Konieczność skutecznej ochrony Infrastruktury Krytycznej w
świetle najciekawszych ataków
— Jakub Syta —
Dzień dobry Państwu. Muszę powiedzieć, że bardzo cieszę się, że widzę tutaj
ponownie tak potężne zgromadzenie. Cieszę się także z innego powodu, ponieważ
tak naprawdę wszyscy którzy tutaj jesteśmy, w mniejszym czy większym stopniu
jesteśmy odpowiedzialni za ochronę informacji. Tak naprawdę to od nas zależy czy
organizacja w której funkcjonujemy będzie bezpieczna, czy będzie funkcjonować, czy
tak naprawdę całe interesy organizacji które reprezentujemy, będą wykonywane
należycie. Tak naprawdę wszystko to zależy od naszej pracy. Nie wiem czy Państwo
tak samo jak ja są dumni z tego, że to my powodujemy że wszystko dookoła może się
kręcić. Jest taki rysunek Mleczki z kogutem, który jest dumny, szczęśliwy i mówi „Nie
potrzebuję wiele od życia, jestem symbolem seksu i to mi wystarcza”. Nie wiem czy
państwo podobnie myślą o swojej pracy, ale tak naprawdę bez nas tego wszystkiego
co jest u Państwa w organizacji nie będzie. To my powodujemy że można tych
wszystkich przestępców jakoś powstrzymywać, eliminować awarie, że możemy
zwalczać coraz to ciekawsze pomysły użytkowników, którzy są absolutnie
nieograniczeni jeżeli chodzi o swoją wyobraźnię.
W każdym razie, tak samo jak wszyscy zajmujemy się bezpieczeństwem informacji,
tak samo wszyscy rozumiemy że są w sumie dwa rodzaje organizacji: organizacje
ważne – te które my wszyscy reprezentujemy – i ważniejsze – te które zdecydowana
większość z Państwa również reprezentuje. W niedługim czasie wejdą w życie
przepisy ustawy o krajowym systemie cyberbezpieczeństwa i ta ustawa wybitnie
pokazuje, że istnieje 6 sektorów krytycznych dla tego by społeczeństwo funkcjonowało
jako całość, żebyśmy mogli funkcjonować normalnie jako obywatele. To na co
chciałbym jeszcze zwrócić szczególną uwagę, to że wszystkie te sektory czy
organizacje (które mam tutaj wymienione), które świadczą usługi kluczowe, mają dwie
wspólne cechy. Po pierwsze wszystkie do komunikowania się wykorzystują sieci, a po
drugie – w przypadku każdego z tych sektorów – te usługi kluczowe tak naprawdę są
sterowane przez systemy informatyczne. Co to oznacza? To tak naprawdę proszę
Państwa oznacza, że można się do nich włamać, można je zepsuć i rozwalić i
spowodować bardzo duże kłopoty.
To czym chciałbym się zająć w trakcie dzisiejszej prezentacji, to opowiedzenie o takim
wyborze kilkunastu najbardziej interesujących moim zdaniem przypadków, kiedy ta
infrastruktura krytyczna udowodniła że naprawdę jest krytyczna, że bez niej za bardzo
nie można funkcjonować. Wszystkie case’y o których będę opowiadał, są Państwu
całkiem dobrze znane, są opisane w Internecie, ale tak naprawdę to co można tam
znaleźć to są przede wszystkim domysły, spekulacje, a o tym co tak naprawdę jest
najbardziej istotne nikt oczywiście nie powie, a już w żadnym wypadku nie napisze. To
na czym tak naprawdę chciałem się skupić, to na tym jakie wnioski z tego wszystkiego
powinniśmy wyciągnąć, czyli czego te wszystkie historie nas powinny nauczyć. Jeżeli
użyjemy słowa historia, to powinniśmy tak naprawdę zacząć od samego początku, od
tego kiedy miał miejsce pierwszy znany cyberatak. Nie wiem czy Państwo zdają sobie
z tego sprawę, że już powoli zbliżamy się do jego dwusetnej rocznicy. Trochę po
czasach Napoleona, w 1831 roku, miał miejsce pierwszy udokumentowany cyberatak.
Miało to miejsce we Francji w której już wówczas funkcjonowała sieć – taka potężna,
rozległa, prawie jak EXATEL. Sieć ta składała się z takich masztów telegraficznych i
poprzez różnego rodzaju ustawienie desek ustawionych na tych masztach, można było
w bardzo szybki sposób przekazywać informacje, tak naprawdę po całym kraju.
Maszty sterowano wajchą, deski szły w górę i w dół, a na następnej wieży siedział
operator z lornetką i replikował dokładnie te same ruchy. Ponieważ był operator z
lornetką to chciałoby się powiedzieć, że był to taki pierwowzór światłowodów, bo w
sumie światło było głównym medium, które tutaj funkcjonowało.
W 1834 roku, dwóch braci Blanc, którzy handlowali i spekulowali na giełdzie. Byli oni
bardzo aktywni na rynku finansowym, ale potrzebowali dostępu do informacji – tak jak
i w obecnych czasach, kto ma szybciej informacje, ten może mieć bardzo dużą
przewagę konkurencyjną – i zastanawiali się w jaki sposób można by było wykorzystać
te maszty do tego by można było przekazywać informacje wcześniej. Co wymyślili?
Udało im się przekonać osoby, które wysyłały sygnał do tego, by w ramach tego
sygnału dodawały dodatkowe znaki, które mówiły o tym jaka jest sytuacja na giełdzie.
Informacja ta szła w sposób absolutnie niezauważony przez nikogo po tym ciągu
różnego rodzaju wież obserwacyjnych, ale nie była ona zauważona z jednego powodu,
ponieważ najpierw szła informacja na temat tego co dzieje się na giełdzie, a potem był
taki „backspace”, który mówił operatorowi że należy w sumie zignorować tę wiadomość
i jak będziesz już tę wiadomość zapisywał formalnie by przekazać odbiorcy, to tamta
informacja nie powinna zostać zapisana. Dzięki temu bracia dostawali informacje dużo
szybciej, bo wówczas stosowany sposób przesyłu informacji o tym co się dzieje na
giełdzie, to byli kurierzy i gołębie pocztowe. Więc oni byli dużo szybsi. Co ciekawe, ten
cyberatak dokładnie tam samo jak większość obecnych cyberataków, był absolutnie
niezauważalny. Dopiero po dwóch latach, czystym przypadkiem, okazało się że taka
sytuacja miała miejsce i wtedy rzeczywiście był wielki skandal. Bracia zostali
postawieni przed sądem i proszę sobie wyobrazić jaki był wyrok. Uniewinnienie, bo to
jeszcze były czasy w których nie było paragrafów na przestępstwa związane z
przesyłem informacji, więc zostali zupełnie uniewinnieni.
Muszę powiedzieć, że jak uczestniczę czasami w dyskusjach na temat przestępczości
komputerowej czy w ogóle obserwuje niekiedy sprawy sądowe związane z tym
tematem i słucham porównania wiadomości spear phishingowych do biurka w którym
jest niedomknięta szuflada, a w niej wystająca koperta, to jak słucham sobie tego
rodzaju różnych porównań, które są wykorzystywane niekiedy żeby sprawy dotyczące
cyberprzestępczości omawiać, to myślę, że nieduży krok został zrobiony naprzód. W
każdym razie ten przykład chciałem Państwu opowiedzieć po to, żeby pokazać jedną
bardzo konkretną naukę na przyszłość, a mianowicie chciałbym zwrócić uwagę na to,
że wyobraźnia i motywacja pozwalają omijać wszelkie techniczne ograniczenia. Jeżeli
ktoś naprawdę będzie chciał zrobić coś niedobrego, to zrobi to wyprzedzając swoją
epokę praktycznie o 200 lat.
Tak naprawdę o ochronie infrastruktury krytycznej zaczęliśmy mówić dopiero w latach
dwutysięcznych. Zakładam, że część z Państwa pamięta jeszcze maj 2007 roku i
informacje, które napływały z Estonii o kolejnych atakach DDoS na kluczowe strony.
Dlaczego to było tak istotne? Dlatego że Estonia była wówczas i ciągle jest jednym z
najbardziej zinformatyzowanych państw na świecie. Tam przez Internet można było
załatwiać wszystko, a nagle okazało się że praktycznie przez dwa tygodnie nie można
było załatwić niczego. To takie dosyć dziwne wydarzenie – oczywiście nie mam ochoty
wchodzić w tematy polityczne, bawić się w atrybucje i tego typu kwestie – w każdym
razie chciałbym zwrócić tutaj uwagę znowu na to, co nas ta historia powinna nauczyć.
Po pierwsze, że korzyści generowane przez nasze technologie, idą w parze z
ryzykiem. Informatyzacja cały czas postępuje, mamy coraz więcej systemów, te
systemy są coraz bardziej złożone, ale jednak w tym momencie im jest więcej
złożoności, tym większa jest szansa na to, że znajdą się tam jakieś podatności, które
ktoś będzie mógł wykorzystać. Kolejna rzecz, którą uczy nas ta historia, to że ataki
potrafią sparaliżować społeczeństwo uzależnione od Internetu. Wtedy przez te dwa
tygodnie naprawdę było słabo. Mieszkańcy byli bardzo mocno zdezorientowani,
ponieważ możliwości tradycyjnego – analogowego chciałoby się powiedzieć –
załatwiania spraw były już wówczas bardzo mocno ograniczone.
Pierwszym przypadkiem cyberataku z hukiem, była eksplozja w 2008 roku. Historia ta
jest pełna znaków zapytania i tak naprawdę nic nie wiadomo co się wydarzyło, jak i
dlaczego. To co wiadomo w każdym razie, to że miał miejsce potężny wybuch i 150
metrów rurociągu wyleciało w powietrze. To o czym się mówi, to że niedługo wcześniej
zaobserwowano, że podobno przestały działać kamery CCTV. Kamery te przed tym
jak przerwały nadawanie, uchwyciły podobno jakąś grupę osób, które kręciły się po
okolicy z jakimś laptopem. Są to wszystko tzw. miejskie legendy, ale w taki sposób jest
to opowiadane. To co też jeszcze na pewno wiadomo, to że momentu eksplozji nie
zarejestrowały żadne czujki. Miejska legenda mówi o tym, że operatorzy rurociągu
dowiedzieli się o tym, że miał miejsce wybuch z tego, że zobaczyli potężny słup dymu
idący skądś. Natychmiast po tym jak miał miejsce ten atak, pojawiło się bardzo dużo
różnego rodzaju zamieszania, szumu medialnego, natychmiast zostały podniesione
ręce osób, które twierdziły, że to one zrobiły – miało to miejsce w Turcji więc znowu
nie chcę wchodzić w tematy polityczne, ale wiadomo kto tam mógłby mieć ochotę
zepsuć trochę infrastruktury krytycznej. Pojawiły się więc głosy: „to my zrobiliśmy, to
jest nasz atak, chcieliśmy pokazać niedobrym władzom, że nasze prawa należy
przestrzegać”. Z drugiej strony potężna ilość głosów: „oni nie mają technicznych
możliwości by to zrobić”. Znowu duża ilość znaków zapytania, ale fakt jest faktem,
miała miejsce eksplozja. Czego ten atak nas nauczył? Po pierwsze, był to pierwszy
taki – o którym się głośniej mówi – przypadek tego, że cyberatak potrafi doprowadzić
do zniszczeń fizycznych. Druga kwestia, to że stały monitoring i detekcja to podstawa.
Chyba wszyscy Państwo zgodzą się ze mną, że to trochę głupio nie wiedzieć o tym,
że rurociąg wyleciał w powietrze i przestała płynąć ropa.
Przenieśmy się odrobinę w czasie. 2009 i 2010 rok, infekcja Stuxneta. Cały atak miał
prawdopodobnie na celu zaatakowanie pięciu wymienionych na górze zakładów, a tak
naprawdę to o co chodziło przede wszystkim to o zakład wzbogacania uranu w Natanz
i o te słynne wirówki o których wszyscy już słyszeliśmy nie raz. W każdym razie to co
jest istotne i o czym chciałbym przede wszystkim powiedzieć, to przypomnieć tę
sytuację, że nawet jeżeli było to celem, to tak naprawdę skutki odczuliśmy wszyscy.
Wszystkie organizacje, które zajmowały się w tym czasie bezpieczeństwem,
zastanawiały się czy Stuxnet ich dotknie czy nie. Tak naprawdę cały Internet miewał
większe czy mniejsze problemy związane np. z resetowaniem komputerów. I to czego
ta historia powinna nas nauczyć w tym momencie, to jednej bardzo istotnej kwestii:
zdeterminowany przeciwnik nie zawaha się zaatakować całego świata by osiągnąć
cel. Czy ta globalna infekcja Stuxneta, czy to że został zaatakowany praktycznie cały
świat, czy było to celowe działanie czy to był jakiś niezamierzony odprysk z tego
konkretnego, bardzo ukierunkowanego ataku, to już byłaby spekulacja, więc w te
tematy nie będę wchodził. Niemniej fakt jest faktem – cały świat został zaatakowany
po to żeby zaatakować jeden, bardzo konkretny cel. Jeszcze jedną naukę powinniśmy
wyciągnąć z tej historii – drobne anomalie mogą naprawdę doprowadzić do katastrofy.
Tak jak w poprzednim przypadku było jedno wielkie „bum”, tak tutaj, jak wyglądał atak?
Nuda, cisza, spokój, tydzień po tygodniu nic, aż nagle nic nie działa. I mniej więcej w
taki sposób tutaj przestępcy pokazali znowu swoją klasę jeżeli chodzi o techniczne
umiejętności.
Mamy ataki celowe, mamy ataki mniej celowe. W 2011 roku miała miejsce sytuacja,
która powinna przejść do klasyki w ogóle infrastruktury krytycznej. Pani Hayastan,
szukała złomu bo chciała sobie dorobić. Szła wzdłuż wykopu i zobaczyła że coś
wystaje. Zobaczyła przewód. Jak zobaczyła przewód, pomyślała: przewód = miedź,
miedź = pieniądze. Wzięła łopatę, ciachnęła i odłączyła całą Armenię i znaczną część
Gruzji od Internetu. Niesamowita historia, która pokazuje to, że jeżeli coś można
zepsuć, to znajdzie się ktoś kto będzie w stanie tego dokonać, tylko trzeba trochę
poczekać na właściwą osobę, która będzie chętna. Kolejny wniosek – SPOF, czyli
Single Point of Failure (pojedynczy punkt awarii) może ukrywać się wszędzie. Takie
pojedyncze kable, pojedyncze przewody wzdłuż nasypu kolejowego, one tak
naprawdę mogą być wszędzie. Gdzie one są? Tego nie wiemy. Tutaj trzeba zwrócić
uwagę na to, że to są rzeczy które powstawały wiele lat temu, bardzo często są
zapominane, dokumentacja mogła być szczątkowa, czy też nie było wtedy tak jak w
obecnych czasach standardu który mówi o tym, że powinniśmy posiadać kilka łączy,
które idą zupełnie niezależnymi drogami. Tutaj – nie wiem czy Państwo pamiętają i
zastanawiałem się czy nie umieścić tego na slajdzie – dwa lata wcześniej miał miejsce
dosyć podobny przypadek, kiedy Indie zostały odcięte od Internetu. Koparka na plaży
zaczęła kopać rów i wyciągnęła coś czego nie powinno być. To coś to był krótki
kawałek, mniej więcej 150 metrowy, światłowodu, który był pojedynczym punktem
awarii dla dwóch nitek światłowodów, które łączyły Indie z resztą świata, a Indie to są
te wszystkie centra outsourcingu, centra offshoringowe, te wszystkie centra
usługodawcze i Indie przestały praktycznie działać. Akurat pamiętam, bo pracowałem
wówczas w instytucji, która bardzo dużo współpracowała z Indiami i mieliśmy tam
swoje zespoły. Była jeszcze trzecia nitka, którą my na szczęście szliśmy, ale znaczna
część świata wtedy bardzo dotkliwie to odczuła. Przykład który nas jeszcze uczy ta
historia, to że krytyczne elementy infrastruktury krytycznej, wymagają stałej ochrony
również fizycznej.
Ale jak opowiadałem przed chwilą Państwu o przerwanych przewodach, to nie wiem
czy dla Państwa również, ale dla mnie na pewno przerwany przewód kojarzy się
jednak z elektrycznością. Jest przerwany – nie ma elektryczności. Jak nie ma
elektryczności to jest blackout, a jak jest blackout to niestety mamy jedno hasło:
Ukraina. W tym momencie to jest skojarzenie bardzo bolesne, wręcz przecież
pojawiają się artykuły które mówią o tym, że Ukraina staje się poligonem dla
testowania różnego rodzaju cyberataków. W każdym razie Ukraina dwa lata z rzędu w
Boże Narodzenie doświadczyła blackoutów. Absolutnie czysty przypadek, jak się
wszyscy domyślamy, który nie ma nic wspólnego z jakąkolwiek polityką, z
jakimikolwiek rozrywkami różnego rodzaju. Czysty przypadek dwa razy z rzędu,
zupełnie przypadkiem raz wykorzystujący BlackEnergy3, raz wykorzystujący
Industroyera, Ukraina została odłączona od prądu na okres kilku godzin, co prawda to
nie było bardzo długo, ale trzeba przyznać że skala była dosyć duża. W jednym
przypadku było to dobrze ponad 200 tysięcy osób, w drugim przypadku mówi się o
ponad 6 tysiącach osób, które nie miały dostępu do prądu. Z tej historii znowu można
wyciągnąć kilka wniosków, takich jak przede wszystkim to, że niedostępność energii
ma błyskawiczny wpływ na funkcjonowanie Państwa. Niektórych mediów możemy nie
zauważyć, ale w momencie kiedy przestaje działać prąd, zobaczymy to wszyscy. Więc
atak na infrastrukturę energetyczną może być naprawdę bardzo bolesny w skutkach,
przynajmniej z tego powodu, żeby spowodować zamieszanie. Drugi wniosek, który tu
jest naprawdę bolesny szczególnie dla Ukraińców, to że Internet pozwala na
sondowanie na co jeszcze można sobie pozwolić, jak dużo można komuś zrobić, żeby
wywołać reakcję zwrotną. To są rzeczy ciągle jeszcze takie niepewne bo ta wojna
hybrydowa, to w którym momencie ona się zaczyna, w którym momencie zamienia się
w prawdziwą agresję, to jest jeszcze niepewne i możemy sobie testować i zwróćmy
uwagę że szereg państw lubi sobie testować.
Mniej więcej w tym samym momencie co miał miejsce blackout na Ukrainie, również
bankowcy mieli trudne chwile. W 2015 i 2016 roku miała miejsce seria ataków
wykorzystujących system SWIFT. SWIFT to globalna organizacja, której celem jest
spowodowanie, że wszystkie banki, wszyscy duzi gracze w systemie finansowym,
mogą sobie zaufać. W każdym razie SWIFT służy do tego żeby sobie ufać. Jak okaże
się, że SWIFT-owi nie można ufać, to tak naprawdę cały ten system legnie w gruzach.
Miały miejsce ataki dosyć skuteczne, miliony dolarów zostały ukradzione, ale to co jest
tak naprawdę istotne w tym momencie, to żeby zwrócić uwagę na to, że ataki potrafią
być przeprowadzone również przez bardzo dobrze zorganizowane grupy, czyli grupy
które chodzą w mundurach, są sponsorowane przez Państwo, są funkcjonariuszami
czy innymi pracownikami aparatów siłowych w różnych państwach, które mogą sobie
pozwolić na naprawdę bardzo dużo. Pamiętajmy o tym, że przeciwnik może być
bardzo mocno zaawansowany i dla niego może to być normalna działalność
zawodowa, którą wykonuje codziennie i się tym szczyci, dostaje nagrody za to, że
dobrze wykonuje swoją pracę. Drugi wniosek, który warto by było tutaj wyciągnąć, to
że należy ufać ale kontrolować. Dlaczego to było ważne? Otóż ten atak udał się z tego
powodu, że w bankach które były głównymi graczami – zamieszanymi później jeszcze
w całą akcję związaną z praniem tych ukradzionych pieniędzy i ich przesyłem dalej –
poziom bezpieczeństwa informacji był podobno na żałosnym poziomie. Takie
sformułowania były formowane.
Gdyby w tych bankach najbardziej podstawowe zasady bezpieczeństwa, o których my
wszyscy wiemy, które znamy i z zamkniętymi oczami możemy recytować, były
przestrzegane, to do tych ataków po prostu by nie doszło. Po tych przypadkach SWIFT
się dosyć mocno zdenerwował i powiedział, że będzie bardzo mocno kontrolować te
banki i wymuszać to by poziom bezpieczeństwa był na odpowiednio wysokim
poziomie. Patrząc tak z boku w tym momencie, bo już nie pracuję w bankach, nie widzę
aż tak dużo kontroli, które oni by wykonywali.
Następny przypadek, który warto sobie przypomnieć, pochodzi tym razem z naszego
podwórka. Postanowiłem pokazać, że to też jest infrastruktura krytyczna. W 2016 roku
mieliśmy sytuację, że nagle przez pół godziny ruch powietrzny nad Polską był
wstrzymany. Dlaczego ten przypadek był szczególnie istotny? Z tego powodu, że
wydarzył się w złym momencie. To były te czasy kiedy były gigantyczne protesty w
całym kraju, sytuacja polityczna była bardzo napięta i nagle okazuje się, że jeden z
kluczowych elementów funkcjonowania państwa – czyli centrum zarządzania ruchem
lotniczym – przestało funkcjonować. Jakie były tego powody? Próbowano wykonać
testy awaryjnego zasilania i te testy się nie udały. Kto z Państwa jest takim
szczęściarzem, że zawsze wszystkie testy się udają i nic nigdy się nie zepsuło? Ani
jednej ręki w górze nie widzę i tego się prawdę mówiąc spodziewałem. Testy mają to
do siebie, że się czasami nie udają. Tutaj była akurat ta sytuacja polityczna, był to
bardzo zły moment, ale to co chciałbym znowu żebyśmy z tej historii wyciągnęli, to że
błędy i awarie potrafią być równie szkodliwe co cyberataki i tak naprawdę wcale nie
trzeba mieć jakiegoś zdeterminowanego przeciwnika, który chce nam zaszkodzić,
żeby był kłopot.
I zbliżamy się do historii najnowszej. Rok temu w maju – WannaCry. Nie chciałbym
opowiadać o tym co się działo. Przede wszystkim chciałbym zwrócić uwagę na kwestię
tego jakie były skutki nie u nas, ale w Wielkiej Brytanii. Celowo jako slajd umieściłem
raport z Wielkiej Brytanii, bo u nas były resetowane komputery, niektórzy mieli większe
problemy, niektórzy mniejsze, ogólnie w Polsce ten atak był trochę dotkliwy, ale w
Wielkiej Brytanii znaczna część systemu ochrony zdrowia przestała funkcjonować. I
tutaj proszę Państwa jest taki moment, że mnie się osobiście to przestaje już podobać,
bo nagle proszę sobie wyobrazić: mamy wyniki badań lekarskich i chcemy wiedzieć co
jest pacjentowi – nie wiemy. Chcemy wiedzieć jakie leki komuś podać – nie wiemy.
Lekarze przygotowują się do operacji i nagle nie wiedzą co tak naprawdę mają robić,
nie mają rentgenów, nie mają dostępu do diagnostyki obrazowej. Nagle okazuje się,
że te wszystkie najbardziej podstawowe elementy w Wielkiej Brytanii – z punktu
widzenia ochrony zdrowia – przestały funkcjonować i to już nie są żarty. Od tego
bezpośrednio ludzie zaczynają umierać, to już nie jest zabawa jak „wyłączymy komuś
prąd”. Przez chwilę prąd będzie wyłączony, potem znowu wszystko będzie działało.
Nie, tutaj atak spowodował że zginęło X osób. Ile? Tego tak naprawdę nie będzie nikt
w stanie policzyć prawdopodobnie. To na co chciałbym tutaj jeszcze zwrócić uwagę,
to że łata eliminująca podatność była już dostępna od kilku tygodni, więc ci którzy
dobrze zarządzali bezpieczeństwem swoich sieci, mogli się zabezpieczyć. Jaka nauka
na przyszłość powinna z tego być? Przypomnijmy sobie jednak jakie były przyczyny
tej epidemii. Przypomnijmy sobie exploit Eternal Blue. Wniosek moim zdaniem jest
taki, że kto bawi się zapałkami, ten może się sparzyć. Rozumiem doskonale potrzebę
tworzenia narzędzi ofensywnych, ale to żeby narzędzia ofensywne zostały
opublikowane w Internecie, żeby to wyciekało, jest moim zdaniem bardzo dużym
zaniedbaniem. Drugi wniosek jaki po tamtym momencie zacząłem bardzo często
słyszeć, to że jednak prawdziwi twardziele nie tylko powinni robić kopię zapasową, ale
i łatać systemy, ponieważ to już był przypadek bardzo masowego, bardzo szybkiego
atakowania i bardzo szybkiej infekcji.
Ale te infekcje nie były takie błyskawiczne jak Non-Petya. Nas szczęśliwie ominęła, ale
reszta świata była w trochę gorszym stanie. Przypomnę, że prawdopodobnym celem
tego ataku była Ukraina, ale rzeczywiste ofiary były na całym świecie. To co chciałbym
podkreślić, to że wśród ofiar był Gazprom, Rosneft, a także system monitorowania
skażenia w elektrowni w Czarnobylu. Nie wiem czy Państwo pamiętają, ale on również
został zaszyfrowany, więc przez jakiś czas nie było wiadomo czy ten poziom radiacji
się podniósł czy nie. Mnie osobiście znowu się taka sytuacja nie podoba. Pamiętam
1986 rok, byłem wtedy małym chłopcem. Niech się te sytuacje nie powtarzają. Co nas
to uczy? Kilku rzeczy. Po pierwsze: zależności w Internecie są na tyle potężne, że
trudno będzie dokonać zmasowanego, ale jednak ukierunkowanego ataku – nawet
jeżeli ktoś chce zaatakować jakieś konkretne Państwo, to szansa na to że ten atak się
wymknie spod kontroli, jest potężna. Kolejna nauka, to że infekcje potrafią
rozprzestrzeniać się błyskawicznie – tutaj przypomnę że są historie o tym, że 7 tysięcy
komputerów w przeciągu 5 minut w jednej firmie zostało natychmiast zaszyfrowanych.
I to czego nas nauczy ta historia, to że jeden konkretny cyberatak, może spowodować
straty przekraczające miliard dolarów i praktycznie sparaliżować światową
gospodarkę, a przynajmniej znaczną jej część. Znowu rok temu my sobie
funkcjonowaliśmy tu w miarę normalnie, ale cały czas słyszeliśmy, że na świecie jest
bardzo dużo problemów.
Zbliżam się już powoli do końca, ale jeszcze w ubiegłym roku w wakacje miał miejsce
przypadek o którym akurat stosunkowo mało mówiono, chociaż ci co powinni to
słyszeli. Był atak na zakłady chemiczne Sadara w Arabii Saudyjskiej. Atak powodował
niszczenie fizyczne twardych dysków. Odtwarzanie zajęło kilka miesięcy, czyli
powiedzmy standard jeżeli chodzi o cyberatak, ale ten przypadek był dosyć wyjątkowy.
W tym przypadku nie chodziło o to (a przynajmniej tak wskazują raporty) żeby
sparaliżować funkcjonowanie tej organizacji, ale celem ataku było spowodowanie
skażenia i śmierć wielu osób. To miało być rzeczywistym celem przestępców więc tutaj
znowu muszę powiedzieć jak się nad tym zastanawiam: przestępcy w Internecie kradli,
oszukiwali, niszczyli – przynajmniej z punktu widzenia infrastruktury krytycznej – a
teraz oni zaczynają zabijać. Znowu sytuacja zaczyna być poważna. Ile zakładów
chemicznych tak naprawdę na świecie może jeszcze funkcjonować?
Mniej więcej w tym samym czasie również w Arabii Saudyjskiej miał miejsce inny atak,
akurat na systemy sterowania i pozwolę sobie przypomnieć, że wyciekł bardzo
zaawansowany kod. W Internecie można pobrać kod źródłowy potężnego robala, który
ma na celu niszczenie systemów sterowania przemysłowego. Jeżeli kolejny szaleniec
wpadnie na pomysł żeby to wykorzystać i żeby coś zniszczyć, wywalić w powietrze
jakieś zakłady chemiczne, to jeszcze bardziej pokazuje że ta infrastruktura krytyczna,
to nie są tematy o których my możemy sobie siedzieć i opowiadać „a jest ta dyrektywa
NIS o której nikt nie wie, nikt nie czytał, wszyscy wiedzą że kiedyś będzie, rząd wdrożył
ustawę o krajowym systemie cyberbezpieczeństwa, ale dalej będzie po staremu”. Ja
mam nadzieję że nie. Mam nadzieję, że w tym momencie zdecydowanie już wszyscy
będziemy rozumieli, że są to obszary, którymi musimy zająć się na poważnie, musimy
to wszystko zacząć chronić.
Ostatni przykład z tych dalekich – ataki na organy władzy. Proszę Państwa, mamy
kwestię parlamentu Wielkiej Brytanii, który był celem ataku, w Niemczech w tym roku
również bardzo niepokojące sygnały dochodziły, że parlament jest bardzo głęboko
zinfiltrowany. W Wielkiej Brytani Theresa May miała całe wystąpienie w Izbie Lordów,
podczas którego zwróciła się wprost do jednego z krajów, mówiąc „wiemy co robicie”.
A mniej więcej dwa miesiące temu malutka wyspa Sint Maarten na Karaibach zupełnie
została sparaliżowana – akurat może w tym przypadku było to łatwiejsze, ransomware,
kilka komputerów na krzyż, wyspa jest podobno malutka, ale administracja całego
kraju padła mniej więcej dwa miesiące temu. Niesamowita sytuacja. Co się dzieje na
tym świecie?
Jedno z czego możemy się cieszyć, to że to wszystko tak naprawdę ma miejsce daleko
stąd i my żyjemy w takim miejscu, że mamy ciszę, spokój, nikt nami się nie interesuje
i u nas incydentów nie ma. Ale tak naprawdę proszę Państwa to nikt nie jest
bezpieczny. I zastanawiałem się nad tym bardzo mocno, jakie wnioski z tego
wszystkiego można wyciągnąć. Jak patrzyłem na tę naukę na przyszłość i myślałem o
tym jaki jest stan tej infrastruktury krytycznej, to pomyślałem, że jakbym miał w dwóch
słowach powiedzieć co sądzę o bezpieczeństwie infrastruktury krytycznej, to w dwóch
słowach powiedziałbym, że „jest dobrze”. Ale nie wiem czy pamiętają Państwo taki
stary dowcip, że gdybym miał trzy słowa do dyspozycji to powiedziałbym że „nie jest
dobrze”. Tak naprawdę proszę Państwa temat jest strasznie trudny z tego powodu, że
jest to bardzo złożona kwestia. To nie jest coś co możemy sobie łatwo zmienić, nie
możemy sobie bardzo łatwo odłączyć jakichś fragmentów infrastruktury krytycznej
żeby je zaktualizować, niekiedy nic w ogóle nie możemy zaktualizować. Możliwości
testowania są trudne, a możliwości weryfikowania który ruch jest poprawny, a który
nie, są bardzo skomplikowane. Jest to po prostu temat naprawdę złożony.
I czego można się z tych wszystkich historii nauczyć? Jest takie powiedzenie, że
historia uczy wyłącznie jednego: że nigdy nikogo niczego nie nauczyła. Ja mam
nadzieję, że te historie nas jednak kilku rzeczy nauczą i zmienimy nasz sposób
postrzegania infrastruktury krytycznej. Przede wszystkim chciałbym podkreślić, że
przestępcy stosują coraz bardziej zaawansowane sposoby by nas oszukać. Oni
naprawdę kombinują, są coraz bardziej zaawansowani i musimy się coraz bardziej
wysilać. Chociaż z drugiej strony niekiedy poprzez proste błędy sami się prosimy o
kłopoty. Następne czego nas te historie powinny nauczyć, to że człowiek musi być
wspierany technologią, ponieważ zwróćmy uwagę na to jakie są ilości zdarzeń w
każdym momencie, które my musimy analizować. Ale z tych technologii trzeba umieć
korzystać. Nie chodzi o to aby mieć superzaawansowane systemy w swojej
infrastrukturze, chodzi o to by te systemy działały. To jest słowo klucz. Te systemy
mają być i mają być wykorzystywane do tego żeby zbierać informacje.
Powinni Państwo śledzić co takie systemy pokazują, reagować, wykorzystywać je.
Warto mieć do kogo zadzwonić w trudnych chwilach, bo niekiedy trudno samemu sobie
poradzić, a czasem samo szczęście nie wystarczy i trzeba sobie pomóc. W jaki sposób
można sobie pomóc? Mamy ludzi, technologie i jeszcze jedną kluczową kwestię –
procesy, które powodują że ci ludzie i te technologie zaczną ze sobą współdziałać. Ale
też nie możemy zapomnieć o tym, że jeszcze jakaś taka szpila może niekiedy
wskoczyć w tryby. Bardzo często są to działy biznesowe, wyższe kierownictwo itp.
Musimy pamiętać o tym by te osoby były w pełni świadome tego, że bez
odpowiedniego funkcjonowania technologii, cała ta maszyna, cały ten system może
się zepsuć. Nam jako inżynierom trzeba jednak ufać i mam nadzieję, że Państwo coraz
częściej spotykają się z tym, że Państwa głos jest dużo lepiej słyszany, również na
wyższych szczeblach Państwa kierownictwa