Jak media manipulują strachem? „Jałowa panika” po cyberataku

„Cyberatak” to dosyć szerokie określenie. Warto podkreślić, że sam fakt wystąpienia incydentu czy ataku nie określa jednoznacznie, do czego tak naprawdę doszło- potrzebne są nam dodatkowe informacje.

Wśród najbardziej popularnych rodzajów ataków, opisywanych w mediach, należy wyróżnić m.in.:

• DDoS (ang. Distributed Denial of Service) - wysyłanie wielu zapytań, co często skutkuje chwilową niedostępnością danej usługi (np. strony internetowej);
• ransomware - polega zazwyczaj na kradzieży plików i zaszyfrowaniu danych wraz z żądaniem okupu przez cyberprzestępców.

DDoS - dlaczego nie warto nagłaśniać?

Oskar Klimczuk, CyberDefence24: Dlaczego nie powinno się informować o atakach DDoS?

Andrzej Piotrowski: Ataki DDoS to najczęściej „cyfrowy wandalizm” - tymczasowe zakłócenie dostępności, które nie powoduje wycieku danych ani trwałych szkód. Nagłaśnianie takich ataków daje atakującym dokładnie to, czego chcą: rozgłos i potwierdzenie skuteczności działania. Media stają się wtedy amplifikatorem dla grup hakerskich, które prowadzą operacje psychologiczne mające na celu wywołanie paniki i podważenie zaufania do instytucji.

DDoS to zazwyczaj zakończony incydent w ciągu godzin. Gdy media o nim piszą dzień później, informacja jest już nieaktualna i służy tylko do budowania wrażenia chaosu. Wyjątkiem są sytuacje, gdy DDoS jest częścią większej, skoordynowanej kampanii lub służy jako zasłona dymna dla poważniejszych działań - wtedy kontekst strategiczny uzasadnia publikację.

Kiedy media mogą faktycznie pomóc w danej sprawie, a kiedy wprost szkodzą?

Media pomagają, gdy informują o systemowych lukach wymagających działania użytkowników, np. o konieczności aktualizacji oprogramowania, ostrzegają przed kampaniami phishingowymi czy apelują o niezbędne zmiany haseł po potwierdzonym wycieku.

Szkodzą, gdy publikują nieweryfikowane informacje, szczegóły techniczne pozwalające na replikację ataku lub dane wrażliwe o infrastrukturze krytycznej. Kluczowa jest różnica jest między „prawem do informacji” a „obowiązkiem nieszkodzenia”. Dziennikarze muszą zadać sobie pytanie: „Czy moja publikacja zwiększy bezpieczeństwo obywateli, czy da narzędzia atakującym?”. Media mają realną moc edukacji społeczeństwa w zakresie cyber-higieny, ale równie realną możliwość wywołania paniki lub eskalacji zagrożenia przez nieodpowiedzialne publikacje.

Błędy oraz dobór treści

Jakie najczęstsze błędy popełniają media podczas informowania o incydentach? Czego brakuje w relacjach?

Największy błąd to sensacjonalizm zamiast kontekstu. Mowa tu o tytułach, takich jak „MASOWY CYBERATAK, POLSKA ZAGROŻONA!” zamiast „Incydent bezpieczeństwa pod kontrolowanym wpływem nadzoru Państwa”. Media mylą pojęcia: „naruszenie” (ang. breach) z „incydentem” (ang. incident), „ransomware” z „malwarem” (złośliwym oprogramowaniem - przyp. red.), a DDoS nazywają „hackowaniem”.

Relacje pomijają najważniejsze: jakie konkretnie dane wyciekły, kto jest narażony i co powinni zrobić dotknięci incydentem. Zamiast tego dostajemy dramatyczne opisy „największego ataku w historii” bez praktycznych wskazówek dla odbiorców. Media rzadko wracają do tematu z follow-upem: co się wydarzyło po incydencie, jakie były realne konsekwencje, czy organizacja podjęła działania naprawcze.

Często mają też zaplanowaną narrację, aby komuś dopiec lub kogoś wybielić. A przecież ich rolą jest przedstawienie selektywnie wiedzy oraz informacji, a nie tworzenie kontekstu pod dane zdarzenie. 

Czego powinno być mniej, a czego więcej?

Mniej jednostkowego opisywania ataków DDoS, niepotwierdzonych „przecieków” z dark webu, spekulacji o „prawdopodobnych sprawcach” bez dowodów oraz szczegółów technicznych podatności przed wypuszczeniem patchy.

Więcej opisywania systemowych zaniedbań w bezpieczeństwie instytucji publicznych, braku compliance’u (zgodności - przyp. red.) z regulacjami (NIS2/UoKSC), skandalicznie słabej ochrony danych osobowych w sektorze medycznym i edukacyjnym czy kompletnego brak przygotowania polskich JST na cyber-zagrożenia.

Media powinny nagłaśniać skandale związane z brakiem podstawowych zabezpieczeń, np. gdy szpital ma dane pacjentów na serwerze bez backupu, gmina nie ma planu reagowania na incydenty czy krytyczna infrastruktura wodna działa na Windowsie XP.

Zawsze warto skontaktować się z jednostką przed wypuszczeniem materiału w celu sprawdzenia czy nie jest to wina poprzedniego zarządu lub sabotażu wewnętrznego. 

Jakich treści związanych z cyberbezpieczeństwem zdecydowanie brakuje w Polsce?

Brakuje edukacji cyfrowej dla osób starszych - jak rozpoznać phishing, fake news, oszustwa na „wnuczka”. Media skupiają się na spektakularnych atakach na korporacje, ignorując miliony Polaków tracących oszczędności przez podstawowe oszustwa internetowe.

Nie ma analiz regulacyjnych - NIS2/UoKSC wchodzi w życie, a 90% podmiotów kluczowych nie wie, co to oznacza dla ich biznesu. Desperacko potrzebujemy praktycznych poradników zamiast clickbaitowych tytułów - jak zabezpieczyć firmę, jak reagować na incydent, gdzie szukać pomocy.

O czym milczeć?

Jakich informacji nie powinno się publikować, aby nie ułatwiać zadań adwersarzy lub nie wspomagać ich działań?

Bezwzględnie nie publikować: szczegółów architektur sieciowych infrastruktury krytycznej, konkretnych wersji i konfiguracji systemów OT/SCADA, lokalizacji fizycznych urządzeń kontrolno-pomiarowych oraz danych dostępowych, nawet częściowych (screenshoty z loginami/IP).

Nie powinno się podawać dokładnego zakresu wycieku przed poinformowaniem wszystkich ofiar: dajemy czas cyberprzestępcom na wykorzystanie danych zanim ludzie zdążą się zabezpieczyć. Unikajmy publikowania metod i narzędzi użytych w ataku. Nie wolno tworzyć naśladowców lub wspierać ataki, które były bardzo proste do przeprowadzenia.

Jakie pytania powinni zadać sobie dziennikarze, wydawcy i redaktorzy naczelni przed publikacją artykułu o cyberataku?

„Czy zweryfikowałem informację w co najmniej dwóch niezależnych źródłach?”

Posty na Telegramie/DarkWeb to nie źródło, wypowiedź CERT/organu regulacyjnego to źródło. Ale czy ktoś się chce wypowiadać? To już jest problem…

„Czy moja publikacja może zwiększyć szkody dla ofiar ataku lub ułatwić kolejne ataki?”

Test „public interest vs. public harm” (porównanie interesu społecznego wobec potencjalnych szkód - przyp. red.).

„Czy wyjaśniłem czytelnikom, co konkretnie powinni zrobić?”

Alarmowanie bez instrukcji to jałowa panika.

Dobór źródeł

Z jakich źródeł mogą korzystać media pod kątem sprawdzonych informacji o incydentach?

„Poziom Pierwszy”: CERT Polska i CSIRT NASK to podstawa - publikują potwierdzone incydenty z technicznymi wskaźnikami kompromitacji (adresy IP, hashe plików, domeny wykorzystane w ataku). CSIRT MON dla spraw obronności. UODO wydaje komunikaty o wyciekach danych zgodnie z RODO - to oficjalne potwierdzenie, że incydent faktycznie miał miejsce i został zgłoszony.

„Poziom Drugi”, czyli raporty firm specjalizujących się w cyberbezpieczeństwie: ESET (mocni w analizie grup APT z Europy Wschodniej), Kaspersky (dogłębna analiza malware i zagrożeń dla systemów przemysłowych), CrowdStrike, Mandiant.

Czego bezwzględnie unikać?

Anonimowych postów na Telegramie/Discordzie bez dowodów. Łatwo sfabrykować screenshot „leaked database” (wyciek bazy danych - przyp. red.).

Fora typu 4chan/8kun - zero odpowiedzialności, często dezinformacja. Uważajmy też na „ekspertów” bez weryfikowalnego CV - sprawdź czy faktycznie pracują/pracowali w branży, publikowali analizy czy np. wykryli luki bezpieczeństwa.

Złota zasada: lepiej opublikować dzień później z prawdą, niż pierwszym z fake newsem.

Ataki na wodociągi i kanalizacje

Czym różnią się zagrożenia w sektorze wodno-kanalizacyjnym od tradycyjnych ataków IT oraz jak powinno wyglądać informowanie o takich incydentach?

Kluczowa różnica to IT kontra OT (operational technology). Atak na bank - kradną dane, blokują komputery. Atak na oczyszczalnię wody - mogą zatruć wodę pitną dla dziesiątek tysięcy ludzi. To nie jest ta sama kategoria zagrożenia.

Załóżmy, że haker przejmuje kontrolę nad stacją uzdatniania i zmienia dawkowanie chloru. Za duża dawka to trucizna, za mała spowoduje wystąpienie bakterii w wodzie.

Wyłączenie pompy kanalizacyjnych może powodować zalane ulice, ścieki w rzekach czy katastrofę ekologiczna. Manipulowanie czujnikami jakości wody może skutkować tym, że nikt nie wie, że coś jest nie tak, aż ludzie zaczną chorować. W IT tracisz dane. W OT tracisz zdrowie i życie ludzi.

Dlaczego sektor wodno-kanalizacyjny jest szczególnie zagrożony?

Systemy działają 24/7 przez dekady - nie można ich „po prostu zaktualizować” jak komputera w biurze, bo to oznacza przerwę w dostawie wody. Sprzęt legacy (pol. i dosł. przestarzały - przyp. red.) bez wsparcia producenta - nikt nie wypuszcza już patchy bezpieczeństwa na sterowniki z 2005 roku.

Brakuje segmentacji sieci - często cała instalacja jest w jednej sieci z Internetem. Jak „przestrzelisz” jeden komputer, masz dostęp do wszystkiego. Personel to inżynierowie wodno-kanalizacyjni, nie specjaliści IT - nikt ich nie uczył cyberbezpieczeństwa. Budżety gminne ledwo starczają na utrzymanie infrastruktury, o inwestycjach w cyberbezpieczeństwo nikt nie myśli.

Pamiętajmy: to zawsze sprawa bezpieczeństwa narodowego

Incydent w oczyszczalni to nie „ciekawostka technologiczna” na 3 minuty w wiadomościach. To potencjalny scenariusz terrorystyczny, sabotaż, atak sponsora lub kolejny duży incydent który może być zamieciony pod dywan - lub jak to woli - spuszczony w kanał :)

Dziękuję za rozmowę.