o powstrzymaniu cyberprzestępców.

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.

Z bólem serca stoję na stanowisku, że narrację związaną z przeciwdziałaniem cyberatakom (a może i ogólnie cyberbezpieczeństwem) w dużym stopniu przejęły przedsiębiorstwa, które chcą „zapewnić” cyberbezpieczeństwo (spojler: nie da się) za pomocą swoich produktów. Cyberbezpieczeństwo jest bardziej złożonym procesem niż zakup jednego urządzenia czy usługi – choć to oczywiście nie oznacza, że inwestycje nie są konieczne.

Dotyczy to praktycznie wszystkich mediów – zarówno tych branżowych i bardziej „popularnych”.

Reklama

Nierównowaga sił

Zadajmy sobie pytanie: który nagłówek brzmi lepiej?

  1. Super-hiper-wielki wyciek danych z gigantycznej polskiej organizacji
  2. Służby zapobiegły poważnemu cyberatakowi

I choć obydwa mogą (potencjalnie) dotyczyć tego samego incydentu – jeden wariant dotyczy udanego, zaś drugi nieudanego – bardziej prawdopodobne jest to, że większe zainteresowanie wywoła ten o wycieku danych. Uważam, że to normalne i zgodne z ludzką naturą.

Postawmy się jednak w innej sytuacji: udało się zapobiec atakowi ransomware na podmiot publiczny. W tej sytuacji mamy dwa wyjścia:

1.      … (nie zrobić absolutnie nic pod kątem informowania)

2.       Poinformować o tym, jak udało się zapobiec konkretnemu zagrożeniu.

Kontrargument i cytaty mądrych głów

Jasne, można powiedzieć: „dokładnie w tym celu mamy ISAC-i” (centra wymiany i analiz informacji – przyp. red.). Zgadzam się, lecz chcę poruszyć również inny ważny temat: świadomości wobec działań w cyberprzestrzeni osób spoza „bańki”.

W tym miejscu pragnę przytoczyć kilka stanowisk, które odnoszą się bezpośrednio do tematu:

Z punktu widzenia interesu Polski dobrze byłoby, gdyby media mniej nagłaśniały mało istotne osiągnięcia naszych geopolitycznych przeciwników. Warto z kolei wspominać o sukcesach obrońców naszej infrastruktury - ale nikt nie jest wdzięczny za incydenty, które się nie wydarzyły.
[Adam Haertle](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-informowac-o-incydentach-wskazowki-adama-haertle)
Wśród głównych zagrożeń identyfikowanych przez Zespół CSIRT GOV wymienić można ataki na dostępność usług (DoS/DDoS) oraz zagrożenia wynikające z podatności stosowanych produktów i usług. Niektóre z wymienionych ataków trwają niemal stale, jednak użytkownicy końcowi nie odczuwają nawet skutków ich występowania ze względu na bieżącą mitygację zagrożenia ze strony atakowanego podmiotu i podmiotów pośredniczących.
[Agencja Bezpieczeństwa Wewnętrznego](https://cyberdefence24.pl/cyberbezpieczenstwo/media-robia-prezent-cyberprzestepcom-sluzby-ostrzegaja)
Media skupiają się na spektakularnych atakach na korporacje, ignorując miliony Polaków tracących oszczędności przez podstawowe oszustwa internetowe. (…) Desperacko potrzebujemy praktycznych poradników zamiast clickbaitowych tytułów - jak zabezpieczyć firmę, jak reagować na incydent, gdzie szukać pomocy.
[Andrzej Piotrowski](https://cyberdefence24.pl/cyberbezpieczenstwo/jak-media-manipuluja-strachem-jalowa-panika-po-cyberataku)
Media często podchwytują tematy, które są bardzo niszowe, ale potencjalnie bardziej „klikalne”. Daje to odbiorcom mylne pojęcie o tym z jakimi atakami mierzymy się w cyberprzestrzeni.
[NASK](https://cyberdefence24.pl/cyberbezpieczenstwo/cybermagazyn-media-w-pulapce-pr-u-cyberprzestepcow-nask-wskazuje-drugie-dno-atakow)
Reklama

Ale o co ci chodzi?

„Przeciętnemu Kowalskiemu” niepotrzebne są IOC (ang. indicators of compromise) czy inne techniczne parametry. Problem jest jednak inny: często w przestrzeni publicznej pojawia się wyłącznie narracja o udanych kampaniach – do niedawna brakowało rzetelnych i prostych przykładów tego, że umiemy się bronić.

Można tutaj przytoczyć kilka „ciekawych” tytułów artykułów:

  • „Pilne. Masowy atak pozbawił miliony Polaków dostępu do usług!” – DDoS trwający kilkadziesiąt minut;
  • „Atak hakerski na PKP Intercity. Co z danymi pasażerów?” – nic, bo chodziło o niedostępność strony sprzedażowej;
  • „Olsztyn sparaliżowany od tygodni po cyberataku. Miasto otrzyma miliony z nowego funduszu” – chodziło o brak możliwości zakupu biletów komunikacji miejskiej.

Będąc bombardowanym dziesiątkami takich nagłówków, człowiek może odnieść mylne wrażenie, że wokół nas są jedynie udane ataki. Brakuje mi pewnej równowagi; pokazania: „jasne, faktycznie jesteśmy nieustannie atakowani w cyberprzestrzeni, ale nie jesteśmy bezbronni”.

Słowa uznania

Pod koniec stycznia br. CERT Polska opublikował raport dotyczący niedawnego incydentu w sektorze energii, dotyczącego prób ingerencji w działanie farm OZE oraz dużej elektrociepłowni.

Jestem zdania, że dokładnie takich opracowań potrzebujemy – jako obywatele zasługujemy na rzetelny dostęp do informacji. Dokument pozwolił również uniknąć pewnych spekulacji związanych z incydentem.

Stoję na stanowisku, że takich opracowań (nie tylko od CERT Polska) powinno być jak najwięcej – publicznie dostępnych „case study”, które pokazują, czemu złośliwe działanie się nie powiodło.

W innym przypadku, narracja zostanie zdominowana przez to, co się udało atakującym. Niejednokrotnie cyberprzestępcy chwalą się tym w publicznie dostępnych źródłach. Mowa tu m.in. o Telegramie czy blogach w Dark Webie.

Reklama

Wniosek

Moją daleko idącą tezą jest to, że niektóre podmioty nie rozumieją, iż dziennikarz może opisać incydent bez konieczności uzyskania zgody w tym aspekcie czy dodatkowego komentarza. Mowa tutaj nie tylko o podmiotach publicznych, ale również firmach (w tym dużych).

Oczywiście ważna pozostaje kwestia etyki dziennikarskiej oraz pytania o zasadność informowania, ale podejście: „nie potwierdzimy, to nikt się nie dowie” jest po prostu błędne.

Pokazał to np. przypadek incydentu w Panrest – zarówno nasz portal jak i Sekurak do dziś nie otrzymały odpowiedzi w zakresie prawdopodobnego wycieku danych Polek i Polaków.

Dużą szkodę w zakresie informowania o incydentach wyrządzają też przemówienia polityków, często będące dość luźno związane z faktami lub zawierające mało konkretów. Mówienie o odpieraniu X procenta ataków bez wyszczególnienia ich rodzajów nie wnosi wiele do rzetelnej dyskusji, ponieważ ich skutki są nieporównywalnie różne (np. DDoS a ransomware).

Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji.

CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama