Jak informować o incydentach? Wskazówki Adama Haertle

Incydenty incydentom nierówne. Warto podkreślić, że samo określenie „cyberatak” tak naprawdę nie definiuje tego, co zaszło w danym systemie - jest to dość szerokie pojęcie. Do najpopularniejszych rodzajów ataków opisywanych przez media zaliczają się m.in.:

• ataki DDoS (ang. Distributed Denial of Service) - wysyłanie wielu zapytań, co często skutkuje chwilową niedostępnością danej usługi (np. strony internetowej);
• ataki ransomware - polegają zazwyczaj na kradzieży plików i zaszyfrowaniu danych wraz z żądaniem okupu przez cyberprzestępców.

Adam Haertle o informowaniu o incydentach

Oskar Klimczuk, CyberDefence24: Dlaczego nie powinno się informować o atakach DDoS?

Adam Haertle, Zaufana Trzecia Strona: Często skutki ataków DDoS są znikome - godzinna przerwa w dostępności witryny Senatu zostanie zauważona może przez 10 osób tak długo, jak nie napiszą o niej media. Z drugiej strony podstawowym celem napastników nie jest wyłączenie na godzinę strony Senatu, lecz osiągnięcie efektu propagandowego. Media opisujące atak (lub politycy opowiadający o nim w telewizji) tak naprawdę realizują cele napastników - bez tego „wsparcia” atak przeszedłby niezauważony, a cel sprawców nie zostałby osiągnięty.

Kiedy media mogą faktycznie pomóc w danej sprawie, a kiedy wprost szkodzą?

Media powinny opisywać ataki, które są istotne z punktu widzenia odbiorców. Jeśli na przykład atak dotyka setek tysięcy Polaków, to można wyjaśnić rozczarowanym użytkownikom, dlaczego dana usługa nie działa.

Jakie najczęstsze błędy popełniają media podczas informowania o incydentach? Czego brakuje w relacjach?

Media najczęściej dobrze radzą sobie z informowaniem o atakach, a ewentualne błędy czy niedomówienia wynikają najczęściej z płytkiej analizy lub braku zrozumienia wszystkich aspektów incydentu. Od dziennikarzy, którzy nie specjalizują się w cyberbezpieczeństwie, trudno oczekiwać pełnej wiedzy technicznej czy sytuacyjnej, dlatego nie zaszkodzi zasięgnięcie opinii eksperta. Samodzielne opisywanie każdego ataku lub powtarzanie narracji polityków niestety nie zawsze prowadzi do przekazywania społeczeństwu prawdy.

O czym pisać, a o czym lepiej milczeć?

O czym media powinny informować mniej, a co bardziej nagłaśniać?

Z punktu widzenia interesu Polski dobrze byłoby, gdyby media mniej nagłaśniały mało istotne osiągnięcia naszych geopolitycznych przeciwników. Warto z kolei wspominać o sukcesach obrońców naszej infrastruktury - ale nikt nie jest wdzięczny za incydenty, które się nie wydarzyły.

Jakich informacji nie powinno się publikować, aby nie ułatwiać zadań adwersarzom lub nie wspierać ich działań?

Nie ma uniwersalnej reguły  - zawsze warto zastanowić się, czy opublikowanie określonej informacji przysporzy więcej korzyści napastnikom niż ofiarom.

Jakich treści związanych z cyberbezpieczeństwem zdecydowanie brakuje w Polsce?

Wszystkich - mało jest polskojęzycznych źródeł informacji w Polsce. Te, które istnieją, nie mają szansy przekazać polskojęzycznym odbiorcom nawet połowy tego, co ciekawego dzieje się w świecie anglojęzycznym.

Jakie pytania powinni zadać sobie dziennikarze, wydawcy i redaktorzy naczelni przed publikacją artykułu o cyberataku, aby materiał był jak najbardziej rzetelny?

Nie sądzę, by istniał jeden uniwersalny zestaw pytań, ale na pewno wszelkie, które pozwolą zrozumieć co się stało, dlaczego i jakie może to mieć konsekwencje dla czytelników.

Dobre praktyki i weryfikacja

Jakie dobre praktyki powinny wypracować media, aby zachować rzetelność wraz z przekazywaniem rzetelnej informacji? Jakie kroki powinna podjąć redakcja, jeśli dostaje informacje o incydencie (różnego typu - od DDoS po wyciek danych)?

Tak jak w każdej innej dziedzinie dziennikarstwa: zajmować się sprawami ważnymi, dążyć do prawdy, zachować rzetelność.

O co powinna pytać redakcja, gdy dostaje niepotwierdzoną informację o wystąpieniu np. wycieku danych lub niezdefiniowanego cyberataku na jakiś podmiot?

Szukać potwierdzenia, weryfikowalnych dowodów - czy u ofiary, czy w dostępnych informacjach w innych źródłach.

Z jakich źródeł mogą korzystać media pod kątem sprawdzonych źródeł o incydentach?

Najlepiej z więcej niż jednego, im bliżej oryginalnego źródła, tym lepiej.

Czym różnią się zagrożenia w sektorze wodno-kanalizacyjnym od tradycyjnych ataków oraz jak powinno wyglądać informowanie o takich incydentach?

Chyba niczym szczególnym - wszystko jest kwestią skali i warto weryfikować, czy „zhakowana zapora” to element melioracji pola, czy faktycznie zagrożenie życia.

Dziękuję za rozmowę.