Niedawno w stolicy jednego z ważnych państw unijnych odbyła się konferencja służb specjalnych odpowiedzialnych za cyberbezpieczeństwo. Już samo wprowadzenie do dyskusji podkreśliło powagę sytuacji.
Na początek pokazano wyjątkowo groźnego i skutecznego islamskiego hakera zabitego niedawno przez specjalnie zaprogramowany atak amerykańskich dronów i sformułowano pytanie, kto u nas, i w całej Unii, odpowiedzialny jest dzisiaj za walkę z cyberbojownikami Państwa Islamskiego. A także, czy jesteśmy gotowi uciekać się do aż tak drastycznych metod walki. Zaraz potem kolejny przykład z innego kraju, gdzie zdemaskowany wstępnie jako dżihadysta przestępca atakujący popularny kanał telewizyjny okazał się agentem służb specjalnych Rosji. I pytanie: która ze służb w naszym kraju podjęłaby działania w celu dokładniejszej weryfikacji tożsamości już zidentyfikowanego hakera, w dodatku wcześniej dobrze znanego ze swojej przestępczej działalności w sieci? Nie trzeba dodawać, że ów haker z rozmysłem naprowadził śledzących na fałszywy trop i że chwyt ten staje się coraz powszechniejszy. Jako odwrotną niejako sytuację podano przykład hakerskiej grupy przestępczej bezczelnie nieukrywającej swojej tożsamości i najwyraźniej niewidzącej w tym żadnego niebezpieczeństwa. Chodzi tu o działającą w Rosji grupę diuków (ang. duke – książę), która od paru lat atakuje i zbiera tajne informacje w praktycznie wszystkich państwach mających strategiczne znaczenie dla Rosji, w tym także w Polsce.
Nietrudno sobie wyobrazić, jak ożywioną dyskusję wywołały na spotkaniu powyższe przykłady. Dyskusję prowadzącą do jednoznacznej konkluzji, że sprawy internetowego bezpieczeństwa – skomplikowane dzisiaj – jutro mogą się okazać jeszcze trudniejsze. Szczególne niebezpieczeństwo niesie ze sobą tzw. internet rzeczy. Jego idea jest znana – wkładamy mikroprocesory do wszystkich możliwych otaczających nas urządzeń i łączymy wszystko z internetem. Któż nie ucieszy się z możliwości włączenia przy wyjściu z pracy podgrzewacza z przygotowanym obiadem (bez obawy, sam się wyłączy, gdybyśmy wpadli w korek w drodze do domu) lub z informacji pochodzącej z lodówki, że oto kończy się nam sok pomarańczowy i trzeba uzupełnić jego zapas? Dla osób głęboko rozumiejących sieciowe zagrożenia sytuacja nie jest jednak tak bezproblemowa – im więcej naszych urządzeń w sieci, tym łatwiejsza jest ingerencja osób trzecich w naszą prywatność. Wiele urządzeń wyposażonych jest w hasła dostępowe dostarczone przez producenta, a nam z zasady nie chce się ich zmieniać. A włamanie do jednego urządzenia oznacza z reguły dostęp do innych – powszechnie instalowane proste i tanie elementy hardware’u nie mają z reguły żadnych dodatkowych zabezpieczeń. To zasadnicze ułatwienie przy wszelkiego rodzaju włamaniach do naszych komputerów.
Wyrywkowe przykłady nie oddają całej prawdy o narastających zagrożeniach. Dynamicznie rozwijające się technologie i problemy geopolityczne zmieniają sytuację dosłownie z miesiąca na miesiąc. Hakerzy wykorzystują specjalnie zaprojektowane oprogramowanie infiltrujące interesujące ich cele i organizują akcje blokowania serwerów obsługujących urzędy państwowe i firmy prywatne. Podejmują działania o nieskończonej różnorodności, realizując swoje cele – zakłócenie funkcjonowania komputerów i wykradanie z nich tajnych informacji. Prezydent Barack Obama stwierdził niedawno w oficjalnym wystąpieniu, że „technologie sieciowych ataków rozwijają się szybciej niż realne możliwości obrony”. W Niemczech największe firmy giełdowe podpisały właśnie specjalne porozumienie o wspólnym zwalczaniu cyberterroryzmu, przeznaczając na to olbrzymi budżet. Dobrze ilustruje to obawy wielkiego biznesu co do skuteczności działań podejmowanych przez istniejące służby bezpieczeństwa. Powagę, z jaką traktowana jest sprawa sieciowego bezpieczeństwa w Niemczech, podkreśla także inicjatywa minister obrony w tym kraju, która właśnie zainicjowała tworzenie specjalnej grupy do walki z zagrożeniami tego typu, mającej docelowo liczyć 15 tys. wysokiej klasy specjalistów!
Poważnym problemem jest sposób reagowania na cyberprzestępstwa w przypadku wykrycia zagranicznego źródła ich powstania, wymaga to bowiem z reguły bardzo skomplikowanych rozmów na najwyższym szczeblu politycznym. W przypadku państw takich jak Chiny, Rosja czy Iran nie przynosi to zazwyczaj żadnych rezultatów, a informacja o nieskuteczności rozmów politycznych dodatkowo ośmiela przestępców, zarówno gospodarczych, jak i politycznych, wspomaganych przez władze. Niedawne rozmowy prezydenta Chin w USA potwierdziły, mimo eleganckich sformułowań, całkowitą nieskuteczność takich interwencji.
Co możemy w tej sytuacji zrobić? Każdy atak w cyberprzestrzeni składa się z paru etapów: identyfikacja celu, przygotowanie oprogramowania i jego wprowadzenie do sieci, monitorowanie przebiegu ataku i wreszcie analiza osiągniętych efektów. Instytucje strzegące sieciowego bezpieczeństwa powinny analizować sytuację na wszystkich etapach. Na początku, niezależnie od konkretnych zdarzeń, niezbędny jest stały monitoring obszarów w przestrzeni internetu podatnych na infiltrację. Innymi słowy, zamiast obrony przed już przeprowadzonym atakiem niezbędna jest stała diagnoza stanu bezpieczeństwa ujawniająca możliwość wrogich ingerencji. Skuteczność wszystkich działań obronnych zależy bowiem w dużym stopniu od poziomu rozumienia aktualnej natury potencjalnych ataków oraz standardów w zakresie ochrony danych. Po zlikwidowaniu bądź ustaniu zagrożenia konieczna jest dokładna analiza wydarzenia pomocna w wypracowywaniu strategii obronnych na przyszłość. Ustalenie miejsca, z którego atak został uruchomiany, oraz jego teleinformatycznych charakterystyk jest tu zadaniem naczelnym. Skuteczna organizacja systemu bezpieczeństwa w sieci wobec nadchodzących zagrożeń jest wielkim wyzwaniem dla instytucji za to odpowiedzialnych, a warunkiem krytycznym jest tu sprawne współdziałanie wszystkich służb, często podlegających różnym organom administracyjnym.