#CyberMagazyn: Media w pułapce PR-u cyberprzestępców. NASK wskazuje „drugie dno” ataków

Niejednokrotnie słyszymy o „wielkich atakach” czy „paraliżu” po incydencie. Warto jednak czasami zatrzymać się i zadać sobie pytanie, czy faktycznie dany rodzaj incydentu jest na tyle poważny, na ile opisują go tytuły artykułów?

Dobrym przykładem są ataki DDoS, które mają wymiar stricte propagandowy - skutkują zaledwie tymczasową niedostępnością strony, co wykazaliśmy na przykładzie incydentu dotyczącego witryn polskich służb.

ABW na naszych łamach podkreśliło, że ataki tego typu trwają praktycznie cały czas, lecz „dzięki bieżącej mitygacji ze strony atakowanych podmiotów i organizacji pośredniczących, użytkownicy końcowi nie odczuwają skutków ich występowania”.

Zespół CERT Polska w NASK odpowiedział na nasze pytania, dzięki czemu możemy zapoznać się z perspektywą CSIRT-u poziomu krajowego.

Niedawno mieliśmy przyjemność zapoznać się z punktem widzenia Agencji Bezpieczeństwa Wewnętrznego i Centralnego Biura Zwalczania Cyberprzestępczości, a także dwóch ekspertów z zakresu cyberbezpieczeństwa: Adama Haertle i Andrzeja Piotrowskiego.

NASK o DDoS-ach i roli mediów

Oskar Klimczuk, CyberDefence24: Dlaczego nie powinno się informować o atakach DDoS?

NASK: Ataki DDoS często są przeprowadzane przez grupy haktywistyczne - nadrzędnym celem ataku jest budowanie fałszywej narracji wokół jego skutków. Większość tego typu ataków powoduje jedynie chwilową niedostępnością usługi, na przykład strony internetowej, której utrzymywanie nie jest krytyczne dla działania zaatakowanej instytucji. Taki atak nie ma natomiast wpływu na bezpieczeństwo danych i innych zasobów.

Publikowanie informacji o nim niesie ze sobą większą realną korzyść dla atakujących, którzy wręcz sprawdzają czy temat poniósł się medialnie, niż dla czytelników, w których może powodować fałszywe przekonanie, np. że ich pieniądze są zagrożone. Dlatego lepiej mówić o atakach DDoS zbiorczo w okresowych podsumowaniach, niż poświęcać im łamy bieżącej prasy.

Kiedy media mogą faktycznie pomóc w danej sprawie, a kiedy wprost szkodzą?

Rola mediów jest bardzo ważna w budowaniu świadomości i odporności społecznej w kontekście cyberzagrożeń. Kiedy w pogoni za sensacją i wyświetleniami media zaczynają szerzyć emocje zamiast wiedzy, wtedy balans zostaje zachwiany, a skutki mogą być szkodliwe. W naszym przekonaniu informowanie o cyberzagrożeniach zawsze powinno nieść wartość edukacyjną.

Jakie najczęstsze błędy popełniają media podczas informowania o incydentach? Czego brakuje w relacjach?

Bardzo często w artykułach dotyczących bezpieczeństwa brakuje merytoryki – znajdziemy w nich wnioski wyciągnięte z niepełnej informacji czy tytuły mające przykuwać uwagę. Dobra relacja o incydencie powinna zawierać znane szczegóły i informację o dobrych praktykach, które mogą pomóc czytelnikowi w dbaniu o własne bezpieczeństwo.

Tutaj widzimy istotną rolę dla mediów branżowych: podczas gdy agencje informacyjne skupiają się na szybkim przekazaniu informacji, portale takie jak CyberDefence24 mogą się wgłębić w temat, dać czytelnikowi (który nie zawsze jest ekspertem) szerszy kontekst pozwalający zrozumieć, co tak naprawdę się stało i jakie są tego skutki.

Dobrym przykładem są tutaj przywołane na początku artykułu ataki DDoS – warto mówić po co są robione i akcentować, że celem atakujących jest wywołanie niepokoju.

O czym warto pisać?

O czym media powinny informować mniej, a co bardziej nagłaśniać?

Media często podchwytują tematy, które są bardzo niszowe, ale potencjalnie bardziej „klikalne”. Daje to odbiorcom mylne pojęcie o tym z jakimi atakami mierzymy się w cyberprzestrzeni.  Tymczasem wciąż najpopularniejszym zagrożeniem są proste socjotechniki czy phishing – mimo że temat wydaje się zgłębiony, to statystyki jasno pokazują, że jeszcze wiele do zrobienia w kontekście budowania świadomości społecznej. Media mogą w tym pomóc.

Jakich informacji nie powinno się publikować, aby nie ułatwiać zadań adwersarzom lub nie wspierać ich działań?

Nie powinno się publikować takich treści, które realizują cele atakujących. Zanim dziennikarz stworzy artykuł powinien się zastanowić co przyniesie publikacja – czy podanie dalej pewnych informacji przyczyni się do podniesienia bezpieczeństwa, czy może oczekiwanego przez wroga efektu propagandowego lub dezinformacyjnego? Jeśli to drugie, to do tematu trzeba podejść dużo ostrożniej i z szerszej perspektywy.

Jakich treści związanych z cyberbezpieczeństwem zdecydowanie brakuje w Polsce?

Zrozumiałych i aktualnych – bardzo często, szczególnie w dobie masowego wykorzystania LLM-ów uczonych na przestarzałych tekstach, obserwujemy powielanie mitów dotyczących cyberbezpieczeństwa. Czy to w temacie haseł, publicznego Wi-Fi czy szyfrowania połączeń - liczba nieaktualnych porad jest zatrważająca. Jednocześnie zdarza się, że próbując zwiększyć objętość artykułu, autor umieszcza w nim zbyt dużo nowych dla czytelnika pojęć - retencja tak zdobytej wiedzy jest niewielka, dużo skuteczniejsze są proste, ale konkretne wskazówki.

Jak pisać o incydentach?

Jakie pytania powinni zadać sobie dziennikarze, wydawcy i redaktorzy naczelni przed publikacją artykułu o cyberataku, aby materiał być jak najbardziej rzetelny?

Warto od początku ustalić cel publikacji – informacyjny, edukacyjny? Dla nas dzielenie się wiedzą w sposób zrozumiały jest najbliższe ideałom etyki dziennikarskiej. Należy się też zastanowić jakie faktyczne skutki miał incydent i je rzetelnie opisać.

Jakie dobre praktyki powinny wypracować media, aby zachować rzetelność wraz z przekazywaniem rzetelnej informacji? Jakie kroki powinna podjąć redakcja, jeśli dostaje informacje o incydencie (różnego typu - od DDoS po wyciek danych?

Istotna jest weryfikacja i korzystanie z wielu źródeł. Rola dziennikarza opiera się na zebraniu informacji, ale także wzbogaceniu ich o pasujący kontekst. Tym kontekstem może być stanowisko organów zajmujących się sprawą, komentarze ekspertów, ale także porady jak zabezpieczyć się przed skutkami incydentu lub innymi podobnymi zdarzeniami w przyszłości.

Rola weryfikowania źródeł

O co powinna pytać redakcja, gdy dostaje niepotwierdzoną informację o wystąpieniu np. wycieku danych lub niezdefiniowanego cyberataku na jakiś podmiot?

Ten wątek się przewija – o szczegóły, kontekst i porady. Ale dodatkowo ważne jest to, jak redakcja może reagować na odpowiedzi, szczególnie te odmowne i/lub odsuwające odpowiedź w czasie. Analiza incydentu to proces, który jest pracochłonny, a publikowanie szczątkowych informacji może przynieść różne skutki. Procedury ostrzegania osób potencjalnie dotkniętych skutkami incydentu istnieją i działają, więc jeśli nie są wykorzystywane, to prawdopodobnie nie ma takiej potrzeby.

Z jakich źródeł mogą korzystać media pod kątem sprawdzonych źródeł o incydentach?

Warto pamiętać, że co do zasady komunikację po wystąpieniu incydentu prowadzi dotknięty nim podmiot. W niektórych przypadkach w taką komunikację włącza się właściwy CSIRT czy organ nadzorujący daną instytucję. O bieżących incydentach w swoich obszarach informują w trybie ciągłym zespoły odpowiedzialne za cyberbezpieczeństwo. Zawsze warto sięgać do wielu źródeł.  

Sektor wodno-kanalizacyjny

Czym różnią się zagrożenia w sektorze wodno-kanalizacyjnym od tradycyjnych ataków oraz jak powinno wyglądać informowanie o takich incydentach?

Tego typu ataki mogą działać na wyobraźnię czytelnika, dlatego przekaz medialny jest tak ważny. Infrastruktura wod-kan jest złożonym systemem z wielowarstwowymi zabezpieczeniami – nawet jeśli atakujący uzyskuje dostęp do cyfrowego panelu sterowania, to pozostają na miejscu analogowe zabezpieczenia, które są w stanie wyeliminować skutki takiej ingerencji. Opisując tego typu incydenty należy bazować na faktach, bo zasianie strachu i wątpliwości co do skuteczności służb to przecież cel przestępców.