Zagrożenia w cyberprzestrzeni. Prognozy nie pozostawiają złudzeń

Ukazał się raport Pełnomocnika Rządu ds. Cyberbezpieczeństwa za 2023 rok. To pierwszy tego typu dokument, który kompleksowo opisuje sytuację w cyberprzestrzeni w ostatnich miesiącach – do tej pory ukazywały się publikacje CSIRT-ów (to Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego) w formie indywidualnych materiałów każdego z nich.

W czasie czwartkowej konferencji prasowej na której byliśmy obecni, wicepremier i minister cyfryzacji Krzysztof Gawkowski i wiceminister Paweł Olszewski ogłosili, że będzie on dostępny publicznie - poza załącznikami objętymi klauzulą tajności. Tak też się stało.

Coraz większa wroga aktywność

Przypomnijmy, że zgodnie z obowiązującą ustawą o krajowym systemie cyberbezpieczeństwa z 2018 roku (która ma być nowelizowana, o czym pisaliśmy w tym materiale) Pełnomocnik Rządu ds. Cyberbezpieczeństwa odpowiada za koordynowanie działań i realizowanie polityki rządu w zakresie zapewnienia cyberbezpieczeństwa w Rzeczypospolitej Polskiej. Tę funkcję (obok urzędu wicepremiera i ministra cyfryzacji) pełni Krzysztof Gawkowski.

Jak czytamy we wstępie, rząd ocenia, że „poziom zagrożeń w cyberprzestrzeni w skali globalnej w 2023 roku utrzymywał się na wysokim poziomie, co powodowało również tę samą sytuację w Polsce. Wzrastała aktywność różnego rodzaju grup prowadzących nielegalne działania w świecie cyfrowym, począwszy od haktywistów, przez grupy cyberprzestępcze o charakterze zarobkowym, po grupy powiązane z innymi państwami lub wręcz bezpośrednio działające w ramach instytucji państw-adwersarzy (APT)” – wskazano.

Jak zaznaczono, w kolejnych latach trend stale zwiększającej się skali cyberataków zapewne ulegnie wzmocnieniu. „Ataki APT sponsorowane przez wrogie państwa mogą charakteryzować się długotrwałym działaniem, wykorzystaniem zawansowanych narzędzi, technologii i wiedzy atakujących. Są one zaawansowane, trudne do wykrycia, a właściwa reakcja na nie wymaga wielowarstwowych środków bezpieczeństwa oraz fachowej wiedzy pracowników komórek odpowiedzialnych za cyberbezpieczeństwo i działów IT” – czytamy w raporcie Pełnomocnika.

Brak specjalistów i poważne problemy

Jako bardzo ważne ryzyko, które może wpływać na polski krajobraz cyberprzestrzeni zidentyfikowano brak wykwalifikowanej kadry oraz obciążenie - już istniejącej - wieloma obowiązkami: może to doprowadzić do przełamania w pewnym momencie całego systemu zabezpieczeń.

Dodatkowo wpływ na pogorszenie się sytuacji w regionie i na świecie ma w oczywisty sposób wojna za wschodnią granicą, rosnąca liczba systemów (i zmniejszająca się liczba administratorów oraz często nieadekwatne do potrzeb zasoby finansowe w niektórych instytucjach), co może mieć poważne konsekwencje - nie tylko dla pojedynczych podmiotów, ale i w wymiarze narodowym.

„Stale rosnące, niekiedy wyjątkowo dynamicznie koszty zakupu, utrzymania i rozbudowy infrastruktury bezpieczeństwa są trudne do udźwignięcia przez poszczególne jednostki sektora finansów publicznych. Dlatego też konieczne są dalsze działania wzmacniające Krajowy System Cyberbezpieczeństwa, koordynowanie działań, zwiększanie potencjału instytucji w zakresie cyberbezpieczeństwa, tak na szczeblu centralnym, jak we wszystkich podmiotach systemu, oraz zapewnienie odpowiednich środków finansowych na rozwój osobowy i techniczny” - uważa Pełnomocnik rządu ds. cyberbezpieczeństwa.

Dodatkowymi zagrożeniami są również: nieustannie trwający konflikt w cyberprzestrzeni, wojna Rosji z Ukrainą, działania hybrydowe Rosji, Białorusi i innych państw wymierzone w Polskę (oraz w ogóle - w Zachód), wojny technologiczne (np. wojna o chipy); dynamiczna digitalizacja.

Jako istotne dla cyberbezpieczeństwa wymieniono takie nowe technologie, jak sztuczna inteligencja, rozwiązania chmurowe, duże zbiory danych, informatyka kwantowa, środki łączności nowych generacji.

CSIRT NASK: 371 089 zgłoszeń cyberzagrożeń

W raporcie czytamy - co opisujemy na bieżąco na łamach CyberDefence24 - że w 2023 r. Polska nadal była celem licznych cyberataków, w tym operacji prowadzonej przez służby wrogich państw. Ich celem było pozyskanie informacji, rozpoznanie systemów (na potrzeby przyszłych ataków); zakłócenie infrastruktury krytycznej, szerzenie dezinformacji i pogłębianie polaryzacji społecznej.

W ramach Krajowego Systemu Cyberbezpieczeństwa działają trzy CSIRT-y: NASK (prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy); CSIRT GOV - prowadzony przez Szefa Agencji Bezpieczeństwa Wewnętrznego oraz CSIRT MON - prowadzony przez Ministra Obrony Narodowej.

Spójrzmy na dane, jakimi podzielił się CSIRT NASK. Przypomnijmy, że to właśnie tam wszyscy obywatele i podmioty (firmy, instytucje itd.) mogą zgłaszać podejrzenie oszustwa (np. fałszywe domeny, phishing czy smishing – fałszywe SMS-y). CERT Polska zajmuje się monitorowaniem polskiej cyberprzestrzeni, informowaniem o podatnościach i reagowaniem.

W 2023 roku zarejestrowano 371 089 zgłoszeń dot. zagrożenia cyberbezpieczeństwa, a obsłużono (czyli były to realne incydenty) – 80 267. To dwa razy więcej w porównaniu do poprzedniego roku, o czym pisaliśmy jako pierwsi w tym materiale. Wciąż dominuje phishing - wynikało z naszych informacji.

W tym poważnych incydentów wystąpiło 40; w podmiotach publicznych zdarzyły się 2184. 31 zdarzeń dotyczyło sektora bankowości i rynków finansowych; 9 – ochrony zdrowia.

Dodatkowo osobno zarejestrowano incydenty związane z publikacją potencjalnie nielegalnych treści w internecie (np. przedstawiających seksualne wykorzystywanie dzieci), ich rejestracją zajmuje się zespół Dyżurnet.pl, który od 1 stycznia do 31 grudnia 2023 roku zanotował 18 437 takich przypadków.

Przypomnijmy, że - dla porównania - w 2022 rokuzgłoszono 322 tys.  incydenty bezpieczeństwa, co stanowiło wtedy wzrost o 178 proc. rok do rok. Liczba obsłużonych incydentów wynosiła dokładnie 39 683 (to realne incydenty spośród powyższych zgłoszeń – red.); 30 z nich stanowiło poważne, a 937 dotyczyły podmiotów publicznych.

Profesjonaliści, czyli grupy APT

Dodatkowo zespół CERT Polska obserwuje znaczne nasilenie aktywności grup APT (Advanced Persistent Threat), często wiązanych z obcymi państwami. Większość tych aktywności jest motywowana pozyskiwaniem informacji z zaatakowanych systemów i pochodzi z Rosji.

Grupy APT zajmowały się także działaniami dezinformacyjnymi

Działania dezinformacyjne podejmowane także przez grupy APT nie powinny być zaskoczeniem, zważając na wybory parlamentarne w 2023 roku. CSIRT NASK zaobserwował m.in. atak na systemy informacji w wybranych centrach handlowych, gdzie wyświetlono plansze z fałszywymi informacjami. Następnie aktywność grupy UNC1151 znacznie zmalała.

Nowa jednostka: Centrum Cyberbezpieczeństwa NASK

W czasie czwartkowej konferencji ogłoszono plan powstania Centrum Cyberbezpieczeństwa NASK (CCN), co potwierdzono również w raporcie.

Założeniem ma być „podniesienie poziomu bezpieczeństwa informacji poprzez wzmacnianie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych państwa oraz podmiotów, które mają kluczowe znaczenie dla gospodarki”. Więcej szczegółów jednak nie przedstawiono, poza stwierdzeniem na konferencji, że „pojawią się w ciągu kilku tygodni”.

CSIRT Polska. Plany na 2024

Z planów przedstawionych na 2024 rok wynika, że CSIRT NASK będzie kontynuował współpracę krajową i międzynarodową w zakresie monitorowania działań grup APT (wraz z CSIRT GOV I CSIRT MON oraz z partnerami komercyjnymi).

Rozwijany będzie system Artemis, który wykrywa najczęstsze podatności i błędy konfiguracyjne, obecne w ramach usług sieciowych (więcej o rozwiązaniu pisaliśmy w tym materiale).

NASK ma też rozwijać platformę n6, która służy do zbierania informacji o wykrytych zagrożeniach i podatnościach.

CERT Polska nadal będzie współtworzyć bazę podatności poprzez nadawanie numerów CVE (służacych do identyfikacji i katalogowania publicznie ujawnionych podatności).

To jednak nie wszystko: w zakresie działania instytucji ma wciąż znajdować się edukacja w zakresie cyberbezpieczeństwa, higieny cyfrowej, podnoszenia świadomości obywateli w kwestii cyberzagrożeń, a także opracowania rekomendacji i zaleceń dotyczących występujących podatności.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].