Cyberbezpieczeństwo
E-Estonia, czyli cyfrowe e-państwo. Jak cyberzagrożenia zmienić w szansę? [WYWIAD]
O tym państwie mówi się jako o „najbardziej cyfrowym kraju na świecie”. Estonia wyciągnęła wnioski z cyberataków, jakie miały miejsce w 2007 roku. Powtórka nastąpiła w te wakacje, ale władze odrobiły lekcje z cyberbezpieczeństwa. Erika Piirmets, doradczyni ds. Transformacji Cyfrowej w e-Estonia Briefing Centre, w rozmowie z CyberDefence24.pl opowiada o estońskich doświadczeniach z cyberprzestrzeni.
E-Estonia Briefing Centre to instytucja, która zajmuje się propagowaniem nowych technologii i edukacją w zakresie cyfryzacji, cyberbezpieczeństwa. Naszą rozmówczynią jest Erika Piirmets, doradczyni ds. Transformacji Cyfrowej w tej organizacji.
Nikola Bochyńska, CyberDefence24.pl: Jaka jest obecnie sytuacja w Estonii pod względem cyberataków? W Polsce mieliśmy kilka przypadków mniejszych i większych incydentów, właściwie cały czas coś się dzieje w cyberprzestrzeni.
Erika Piirmets, doradczyni ds. Transformacji Cyfrowej w e-Estonia Briefing Centre: Zdecydowanie. Obserwujemy bardzo podobny trend jak u was w Polsce, związany z wojną na Ukrainie. To było oczywiste, że to będzie wojna hybrydowa, więc ucierpiała nie tylko Ukraina, ale i inne kraje, a na pewno Estonia. Obecnie jednak widzimy, że mniejsza jest skala podejmowanych prób cyberataków, już tak wiele nie dzieje się w cyberprzestrzeni. Od lutego było kilka większych incydentów, ale w tej chwili widzimy, że w cyberprzestrzeni jest stosunkowo spokojnie.
Czytaj też
Co dziś wiadomo o skutkach sierpniowych ataków DDoS?
Ucierpieliśmy na skutek cyberataków dokładnie w 2007 roku, to był pierwszy atak cybernetyczny na dużą skalę przeciwko państwu.
W tym roku w sierpniu doszło do bardzo podobnego ataku. Jednak technologia rozwinęła się na tyle w ciągu 15 lat, że - choć doświadczyliśmy tego samego - to nasze systemy przetrwały tę próbę. Przez ten czas stały się znacznie bardziej rozwinięte. Jeśli porównamy tę sytuację na przykład z rokiem 2007, to 15 lat temu rząd usunął dostęp do wielu e-usług, ponieważ atak był zbyt rozległy, by utrzymać ich ciągłość.
Teraz, w sierpniu, wszystkie usługi działały, nie było żadnych większych zakłóceń online i offline; nie doszło do tego, że musieliśmy usunąć dostęp do określonych usług. W przypadku części z nich czas ładowania strony był dłuższy.
Atak był skierowany nie tylko na władze państwowe, ale także na niektóre firmy prywatne, ponieważ w Estonii wiele możliwości technologicznych zapewnia sektor prywatny. Tak więc niektóre skutki cyberataku udało się usunąć w krótkim czasie - moglibyśmy powiedzieć w trzy godziny.
Pod koniec sierpnia przez jakiś czas nie mogliśmy użyć dowodu osobistego, mobilnego identyfikatora lub inteligentnych usług (ID) jako identyfikacji. Nie mogliśmy korzystać z e-usług, które były dostępne dlatego, że potrzebujemy wcześniejszego etapu weryfikacji, a uwierzytelnienie elektronicznego ID było chwilowo wyłączone. Dla normalnych ludzi, dla cywilów ta sytuacja nie była poważna. Jeśli założymy, że jakaś osoba tego dnia poszła do pracy i wykonywała swoje obowiązki, to myślę, że dopiero w wieczornych wiadomościach mogła zauważyć, że do czegoś doszło.
Atak miał bardzo mały wpływ na zwykłego obywatela – jeśli nie używał aktywnie metody uwierzytelniania za pomocą naszego elektronicznego identyfikatora - nawet nie wiedziałby, że coś się dzieje.
W związku z wojną na Ukrainie zauważyła pani zwiększoną liczbę cyberataków? Które grupy cyberprzestępców są szczególnie aktywne w Estonii?
To skomplikowane, zwłaszcza w przypadku tego typu ataków, jak DDoS - bardzo trudno zrozumieć i ocenić, skąd pochodzi atak. Tak też było w 2007 roku. Mimo że ten atak (w 2022 roku - red.) - o olbrzymiej skali - był motywowany względami politycznymi, to tylko możemy się domyślać, kto był jego inicjatorem, ale nie chcemy komentować tego oficjalnie.
Nie chcemy nikomu przypisywać atrybucji tego ataku również przede wszystkim dlatego, że nie chcemy „przypisywać zasług” określonym grupom. Nie uważamy, że jest to wybitne osiągnięcie - zakłócenie normalnej działalności państwa. To coś, co nie jest powszechnie akceptowane na świecie. Jednocześnie nie chcemy deklarować, że określony atak pochodzi z tego czy innego kraju.
Lekcje z cyberataków
W 2007 roku Estonia doświadczyła największych cyberataków w historii, które były wymierzone wobec państwa. Jakie wnioski wyciągnięto z tych wydarzeń?
Przede wszystkim uważam, że częściowo to dobrze, że Estonii się to przydarzyło. Był to swego rodzaju egzamin dojrzałości, by sprawdzić, jak cyfrowe państwo jest przygotowane do radzenia sobie w sytuacjach kryzysowych. Powiedziałabym, że ten egzamin dojrzałości z cyberbezpieczeństwa zdaliśmy całkiem pomyślnie. Otrzymaliśmy potwierdzenie, że zdecentralizowana architektura w administracji rządowej, którą budowaliśmy, interoperacyjność – to właściwa droga.
Nigdy nie powiem, że nie da się zhakować żadnego organu rządowego, ale dziś jest to bardzo skomplikowane. Dlaczego? Nie ma jednej centralnej bazy danych, ani jednego miejsca, w którym można by uzyskać cały profil mojej tożsamości elektronicznej lub zhakować jakąkolwiek usługę publiczną tylko korzystając z jednego punktu „wejścia”. Technologicznie patrząc, budujemy kraj z dobrą perspektywą na przyszłość.
Z kolei z perspektywy komunikacyjnej i politycznej można powiedzieć, że zdarzyło się kilka pozytywnych rzeczy: zamiast ukrywać ten wielki incydent lub próbować milczeć, szczerze o tym informowano. Po raz pierwszy w historii mieliśmy do czynienia z cyberatakiem na tak dużą skalę, nie mieliśmy zbudowanej globalnej społeczności w cyberprzestrzeni i żadnego doświadczenia, jak skutecznie sobie w takim wypadku radzić. Dlatego nasi przywódcy polityczni postanowili być transparentni. Komunikacja kryzysowa była natychmiastowa. To była podstawa dobrych praktyk: Estonia zawsze była otwarta na dzielenie się informacjami w zarządzaniu kryzysowym. Są problemy, których odbiorcą zawsze będziemy: ataki zdarzają się w również w Estonii także dlatego, że technologicznie i cyfrowo jesteśmy krajem bardzo zaawansowanym.
Dlatego szczególnie często mówi się, że współpraca w dziedzinie cyberbezpieczeństwa jest ważna, bo cyberprzestępczość nie zna granic.
Nie mówimy tylko o ochronie cyberprzestrzeni Estonii. To cała Europa. Wreszcie, wszyscy przecież jesteśmy połączeni ze sobą globalnie, prawda? Zatem wydarzenia sprzed 15 lat są dobrym punktem wyjścia do wyciągnięcia kilku kluczowych lekcji, aby zobaczyć, jakie strategie wtedy wdrożyliśmy i jakie nadal wdrażamy, by zapewnić bezpieczne implementowanie naszych technologii cyfrowych. Dzięki temu powstał organ centralny, monitorujący 24 godziny na dobę, 7 dni w tygodniu naszą cyberprzestrzeń - CERT- EE – Zespół reagowania na incydenty cyberbezpieczeństwa. Można zgłosić każdy przypadek incydentu cybernetycznego, a także uzyskać pomoc, by poradzić sobie z jakimkolwiek możliwym atakiem.
Powstało też NATO – Cooperative Cyber Defense Center of Excellence i działa właśnie w Estonii. Co zmieniło się pod względem polityki cyberbezpieczeństwa od czasu jego powstania?
NATO CCDCOE to centrum kompetencji i współpracy, które zajmuje się badaniami i rozwojem związanym z cyberbezpieczeństwem oraz koordynuje ćwiczenia międzynarodowe. Globalne dzielenie się doświadczeniami i tym, co widzimy w związku z działalnością cyberprzestępców jest szczególnie ważne.
Jesteśmy też miejscem współpracy NATO i Unii Europejskiej w zakresie cyberbezpieczeństwa, w Tallinie jest wiedza, która jest nam naprawdę bliska. To jedna z kluczowych lekcji, jaką wyciągnęliśmy z 2007 roku i jaką wdrożyliśmy. Czy było to potrzebne?
Potrzebujemy policji, by chronić się przed fizycznymi atakami, ale ponieważ jesteśmy tak zaawansowani cyfrowo, musimy bronić również dużego, cyfrowego państwa. Istnieje również Liga Obrony Cybernetycznej, składająca się ze specjalistów, którzy mogliby być dostępni na wypadek, gdyby rząd potrzebował jakiejkolwiek pomocy w radzeniu sobie z incydentem cybernetycznym. To są specjaliści, którzy mogliby przyjść i współpracować z władzą rządową, gdyby była taka potrzeba – podobnie jak potrzeba fizycznych sił w czasie wojny.
Czytaj też
Komunikacja z obywatelami
Pani zdaniem lepiej, jeśli rząd powie: „to był cyberatak i teraz każdy powinien być ostrożny”, czy lepiej, kiedy rządy powiedzą o cyberataku dopiero po tym, jak uda się zlikwidować jego skutki? Jaka opcja jest pani zdaniem lepsza? Pytam, bo zdania - co do faktu ujawniania incydentów - są podzielone.
Z praktycznego punktu widzenia, jeśli masz do czynienia z bardzo dużym cyberatakiem, napotykasz ataki z różnych miejsc, to tak jest. Myślę, że dzielenie się praktyką, tym co robi rząd natychmiast po tym, jak do czegoś doszło, tak jak zrobiła to Estonia – w ciągu pierwszych kilku dni, gdy te ataki miały miejsce lub się rozpoczęły - jest bardzo ważne.
Jeśli pojawiają się zakłócenia w dostępie do usług cyfrowych takich jak np. uwierzytelnienie online, to ważne by ludzie wiedzieli, że coś się dzieje. Później powinno się dzielić lekcjami wyciągniętymi z cyberataku; tym, co się stało. Nie dotyczy to tylko przypadku incydentów związanych z cyberbezpieczeństwem lub cyberataków. Ważna jest otwarta komunikacja kryzysowa w związku z wszelkiego rodzaju problemami, które wystąpiły w związku z ograniczeniami technologicznymi.
Mieliśmy bardzo duży błąd z naszymi mikroczipami, które są wbudowane w karty identyfikacyjne i działają jako forma uwierzytelnienia tożsamości. W mikrochipach wykryto zagrożenie bezpieczeństwa i musieliśmy w tej sytuacji nawiązać natychmiastową komunikację, aby poinformować o tym obywateli. Chodziło o to, aby zmobilizować ich na tyle, aby wymienili swoje dokumenty naprawdę szybko, abyśmy mogli zresetować wszystkie te chipy, które okazały się mniej bezpieczne. W ciągu kilku miesięcy Estonia była w stanie wymienić 70 proc. kart, wśród których - w teorii - mogła wystąpić podatność. To są właśnie zalety szybkiej komunikacji.
W sierpniu, aby podnieść poziom cyberhigieny musieliśmy poinformować ludzi, że rząd stoi w obliczu ataków DDoS, ale widzieliśmy też, że istnieją alternatywne sposoby atakowania osób prywatnych. Na przykład wysyłano pisma, rzekomo w imieniu estońskiej policji, które w rzeczywistości były fałszywe. Musieliśmy szybko przekazać ludziom, że te wiadomości są fałszywe, aby usuwali je i nie odpowiadali, by nie otwierali żadnych załączników, ani nie klikali w żadne linki. To zwykle nie jest jeden rodzaj ataku, przecież może mieć miejsce kilka ataków jednocześnie.
Jakiej rady w takim razie udzieliłaby pani Polsce, polskiemu rządowi w zakresie cyberbezpieczeństwa?
Ludzie muszą być świadomi problemów z cyberbezpieczeństwem. Ważne, by stworzyć atmosferę zaufania na poziomie rządu: „Wiecie, mówimy wam, że stoimy w obliczu cyberataków, ale pracujemy nad tym i chronimy wasze dane i dane innych obywateli. Nie musisz się martwić”.
Pracuję dla rządu, ale dla mnie, jako dla osoby prywatnej bardzo pocieszające było, kiedy szef rządu ds. informacji opublikował w mediach społecznościowych wpis, informujący co się dzieje. W ten sposób możemy spać spokojnie, bo wiemy, że nasza cyfrowa tożsamość jest dobrze chroniona i nie musimy martwić się o informacje na nasz temat. To bardzo ważne, aby takie wiadomości przekazywać, aby mieć zaufanie do rządu, bo dzięki temu zyska gospodarka.
Czytaj też
Dzień wybuchu wojny
Zmieńmy temat. Estonia ma bardzo duże doświadczenie w cyberprzestrzeni. Jaką w takim razie pomoc może zaoferować w tym zakresie Ukrainie?
Patrząc od początku wojny, momentu jej wybuchu – dla Estonii to był bardzo ważny dzień - 24 lutego. To Dzień Niepodległości Estonii. Zatem atak na Ukrainę bardzo w nas uderzył - podczas gdy my świętowaliśmy, że mamy niepodległe państwo, inny kraj w Europie walczy o własną wolność. Od tego momentu wiedzieliśmy, że pomożemy Ukrainie na każdym możliwym poziomie.
Jesteśmy małym krajem, ale włożyliśmy tyle energii, ile tylko mogliśmy, by pomóc Ukrainie w zakresie praktyk, doświadczeń cyfrowych. Nasi wysocy rangą urzędnicy są w kontakcie z ukraińskimi, odwiedzili ten kraj w czasie wojny. Dzielenie się doświadczeniami cały czas się odbywa.
Jeśli się nie mylę, to od 2015 roku Estonia odgrywa dużą rolę w konstruowaniu cyfrowej Ukrainy, na przykład w zakresie interoperacyjności danych. W Estonii mamy aplikację X-road, na Ukrainie także działa platforma, która ma za zadanie rozwiązywać problemy bez konieczności fizycznego dotarcia do urzedów, na tym polu odbyła się pierwsza wymiana dobrych praktyk (chodzi o aplikację Diia - red.).
Obecnie w cyberprzestrzeni ma miejsce wiele inicjatyw, w których Estonia stara się pomóc i dzieli się doświadczeniem. Myślę, że na razie trochę za wcześnie, by powiedzieć o konkretach. Ważne, że pochylamy głowę, by pomóc Ukrainie na tyle, na ile jest to możliwe, by wygrała tę wojnę. Później możemy się też dzielić dobrymi praktykami z innymi krajami.
Chcę też zaznaczyć, że Estonia wiele zyskuje na wymianie dobrych praktyk i technologii – pod koniec roku – zgodnie z umową zawartą między ministrami cyfryzacji obu państw, estońska wersja ukraińskiej aplikacji Diia będzie również dostępna dla Estończyków. Wzajemne dzielenie się wiedzą z naszymi ukraińskimi kolegami ma cały czas miejsce.
Jak ocenia pani pomoc haktywistów w tej wojnie? Pani zdaniem aktywiści w cyberprzestrzeni mają realny wpływ na tę wojnę, czy działa tu bardziej PR i zachwyt dobrymi informacjami, a prawdziwa wojna toczy się gdzie indziej?
To skomplikowana kwestia, by ją komentować. Estonia stoi na stanowisku, że nie kontratakujemy w cyberprzestrzeni. Jesteśmy otwarci na dzielenie się różnymi praktykami, udoskonalamy nasze cyberbezpieczeństwo jeszcze bardziej, jesteśmy otwarci na współpracę. Jednocześnie nie mogę powiedzieć, że udzielamy poparcia czy potępiamy tego rodzaju aktywizm. To nasza strategia - nie atakujemy aktywnie nikogo, chcemy skoncentrować się na utrzymywaniu bezpieczeństwa własnego systemu, by cyfrowa tożsamość ludzi i dane były bezpieczne. Te kontrataki - czy byłyby to rzeczywiste cyberataki technologiczne, czy kontrpropaganda - tym się nie zajmujemy.
Walka z prorosyjską narracją
Jakie narracje dezinformacyjne są obecnie popularne w Estonii? W Polsce stale walczymy z rosyjską propagandą, myślę, że podobnie jest w Estonii.
U nas jest bardzo podobnie, jak u was, prawda? Zwłaszcza było to bardzo widoczne w lutym i marcu, kiedy rozpoczęła się inwazja. Estonia ma bardzo dużą mniejszość rosyjskojęzyczną, która ma bardzo duży wpływ na rosyjskojęzyczne kanały propagandowe. Gdy inwazja się rozpoczęła, rząd zabronił korzystania z największego kanału informacyjnego, który działał jako machina propagandowa Kremla. Niektóre kanały otrzymały zakaz działania na terenie Estonii.
Zawsze wierzyliśmy w edukację, dlatego kładziemy większy nacisk na tworzenie dużej ilości wiadomości w języku rosyjskim. Część kanałów została zakazana, a zamiast tego skupiliśmy się na dostarczaniu ludziom newsów w języku rosyjskim, aby nie żyli w próżni informacyjnej, by nie zostali odcięci od rzetelnych informacji.
Jednocześnie jesteśmy krajem demokratycznym, wierzymy w wolność słowa i zabraniamy działania agresywnych kanałów propagandowych, które nie oferują żadnych obiektywnych informacji, więc zamykanie kanałów lub niedopuszczanie do otrzymania przez nie koncesji musi odbywać się w oparciu o bardzo silną podstawę prawną.
Jakie narracje dezinformacyjne widzicie? Na przykład w Polsce widać popularność fałszywych informacji dotyczących kryzysu energetycznego i inflacji i próby oskarżenia o to Ukrainy, a nie Rosji i wojsk Putina.
Największy problem, jeśli chodzi o fałszywe wiadomości, dziwne narracje mieliśmy głównie w temacie rosyjskiej inwazji na Ukrainę. Ostatnio jednak pojawiły się fałszywe newsy dotyczące likwidacji sowieckich pomników i rosyjskich zabytków, które usuwano z publicznej przestrzeni.
To generowało trochę problemów, ponieważ rosyjskie media dostrzegły okazję, by połączyć własną propagandę z tymi wydarzeniami. Ludzie w Narwie, gdzie miała miejsce likwidacja rosyjskich pomników nie dopuszczali jednak tego rodzaju propagandy Kremla.
Jeśli wspomniałaś o kryzysie energetycznym czy inflacji, to nie widzimy zwiększonej skali propagandy czy fałszywych wiadomości, które bazują na tych tematach. Powiedziałabym, że operacje wpływu opierały się głównie na pandemii koronawirusa. Myślę, że przyszły miesiąc czy dwa miesiące oczywiście to zmienią i pojawią się nowego rodzaju fałszywe wiadomości.
Przejrzyste państwo, bo cyfrowe państwo
W związku z tym, że wasz kraj ma duże doświadczenie w cyberprzestrzeni, na koniec naszej rozmowy chciałabym zapytać o rady dla Polski. Jak można rozwijać cyfrowe państwo?
Cyberbezpieczeństwo to nie jest „niezależny” temat. Moja rada byłaby taka, aby nie tworzyć już istniejących procedur i by zastanowić się, jak zapewnić bezpieczeństwo w ramach już istniejących. Dbając o bezpieczeństwo danych obywateli, nie wolno zapominać o bezpieczeństwie władzy. To strategia, która musi być równie silna na wszystkich poziomach zarządzania państwem.
Dobrą praktyką, jaką rozwijaliśmy od początku XXI wieku, jest zdecentralizowany sposób zarządzania administracją. Nie ma jednej gigabazy danych, nie ma centralnej bazy danych, w której przechowywane są dane rządowe. Wszystko działa w sposób rozproszony, co nie pozwala na reakcje łańcuchowe.
Bezpośrednio po cyberatakach w 2007 roku wdrożyliśmy technologię blockchain na każdym poziomie rządowym i tym samym jesteśmy pierwszym rządem, który zdecydował się na taki krok. Jednak nie przechowujemy danych w blockchainie, ale jest to metoda zabezpieczenia uwierzytelniania.
Nie zakładamy więc, że Estonia jest bezpieczna, ponieważ jest cyfrowa, ale jest przejrzysta, ponieważ jest cyfrowa. Mamy wiele mechanizmów bezpieczeństwa uwierzytelniania poprzez na przykład elektroniczny identyfikator, który jest wydawany przez państwo i jest unikalny dla każdej osoby - za każdym razem, gdy nastąpi utrata informacji, manipulacja lub jakiekolwiek uszkodzenie jakości danych, będzie to widoczne. Wszystko zostawi ślad.
Widzimy bardzo wyraźnie, że cyberbezpieczeństwo to nie jest trend; coś, co minie, ono z nami zostanie. Cyberodporność jest więc tak samo ważna, jak rzeczywista odporność w oparciu o policję czy armię.
Dlatego trzeba stawiać na edukację - ostatecznie najsłabszym ogniwem w całej technologii jest człowiek. Musimy więc upewnić się, że nasi urzędnicy są dobrze wykształceni, że otrzymują aktualne informacje, że ich umiejętności są stale poprawiane. Dzięki temu wiemy, że z każdą nową technologią można zapewnić bezpieczne procesy i usługi dla społeczeństwa.
Podobnie jest z kampaniami i próbami oszustw – ludzie muszą być o tym informowani. Muszą wiedzieć, co się dzieje, by nie klikali w podejrzane linki, nie otwierali załączników. Muszą rozumieć, jakie są oficjalne kanały rządowe, jak działają mechanizmy, które dążą do uszkodzenia ich cyfrowej tożsamości. Kształcenie obywateli, by posiadali wysoki poziom higieny cybernetycznej jest tak samo ważne, jak wdrożenie najnowszych technologii w systemach rządowych.
Dziękuję za rozmowę.
Erika Piirmets była gościem konferencji INNOVEIT Warsaw.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].