W 2025 nie będzie odpoczynku w cyberbezpieczeństwie

Pożegnanie starego i przywitanie nowego roku kalendarzowego skłania do podsumowywania ostatnich 12 miesięcy. Na łamach CyberDefence24 pytamy ekspertów branży cyberbezpieczeństwa i nowych technologii o to, jakie ich zdaniem największe wyzwania czy najpoważniejsze incydenty miały miejsce w ostatnim roku, a także o trendy i przewidywania na najbliższe cztery kwartały.

Odpowiedzi udzieliła nam prof. ucz. dr hab. inż Agnieszka Gryszczyńska, dr hab. nauk prawnych, inżynier informatyk, profesor uczelni w Katedrze Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie, dyrektor Departamentu ds. cyberprzestępczości i informatyzacji w Prokuraturze Krajowej, a także członkini Rady ds. Cyfryzacji.

Jest również prelegentką licznych konferencji krajowych i międzynarodowych oraz autorką publikacji poświęconych prawnym aspektom informatyzacji, rejestrom publicznym, ochronie danych osobowych, tajemnicom prawnie chronionym oraz cyberprzestępczości i cyberbezpieczeństwu.

Paweł Makowiec, CyberDefence24: Jak podsumowałaby oani rok w branży cyberbezpieczeństwa i nowych technologii?

Prof. ucz. dr hab. inż. Agnieszka Gryszczyńska: Na pewno 2024 rok był bardzo intensywny – zarówno jeśli chodzi o ilość i skutki incydentów i cyberprzestępstw, jak również nowe regulacje, których celem było zwiększenie cyberbezpieczeństwa. 

W 2024 r. odnotowano jeszcze więcej incydentów bezpieczeństwa niż w 2023 r. Liczba incydentów zarejestrowanych tylko przez CSIRT NASK przekroczyła 100 tys. Wzrosła również liczba postępowań karnych zarejestrowanych w prokuraturze (w 2024 r. w prokuraturze zarejestrowano ponad 1 mln wszystkich postępowań przygotowawczych), zwiększyła się również liczba zarejestrowanych spraw, które można zaliczyć do cyberprzestępczości. Wśród incydentów i cyberprzestępstw w 2024 r. dominowały te, które określić można jako oszustwa (art. 286 § 1 k.k.) i oszustwa komputerowe (art. 287 § 1 k.k.), choć nie zabrakło również naruszeń poufności, skutkujących poważnymi wyciekami danych (art. 267 § 1 k.k.)

Wzrost liczby incydentów i cyberzagrożeń skłania prawodawców do wprowadzania nowych regulacji odnoszących się zarówno do zapewniania cyberbezpieczeństwa, jak również ochrony osób korzystających z sieci i systemów informacyjnych. Obszar ten w ostatnich latach podlega intensywnej jurydyzacji na poziomie UE (NIS, NIS2, EECC, CER, CRA, CSA, DORA, AI Act, eIDAS2, MiCA) oraz krajowym.

Nowe regulacje i przygotowania do wdrożenia rozporządzeń

Jakie najważniejsze zmiany przyniosły ostatnie 12 miesięcy?

W Polsce 2024 r. to kolejny rok oczekiwania na nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, która wdrażać ma dyrektywę NIS 2. Trwają również prace nad ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa. Z długo oczekiwanych regulacji – 9 listopada 2024 w życie weszło Prawo komunikacji elektronicznej, które zastąpiło ustawę Prawo telekomunikacyjne. W 2024 roku weszły również w życie kolejne przepisy przyjętej w 2023 roku ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, nakładające na przedsiębiorców telekomunikacyjnych m.in. obowiązek blokowania wiadomości SMS zawierających określone nadpisy czy wdrożenia mechanizmów przeciwdziałających CLI spoofingowi. 

W 2024 r. przyjęto również nowe, istotne dla cyberbezpieczeństwa i nowych technologii regulacje na poziomie UE. Są to rozporządzenie o cyberodporności (CRA) oraz rozporządzenie o sztucznej inteligencji. 

W obszarze zwalczania cyberprzestępczości 24 grudnia 2024 r. Zgromadzenie Ogólne ONZ przyjęło nową konwencję Narodów Zjednoczonych przeciwko cyberprzestępczości, której celem jest wzmocnienie współpracy międzynarodowej w celu zwalczania cyberprzestępczości i efektywnego zabezpieczania dowodów cyfrowych. 

Dla wielu podmiotów 2024 r. był bardzo pracowity z uwagi na konieczność przygotowania się do stosowania od 17 lutego 2024 rozporządzenia DSA (Akt o usługach cyfrowych), czy przygotowania się do stosowania od 17 stycznia 2025 r. rozporządzenia DORA (mającego na celu wzmocnienie cyfrowej odporności operacyjnej sektora finansowego poprzez ujednolicenie i wzmocnienie wymagań dotyczących cyberbezpieczeństwa w całym sektorze finansowym UE).

Na pewno w 2025 r. w sektorze cyberbezpieczeństwa zarówno podmioty odpowiedzialne za zapewnianie cyberbezpieczeństwa, jak i zwalczanie cyberprzestępczości nie będą mogły liczyć na odpoczynek.
prof. Agnieszka Gryszczyńska

Co okazało się być największym wyzwaniem w 2024 roku w branży cyberbezpieczeństwa w Polsce?

Implementacja dyrektywy NIS 2. Niestety pomimo upływu terminu implementacji dyrektywy 17 października 2024 roku, nadal nie udało się zakończyć prac nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa.

Cyberbezpieczeństwo potrzebuje środków finansowych

Jakie incydenty bezpieczeństwa z 2024 roku wyróżniłaby pani jako kluczowe w skali globalnej oraz w Polsce?

W 2024 r. w Polsce zdecydowanie wyróżniłabym: 

1. wycieki danych medycznych (po wycieku danych z ALAB Laboratoria w 2023 r., 2024 r. przyniósł wyciek danych pacjentów DCG Centrum Medyczne Sp. z o.o. oraz wyciek danych z Polskiej Agencji Antydopingowej (POLADA); 
2. ataki ransomware na podmioty publiczne (w szczególności jednostki samorządu terytorialnego);
3. oszustwa inwestycyjne.

Incydenty w sektorze zdrowia powinny skłonić wszystkich do refleksji nad bezpieczeństwem danych osobowych przetwarzanych często w podmiotach nie zapewniających cyberbezpieczeństwa; przez osoby, dla których cyberbezpieczeństwo nie jest priorytetem i z wykorzystaniem systemów i aplikacji, których wymagania cyberbezpieczeństwa są często obniżane dla zapewnienia wygody i szybkości realizacji zadań w systemie przez użytkowników (to główne wskazywane powody braku uwierzytelnienia dwuskładnikowego). Niewątpliwie pilnych działań wymaga zagwarantowanie należytego poziomu bezpieczeństwa aplikacji gabinetowych stosowanych w szeroko pojętym sektorze zdrowia i podnoszenie kompetencji cyfrowych lekarzy oraz osób mających dostęp do danych pacjentów. 

Ataki ransomware na jednostki samorządu terytorialnego pokazują, że cyberbezpieczeństwo to proces wymagający nie tylko regulacji, ale również środków finansowych jego zapewnienie i odpowiednio przygotowanych kadr. Wynagrodzenie za pracę w sektorze publicznym nadal jest finansowo nieatrakcyjne dla specjalistów z zakresu IT i cyberbezpieczeństwa. Bez odpowiedniego finansowania nie uda się zapewnić cyberbezpieczeństwa jednostkom samorządu terytorialnego. 

Trzecią kategorią incydentów w Polsce, którą chciałabym wyróżnić są szeroko pojęte oszustwa. Codziennie wiele osób zostaje pokrzywdzonych w wyniku działania fałszywych sklepów internetowych, fałszywych platform inwestycyjnych lub prostymi oszustwami na tzw. legendę (ze scenariuszem bazującym na telefonie od pracownika banku czy policjanta). Incydenty z tej kategorii powinny uczyć nas jak ważna jest powszechna edukacja dotycząca aktualnych zagrożeń i scenariuszy wykorzystywanych przez sprawców, poprzedzona ćwiczeniem od wczesnych etapów edukacji szkolnej krytycznego myślenia i weryfikowania informacji. 

Jeśli chodzi o incydenty w skali światowej wskazałabym globalną awarię Crowdstrike Falcon w lipcu 2024 r., która pokazuje jak ważne jest bezpieczeństwo łańcuchów dostaw. Również eksplodujące we wrześniu 2024 r. pagery członków Hezbollahu wskazują na ogromne znaczenie bezpieczeństwa łańcuchów dostaw oraz na skutki kinetyczne cyberataków, o których często zapominamy. 

Co uznałaby pani za najważniejsze wydarzenie w branży w 2024?

Dla mnie, jako prokuratora jest to przyjęcie w dniu 24 grudnia 2024 r. przez Zgromadzenie Ogólne ONZ nowej konwencji Narodów Zjednoczonych przeciwko cyberprzestępczości. Przyjęcie konwencji wieńczy kilka lat również mojego intensywnego zaangażowania w prace komitetu Ad Hoc ONZ, który wypracował finalny tekst konwencji. Konwencja zostanie otwarta do podpisu w 2025 r. 

Kilkuletnie prace nad konwencją ONZ były również doskonałą okazją do propagacji wiedzy o Konwencji Rady Europy o cyberprzestępczości, dzięki czemu do konwencji tej przystąpiły kolejne kraje, dając również polskim organom ścigania możliwość szybkiego zabezpieczenia i pozyskania danych niezbędnych do ustalenia i pociągnięcia do odpowiedzialności karnej sprawców cyberprzestępstw.

2025: zagrożenia dla sektora zdrowia oraz infrastruktury krytycznej

Jakie najważniejsze trendy wskazałaby pani na nadchodzący 2025 rok?

Na pewno krajobraz cyberzagrożeń nie zmieni się znacząco. To co było, będzie. Nieustannie zmieniają się scenariusze socjotechniczne, a sprawcy dostosowują się do wydarzeń geopolitycznych. Na pewno powinniśmy zwiększyć czujność w związku z wyborami prezydenckimi czy Polską prezydencją w Radzie Unii Europejskiej. Nadal w związku z trwającą wojną w Ukrainie występować będą zagrożenia hybrydowe i związane z dezinformacją.

Ostatnie incydenty związane z atakami na łańcuchy dostaw pokazują, że ten wektor może być coraz szerzej eksploatowany przez bardziej zaawansowanych adwersarzy. Zwracam również uwagę na zagrożenia dla infrastruktury krytycznej.
prof. Agnieszka Gryszczyńska

Z niepokojem patrzę również na sektor zdrowia – dane medyczne mają dużą wartość, zatem należy spodziewać się kolejnych incydentów związanych z wyciekami, przejmowaniem kont lekarzy, wykorzystywaniem danych pacjentów do generowania fałszywych recept służących następnie do pozyskiwania przez przestępców refundowanych leków, celem ich dalszej odsprzedaży. 

Jaką decyzję z 2024 roku można było podjąć inaczej?

Mam zdecydowany niedosyt związany z nowo przyjętym Prawem Komunikacji Elektronicznej i brakiem zmian w ustawie o świadczeniu usług drogą elektroniczną. Nadal mamy lex imperfecta w zakresie rejestracji kart SIM na fikcyjne dane lub dane wyciekowe, oraz dopuszczenia obrotu zarejestrowanymi kartami SIM. 

Wobec braku nałożonych na podmioty świadczące usługi drogą elektroniczną obowiązków gromadzenia określonych danych (logów) z ustalonego okresu (np. odpowiadającego okresowi retencji danych telekomunikacyjnych), organy ścigania często nie mają możliwości pozyskania danych, które pozwalają na weryfikację czy doszło do włamania np. do konta poczty elektronicznej zawiadamiającego pokrzywdzonego i ustalenia, kim jest włamywacz.

Sztuczna inteligencja w rękach przestępców

Jak AI zmieniła dziedzinę, którą pani się na co dzień zajmuje?

Ponieważ sprawcy cyberprzestępstw chętnie wykorzystują nowe technologie do automatyzacji działań czy ukrywania własnej tożsamości, nie powinno zaskakiwać coraz częstsze wykorzystywanie przez nich sztucznej inteligencji. ENISA wśród TOP 10 pojawiających się zagrożeń cyberbezpieczeństwa na rok 2030 identyfikuje nie tylko nadużycia sztucznej inteligencji, ale także zagrożenia, które mogą być spowodowane lub ułatwione przez złośliwe wykorzystanie AI, takie jak np. zaawansowane kampanie dezinformacyjne czy ataki ukierunkowane, wzmocnione przez dane z inteligentnych urządzeń. W raporcie z 2024 r., ENISA wskazuje w szczególności, że do 2030 roku sprawcy powszechnie będą wykorzystywać technologię deepfake. 

Sztuczna inteligencja już teraz jest wykorzystywana w klasycznych atakach – zarówno w socjotechnice, jak również jako środek wspomagający cyberprzestępczość i ułatwiający ataki. We wspomnianych już incydentach związanych z fikcyjnymi inwestycjami w 2023 i 2024 r. pojawiły się również scenariusze, w których nakłaniano do inwestowania w sztuczną inteligencję lub wykorzystania sztucznej inteligencji do optymalizacji inwestycji. Sprawcy tworzyli również deepfake - to jest zmanipulowane nagrania wywołujące u ofiary przekonanie o legalności i skuteczności inwestycji, z uwagi na zaufanie jakie budzi w ofiarach osoba, pod którą sprawcy się podszyli – polityk, sportowiec, przedsiębiorca czy celebryta, którzy sami odnieśli sukcesy finansowe. 

Sprawcy dostosowują również modele AI do swoich potrzeb, czego najlepszym przykładem są takie narzędzia jak np. FraudGPT, które są w stanie tworzyć poprawne treści wiadomości phishingowych w dowolnym języku, proponować scenariusze oszustwa w zależności od okoliczności, uczyć prowadzenia ataków, w tym budowania i publikowania stron phishingowych, czy w końcu tworzyć złośliwe oprogramowanie. 

Obserwując aktualne ataki i prognozując trendy należy spodziewać się coraz częstszego np. wykorzystania deepfake w ataku określonym jako CEO fraud z jednoczesnym wykorzystaniem podszycia się pod numer telefonu pokrzywdzonego (CLI spoofing). Ataki inżynierii społecznej będą ewoluować w kierunku automatycznie generowanych spersonalizowanych treści. Rozwój przestępczych narzędzi stanowiących odpowiednik dla ChatGPT ułatwi generowanie mniej technicznym sprawcom wiadomości w różnych językach dla tzw. modelu oszustw nigeryjskich, a wykorzystanie chatbotów zautomatyzuje ataki określane jako „Love Scam” czy „Romance Scam”

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].