Wojna w sieci. Płk Jędrzejczak: „Jej koniec nigdy nie nastąpi”

W czasie III edycji konferencji Cyber24 Day, organizowanej przez naszą redakcję, w panelu otwierającym wydarzenie eksperci rozmawiali o tym, jak wojna w Ukrainie zmieniła strategię i taktykę państw pod kątem cyberbezpieczeństwa, jakie rozwiązania do tej pory sprawdziły się w warunkach wojennych oraz jakie wnioski możemy już teraz wyciągnąć z wojny w Ukrainie.

W dyskusji wzięli udział: płk Łukasz Jędrzejczak, zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni; płk Łukasz Wojewoda, dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów; dr hab. Aleksandra Gasztold, profesor uczelni Uniwersytetu Warszawskiego; Nikodem Bończa Tomaszewski, prezes zarządu EXATEL S.A; dr Krzysztof Malesa, członek zarządu i dyrektor ds. strategii bezpieczeństwa w Microsoft Polska; Paweł Dobrzański, Tribe Lead T-Mobile Polska oraz Piotr Uzar, kierownika działu systemów IT z firmy Averbit.

Pułkownik Łukasz Jędrzejczak, zastępca Dowódcy Komponentu Wojsk Obrony Cyberprzestrzeni, stwierdził na samym początku, że „ta wojna jest wyjątkowa, bo mówi się o niej w mediach coraz więcej, ale wciąż są kwestie, o których nie można rozmawiać ze względu na fakt, że są to informacje niejawne”.

Polskie cyberwojska były wśród sygnatariuszy porozumienia polsko-ukraińskiego o współpracy w zakresie cyberbezpieczeństwa, podpisanego w sierpniu br. Wiceszef DK WOC objaśnił, że ze strony Komponentu uczestniczył w podpisaniu tego porozumienia.

„To porozumienie nie tylko wojskowe, ale przede wszystkim całego polskiego rządu, element wojskowy jest tylko jednym z jego składników. Oczywiście MON, a w szczególności DKWOC, ma w tym swój wymiar – chodzi o płynne przekazywanie sobie informacji, o walkę z dezinformacją. Ta wojna jest wyjątkowa, ponieważ dzieje się także w mediach, jest inna od wszystkich poprzednich konfliktów, które znaliśmy. Dla naszego adwersarza – Rosji – wojna informacyjna jest ponad wojną w cyberprzestrzeni. Tzn. domena informacyjna to ich kolejna domena konfliktu, której składnikiem jest tylko cyberprzestrzeń” - podkreślił płk Łukasz Jędrzejczak.

Jak działa w praktyce CHARLIE-CRP?

Z kolei płk Łukasz Wojewoda, dyrektor Departamentu Cyberbezpieczeństwa w Kancelarii Prezesa Rady Ministrów, opowiedział, jak w praktyce wyglądają procedury w czasie wojny za naszą granicą, z perspektywy polskiej administracji. Przypomniał, że nadal obowiązuje stopień alarmowy CHARLIE-CRP.

„CHARLIE-CRP to obraz tego, że my, jako państwo, jako aparat, który odpowiada przede wszystkim za bezpieczeństwo obywateli potrafimy działać nie tylko reaktywnie, ale również aktywnie. Wprowadziliśmy CHARLIE-CRP jeszcze zanim rozpoczęła się zbrojna agresja na Ukrainę. Jeszcze wcześniej mieliśmy wprowadzony stopień BRAVO. Z poziomu strategicznego, przygotowywaliśmy się do najgorszego dużo wcześniej. To pokazuje, że potrafimy współpracować wewnętrznie, ale także międzynarodowo – cyberprzestrzeń wiemy przecież, że nie ma granic” - zaznaczył dyrektor Departamentu Cyberbezpieczeństwa w KPRM.

Dodał, że „pojawiły się głosy, iż powinniśmy zakończyć CHARLIE-CRP, ponieważ to obciążenie dla zasobów osobowych”. Podkreślił jednak, że to świetna okazja, by de facto przećwiczyć procedury działania.

„Teraz – kiedy nie jesteśmy głównym celem kampanii Rosji – mamy świetną okazję, aby w instytucjach, w których stopień alarmowy jest obowiązkiem mieć czas, by te zasoby uzupełnić, by poprawić procedury. (...) Każda instytucja, która zgłasza do nas swoje zastrzeżenia, rozumiem ją – bo z tymi samymi problemami mierzy się KPRM, ale powtarzam: jeśli nie zrobimy tego teraz, to spokojniejszego czasu nie będzie” – zauważył.

Odniósł się także do pytania redaktor naczelnej Nikoli Bochyńskiej dotyczącego argumentu podnoszonego przez przeciwników utrzymywania przez tygodnie CHARLIE-CRP, że prowadzi to do „uśpionej czujności osób odpowiedzialnych za cyberbezpieczeństwo państwa”.

„Uważam, że dobrego wyjścia z tej sytuacji nie ma. Jeśli chcemy utrzymywać gotowość sił, które będą odpowiedzią na zagrożenie w cyberprzestrzeni, to nie możemy zrezygnować z takiego poziomu. Nie do mnie należy ocena czy stosowny stopień jest odpowieni, to ustawa przewiduje odpowiednią procedurę. (...) Jeśli w danej komórce brakuje zasobów, by zapewnić dobre działanie pionów cyber, jeśli nie mamy zasobów, to z mojej strony pozostaje apel do kierowników tych jednostek. Ja jestem w tej samej sytuacji – w KPRM też wypełniamy te zadania, udało nam się, by zespoły działały 24 godziny na dobę. Wydaje mi się, że to kwestia organizacyjna” - ocenił płk Łukasz Wojewoda.

Jak w praktyce działa stopień alarmowy CHARLIE-CRP? O tym ze swojej perspektywy opowiedział prezes zarządu firmy EXATEL SA. Nikodem Bończa-Tomaszewski.

„Narastającą falę aktywności w cyberprzestrzeni obserwowaliśmy właściwie od jesieni ubiegłego roku, narastającą falę zdarzeń w cyber. Obecnie można już powiedzieć, że było to preludium do ataku w lutym tego roku. Wojna uświadomiła nam prawdy, które są oczywiste, ale kiedy się urzeczywistniają, to stają się jeszcze bardziej oczywiste. Nawiązaliśmy współpracę roboczą z operatorami ukraińskimi, między innymi z Kyivstar. Miała ona charakter pomocy, uczestniczyliśmy z innymi partnerami z Polski i z zagranicy w projekcie, który zapewnił możliwość sterowania siecią z Polski i Czech w przypadku zniszczenia centrali w Kijowie. To był technologicznie bardzo ciekawy projekt, bo dzięki temu wszyscy mogli zobaczyć jak jest to realizowane, gdyby zaszła taka potrzeba w stosunku do ich własnej sieci. Na szczęście takiej potrzeby nie było i backup nie był potrzebny. Obserwowaliśmy jednak ich doświadczenia, widzieliśmy na co powinniśmy być przygotowani” - opisał Nikodem Bończa-Tomaszewski.

Jak dodał, EXATEL z racji faktu, że jest głównym dostawcą usług telekomunikacyjnych dla całego sektora bezpieczeństwa i obronności w Polsce, musi być przygotowany na każdą sytuację.

„Natomiast wojna pokazała, że realnie chodzi o to, aby fizycznie utrzymać sieć w działaniu, na którą nieustannie przeprowadzane są ataki” - zaznaczył.

„Dziwna wojna”

O swojej perspektywie opowiedział również Paweł Dobrzański, Tribe Lead T-Mobile Polska, który przypomniał, że kilka miesięcy temu doszło do ataku na Slovak Telekom.

„To był ransomware, w związku z tym firma na tydzień została >>cofnięta do epoki liczydła<<. To jest wojna, tak ją rozumiem. Natomiast w tym przypadku nie mamy z tym do czynienia. Przy takim potencjalne, jakim dysponuje wywiad, przy tym, że wrogiem jest obce państwo; zdobycie uprawnień na poziomie operacyjnym jest możliwe i przeprowadzenie takich ataków jest możliwe. Nie widzimy ich. Przykład: w niedzielę następuje seria ataków DDoS na naszą infrastrukturę, która sięga prawie 1 Tb na sekundę. To jest prawie jak >>bomba atomowa w cyberprzestrzeni<<, niespotykane ataki jak do tej pory. Nie słyszałem jeszcze, aby taki atak nastąpił” - tłumaczył Paweł Dobrzański.

Podał przykład ataku na praktycznie nieużywaną sieć: „Atak czyni minimalne szkody, z marszu jesteśmy w stanie przejść do normalnego funkcjonowania. To powinno nastąpić w godzinach największego szczytu, wtedy kiedy rzeczywiście użytkownik by to odczuł i skoordynować z jakimś innym atakiem. Tak, jak tu wszyscy siedzimy myślę, że wiedzielibyśmy, jak to zrobić lepiej. Dlatego chcę powiedzieć: to jest dziwna wojna. Wzrost ataków jest po prostu działaniem przestępczym, bo przestępcom łatwo się ukryć w ich skali. Znaczny wzrost ataków jest spowodowany głównie działaniami przestępczymi. Sama wojna i elementy działania Rosjan mają charakter bardziej rozpoznawczy niż destrukcyjny” - ocenił ekspert.

Płk Jędrzejczak ocenił, że Paweł Dobrzański użył właściwego określenia: rozpoznanie.

„Podkreślam: nie wydarzyły się jeszcze blackouty, miasta nie zgasły, nie mamy takiej pewności, że się to nie wydarzy. Cztery razy więcej ataków zaobserwowaliśmy w sieciach chronionych w MON podczas wojny niż w ubiegłym roku w analogicznym okresie. Mówię tu o poważnych atakach, z których skutkami poradziliśmy sobie dzięki działaniom naszych zespołów. Koniec wojny w cyberprzestrzeni nie nastąpi nigdy. Eskalacja może się jeszcze wydarzyć. Trafnym wyrażeniem jest >>bomba atomowa<<. Eksperci od cyberbezpieczeństwie czekają, aż w tym konflikcie, gdy zostanie odpalona >>cyber bomba atomowa<< i jak ona będzie wyglądać. Mamy nadzieję, że krajowy system cyberbezpieczeństwa sprawi, że to nie Polska stanie się ofiarą tego ataku” - zaznaczył pułkownik.

Zdaniem dr hab. Aleksandry Gasztold, profesor uczelni Uniwersytetu Warszawskiego, „natura wojny pozostaje niezmienna”.

„To środek służący do realizacji polityki zagranicznej konkretnego państwa, na którą wpływają uwarunkowania wewnętrzne i zewnętrzne, subiektywne i obiektywne. Zmieniło się wyłącznie pole bitwy. Zmienia się też pewna symbolika, utrwalana w czasach zimnej wojny, gdzie stosunki między państwami symbolizowały dwie postaci: dyplomatę i żołnierza. Dzisiaj żołnierz to najemnik, sympatyk. Kiedy mówimy o cyberprzestrzeni, to działają różnego rodzaju grupy: szare kapelusze, czarne kapelusze – w zależności od tego, o jakich cyberatakach mówimy – i jeśli spojrzymy na cyberprzestrzeń, to rzeczywiście nie ma żadnych cyberfajerwerków. Nie użyję terminu >>cyberwojna atomowa<<, a raczej >>cyberapokalipsa<< lub >>cyberfajerwerki<<” – stwierdziła.

Według niej dobrym przykład stanowi wojna domowa w Syrii, gdzie były już obecne pewne próby operacji w cyberprzestrzeni.

„Od lutego nic, czego decydenci polityczni, analitycy by się nie spodziewali, nie wydarzyło się. To nie jest zmiana jakościowa. Zmiana jest w innowacyjnych technologiach i w naszym podejściu do budowania odporności. Odporność bez budowania partnerstwa publiczno-prywatnego jest dzisiaj niemożliwa” - zaznaczyła.

Płk Łukasz Wojewoda odniósł się do pojęcia „cyberwojny”, zaznaczając, że osobiście „lubi rozdzielać to, co mamy na myśli, kiedy mówimy o wojnie w formalnym znaczeniu”.

„Formalnie w Polsce nie mamy wojny, a w rozumieniu potocznym jak np. >>toczenie wojny z sąsiadem<< tak. Miejmy jednak na uwadze, jaki ma być wydźwięk tego słowa, kiedy chcemy pokazać, że w cyberprzestrzeni dzieją się rzeczy, które mają negatywny sens. Czy od razu to nazywamy wojną? Miejmy na uwadze, jaki będzie skutek takiego określenia. Jeśli mówimy o wojnie między sobą, to wiemy, co to oznacza. Na arenie międzynarodowej będzie to miało zupełnie inny wydźwięk, skutek. Nie zawsze używanie tego określenia jest właściwe, nie deprecjonując, że cyberprzestrzeń jest kolejną domeną działań operacyjnych. Kiedy mówimy o bezpieczeństwie, cyberodporności, odnosząc się do stanowiska NATO – tam jest to lepiej opisane niż w świecie cywilnym. Tam mówimy o obronie, ataku” - stwierdził.

Kluczowe zabezpieczenie danych

Dr Krzysztof Malesa, członek zarządu i dyrektor ds. strategii bezpieczeństwa w Microsoft Polska, był pytany o słowa prezesa Microsoftu Brada Smitha, który oceniał, że „inwazja Rosji na Ukrainę, to pierwsza w historii poważna wojna hybrydowa”.

„Inaczej patrzy się na sytuację w Europie, a trochę inaczej w Redmond, a trochę inaczej, kiedy mieszka się tutaj i ma się wojnę tuż za swoją granicą. Moim zdaniem cezurą czasową, która była przełomem, jeśli chodzi o bezpieczeństwo w Europie, to okolice szczytu NATO w Newport, aneksja Krymu, Euromajdan – to był moment, kiedy Rosja zaczęła pokazywać pazury. Wtedy zmieniło się bardzo wiele w samej polityce odstraszania i obrony NATO. Pojawiły się prace nad odpornością zupełnie inaczej niż do tej pory zdefiniowaną – te, które są dzisiaj omawiane na wszystkich szczeblach. Dopiero później zdefiniowano działania hybrydowe, co mówię z punktu widzenia globalnego dostawcy, ale też osoby, która zajmowała się bezpieczeństwem. Historia nauczyła nas, że trzeba porzucić pewne mity, którymi do tej pory żyliśmy: działania hybrydowe to nie jest walka wręcz bronią białą, czy wojna konwencjonalna. Niestety, jedynym sposobem na działania hybrydowe jest zbudowanie wcześniejszej odporności na te działania. Żmudna, mozolna praca, która powoduje, że nieprzyjaciel się skompromituje i będzie musiał się wycofać. To widać w wielu aspektach wojny w Ukrainie: jeżeli ktoś był wcześniej odpowiednio zabezpieczony, zgromadził dane w odpowiedni sposób, uporządkował je, to mógł je ewakuować w bezpieczne miejsce np. do chmury obliczeniowej. Odporność trzeba budować wcześniej, kiedy jest na to czas” - powiedział ekspert.

Płk Jędrzejczak odniósł się do tych słów, podkreślając, że: „Przenoszenie danych za granicę miało bardzo duże znaczenie w tej wojnie”.

Jak budować odporność?

W czasie dyskusji odniesiono się również do konieczności budowania świadomości w kwestii odpowiedniego zabezpieczenia danych. Piotr Uzar, kierownik działu systemów IT z firmy Averbit stwierdził, że podejście spółki jest takie, że aby wdrożyć dowolny system dla klienta, trzeba najpierw „wyrównać jego świadomość o cyberbezpieczeństwie”.

„Najpierw szkolimy klienta tak, abyśmy mogli nawiązać z nim nić porozumienia i byśmy rozmawiali o tym samym. Po wybuchu wojny zauważyliśmy znaczny wzrost zainteresowania w kwestii szkoleń – zarówno z zakresu security, jak i monitorowania wydajności. Patrząc na cyberbezpieczeństwo – to element finalny. Skupiamy się na infrastrukturze sieciowej – podstawie hardwareowej. Wtedy tak naprawdę rozwiązanie klasy SIEM (ang. Security Information and Event Management) jest >>parasolem<< nad całością. Jak najbardziej – staramy się wyszkolić naszych klientów z każdej z warstw, które implementujemy” - zaznaczył.

Słowem podsumowania eksperci przedstawili swoje rekomendacje. Nikodem Bończa-Tomaszewski dodał, że „na cyberwojnie jedni zarabiają, a inni tracą”.

„Polska jest po tej stronie, która traci. W większości używamy rozwiązań importowanych z Zachodu. Moim zdaniem niezbędne jest, jeśli mamy utrzymać wysoką odporność w cyberprzestrzeni, żebyśmy rozwijali także własne technologie, wspierali własne start-upy w cyberbezpieczeństwie” - stwierdził.

Piotr Uzar zauważył, że kluczem jest podniesienie świadomości, ale przede wszystkim inwestycja w młodych ludzi. „Padło wiele słów dotyczących rozszerzenia kadry, ale pozyskanie ludzi, którzy się na tym znają nie jest proste, więc zacznijmy szkolić takich ludzi od początku” - ocenił.

Zgodził się z nim Paweł Dobrzański z T-Mobile: „Szkolimy za mało ludzi, a jak wyszkolimy dobrze, to uciekają oni za granicę. Trzeba to jednak powiedzieć: szkolimy nie najlepiej. Osoby, które trafiają do nas świeżo po studiach, trzeba na nowo uczyć” - podsumował.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].