Coraz częściej za spektakularnymi cyberatakami stoją państwa, a nie grupy hakerów.

Wszystkie istotne wydarzenia międzynarodowe z ostatnich miesięcy w pewnym stopniu miały ukryty, dodatkowy wymiar, jakim jest walka o wpływy w cyberprzestrzeni. Z drugiej strony, istotnym problemem wciąż pozostaje zapewnienie bezpieczeństwa, zarówno na poziomie państwowym, jak i międzynarodowym. Unia Europejska wdraża np. specjalną dyrektywę dotyczącą bezpieczeństwa sieci teleinformatycznych (security of network and information systems), dzięki której państwa będą zobligowane m.in. do zintensyfikowania współpracy w tej dziedzinie, a osoby odpowiedzialne za infrastrukturę krytyczną – do wymiany doświadczeń i informacji o incydentach. Pojawiają się również kolejne inicjatywy NATO w tej sferze. Nic dziwnego, skoro na szczycie w Warszawie podjęto decyzję o włączeniu działań w cyberprzestrzeni do planowania operacyjnego sojuszu.

Kody pisane cyrylicą

Istotnym graczem w wykorzystywaniu sieci jako narzędzia do prowadzenia działań hybrydowych jest Federacja Rosyjska, która zaktywizowała się w czasie ostatnich wyborów prezydenckich. Zgodnie z doniesieniami amerykańskiego Federalnego Biura Śledczego (FBI) od września 2016 roku hakerzy afiliowani przy Kremlu mieli przeprowadzać cyberataki na amerykański system wyborczy. Jak poinformowało FBI, uzyskali oni dostęp do bazy danych osób głosujących w obwodach wyborczych

w Illinois i Arizonie. Konsekwencje tej operacji nie były jednak dotkliwe, bo nie naruszono struktury systemów teleinformatycznych. Inaczej wygląda kwestia poufności, bo hakerzy najprawdopodobniej skopiowali części rekordów w bazie systemu.

Od strony technicznej ta operacja nie była skomplikowana. Cyberprzestępcy posłużyli się metodą ataku komputerowego wykorzystującego błąd bądź lukę w zabezpieczeniach aplikacji, powstałych na skutek nieodpowiedniego filtrowania danych użytkownika (tzw. SQL injection). W ostatnich latach używanie tego rodzaju złośliwych kodów stało się jedną z najczęstszych metod atakowania danych.

O ile skradzione dane nie stanowią, według ekspertów, dużej wartości merytorycznej w rękach potencjalnego przeciwnika politycznego (ich wpływu nie da się porównać np. z rewelacjami Edwarda Snowdena), o tyle FBI oceniło operację na osiem w dziesięciopunktowej skali zagrożenia. Prawdopodobnie zostaną również podjęte dodatkowe kroki w celu ukarania sprawców. Rząd amerykański jest bowiem przekonany o tym, że atak przeprowadzili Rosjanie (podobne wnioski płyną również z wszczętego międzynarodowego śledztwa w tej sprawie). W ramach odwetu administracja Baracka Obamy zobligowała się do opracowania dokumentu nakładającego sankcję na Federację Rosyjską.

Podobny scenariusz działania wobec cyberprzestępców Amerykanie już kiedyś zastosowali – po ataku Koreańczyków na korporację Sony Pictures w grudniu 2014 roku. Wówczas Stany Zjednoczone po raz pierwszy w historii wprowadziły sankcje w odwecie za cyberatak. Są tylko dwa znaki zapytania. Amerykanie nie mają przekonujących dowodów, podobnie zresztą jak po ataku Koreańczyków na Sony. Pod znakiem zapytania stoi także kontynuacja tego procesu ze względu na powiązania nowo wybranego prezydenta z Moskwą.

Nowe światło na sierpniowe i październikowe cyberataki rzuca także incydent, do którego doszło 5 października w jednym z praskich hoteli. Zgodnie z doniesieniami czeskiej policji i Interpolu udało się zatrzymać osobę zamieszaną w cyberoperację wymierzoną w systemy wyborcze USA. Rosjanina oskarżono o przestępstwa wobec amerykańskiego rządu i w ciągu następnych tygodni zostanie ekstradowany. Po tym incydencie politycy z Kremla zażądali bowiem, by obywatel Federacji został przekazany władzom rosyjskim.

Międzynarodowa współpraca

Akcja Rosjan i podobne wydarzenia (w 2015 roku został pojmany szef grupy hakerskiej Cyber-Kalifat) mogą służyć za przyczynek do dalszego rozwijania współpracy międzynarodowej w celu zwalczania cyberprzestępczości. Nie zawsze jednak pozwalają na to kwestie prawne i organizacyjne, w szczególności gdy hakerzy są podejrzewani o działanie na rzecz konkretnego rządu.

Nie jest to jednak jedyna przeszkoda. W systemie ochrony cyberprzestrzeni każdego państwa funkcjonują specjalnie utworzone jednostki reagowania na incydenty komputerowe (Computer Security Incident Response Teams – CSIRTs). W Polsce taką rolę odgrywają m.in. Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL, działający przy Agencji Bezpieczeństwa Wewnętrznego, oraz w resorcie obrony system reagowania na incydenty komputerowe. O ile jednak zespoły te wykonują swoją pracę zadowalająco, często zresztą mimo ograniczonych środków, o tyle nie mogą w pełni wykorzystać swojego potencjału w wymiarze międzynarodowym z uwagi na ich położenie prawno-instytucjonalne w systemie bezpieczeństwa państwa. Poza tym część prac rządowych zespołów jest poufna, co utrudnia działania na rzecz wspólnego bezpieczeństwa i współpracy transgranicznej. Istotne są zatem aktywność zespołów działających na zasadach komercyjnych oraz platformy współdziałania, takie jak np. amerykański First. Współpraca w dziedzinie cyberbezpieczeństwa może się rozwinąć dzięki tworzonym od niedawna CSIRTs narodowym, które obejmują wszystkie systemy teleinformatyczne w jurysdykcji państwowej. W Polsce właściwym ruchem będzie zatem rozwijanie m.in. Narodowego Centrum Cyberbezpieczeństwa.

Wygląda na to, że w przyszłości państwa będą przeznaczać coraz więcej środków finansowych na rozbudowę cyberzdolności ofensywnych, zarówno jeśli chodzi o wzmacnianie struktur wojskowych, jak i korzystanie z umiejętności cyberprzestępców. W obu wypadkach konkretne kraje oraz środowisko międzynarodowe muszą być przygotowane na takie wyzwania, także na współpracę. Ważne w tym kontekście będą działania NATO, Unii Europejskiej oraz prace legislacyjne rządów krajowych.

Kamil Gapiński jest ekspertem ds. cyberbezpieczeństwa Fundacji im. Kazimierza Pułaskiego.