Korea Południowa krajem najbardziej narażonym na cyberataki

Wyniki badań zespołu prof. Subrahmaniana są równie pouczające jak niektóre mankamenty obranej przez niego metodologii. Jedne i drugie skłaniają jednak do wysunięcia ciekawych wniosków i pytań pod adresem decydentów, zwłaszcza w takich krajach jak Polska, która dąży do określenia luk w swym systemie cyberbezpieczeństwa i ich usunięcia.

W ramach prowadzonych badań Subrahmanian korzystał z danych zbieranych przez oprogramowanie Symantec Norton Security. Zespół przenanalizował informacje zebranye w 44 państwach w latach 2010-2011. Zestaw danych, obejmujący 4 miliony hostów, pozwolił uzyskać wgląd w ponad 20 miliardów raportów ze skanowań, które oprogramowanie Norton przeprowadzało w celu wykrycia i neutralizacji złośliwego oprogramowania. Co ciekawe, w toku badania okazało się, że połowa wszystkich komputerów nim objęta nie wykazała żadnych śladów infekcji czy ataków.

Zespół jednakże poczynił dalsze kroki - naukowcy chcieli rozbić dane w odniesieniu do poszczególnych państw. Skorzystali z podstawowego parametru, który służy do pomiaru wrażliwości na atak w cyberprzestrzeni, czyli średniej liczby prób zainfekowania jednego komputera podłączonego do Internetu w danym kraju. Dodatkowo zebrano dane dotyczące odsetka urządzeń, które były na terytorium danego państwa atakowane.

Wedle raportu, najistotniejszy wynik badań dotyczy „rażącego braku zrozumienia cyberwrażliwości i częstotliwości występowania takich nieporozumień”. Wbrew stereotypom, wedle których państwa wysoko rozwinięte, takie jak Stany Zjednoczone Ameryki Północnej, Niemcy czy Francja, są ofiarą największej liczby ataków, okazuje się, że kraje te mogą być uznawane za najbezpieczniejsze. Z kolei wśród państw, w których ryzyko ataku jest najwyższe, znalazły się Korea Południową, Indie, Arabia Saudyjska, Chiny, Malezja i Rosja. Indie i Korea Południowa to kraje, w których stopień podatności na cyberataki uznano za najwyższy. W 2010 r., 82,7 proc. hostów w Indiach padało ofiarą ataków, średnio 17,9 ataków na jeden komputer. W Korei Południowej było to odpowiednio 81,9 proc. hostów ze średnią 15,2 ataków rocznie na jeden komputer. W 2011 r. państwa będące liderami rankingu podatności na cyberataki zamieniły się miejscami, 91,3 proc. hostów południowokoreańskich atakowano średnio 21,6 raza na rok. Te same dane dla Indii wynosiły, odpowiednio, 80,9 proc., ze średnią 19,5 ataków na jedno urządzenie rocznie.

Wśród państw o najwyższym stopniu cyberbezpieczeństwa znalazły się kraje skandynawskie. Stwierdzenie to dotyczy w szczególności Norwegii oraz Danii. W Norwegii 43,7 proc. komputerów padało ofiarą ataków, a średnio 2,87 ataków przypadało na jeden komputer rocznie. W Danii wartości wyżej opisane wynosiły odpowiednio 40 proc. i 3,07 ataków rocznie. W 2011 r. w obu krajach sytuacja znacząco się poprawiła - w Norwegii tylko 36,4 proc. komputerów pracujących w sieci Internet padało ofiarą ataków, a średnia roczna wynosiła około 2,2 ataków na jedno urządzenie, z kolei w Danii było to odpowiednio 35.8 proc. komputerów i 2,28 ataków na jedno urządzenie rocznie. Inne państwa plasujące się w tej najbezpieczniejszej grupie to Finlandia, Szwecja oraz Szwajcaria. Japonia i Niemcy również dostały się do ścisłej czołówki rankingu. Stany Zjednoczone sklasyfikowano na miejscu dziesiątym - atakowane było 55,5 proc. komputerów, a średnia wynosiła 4,9 ataków na jedno urządzenie w 2010 r. W roku 2011 dane przedstawiały się następująco: ofiarą złośliwego oprogramowania padło 48,5 proc. urządzeń, z których każde było celem średnio 3,5 raza w ciągu 12 miesięcy. Polska znalazła się pośrodku grupy 44 przebadanych państw.

Główny wniosek wyciągnięty przez badaczy z wyżej opisanych wyników brzmi następująco: w przeciwieństwie do oczekiwań i założeń, wedle których państwa wysoko rozwinięte są najbardziej narażone na ataki w cyberprzestrzeni, okazało się, że liczba prób ataków jest odwrotnie proporcjonalna do różnorakich wskaźników rozwoju, takich jak PKB per capita, wskaźnik rozwoju społecznego ONZ, czy też dane odnoszące się do służby zdrowia i systemu edukacyjnego.

Powyższy wniosek wydaje się być względnie prawdziwy i z pewnością dotyczy to państw, które w studium określono jako najbardziej zagrożone, jak np. Indie, Rosja, czy Chiny. Jednakże najwyższą pozycje, w odniesieniu do pomiarów własnych badaczy, zajmuje Korea Południowa. Nie jest to państwo rozwijające się. Plasuje się ono na 28. miejscu w globalnym rankingu PKB per capita z 2015 r. Z pewnością nie oznacza to, że Korea Południowa należy do państw najbogatszych, jednak nie została ona w studium sklasyfikowana daleko od państwa, którego PKB jest na poziomie podobnym. Japonia, w rankingu PKB per capita, plasuje się na 24 miejscu. Jednocześnie, jest to kraj, w którym poziom cyberbezpieczeństwa pozwolił na uplasowanie się w ścisłej czołówce siedmiu państw, gdzie poziom zagrożeń w Internecie uznano za najniższy, zgodnie z wynikami studium.  Najciekawsze więc pytanie, jakie można postawić brzmi następująco: Dlaczego te dwa państwa, w wielu wymiarach tak do siebie podobne, w opisywanym rankingu znajdują się tak daleko od siebie?

Norwegia i Dania to państwa najbezpieczniejsze pod względem narażenia na cyberataki. Następne w kolejności są Finlandia, Szwecja i Szwajcaria. Również Japonia i Niemcy plasują się w ścisłej czołówce rankingu zespołu prof. V.S. Subrahmaniana. USA zajęły 10. miejsce w klasyfikacji. Polska natomiast znalazła się pośrodku grupy 44 przebadanych krajów.

Pojawia się wiele hipotez, które jednak raczej będą bardzo trudne do zweryfikowania. Oba wspomniane kraje bardzo szybko uległy uprzemysłowieniu. Szybko rozwinęła się w nich telekomunikacja i sektor technologii informacyjnych, w wysokim stopniu wdrożono Internet, i jest on intensywnie eksploatowany. Być może istnieją różnice, w zakresie tego jak początkowo podchodzono do kwestii cyberbezpieczeństwa, podczas projektowania systemów telekomunikacyjnych. W okolicznościach, w których technologia rozwija się tak szybko, częstokroć lekceważy się bezpieczeństwo, o ile nie ma scentralizowanych nacisków, których celem jest zmuszenie inżynierów do brania tej kwestii pod uwagę. Japonia prawdopodobnie początkowo zachowała wyższy poziom świadomości w tym zakresie  niż Korea Południowa. Możliwe także, że użytkownicy sieci Internet w Japonii mają lepiej wpojone zasady cyberhigieny, lub po prostu wyższy niż w Korei Południowej jest ogólny poziom świadomości dotyczącej cyberbezpieczeństwa. W istocie, jedną z rekomendacji badaczy w ramach opisywanego studium, mimo iż nie wydaje się, że została ona stworzona na podstawie konkretnych danych, jest wprowadzenie lepszej edukacji na temat tego jak w bezpieczny sposób korzystać z Internetu. Program edukacyjny winien rozpocząć się już na poziomie szkół podstawowych, i należy wdrożyć go w sposób globalny.

Jednakże prawdopodobnie, najbardziej widoczna różnica między Koreą Południową i Japonią nie dotyczy zdolności cyberobronnych, a prostych faktów związanych z geopolityką. Korea Południowa ma śmiertelnego wroga, którego celem jest zniszczenie adwersarza, a wrogiem tym jest po prostu najbliższy, północny sąsiad. Japonia, z drugiej strony, mimo potencjalnej rywalizacji z Chinami, nie posiada wśród swojego otoczenia odpowiednika Korei Północnej. Większość cyberpodatności, na którą zwrócili uwagę badacze, przyglądając się Korei Południowej, musi wynikać z działań rządu w Pjongjang lub jego agentów, których celem jest destabilizacja, oczernienie i defraudacja południowego sąsiada i jego obywateli, z użyciem wszelkich dostępnych środków. W istocie, dowód powyższego stanu mogliśmy dostrzec w tygodniu ubiegłym, i informacji, wedle której hakerzy działający na zlecenie północy włamali się do telefonów komórkowych oficjeli rządowych Korei Południowej.

Jednak to z czym Seul musi sobie poradzić, a studium zdaje się obejmować wyłącznie ataki przeciwko pojedynczym użytkownikom, nie przedsiębiorstwom, systemom czy infrastrukturze krytycznej, pokazuje, że w badaniu występuje sporo braków.

Po pierwsze, studium nie dostarcza danych na temat pełnego zakresu złośliwej aktywności w Internecie, której powinien sprostać dany naród. Ostatnie ataki hakerskie, których celem było zdestabilizowanie energetyki na Ukrainie, nie były objęte badaniem. Można więc stwierdzić, że zostało stworzone pewne nieokreślone jasno założenie, idące za deklaracją jakoby zebrane dane pozwalały na wskazanie krajów, o najwyższym stopniu podatności na ataki. Autorzy uznali, że stopień ekspozycji pojedynczych komputerów na działanie złośliwego oprogramowania, z którego większość jest powiązana z niskim poziomem aktywności przestępczej, stanowi najistotniejsze zagrożenie w cyberprzestrzenii, i właśnie tym zagrożeniem powinny zająć się instytucje rządowe. Jest to możliwe, jednakże do takich wniosków nie można dojść z pominięciem dyskusji na temat priorytetów w obszarze bezpieczeństwa narodowego. Instytucje rządowe bowiem mogą uznać, że warto jednak swoje wysiłki w zakresie cyberbezpieczeństwa skupić na infrastrukturze krytycznej, nawet jeżeli oznaczałoby to kradzież danych osobowych obywateli.

Po drugie, i w powiązaniu z wnioskiem powyższym, „podatność” to termin użyty nieadekwatnie w dyskusji na temat wyników opisywanego studium. „Podatność” bowiem dotyczy nie tylko tego, jak wysokie jest prawdopodobieństwo ataku na dany kraj, ale także kwestii jakościowej - jak wielkie szkody mógłby wywoływać potencjalny atak. Kraje rozwijające się, którymi zajęli się badacze, mogą być atakowane często, jednak w świetle niskiego poziomu zamożności obywateli, niskiego nasycenia technologiami internetowymi, i infrastruktury krytycznej o niższym poziomie zaawansowania, szkody wywołane opisywanymi infekcjami, wywoływanymi przez malware, można uznać za minimalne. Z drugiej jednak strony, w USA, Japonii, czy też w Niemczech, może nie występować aż tyle ataków w ujęciu ilościowym. Jednak jakościowo, jeden, zaawansowany atak może mieć skutki daleko bardziej dotkliwe dla infrastruktury krytycznej.

Jakie zatem wypływają z tego wnioski dla Polski? Nie sądzę, żeby były one związane z korelacją PKB i cyberpodatności. Nierealistyczne i niebezpieczne byłoby sugerować, iż wzrost gospodarczy oznacza, że rząd powinien mniej martwić się o kwestie cyberbezpieczeństwa. Najważniejszy wniosek, jaki możemy wyciągnąć z przykładu Korei Południowej, brzmi następująco: cyberprzestrzeń należy oddzielić od przestrzeni fizycznej, rzeczywistej, jednak nadal, nawet pomimo takiego podziału, pozostanie ona obszarem prowadzenia geopolityki. Kraje posiadające wrogów i powody ku temu, by martwić się potencjalnymi agresywnymi krokami, które będą mogły być podejmowane w środowisku rzeczywistym, powinny zachować odpowiedni poziom ostrożności w cyberprzestrzeni.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl