Bezpiecznie już było

Rozwój sztucznej inteligencji, powszechna cyfryzacja, inwencja przestępców, rywalizacja światowych potęg gospodarczych czy wreszcie agresja Rosji, radykalnie zwiększyły poziom zagrożeń w cyberprzestrzeni.

Instytucje, firmy, zwykli ludzie – na radarze cyberprzestępców są wszyscy bez wyjątku. Według Statista.com w styczniu 2024 r. z internetu korzystało 5,35 mld osób, czyli dwie trzecie ludzi na Ziemi.

Użytkownik internetu narażony jest na ataki, nawet wtedy, kiedy… śpi. Coraz więcej jego danych, także wrażliwych, znajduje się bowiem w cyfrowej chmurze, coraz więcej jego urządzeń komunikuje się z internetem bez przerwy. Dyrekcja Generalna Komisji Europejskiej ds. Sieci Komunikacyjnych, Treści i Technologii (DG CONNECT) szacuje, że w 2023 r. było na świecie 40 mld urządzeń podłączonych do internetu rzeczy (IoT) i w ciągu kolejnych trzech lat liczba ta wzrośnie do prawie 50 mld. To nie tylko smartfony, tablety, laptopy, routery czy smart-TV, ale też pralki, lodówki, roboty kuchenne i inne sprzęty AGD, drzwi, bramy garażowe, kamery monitoringu, e-nianie… I samochody oczywiście.

To oznacza jedno: potencjalnych celów przybywa, a prawda jest brutalna: jeśli ty możesz online sterować swoim urządzeniem, to haker – również.

Fejki, luki, hejt

Google w raporcie „Cybersecurity Forecast 2024 Insights for future planning” przewiduje nasilenie dwóch rodzajów zagrożeń w sieci. Na czoło wysunęły się obecnie fałszywe treści – teksty, zdjęcia, filmy. Złoczyńcy fabrykują treści, podszywają się pod znane osoby, tworzą fikcyjne strony usług lub sklepów internetowych i umieszczają linki do nich w serwisach społecznościowych (m.in. FB), by dokonać kradzieży, oszustw, szantaży albo wprowadzić w błąd, bądź zmanipulować jednostki, grupy, a nawet całą opinię publiczną.

Drugą grupę zagrożeń dla przeciętnego użytkownika stanowią – rekordowo zaawansowane za sprawą rozwoju AI – ataki hakerskie na luki w zabezpieczeniach systemów informatycznych i w oprogramowaniu rozmaitych urządzeń. Luk jest mnóstwo również m.in. w bazach danych zawierających wrażliwe informacje. W 2023 r. głośno było o kradzieży personaliów, numerów PESEL i wyników badań ponad 50 tys. pacjentów z bazy polskiego laboratorium medycznego ALAB. Był to jeden z licznych ataków ransomware, czyli dla okupu.

Szczególnie zagrożeni w cyberprzestrzeni są z jednej strony seniorzy (padający ofiarą różnego typu oszustw), a z drugiej – najmłodsi użytkownicy. Z raportu NASK „Nastolatki 3.0 (2023)” wynika, że młodzi ludzie spędzają w internecie średnio 5 godzin i 36 minut na dobę w dni powszednie oraz 6 godzin i 16 minut w weekendy i święta. Od samego początku swej przygody (a zaczynają ją coraz wcześniej – średnio w wieku 8 lat i 5 miesięcy) narażeni są na szkodliwe treści oraz agresję i przemoc online, co rzutuje na ich psychikę i ma coraz częściej dramatyczne konsekwencje.

Wszystkie te zagrożenia – a to tylko wierzchołek góry lodowej – stanowią coraz większe wyzwanie dla państw wspierających rozwój cyfrowego społeczeństwa.

U progu cyberpandemii?

Państwa z ich instytucjami i infrastrukturą, także tą krytyczną, oraz przedsiębiorstwa są zanurzone w sieci od dawna, a wraz z kolejnymi etapami cyfryzacji – zanurzają się jeszcze głębiej. W cyberprzestrzeni działają platformy usług publicznych, firm i instytucji oraz systemy bankowe. Nic dziwnego, że cyberbezpieczeństwo stało się jednym z kluczowych sektorów rozwoju technologii, a jednocześnie fundamentem polityki publicznej i strategii firm.

– W złożonym krajobrazie 2023 r. sektor ten rósł zdecydowanie szybciej niż gospodarka światowa i – co znamienne – szybciej niż cały sektor technologiczny. Rok 2024 rok będzie krytyczny. Wszyscy liderzy, w polityce i biznesie, powinni się skupić na przygotowaniach do nadchodzącej z potężną siłą cyberpandemii – ostrzega Lucy Szaszkiewicz z 1Strike.io, firmy etycznych hakerów, których oprogramowanie w sposób ciągły, cykliczny i automatyczny hakuje systemy IT, by wskazać nie tylko pojedyncze podatności i furtki, ale aktualne scenariusze i techniki, jakie mogą zastosować cyberprzestępcy.

Michał Grzelak i Krzysztof Liedel, znani eksperci ds. bezpieczeństwa, już dekadę temu zwracali uwagę, że cyberprzestrzeń stała się jednym z kluczowych obszarów rywalizacji nie tylko przedsiębiorców i instytucji, ale też państw. Za pomocą narzędzi IT można z jednej strony dokonywać ataków na instytucje i infrastrukturę krytyczną krajów (ruch lotniczy, kolejowy, zapory wodne, systemy nawigacji…) – co grozi ich destabilizacją, z drugiej – wpływać na treści rozpowszechniane w mediach, a za ich pośrednictwem na sytuację gospodarczą i polityczną, w tym demokratyczne wybory (wśród przykładów podawane są wybory prezydenckie w USA w 2016 r. i referendum brexitowe).

W minionych latach cyberprzestrzeń była miejscem ataków z użyciem malware, wirusów i robaków, kradzieży tożsamości i danych, modyfikacji i niszczenia danych, blokowania dostępu do usług i szantaży dla okupu (ransomware), ataków socjotechnicznych (króluje phishing – wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję) i zaawansowanych ataków APT (advanced peristant threat).

Wrogie armie i służby wywiadowcze sięgają po coraz bardziej wyrafinowane techniki, które trudno wykryć i ukrócić bez ścisłej międzynarodowej współpracy. W 2023 r. udało się m.in. zablokować proceder Rosyjskiej Służby Wywiadu Zagranicznego polegający na wprowadzeniu groźnych zmian w oprogramowaniu trafiającym do tysięcy podmiotów na świecie. W kontrakcji wzięły udział: Służba Kontrwywiadu Wojskowego, CERT Polska, FBI, Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), a także Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC). Publiczne instytucje wsparł Microsoft.

AI – potężna broń

W najnowszych raportach o cyberzagrożeniach na pierwszy plan wysuwa się stosowanie sztucznej inteligencji (AI) – zarówno w cyberatakach, jak i w systemach cyberbezpieczeństwa.

– Wraz z upowszechnianiem AI rośnie ryzyko nadużywania tej technologii przez cyberprzestępców, np. do tworzenia fałszywych informacji, wykradania danych, infiltrowania systemów zabezpieczeń – wylicza Krzysztof Silicki, twórca pierwszego w Polsce zespołu reagującego na zagrożenia w internecie (CERT NASK w 1996 r.), od 20 lat reprezentujący Polskę w Radzie Zarządzającej Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Google wskazuje na coraz częstsze wykorzystanie AI do phishingu i jego głosowej odmiany – vishingu (voice phishing), a także ataków esemesowych i za pośrednictwem komunikatorów. Działania te opierają się na wprowadzających w błąd komunikatach tekstowych, głosowych, fotograficznych lub filmowych generowanych przez AI. Gartner, działająca w 100 krajach amerykańska firma analityczno-badawcza, uważa, że w 2024 r. „cyberbezpieczeństwo stanie się strategicznym priorytetem, którego nie będzie można odizolować w dziale IT”. A Lucy Szaszkiewicz wskazuje wyzwania w tym obszarze: złoczyńcy dostrzegli powiększającą się przepaść między firmami i instytucjami o wysokim i niskim poziomie cyberodporności oraz na ich styku, dlatego atakują słabe ogniwa – podmioty średnie, szczególnie z obszaru energetycznego, finansowego i medycznego.

Za sprawą postępu technologicznego, zwłaszcza AI, przestępcy zyskali zdolność prowadzenia ataków złożonych, adaptacyjnych i trudnych do wykrycia znanymi metodami; konieczne stało się więc permanentne monitorowanie odporności każdej organizacji.

Regulacje prawne, takie jak: DORA, NIS2 czy Cyber Act oraz AI Act, pomagają porządkować cyberprzestrzeń, ale nie nadążają za nowymi zjawiskami związanymi z rozwojem technologii, co utrudnia firmom i instytucjom skuteczną odpowiedź na ryzyka w cyberprzestrzeni.

I instytucjom publicznym, i przedsiębiorcom brakuje kompetencji, by walczyć z nowym typem cyberzagrożeń, konieczna jest więc automatyzacja procesów cyberbezpieczeństwa z użyciem nowych narzędzi opartych na AI. To otwiera pole dla utalentowanych informatyków.

– W sektorze finansowym zacofana wcześniej Polska dołączyła dzięki technologiom cyfrowym do grona światowych liderów, Blik jest symbolem tej rewolucji. Dlaczego nie mielibyśmy powtórzyć tego sukcesu w sektorze cyberbezpieczeństwa? – stawia pytanie Lucy Szaszkiewicz.