Infrastruktura krytyczna – dlaczego warto ją chronić

Zaczynamy serię publikacji wideo z naszej konferencji EXATEL Security Days 2018. Na początek infrastruktura krytyczna – jak ją chronić. Ataki na ważną infrastrukturę – od energetyki do automatyki przemysłowej – już dawno nie są dla ekspertów nowością. Jednak ich skala i skuteczność dramatycznie wzrosły. Jakub Syta, dyrektor departamentu cyberbezpieczeństwa w EXATEL, analizuje dotychczasowe incydenty takich ataków. Próbuje również określić ramy im przeciwdziałania. Wystąpienie byłą częścią konferencji EXATEL Security Days 2018. Ostatnie 6 minut to krótkie omówienie agendy konferencji EXATEL Security Days 2018.

O konferencji

EXATEL Security Days 2018 to już trzecia edycja konferencji poświęconej praktycznej stronie cyberbezpieczeństwa. Zasadą, której się trzymamy jest – jak najmniej teorii, jak najwięcej praktyki i działania. Ostatnie dwa lata przyniosły najszybsze w historii zmiany w sektorze cyberbezpieczeństwa. Po raz pierwszy pytania o wpływ systemów IT na codzienne życie, na stan i funkcjonowanie państwa zostały postawione w tak zdecydowany sposób.

Dyskusja o cyberbezpieczeństwie przeniosła się z konferencji, na pierwsze strony gazet. #CoDalej – takim hasłem postanowiliśmy promować tegoroczną edycję EXATEL Security Days. Jest bowiem jasne, że cyberbezpieczeństwo wkracza w nową erę. Erę, w której będzie dotyczyć wszystkich i to w zupełnie nowych kontekstach. Internet rzeczy, 5G, infrastruktura IT państwa, przemysł 4.0, konflikty hybrydowe – wielu tych zjawisk nie brano pod uwagę rok czy dwa lata temu. W co inwestować, żeby nie dać się wyprzedzić w tym „wyścigu zbrojeń”?

Konieczność skutecznej ochrony Infrastruktury Krytycznej w świetle najciekawszych ataków 

— Jakub Syta —

Dzień dobry Państwu. Muszę powiedzieć, że bardzo cieszę się, że widzę tutaj ponownie tak potężne zgromadzenie. Cieszę się także z innego powodu, ponieważ tak naprawdę wszyscy którzy tutaj jesteśmy, w mniejszym czy większym stopniu jesteśmy odpowiedzialni za ochronę informacji. Tak naprawdę to od nas zależy czy organizacja w której funkcjonujemy będzie bezpieczna, czy będzie funkcjonować, czy tak naprawdę całe interesy organizacji które reprezentujemy, będą wykonywane należycie. Tak naprawdę wszystko to zależy od naszej pracy. Nie wiem czy Państwo tak samo jak ja są dumni z tego, że to my powodujemy że wszystko dookoła może się kręcić. Jest taki rysunek Mleczki z kogutem, który jest dumny, szczęśliwy i mówi „Nie potrzebuję wiele od życia, jestem symbolem seksu i to mi wystarcza”. Nie wiem czy państwo podobnie myślą o swojej pracy, ale tak naprawdę bez nas tego wszystkiego co jest u Państwa w organizacji nie będzie. To my powodujemy że można tych wszystkich przestępców jakoś powstrzymywać, eliminować awarie, że możemy zwalczać coraz to ciekawsze pomysły użytkowników, którzy są absolutnie nieograniczeni jeżeli chodzi o swoją wyobraźnię.

W każdym razie, tak samo jak wszyscy zajmujemy się bezpieczeństwem informacji, tak samo wszyscy rozumiemy że są w sumie dwa rodzaje organizacji: organizacje ważne – te które my wszyscy reprezentujemy – i ważniejsze – te które zdecydowana większość z Państwa również reprezentuje. W niedługim czasie wejdą w życie przepisy ustawy o krajowym systemie cyberbezpieczeństwa i ta ustawa wybitnie pokazuje, że istnieje 6 sektorów krytycznych dla tego by społeczeństwo funkcjonowało jako całość, żebyśmy mogli funkcjonować normalnie jako obywatele. To na co chciałbym jeszcze zwrócić szczególną uwagę, to że wszystkie te sektory czy organizacje (które mam tutaj wymienione), które świadczą usługi kluczowe, mają dwie wspólne cechy. Po pierwsze wszystkie do komunikowania się wykorzystują sieci, a po drugie – w przypadku każdego z tych sektorów – te usługi kluczowe tak naprawdę są sterowane przez systemy informatyczne. Co to oznacza? To tak naprawdę proszę Państwa oznacza, że można się do nich włamać, można je zepsuć i rozwalić i spowodować bardzo duże kłopoty.

To czym chciałbym się zająć w trakcie dzisiejszej prezentacji, to opowiedzenie o takim wyborze kilkunastu najbardziej interesujących moim zdaniem przypadków, kiedy ta infrastruktura krytyczna udowodniła że naprawdę jest krytyczna, że bez niej za bardzo nie można funkcjonować. Wszystkie case’y o których będę opowiadał, są Państwu całkiem dobrze znane, są opisane w Internecie, ale tak naprawdę to co można tam znaleźć to są przede wszystkim domysły, spekulacje, a o tym co tak naprawdę jest najbardziej istotne nikt oczywiście nie powie, a już w żadnym wypadku nie napisze. To na czym tak naprawdę chciałem się skupić, to na tym jakie wnioski z tego wszystkiego powinniśmy wyciągnąć, czyli czego te wszystkie historie nas powinny nauczyć. Jeżeli użyjemy słowa historia, to powinniśmy tak naprawdę zacząć od samego początku, od tego kiedy miał miejsce pierwszy znany cyberatak. Nie wiem czy Państwo zdają sobie z tego sprawę, że już powoli zbliżamy się do jego dwusetnej rocznicy. Trochę po czasach Napoleona, w 1831 roku, miał miejsce pierwszy udokumentowany cyberatak. Miało to miejsce we Francji w której już wówczas funkcjonowała sieć – taka potężna, rozległa, prawie jak EXATEL. Sieć ta składała się z takich masztów telegraficznych i poprzez różnego rodzaju ustawienie desek ustawionych na tych masztach, można było w bardzo szybki sposób przekazywać informacje, tak naprawdę po całym kraju. Maszty sterowano wajchą, deski szły w górę i w dół, a na następnej wieży siedział operator z lornetką i replikował dokładnie te same ruchy. Ponieważ był operator z lornetką to chciałoby się powiedzieć, że był to taki pierwowzór światłowodów, bo w sumie światło było głównym medium, które tutaj funkcjonowało.

W 1834 roku, dwóch braci Blanc, którzy handlowali i spekulowali na giełdzie. Byli oni bardzo aktywni na rynku finansowym, ale potrzebowali dostępu do informacji – tak jak i w obecnych czasach, kto ma szybciej informacje, ten może mieć bardzo dużą przewagę konkurencyjną – i zastanawiali się w jaki sposób można by było wykorzystać te maszty do tego by można było przekazywać informacje wcześniej. Co wymyślili? Udało im się przekonać osoby, które wysyłały sygnał do tego, by w ramach tego sygnału dodawały dodatkowe znaki, które mówiły o tym jaka jest sytuacja na giełdzie. Informacja ta szła w sposób absolutnie niezauważony przez nikogo po tym ciągu różnego rodzaju wież obserwacyjnych, ale nie była ona zauważona z jednego powodu, ponieważ najpierw szła informacja na temat tego co dzieje się na giełdzie, a potem był taki „backspace”, który mówił operatorowi że należy w sumie zignorować tę wiadomość i jak będziesz już tę wiadomość zapisywał formalnie by przekazać odbiorcy, to tamta informacja nie powinna zostać zapisana. Dzięki temu bracia dostawali informacje dużo szybciej, bo wówczas stosowany sposób przesyłu informacji o tym co się dzieje na giełdzie, to byli kurierzy i gołębie pocztowe. Więc oni byli dużo szybsi. Co ciekawe, ten cyberatak dokładnie tam samo jak większość obecnych cyberataków, był absolutnie niezauważalny. Dopiero po dwóch latach, czystym przypadkiem, okazało się że taka sytuacja miała miejsce i wtedy rzeczywiście był wielki skandal. Bracia zostali postawieni przed sądem i proszę sobie wyobrazić jaki był wyrok. Uniewinnienie, bo to jeszcze były czasy w których nie było paragrafów na przestępstwa związane z przesyłem informacji, więc zostali zupełnie uniewinnieni.

Muszę powiedzieć, że jak uczestniczę czasami w dyskusjach na temat przestępczości komputerowej czy w ogóle obserwuje niekiedy sprawy sądowe związane z tym tematem i słucham porównania wiadomości spear phishingowych do biurka w którym jest niedomknięta szuflada, a w niej wystająca koperta, to jak słucham sobie tego rodzaju różnych porównań, które są wykorzystywane niekiedy żeby sprawy dotyczące cyberprzestępczości omawiać, to myślę, że nieduży krok został zrobiony naprzód. W każdym razie ten przykład chciałem Państwu opowiedzieć po to, żeby pokazać jedną bardzo konkretną naukę na przyszłość, a mianowicie chciałbym zwrócić uwagę na to, że wyobraźnia i motywacja pozwalają omijać wszelkie techniczne ograniczenia. Jeżeli ktoś naprawdę będzie chciał zrobić coś niedobrego, to zrobi to wyprzedzając swoją epokę praktycznie o 200 lat.

Tak naprawdę o ochronie infrastruktury krytycznej zaczęliśmy mówić dopiero w latach dwutysięcznych. Zakładam, że część z Państwa pamięta jeszcze maj 2007 roku i informacje, które napływały z Estonii o kolejnych atakach DDoS na kluczowe strony. Dlaczego to było tak istotne? Dlatego że Estonia była wówczas i ciągle jest jednym z najbardziej zinformatyzowanych państw na świecie. Tam przez Internet można było załatwiać wszystko, a nagle okazało się że praktycznie przez dwa tygodnie nie można było załatwić niczego. To takie dosyć dziwne wydarzenie – oczywiście nie mam ochoty wchodzić w tematy polityczne, bawić się w atrybucje i tego typu kwestie – w każdym razie chciałbym zwrócić tutaj uwagę znowu na to, co nas ta historia powinna nauczyć. Po pierwsze, że korzyści generowane przez nasze technologie, idą w parze z ryzykiem. Informatyzacja cały czas postępuje, mamy coraz więcej systemów, te systemy są coraz bardziej złożone, ale jednak w tym momencie im jest więcej złożoności, tym większa jest szansa na to, że znajdą się tam jakieś podatności, które ktoś będzie mógł wykorzystać. Kolejna rzecz, którą uczy nas ta historia, to że ataki potrafią sparaliżować społeczeństwo uzależnione od Internetu. Wtedy przez te dwa tygodnie naprawdę było słabo. Mieszkańcy byli bardzo mocno zdezorientowani, ponieważ możliwości tradycyjnego – analogowego chciałoby się powiedzieć – załatwiania spraw były już wówczas bardzo mocno ograniczone.

Pierwszym przypadkiem cyberataku z hukiem, była eksplozja w 2008 roku. Historia ta jest pełna znaków zapytania i tak naprawdę nic nie wiadomo co się wydarzyło, jak i dlaczego. To co wiadomo w każdym razie, to że miał miejsce potężny wybuch i 150 metrów rurociągu wyleciało w powietrze. To o czym się mówi, to że niedługo wcześniej zaobserwowano, że podobno przestały działać kamery CCTV. Kamery te przed tym jak przerwały nadawanie, uchwyciły podobno jakąś grupę osób, które kręciły się po okolicy z jakimś laptopem. Są to wszystko tzw. miejskie legendy, ale w taki sposób jest to opowiadane. To co też jeszcze na pewno wiadomo, to że momentu eksplozji nie zarejestrowały żadne czujki. Miejska legenda mówi o tym, że operatorzy rurociągu dowiedzieli się o tym, że miał miejsce wybuch z tego, że zobaczyli potężny słup dymu idący skądś. Natychmiast po tym jak miał miejsce ten atak, pojawiło się bardzo dużo różnego rodzaju zamieszania, szumu medialnego, natychmiast zostały podniesione ręce osób, które twierdziły, że to one zrobiły – miało to miejsce w Turcji więc znowu nie chcę wchodzić w tematy polityczne, ale wiadomo kto tam mógłby mieć ochotę zepsuć trochę infrastruktury krytycznej. Pojawiły się więc głosy: „to my zrobiliśmy, to jest nasz atak, chcieliśmy pokazać niedobrym władzom, że nasze prawa należy przestrzegać”. Z drugiej strony potężna ilość głosów: „oni nie mają technicznych możliwości by to zrobić”. Znowu duża ilość znaków zapytania, ale fakt jest faktem, miała miejsce eksplozja. Czego ten atak nas nauczył? Po pierwsze, był to pierwszy taki – o którym się głośniej mówi – przypadek tego, że cyberatak potrafi doprowadzić do zniszczeń fizycznych. Druga kwestia, to że stały monitoring i detekcja to podstawa. Chyba wszyscy Państwo zgodzą się ze mną, że to trochę głupio nie wiedzieć o tym, że rurociąg wyleciał w powietrze i przestała płynąć ropa.

Przenieśmy się odrobinę w czasie. 2009 i 2010 rok, infekcja Stuxneta. Cały atak miał prawdopodobnie na celu zaatakowanie pięciu wymienionych na górze zakładów, a tak naprawdę to o co chodziło przede wszystkim to o zakład wzbogacania uranu w Natanz i o te słynne wirówki o których wszyscy już słyszeliśmy nie raz. W każdym razie to co jest istotne i o czym chciałbym przede wszystkim powiedzieć, to przypomnieć tę sytuację, że nawet jeżeli było to celem, to tak naprawdę skutki odczuliśmy wszyscy. Wszystkie organizacje, które zajmowały się w tym czasie bezpieczeństwem, zastanawiały się czy Stuxnet ich dotknie czy nie. Tak naprawdę cały Internet miewał większe czy mniejsze problemy związane np. z resetowaniem komputerów. I to czego ta historia powinna nas nauczyć w tym momencie, to jednej bardzo istotnej kwestii: zdeterminowany przeciwnik nie zawaha się zaatakować całego świata by osiągnąć cel. Czy ta globalna infekcja Stuxneta, czy to że został zaatakowany praktycznie cały świat, czy było to celowe działanie czy to był jakiś niezamierzony odprysk z tego konkretnego, bardzo ukierunkowanego ataku, to już byłaby spekulacja, więc w te tematy nie będę wchodził. Niemniej fakt jest faktem – cały świat został zaatakowany po to żeby zaatakować jeden, bardzo konkretny cel. Jeszcze jedną naukę powinniśmy wyciągnąć z tej historii – drobne anomalie mogą naprawdę doprowadzić do katastrofy. Tak jak w poprzednim przypadku było jedno wielkie „bum”, tak tutaj, jak wyglądał atak? Nuda, cisza, spokój, tydzień po tygodniu nic, aż nagle nic nie działa. I mniej więcej w taki sposób tutaj przestępcy pokazali znowu swoją klasę jeżeli chodzi o techniczne umiejętności.

Mamy ataki celowe, mamy ataki mniej celowe. W 2011 roku miała miejsce sytuacja, która powinna przejść do klasyki w ogóle infrastruktury krytycznej. Pani Hayastan, szukała złomu bo chciała sobie dorobić. Szła wzdłuż wykopu i zobaczyła że coś wystaje. Zobaczyła przewód. Jak zobaczyła przewód, pomyślała: przewód = miedź, miedź = pieniądze. Wzięła łopatę, ciachnęła i odłączyła całą Armenię i znaczną część Gruzji od Internetu. Niesamowita historia, która pokazuje to, że jeżeli coś można zepsuć, to znajdzie się ktoś kto będzie w stanie tego dokonać, tylko trzeba trochę poczekać na właściwą osobę, która będzie chętna. Kolejny wniosek – SPOF, czyli Single Point of Failure (pojedynczy punkt awarii) może ukrywać się wszędzie. Takie pojedyncze kable, pojedyncze przewody wzdłuż nasypu kolejowego, one tak naprawdę mogą być wszędzie. Gdzie one są? Tego nie wiemy. Tutaj trzeba zwrócić uwagę na to, że to są rzeczy które powstawały wiele lat temu, bardzo często są zapominane, dokumentacja mogła być szczątkowa, czy też nie było wtedy tak jak w obecnych czasach standardu który mówi o tym, że powinniśmy posiadać kilka łączy, które idą zupełnie niezależnymi drogami. Tutaj – nie wiem czy Państwo pamiętają i zastanawiałem się czy nie umieścić tego na slajdzie – dwa lata wcześniej miał miejsce dosyć podobny przypadek, kiedy Indie zostały odcięte od Internetu. Koparka na plaży zaczęła kopać rów i wyciągnęła coś czego nie powinno być. To coś to był krótki kawałek, mniej więcej 150 metrowy, światłowodu, który był pojedynczym punktem awarii dla dwóch nitek światłowodów, które łączyły Indie z resztą świata, a Indie to są te wszystkie centra outsourcingu, centra offshoringowe, te wszystkie centra usługodawcze i Indie przestały praktycznie działać. Akurat pamiętam, bo pracowałem wówczas w instytucji, która bardzo dużo współpracowała z Indiami i mieliśmy tam swoje zespoły. Była jeszcze trzecia nitka, którą my na szczęście szliśmy, ale znaczna część świata wtedy bardzo dotkliwie to odczuła. Przykład który nas jeszcze uczy ta historia, to że krytyczne elementy infrastruktury krytycznej, wymagają stałej ochrony również fizycznej.

Ale jak opowiadałem przed chwilą Państwu o przerwanych przewodach, to nie wiem czy dla Państwa również, ale dla mnie na pewno przerwany przewód kojarzy się jednak z elektrycznością. Jest przerwany – nie ma elektryczności. Jak nie ma elektryczności to jest blackout, a jak jest blackout to niestety mamy jedno hasło: Ukraina. W tym momencie to jest skojarzenie bardzo bolesne, wręcz przecież pojawiają się artykuły które mówią o tym, że Ukraina staje się poligonem dla testowania różnego rodzaju cyberataków. W każdym razie Ukraina dwa lata z rzędu w Boże Narodzenie doświadczyła blackoutów. Absolutnie czysty przypadek, jak się wszyscy domyślamy, który nie ma nic wspólnego z jakąkolwiek polityką, z jakimikolwiek rozrywkami różnego rodzaju. Czysty przypadek dwa razy z rzędu, zupełnie przypadkiem raz wykorzystujący BlackEnergy3, raz wykorzystujący Industroyera, Ukraina została odłączona od prądu na okres kilku godzin, co prawda to nie było bardzo długo, ale trzeba przyznać że skala była dosyć duża. W jednym przypadku było to dobrze ponad 200 tysięcy osób, w drugim przypadku mówi się o ponad 6 tysiącach osób, które nie miały dostępu do prądu. Z tej historii znowu można wyciągnąć kilka wniosków, takich jak przede wszystkim to, że niedostępność energii ma błyskawiczny wpływ na funkcjonowanie Państwa. Niektórych mediów możemy nie zauważyć, ale w momencie kiedy przestaje działać prąd, zobaczymy to wszyscy. Więc atak na infrastrukturę energetyczną może być naprawdę bardzo bolesny w skutkach, przynajmniej z tego powodu, żeby spowodować zamieszanie. Drugi wniosek, który tu jest naprawdę bolesny szczególnie dla Ukraińców, to że Internet pozwala na sondowanie na co jeszcze można sobie pozwolić, jak dużo można komuś zrobić, żeby wywołać reakcję zwrotną. To są rzeczy ciągle jeszcze takie niepewne bo ta wojna hybrydowa, to w którym momencie ona się zaczyna, w którym momencie zamienia się w prawdziwą agresję, to jest jeszcze niepewne i możemy sobie testować i zwróćmy uwagę że szereg państw lubi sobie testować.

Mniej więcej w tym samym momencie co miał miejsce blackout na Ukrainie, również bankowcy mieli trudne chwile. W 2015 i 2016 roku miała miejsce seria ataków wykorzystujących system SWIFT. SWIFT to globalna organizacja, której celem jest spowodowanie, że wszystkie banki, wszyscy duzi gracze w systemie finansowym, mogą sobie zaufać. W każdym razie SWIFT służy do tego żeby sobie ufać. Jak okaże się, że SWIFT-owi nie można ufać, to tak naprawdę cały ten system legnie w gruzach. Miały miejsce ataki dosyć skuteczne, miliony dolarów zostały ukradzione, ale to co jest tak naprawdę istotne w tym momencie, to żeby zwrócić uwagę na to, że ataki potrafią być przeprowadzone również przez bardzo dobrze zorganizowane grupy, czyli grupy które chodzą w mundurach, są sponsorowane przez Państwo, są funkcjonariuszami czy innymi pracownikami aparatów siłowych w różnych państwach, które mogą sobie pozwolić na naprawdę bardzo dużo. Pamiętajmy o tym, że przeciwnik może być bardzo mocno zaawansowany i dla niego może to być normalna działalność zawodowa, którą wykonuje codziennie i się tym szczyci, dostaje nagrody za to, że dobrze wykonuje swoją pracę. Drugi wniosek, który warto by było tutaj wyciągnąć, to że należy ufać ale kontrolować. Dlaczego to było ważne? Otóż ten atak udał się z tego powodu, że w bankach które były głównymi graczami – zamieszanymi później jeszcze w całą akcję związaną z praniem tych ukradzionych pieniędzy i ich przesyłem dalej – poziom bezpieczeństwa informacji był podobno na żałosnym poziomie. Takie sformułowania były formowane.

Gdyby w tych bankach najbardziej podstawowe zasady bezpieczeństwa, o których my wszyscy wiemy, które znamy i z zamkniętymi oczami możemy recytować, były przestrzegane, to do tych ataków po prostu by nie doszło. Po tych przypadkach SWIFT się dosyć mocno zdenerwował i powiedział, że będzie bardzo mocno kontrolować te banki i wymuszać to by poziom bezpieczeństwa był na odpowiednio wysokim poziomie. Patrząc tak z boku w tym momencie, bo już nie pracuję w bankach, nie widzę aż tak dużo kontroli, które oni by wykonywali.

Następny przypadek, który warto sobie przypomnieć, pochodzi tym razem z naszego podwórka. Postanowiłem pokazać, że to też jest infrastruktura krytyczna. W 2016 roku mieliśmy sytuację, że nagle przez pół godziny ruch powietrzny nad Polską był wstrzymany. Dlaczego ten przypadek był szczególnie istotny? Z tego powodu, że wydarzył się w złym momencie. To były te czasy kiedy były gigantyczne protesty w całym kraju, sytuacja polityczna była bardzo napięta i nagle okazuje się, że jeden z kluczowych elementów funkcjonowania państwa – czyli centrum zarządzania ruchem lotniczym – przestało funkcjonować. Jakie były tego powody? Próbowano wykonać testy awaryjnego zasilania i te testy się nie udały. Kto z Państwa jest takim szczęściarzem, że zawsze wszystkie testy się udają i nic nigdy się nie zepsuło? Ani jednej ręki w górze nie widzę i tego się prawdę mówiąc spodziewałem. Testy mają to do siebie, że się czasami nie udają. Tutaj była akurat ta sytuacja polityczna, był to bardzo zły moment, ale to co chciałbym znowu żebyśmy z tej historii wyciągnęli, to że błędy i awarie potrafią być równie szkodliwe co cyberataki i tak naprawdę wcale nie trzeba mieć jakiegoś zdeterminowanego przeciwnika, który chce nam zaszkodzić, żeby był kłopot.

I zbliżamy się do historii najnowszej. Rok temu w maju – WannaCry. Nie chciałbym opowiadać o tym co się działo. Przede wszystkim chciałbym zwrócić uwagę na kwestię tego jakie były skutki nie u nas, ale w Wielkiej Brytanii. Celowo jako slajd umieściłem raport z Wielkiej Brytanii, bo u nas były resetowane komputery, niektórzy mieli większe problemy, niektórzy mniejsze, ogólnie w Polsce ten atak był trochę dotkliwy, ale w Wielkiej Brytanii znaczna część systemu ochrony zdrowia przestała funkcjonować. I tutaj proszę Państwa jest taki moment, że mnie się osobiście to przestaje już podobać, bo nagle proszę sobie wyobrazić: mamy wyniki badań lekarskich i chcemy wiedzieć co jest pacjentowi – nie wiemy. Chcemy wiedzieć jakie leki komuś podać – nie wiemy. Lekarze przygotowują się do operacji i nagle nie wiedzą co tak naprawdę mają robić, nie mają rentgenów, nie mają dostępu do diagnostyki obrazowej. Nagle okazuje się, że te wszystkie najbardziej podstawowe elementy w Wielkiej Brytanii – z punktu widzenia ochrony zdrowia – przestały funkcjonować i to już nie są żarty. Od tego bezpośrednio ludzie zaczynają umierać, to już nie jest zabawa jak „wyłączymy komuś prąd”. Przez chwilę prąd będzie wyłączony, potem znowu wszystko będzie działało. Nie, tutaj atak spowodował że zginęło X osób. Ile? Tego tak naprawdę nie będzie nikt w stanie policzyć prawdopodobnie. To na co chciałbym tutaj jeszcze zwrócić uwagę, to że łata eliminująca podatność była już dostępna od kilku tygodni, więc ci którzy dobrze zarządzali bezpieczeństwem swoich sieci, mogli się zabezpieczyć. Jaka nauka na przyszłość powinna z tego być? Przypomnijmy sobie jednak jakie były przyczyny tej epidemii. Przypomnijmy sobie exploit Eternal Blue. Wniosek moim zdaniem jest taki, że kto bawi się zapałkami, ten może się sparzyć. Rozumiem doskonale potrzebę tworzenia narzędzi ofensywnych, ale to żeby narzędzia ofensywne zostały opublikowane w Internecie, żeby to wyciekało, jest moim zdaniem bardzo dużym zaniedbaniem. Drugi wniosek jaki po tamtym momencie zacząłem bardzo często słyszeć, to że jednak prawdziwi twardziele nie tylko powinni robić kopię zapasową, ale i łatać systemy, ponieważ to już był przypadek bardzo masowego, bardzo szybkiego atakowania i bardzo szybkiej infekcji.

Ale te infekcje nie były takie błyskawiczne jak Non-Petya. Nas szczęśliwie ominęła, ale reszta świata była w trochę gorszym stanie. Przypomnę, że prawdopodobnym celem tego ataku była Ukraina, ale rzeczywiste ofiary były na całym świecie. To co chciałbym podkreślić, to że wśród ofiar był Gazprom, Rosneft, a także system monitorowania skażenia w elektrowni w Czarnobylu. Nie wiem czy Państwo pamiętają, ale on również został zaszyfrowany, więc przez jakiś czas nie było wiadomo czy ten poziom radiacji się podniósł czy nie. Mnie osobiście znowu się taka sytuacja nie podoba. Pamiętam 1986 rok, byłem wtedy małym chłopcem. Niech się te sytuacje nie powtarzają. Co nas to uczy? Kilku rzeczy. Po pierwsze: zależności w Internecie są na tyle potężne, że trudno będzie dokonać zmasowanego, ale jednak ukierunkowanego ataku – nawet jeżeli ktoś chce zaatakować jakieś konkretne Państwo, to szansa na to że ten atak się wymknie spod kontroli, jest potężna. Kolejna nauka, to że infekcje potrafią rozprzestrzeniać się błyskawicznie – tutaj przypomnę że są historie o tym, że 7 tysięcy komputerów w przeciągu 5 minut w jednej firmie zostało natychmiast zaszyfrowanych. I to czego nas nauczy ta historia, to że jeden konkretny cyberatak, może spowodować straty przekraczające miliard dolarów i praktycznie sparaliżować światową gospodarkę, a przynajmniej znaczną jej część. Znowu rok temu my sobie funkcjonowaliśmy tu w miarę normalnie, ale cały czas słyszeliśmy, że na świecie jest bardzo dużo problemów.

Zbliżam się już powoli do końca, ale jeszcze w ubiegłym roku w wakacje miał miejsce przypadek o którym akurat stosunkowo mało mówiono, chociaż ci co powinni to słyszeli. Był atak na zakłady chemiczne Sadara w Arabii Saudyjskiej. Atak powodował niszczenie fizyczne twardych dysków. Odtwarzanie zajęło kilka miesięcy, czyli powiedzmy standard jeżeli chodzi o cyberatak, ale ten przypadek był dosyć wyjątkowy. W tym przypadku nie chodziło o to (a przynajmniej tak wskazują raporty) żeby sparaliżować funkcjonowanie tej organizacji, ale celem ataku było spowodowanie skażenia i śmierć wielu osób. To miało być rzeczywistym celem przestępców więc tutaj znowu muszę powiedzieć jak się nad tym zastanawiam: przestępcy w Internecie kradli, oszukiwali, niszczyli – przynajmniej z punktu widzenia infrastruktury krytycznej – a teraz oni zaczynają zabijać. Znowu sytuacja zaczyna być poważna. Ile zakładów chemicznych tak naprawdę na świecie może jeszcze funkcjonować?

Mniej więcej w tym samym czasie również w Arabii Saudyjskiej miał miejsce inny atak, akurat na systemy sterowania i pozwolę sobie przypomnieć, że wyciekł bardzo zaawansowany kod. W Internecie można pobrać kod źródłowy potężnego robala, który ma na celu niszczenie systemów sterowania przemysłowego. Jeżeli kolejny szaleniec wpadnie na pomysł żeby to wykorzystać i żeby coś zniszczyć, wywalić w powietrze jakieś zakłady chemiczne, to jeszcze bardziej pokazuje że ta infrastruktura krytyczna, to nie są tematy o których my możemy sobie siedzieć i opowiadać „a jest ta dyrektywa NIS o której nikt nie wie, nikt nie czytał, wszyscy wiedzą że kiedyś będzie, rząd wdrożył ustawę o krajowym systemie cyberbezpieczeństwa, ale dalej będzie po staremu”. Ja mam nadzieję że nie. Mam nadzieję, że w tym momencie zdecydowanie już wszyscy będziemy rozumieli, że są to obszary, którymi musimy zająć się na poważnie, musimy to wszystko zacząć chronić.

Ostatni przykład z tych dalekich – ataki na organy władzy. Proszę Państwa, mamy kwestię parlamentu Wielkiej Brytanii, który był celem ataku, w Niemczech w tym roku również bardzo niepokojące sygnały dochodziły, że parlament jest bardzo głęboko zinfiltrowany. W Wielkiej Brytani Theresa May miała całe wystąpienie w Izbie Lordów, podczas którego zwróciła się wprost do jednego z krajów, mówiąc „wiemy co robicie”. A mniej więcej dwa miesiące temu malutka wyspa Sint Maarten na Karaibach zupełnie została sparaliżowana – akurat może w tym przypadku było to łatwiejsze, ransomware, kilka komputerów na krzyż, wyspa jest podobno malutka, ale administracja całego kraju padła mniej więcej dwa miesiące temu. Niesamowita sytuacja. Co się dzieje na tym świecie?

Jedno z czego możemy się cieszyć, to że to wszystko tak naprawdę ma miejsce daleko stąd i my żyjemy w takim miejscu, że mamy ciszę, spokój, nikt nami się nie interesuje i u nas incydentów nie ma. Ale tak naprawdę proszę Państwa to nikt nie jest bezpieczny. I zastanawiałem się nad tym bardzo mocno, jakie wnioski z tego wszystkiego można wyciągnąć. Jak patrzyłem na tę naukę na przyszłość i myślałem o tym jaki jest stan tej infrastruktury krytycznej, to pomyślałem, że jakbym miał w dwóch słowach powiedzieć co sądzę o bezpieczeństwie infrastruktury krytycznej, to w dwóch słowach powiedziałbym, że „jest dobrze”. Ale nie wiem czy pamiętają Państwo taki stary dowcip, że gdybym miał trzy słowa do dyspozycji to powiedziałbym że „nie jest dobrze”. Tak naprawdę proszę Państwa temat jest strasznie trudny z tego powodu, że jest to bardzo złożona kwestia. To nie jest coś co możemy sobie łatwo zmienić, nie możemy sobie bardzo łatwo odłączyć jakichś fragmentów infrastruktury krytycznej żeby je zaktualizować, niekiedy nic w ogóle nie możemy zaktualizować. Możliwości testowania są trudne, a możliwości weryfikowania który ruch jest poprawny, a który nie, są bardzo skomplikowane. Jest to po prostu temat naprawdę złożony.

I czego można się z tych wszystkich historii nauczyć? Jest takie powiedzenie, że historia uczy wyłącznie jednego: że nigdy nikogo niczego nie nauczyła. Ja mam nadzieję, że te historie nas jednak kilku rzeczy nauczą i zmienimy nasz sposób postrzegania infrastruktury krytycznej. Przede wszystkim chciałbym podkreślić, że przestępcy stosują coraz bardziej zaawansowane sposoby by nas oszukać. Oni naprawdę kombinują, są coraz bardziej zaawansowani i musimy się coraz bardziej wysilać. Chociaż z drugiej strony niekiedy poprzez proste błędy sami się prosimy o kłopoty. Następne czego nas te historie powinny nauczyć, to że człowiek musi być wspierany technologią, ponieważ zwróćmy uwagę na to jakie są ilości zdarzeń w każdym momencie, które my musimy analizować. Ale z tych technologii trzeba umieć korzystać. Nie chodzi o to aby mieć superzaawansowane systemy w swojej infrastrukturze, chodzi o to by te systemy działały. To jest słowo klucz. Te systemy mają być i mają być wykorzystywane do tego żeby zbierać informacje.

Powinni Państwo śledzić co takie systemy pokazują, reagować, wykorzystywać je. Warto mieć do kogo zadzwonić w trudnych chwilach, bo niekiedy trudno samemu sobie poradzić, a czasem samo szczęście nie wystarczy i trzeba sobie pomóc. W jaki sposób można sobie pomóc? Mamy ludzi, technologie i jeszcze jedną kluczową kwestię – procesy, które powodują że ci ludzie i te technologie zaczną ze sobą współdziałać. Ale też nie możemy zapomnieć o tym, że jeszcze jakaś taka szpila może niekiedy wskoczyć w tryby. Bardzo często są to działy biznesowe, wyższe kierownictwo itp. Musimy pamiętać o tym by te osoby były w pełni świadome tego, że bez odpowiedniego funkcjonowania technologii, cała ta maszyna, cały ten system może się zepsuć. Nam jako inżynierom trzeba jednak ufać i mam nadzieję, że Państwo coraz częściej spotykają się z tym, że Państwa głos jest dużo lepiej słyszany, również na wyższych szczeblach Państwa kierownictwa.

Jakub Syta
EXATEL
Video

Podcast | Bezpieczeństwo IoT

Czym różni się siec IoT od sieci IT? Jak wygląda praca perntesterów? Co jest najsłabszym ogniwem w organizacji i dlaczeg...