Social media
Żaryn: Działania Federacji Rosyjskiej w cyberprzestrzeni są poważnym zagrożeniem dla Polski
”Ważne jest abyśmy tym tematem zainteresowali naszych sojuszników - w NATO i Unii Europejskiej. Musimy postawić na działania wspólne, pokazujące jedność świata zachodniego. Jednym z celów strony rosyjskiej jest rozbijanie jedności i zdolności do podejmowania wspólnych decyzji. Powinniśmy zatem mówić jednym głosem” - stwierdził Rzecznik Ministra-Koordynatora Służb Specjalnych Stanisław Żaryn.
W artykule opublikowanym na łamach Rzeczpospolitej opisywał Pan cyberataki na system wodociągów, systemy energii elektrycznej czy dostaw paliw. Cyberprzestępczość czy cyberterroryzm – jakim pojęciem określić te zjawiska?
Celem tego tekstu było wskazanie, że współczesny świat oddaje coraz więcej kontroli za zarządzanie różnego rodzaju usługami - w tym również tymi o charakterze masowym - systemom teleinformatycznym. Są one wykorzystywane już nie tylko do zadań usługowych dla indywidualnych użytkowników, ale w usługach o charakterze ogólnopaństwowym czy ogólnospołecznym. Celem tej analizy było zaprezentowanie kilku przykładów cyberataków ze wskazaniem, że współczesne narzędzia cyber mogą służyć destabilizowaniu całych społeczeństw, a nawet odcięciu dużego regionu od strategicznych zasobów.
Chcieliśmy podkreślić, że w cyberprzestrzeni możliwe jest również prowadzenie działań o charakterze terrorystycznym, np. związanym ze skażeniem ujęcia wody. Skala zagrożenia rośnie wraz z rozwojem systemów teleinformatycznych. Posłużyliśmy się określeniem „cyberterroryzm”, bowiem cybernarzędzia są i zapewne będą wykorzystywane do ataków, które należy kwalifikować już jako działanie terrorystyczne. Mówię o atakach o charakterze masowym na społeczeństwo po to, aby to społeczeństwo zastraszyć i zdestabilizować.
Jednak czy podane przykłady, które wskazaliśmy, aby na pewno możemy definicyjne zakwalifikować jako cyberterroryzm?
Cyberterroryzm jest rodzajem terroryzmu, w czasie którego agresor wykorzystuje narzędzia cybernetyczne. Część z opisywanych w ostatnich latach ataków cybernetycznych zdaje się wypełniać tę definicję. Jak inaczej ocenić atak hakerski opisywany przez media, który miał miejsce w kwietniu 2020 roku w Izraelu. Wtedy doszło do próby ingerencji w systemy zarządzania wodociągami tak, by zmienić stopień nasycenia wody chlorem. Skuteczność takiego działania spowodowałaby ogromne zagrożenie dla użytkowników systemu wodociągowego. W naszej analizie wskazywaliśmy, że podobne działania można – i należy – traktować jako działania cyberterrorystyczne – mamy bowiem do czynienia z działalnością cyber powodującą realne zagrożenie życia i zdrowia ludzkiego albo zastraszenie społeczeństw, co z kolei wywołuje oddziaływanie typowe dla organizacji terrorystycznych. Oczywiście ważna jest tutaj indywidualna interpretacja różnych zdarzeń i zjawisk.
Wróćmy zatem do wydarzeń, które toczą się w naszym kraju. Jak określimy zjawiska z którymi obecnie się zmagamy? Pytam w kontekście odpowiedzi na interpelację jakiej udzielił minister Mariusz Kamiński jeszcze w lutym, gdzie stwierdził, że ABW prowadzi działania na rzecz budowania świadomości w zakresie współczesnych zagrożeń w tym tych w cyberprzestrzeni. Mimo tego, stanęliśmy jednak w obliczu pewnego cyberkryzysu.
Należy wskazać kilka płaszczyzn tego, z czym obecnie mamy do czynienia. Pierwsza rzecz to zidentyfikowany, masowy atak, który należałoby określić jako działanie socjotechniczne - mówimy tutaj o typowym ataku phishingowym, który został skierowany do ponad czterech tysięcy użytkowników poczty elektronicznej. To ten rodzaj cyberprzestępczości, który ma na celu oszukanie użytkownika, zmylenie ofiary po to, aby sama zrobiła rzeczy, które są dla niej szkodliwe – czyli w tym przypadku udostępniła loginy i hasła atakującemu. W przypadku części użytkowników działania agresorów były skuteczne, co spowodowało przejęcie kont społecznościowych, czy też uzyskanie dostępu do skrzynki poczty elektronicznej. To z kolei pozwoliło na działania dezinformacyjne przeciwko Polsce i uruchomiło kolejny etap operacji. Jak wskazaliśmy w oświadczeniu ostatnie działania należy przypisywać grupie hakerskiej, działającej na rzecz rosyjskich służb specjalnych.
Ważne jest, żeby na tę sprawę spojrzeć szerzej, ponieważ pojedyncze przypadki – np. przejęcie konta w mediach społecznościowych – nie dają pełnego obrazu zagrożeń. A działania Federacji Rosyjskiej, które stoją za takimi atakami, są poważnym zagrożeniem dla Polski. Moskwa sięga po wiele narzędzi działań przeciwko Zachodowi, często trudnych do wychwycenia. W tekstach dotyczących sowieckich prób destabilizowania Zachodu metodami, które dzisiaj nazwiemy wojną hybrydową, wskazywano na termin „środki aktywne”. Użycie tego sformułowania jest najadekwatniejsze, bowiem zakłada ono wykorzystanie różnego rodzaju działalności, metod, pół oddziaływania po to, aby prowadzić strategicznie ważną dla strony rosyjskiej operację przeciwko Zachodowi.
Polskie służby specjalne analizując ostatnie działania agresorów pozyskały na tyle dużo szczegółowych informacji, że jesteśmy w stanie wpisać obecne wydarzenia właśnie w szerzej zakrojoną operację dezinformacyjną prowadzoną przez Federację Rosyjską nie tylko przeciwko Polsce, ale także innym krajom wschodniej flanki NATO. Nasze doświadczenia nie są z resztą unikatowe. Analogiczne działania były w ostatnich latach prowadzone przez Kreml przeciwko: USA, Wielkiej Brytanii, Niemcom, Francji, Hiszpanii. Raportowane przez kraje NATOwskie ataki hakerskie, “zasysanie” danych czy przejmowanie infrastruktury informacyjnej jest przez Rosję wykorzystywane jako część kampanii dezinformacyjnych. To wydaje się stałym elementem rosyjskich aktywności przeciwko Zachodowi.
Patrząc na to, jak reagują media, opinia publiczna i sami politycy, możemy powiedzieć, że organizatorzy tych działań osiągnęli założone cele?
Za wcześnie jest, aby wskazywać ostateczne cele tych działań. Trzeba poczekać, aż nabierzemy więcej dystansu i zobaczymy, dokąd to wszystko nas zaprowadzi. Na pewno możemy mówić, że częściowe cele zostały zrealizowane.
Poi pierwsze, na początku mieliśmy do czynienia ze skutecznym cyberatakiem – bo kwestia nagłośnienia sprawy ministra Michała Dworczyka była już efektem skutecznych działań o charakterze socjotechnicznym.
Po drugie, zdestabilizowano debatę publiczną w Polsce i wprowadzono tematy, które po raz kolejny bardzo mocno zantagonizowały polityków. Można zauważyć, że również w warstwie społecznej doszło do wzmożenia sporów. Zakładam, że takie działania będziemy obserwować przez dłuższy czas - atakujący zyskał nowe możliwości destabilizowania naszego życia politycznego i społecznego. O tym, jaki to będzie okres, zadecyduje to, w jaki sposób będziemy reagować. My, jako społeczeństwo. Mamy do czynienia z kryzysem, który będzie trwał i który będzie dawał agresorowi nowe możliwości.
Wypływają kolejne informacje, które media i opinia publiczna szeroko komentują. Jaka powinna być reakcja rządzących? Z pewnością milczenie może doprowadzić do sytuacji, w której prym wiodły będą spekulacje, natomiast nadmierna aktywność, może sprowokować kolejne publikacje.
Komentowanie kolejnych wątków może być korzystne dla agresora. Ono na pewno będzie mocno angażowało polskich uczestników debaty publicznej i zachęcało ich do śledzenia kolejnych doniesień – niezależnie od tego czy konkretne wątki będą prawdziwe, czy będą ordynarnym kłamstwem lub pomieszaniem jednego z drugim. Ja bym rekomendował wszystkim niekomentowanie tego typu wątków i niewchodzenie w tego typu debatę toczącą się wokół tego, co się pojawia obecnie na rosyjskim Telegramie. Zakładam, że gdybyśmy w ogóle wycieli ten temat z debaty publicznej, nie publikowali niczego ani nie komentowali, mogłoby to znacznie ograniczyć możliwości działania atakujących. Choć zdaję sobie sprawę, że to mało realny scenariusz.
Brak komentarza pozostawia pełne pole do domysłów i wpływania na negatywny odbiór działań rządzących.
Odnoszenie się do konkretnych wątków to nie tylko wspieranie destabilizacji i działań agresora, ale również pułapka. Bo jeśli w tych kanałach pojawiają się informacje nieprawdziwe to należy się zastanowić, co oprócz lakonicznego wskazania, że jest to kłamstwo mogłaby zrobić strona rządowa? Idąc tym tokiem działania, trzeba by w pewnym momencie stanąć przed podjęciem decyzji, że minister Dworczyk powinien upublicznić wszystko co ma swojej skrzynce mailowej, aby każdy mógł ocenić która “wrzutka” strony atakującej jest prawdziwa, a która nie. To absurd.
Wrócę raz jeszcze do interpelacji, w której minister Kamiński zapewniał, że polskie służby prowadzą działania na rzecz budowania świadomości w zakresie współczesnych zagrożeń, w tym tych w cyberprzestrzeni. W jakim stopniu polskie służby są przygotowane na zwalczenie tego typu zagrożeń?
Służby specjalne wypełniają swoje zadania na bieżąco. Wywiązują się z zabezpieczania swojego obszaru odpowiedzialności. Prowadzą też działania profilaktyczne oraz edukacyjne – docierały do osób, które były najbardziej narażone na tego typu ataki i informowały o zagrożeniach. Jednak przy tym konkretnym ataku mówimy o odpowiedzialności, która wykracza poza ustawowe uprawnienia służb specjalnych. One nie są od tego, aby zabezpieczać prywatne skrzynki, które są prowadzone w ramach usług prywatnych podmiotów. Obszar odpowiedzialności w polskich przepisach jest bardzo jednoznacznie określony. Ustawa o krajowym systemie cyberbezpieczeństwa wskazuje za które podmioty i obszary odpowiadają polskie służby specjalne. I one wywiązują się one ze swoich zadań.
Na czym polegały te działania edukacyjne?
Polegają one na szeroko rozumianej profilaktyce i informowaniu zagrożonych użytkowników. Mówimy o działaniach, które są prowadzone systematycznie, czyli np. o przesyłaniu do Sejmu i Senatu różnych materiałów o charakterze edukacyjnym. Docieramy również do grup, które są przedmiotem szczególnej opieki ze strony służb specjalnych, mówimy o konkretnych osobach, które są poddawane szkoleniom. Odpowiedzialność za twarde sprawy z zakresu cyberbezpieczeństwa jest podzielona na podstawie ustawy o KSC i tutaj służby nie wszędzie mają prawo być.
Czy w Pana opinii konieczne jest dokonanie zmian w warstwie legislacyjnej w celu zwiększenia możliwości działania służb w tym obszarze? Może potrzebujemy zmian instytucjonalnych?
To jest trudne pytanie i raczej nie powinno być skierowane do mnie. Z pewnością obecnie mamy do czynienia z sytuacją, która musi zostać poddana analizie pod kątem legislacyjnym i instytucjonalnym. Z pewnością ustawa o KSC ma kluczowe znaczenie w tych sprawach. Być może będą potrzebne jakieś korekty legislacyjne, jednak jest to już decyzja polityczna.
Czy planowane jest dokonanie całościowego audytu cyberbezpieczeństwa kraju?
Nie mam takich informacji, ale miałbym wątpliwości czy audyt cyberbezpieczeństwa kraju to dobra odpowiedź na to z czym mamy obecnie do czynienia. Wydaje się, że analiza dotycząca skuteczności procedur i przepisów związanych z walką z dezinformacją, to jest to co by się przydało bardziej. My w tej chwili mówimy o atakach phishingowych na prywatne skrzynki osób publicznych, które mają wpływ na nasze państwo. Ta sprawa dotyczy w mojej ocenie bezpieczeństwa państwa, ale nie systemów telekomunikacyjnych o kluczowym znaczeniu dla RP.
Czy ostatnie ataki na media społecznościowe oraz maile polityków ocenia Pan jako wynik słabego ich zabezpieczenia czy jednak niewystarczającej kultury cyberbezpieczeństwa?
Wielu ekspertów wskazuje, że systemy-systemami, zabezpieczenia-zabezpieczeniami, a jednak najsłabszym ogniwem zawsze jest człowiek. Przy okazji tych ataków phishingowych widzimy, że oszuści są na tyle wyspecjalizowani, że są w stanie ofiarę oszukać, łatwo wyłudzić te dane które są agresorowi potrzebne.
Jednak w wypadku najważniejszych osób w kraju nie powinno być łatwo…
Zgadzam się, ale jednak wszyscy jesteśmy ludźmi i mamy konstrukcje psychiczne, które można rozpoznać, dzięki czemu można wprowadzić nas w błąd. To z czym mamy do czynienia pokazuje, że potrzebujemy większej skuteczności w działaniach edukacyjnych czy profilaktycznych.
W ostatnim komunikacie wskazali państwo bezpośrednio, że za ataki odpowiedzialna jest grupa UNC1151. Czy wiemy na ten temat coś więcej?
Jest to grupa, którą identyfikujemy jako rodzaj mniej sformalizowanego zespołu hakerskiego, który jest powiązany z działalnością rosyjskich służb i specjalizuje się w atakach phishingowych. To pokazuje, że za operacją stali profesjonaliści. Jest to grupa, która pozostaje w obszarze kontroli rosyjskich służb specjalnych. W związku z tym władze RP jasno wskazują na odpowiedzialność rosyjską w tej sprawie.
Minister spraw zagranicznych Zbigniew Rau powiedział, że odpowiedzią na cyberataki powinny być cybersankcje. Jak Pan ocenia ten pomysł?
To już jest kwestia znalezienia skutecznej odpowiedzi na szczeblu politycznym. Na pewno to, co wydaje się ważne i też to, co zostało wykonane przez Agencję Bezpieczeństwa Wewnętrznego, to dzielenie się doświadczeniami i ustaleniami strony polskiej z naszymi sojusznikami. Inne państwa mają przecież podobne doświadczenia. Ostatnie wydarzenia w Polsce wpisują się w to, co było diagnozowane przez służby specjalne wielu krajów NATO. Wydaje się, że jednym ze sposobów odpowiedzi jest spójność i jedność świata zachodniego w ocenie i zidentyfikowaniu agresywnych działań strony rosyjskiej. Ważne jest abyśmy tym tematem zainteresowali naszych sojuszników - w NATO i Unii Europejskiej. Musimy postawić na działania wspólne, pokazujące jedność świata zachodniego. Jednym z celów strony rosyjskiej jest rozbijanie jedności i zdolności do podejmowania wspólnych decyzji. Powinniśmy zatem mówić jednym głosem.
Jakie będą kolejne kroki naszych służb?
Służby specjalne są odpowiedzialne za dalsze badanie działalności strony rosyjskiej. Mówimy tutaj o identyfikowaniu kolejnych potencjalnych ofiar i śladów dotyczących agresorów, ale również o analizie modus operandi i rozpoznawaniu zagrożeń, które związane są z przejęciem kolejnych kont pocztowych.
Mówimy też o potrzebie zwiększania świadomości osób, które zostały zaatakowane. W te działania, zgodnie z decyzją Rządowego Zespołu Zarządzania Kryzysowego, włączona została Policja. Na pewno przyjdzie czas, aby wyciągnąć wnioski o charakterze systemowym i sprawdzić, czy ta sytuacja uwidoczniła jakieś luki o charakterze prawnym czy proceduralnym.