Cyberbezpieczeństwo w Roku Konia. Dobre i mniej dobre postanowienia na nowy rok

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty autora

Aleksandra SOWA: "Cyberbezpieczeństwo w Roku Konia. Dobre i mniej dobre postanowienia na nowy rok"

„One death is a tragedy, and a million is a statistic, he [Edward Snowden] says, mordantly quoting Stalin.
Just as the violation of Angela Merkel’s rights is a massive scandal and the violation of 80 million Germans is a nonstory”.
(Edward Snowden dla wired.com)

.„Najszybszy sposób na zakończenie wojny to ją przegrać”.
(George Orwell)          

.W bitwie pod Kannami (łac. Cannae) w 216 r. p.n.e. naprzeciw siebie stanęły rzymskie legiony w sile 70 tysięcy żołnierzy oraz armia Kartaginy licząca 50 tysięcy wojowników. Mimo przewagi liczebnej armia rzymska poniosła druzgocącą porażkę, została praktycznie zmieciona z pola walki przez wojowników Hannibala. Wyrażenie „manewr kanejski”  jest dzisiaj synonimem całkowitego zniszczenia nieprzyjaciela. Dlaczego Rzymianie zostali pokonani? „Pycha” — tak tłumaczy dyrektor akademii wojskowej młodym kadetom w najnowszej filmowej adaptacji science fiction popularnej gry komputerowej Halo 4: Forward Unto Down. „Nigdy nie lekceważ przeciwnika. I nie lekceważ tego, co przeciwnik jest gotów poświęcić dla zwycięstwa”, tłumaczy cierpliwie uczniom, którzy nie pojmują, jak wykorzystać antyczną strategię w międzyplanetarnej wojnie z powstańcami.

W kontekście cyberbezpieczeństwa Niemcy chętnie używają już teraz pojęcia wojny, a dokładniej: cyberwojny.

I tutaj warto przypomnieć przyczynę rzymskiej porażki, tj. pychę. Nie tylko dlatego, że patrząc przez pryzmat chińskiego horoskopu w styczniu 2015 roku, roku Kozy, którą astrologicznie charakteryzuje przesadna pewność siebie, ale też łagodność, również spojrzenie na poprzedni rok daje powód do przemyśleń. Sektor prywatny waha się pomiędzy dwoma ekstremami: mocno przesadzonym optymizmem, tj. przekonaniem o własnej odporności na ataki, a strategią niezajmowania żadnego stanowiska „my-tego-nie-komentujemy”.

Polityka jawi się jako adwokat obywateli, a media jako prokurator obserwujący i oskarżający prywatne korporacje. Nowa ustawa o bezpieczeństwie IT (IT-Sicherheitsgesetz [1]) ma pomóc rządowi odpowiednio zareagować na rosnące zagrożenia i zabezpieczyć wewnętrzne krytyczne infrastruktury przed potencjalnymi atakami z zewnątrz. Wiele sektorów, między innymi energetyka, IT, telekomunikacja, transport i komunikacja, ochrona zdrowia, zaopatrzenie w wodę i żywność, a także finanse i ubezpieczenia[2], zostało objętych ustawą. Ustala ona minimalne wymagania co do bezpieczeństwa ich systemów informatycznych. Przewiduje również obowiązek zgłaszania znaczących naruszeń bezpieczeństwa. Duże przedsiębiorstwa, niezależnie od branży, będą w przyszłości zgłaszały incydenty, próby bądź naruszenia bezpieczeństwa Federalnemu Urzędowi Bezpieczeństwa w Technice (BSI — Bundesamt für Sicherheit in der Informationstechnik). Obecnie istnieje już obowiązek takich meldunków dla wybranych branż. Ustawa przewiduje również zastrzyki pieniężne i nowe miejsca pracy dla tych urzędów, które będą odgrywały istotną rolę w niemieckim cyberbezpieczeństwie. Na przykład BSI otrzyma dodatkowo 133 etaty, które sfinansowane będą środkami w wysokości 9 milionów euro (koszty personalne) oraz dodatkowo 5 milionami euro na wydatki rzeczowe. Beneficjentami będą również Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Bundeskriminalamt (BKA) oraz Bundesamt für Verfassungsschutz (BfV). Projekt ustawy został opublikowany w lecie 2014 roku, a Bundestag uchwalił ustawę z drobnymi poprawkami w grudniu 2014[3]. Prezes BSI, Michael Hange, potwierdził niedawno podczas konferencji Friedrich-Ebert-Stiftung, że w jego organizacji już tworzona jest nowa jednostka ds. cyberbezpieczeństwa[4].

.Jedna kwestia poruszana w projekcie ustawy rzuca się szczególnie w oczy — to nie informacje i dane mają być chronione, lecz przetwarzające je systemy informatyczne, i to niezależnie od tego, jaki rodzaj informacji one przetwarzają i przechowują. Odejście od dogmatu bezpieczeństwa jest tu oczywiste (określenie „information security” jasno pokazuje, że to informacje leżą w centrum zainteresowania bezpieczeństwa w systemach informatycznych). Ustawa definiuje systemy informatyczne, czyli samą technikę, jako dobro, które należy bezwzględnie chronić.

.Wraz z publikacją książki Der NSA-Komplex[5], napisanej przez dwóch dziennikarzy popularnego niemieckiego tygodnika Der Spiegel, media umocniły swoją rolę jako czwarta władza w państwie w kwestiach cyberbezpieczeństwa. Odkrywając skandale, szkicując potencjalne scenariusze kryzysowe, prognozując katastrofy, a także wystawiając na publiczny osąd firmy i instytucje, które albo zostały wymienione w aktach Snowdena, albo podpadły z powodu niewystarczającej polityki bezpieczeństwa. Lub też takie, które padły ofiarą hakerów. Jak na przykład Deutsches Luft- und Raumfahrtzentrum (DLR — Niemieckie Centrum Lotnictwa i Lotów Kosmicznych)[6] czy firma Engelbert Strauss. Co prawda DLR-owi udało się uniknąć najgorszego, ale tylko dlatego, że instytucja otwarcie przyznała się do faktu, że padła ofiarą ataku hakerskiego i zgłosiła incydent do BSI oraz poinformowała media[7]. „Tak, zostaliśmy zhakowani”, potwierdził na jednej z najważniejszych konferencji dotyczących cyberbezpieczeństwa w Niemczech, Cybersecurity-Jahrestagung gazety Handelsblatt, przedstawiciel DLR. DLR zajmuje się między innymi rozwijaniem technologii obronnych, komunikacyjnych, bezpieczeństwa w lotnictwie; było przez miesiące inwigilowane przez hakerów.

Atak ten, przeprowadzony za pomocą samoniszczącego się konia trojańskiego, był najwyraźniej dokładnie przygotowany. Został sklasyfikowany przez rząd niemiecki jako bardzo poważny. Autorów wirusa podejrzewa się o szpiegostwo przemysłowe dotyczące technologii zbrojeniowej i budowy rakiet. O atak podejrzewano obcy wywiad wojskowy, jednak do dziś nie potwierdzono, który kraj był w to zamieszany.

.Nadal jednak to te najprostsze metody, stosowane przez drobnych cyberprzestępców, są najefektywniejsze. Niedawno zamieszania narobił wywiad z rumuńskim hakerem o pseudonimie „Guccifer”, który właśnie odsiaduje w swoim kraju kilkuletnią karę więzienia za hakerstwo[8]. Ten były taksówkarz, „autodidact” (samouk) hakerstwa, włamał się między innymi do prywatnej komunikacji elektronicznej byłych prezydentów Stanów Zjednoczonych, George’a H.W. Busha i George’a W. Busha, pozyskując w ten sposób intymne informacje na temat członków ich rodzin. Do systemu e-mail dostał się… zgadując hasła dostępu.

Podobna sytuacja przytrafiła się między innymi popularnemu producentowi ubrań roboczych, firmie Engelbert Strauss. Według tygodnika Der Spiegel firma zamówiła za granicą skórzane paski do ubrań. Gdy paski dostarczono, dostawca podał pocztą elektroniczną nowy numer konta. Kwota około 200 000 euro została przelana — i wylądowała na rachunku bankowym hakerów, którzy już od dłuższego czasu śledzili korespondencję mailową partnerów biznesowych i w odpowiednim momencie ją przejęli. W Engelbert Strauss nikt nie zauważył, że maile od pewnego momentu przychodzą z innego adresu: zamiast info@samobelt.com pojawiło się info@samobelts.com. Oszustwo wyszło na jaw, kiedy libański dostawca pasków upomniał się o zapłatę. Strauss zgłosił sprawę w prokuraturze, a tygodnik Der Spiegel incydent ten nagłośnił[9].

Sporego zamieszania narobiła też inna historia, kiedy to zhakowano wewnętrzne systemy telefoniczne kilku instytucji publicznych i średnich firm w landzie Szlezwik-Holsztyn. Hakerzy za pomocą specjalnego oprogramowania uzyskali dostęp do systemów telefonicznych, po czym masowo przekierowywali połączenia (głównie w weekendy, kiedy firmy były puste) na wysokopłatne zagraniczne numery. Całą akcję wykryto dopiero wtedy, gdy firmy otrzymały horrendalne rachunki telefoniczne. Landeskriminalamt (LKA) w Kilonii radziło firmom, aby wzmocniły hasła, które chronią dostęp do systemów telefonicznych, i zwróciło uwagę na to, że hasła takie jak „0000” czy „1234” raczej nie są wystarczająco bezpieczne. W urzędzie w Südtondern przykładowo straty sięgały 38 000 euro. Rozmowy, których łączny czas wyniósł kilka tysięcy minut, zostały przekierowane do Afryki Zachodniej. Ostatecznie hakerzy zsabotowali i sparaliżowali cały system telefoniczny, by zatrzeć po sobie ślady[10].

Istnieją oczywiście również firmy, które twierdzą, że rząd niemiecki wszystko robi tak, jak trzeba, ponieważ dzięki temu kwitnie ich biznes związany z produktami wytwarzanymi na potrzeby cyberbezpieczeństwa[11].

Biznes związany z bezpieczeństwem jest często biznesem strachu. Strach, niepewność, wątpliwość (fear, uncertainty, doubt — FUD), a nie rzeczywiste zagrożenia są głównym motorem inwestycji w bezpieczeństwo cybernetyczne.

Nigdy wcześniej bezpieczeństwo w firmach nie było tak często sprawdzane, testowane i certyfikowane. Nowa ustawa (IT-Sicherhtisgesetz) wprowadza jeszcze więcej audytów bezpieczeństwa oraz zobowiązuje do zgłaszania incydentów. Wiadomo jednak, że certyfikaty same przez się nie zapewniają lepszego bezpieczeństwa. Gdy przedsiębiorstwo, instytucja rządowa czy osoba prywatna staną się celem udanego ataku, taki certyfikat nie jest wart papieru, na którym go wystawiono.

.E-mail, made in Germany, De-Mail, Deutsches Internet —  Niemcy spoglądają dziś z perspektywy na wiele koncepcji i inicjatyw, które miały stać się panaceum na zwiększone zagrożenie. Lecz droga do lepszego bezpieczeństwa wiedzie nie poprzez wewnątrzkrajowy routing internetowy czy systemy meldunkowe — ostrzegają eksperci. Przedsiębiorstwa mogą codziennie zgłaszać miliony ataków, nie przyczyniając się przy tym do poprawy sytuacji. Bez luk w systemach cyberbezpieczeństwa nie byłoby bowiem efektywnych ataków. Nie ma słabego punktu — nie ma ataku. Dlatego znajomość słabych punktów i luk w systemach bezpieczeństwa (zarówno ludzkich, jak i technicznych), które umożliwiły atak, oraz wiedza o tym, jak te luki usunąć, są kluczowymi aspektami cyberbezpieczeństwa.

.Dlatego też nie zaszkodziłaby odrobina pokory. Nie tylko dlatego, że od przeciwników można się wiele nauczyć, na przykład tego, jak efektywna współpraca może funkcjonować pomimo granic państwowych i kulturowych. To, że w jednej czy drugiej firmie nie doszło dotychczas do ataku, bynajmniej nie jest powodem do dumy. Bardziej prawdopodobnym scenariuszem jest to, że albo atak nie został w ogóle zauważony, albo sprawcy skutecznie zatarli ślady, o czym niedawno przekonały się niektóre niemieckie firmy — po tym, jak ujawniono akta Snowdena. O tym, że hackerzy wdarli się do ich systemów, dowiedziały się dopiero od dziennikarzy tygodnika Spiegel[12], zajmujących się działalnością NSA. Firmy nie potrafiły przy tym stwierdzić, jak dostano się do ich sieci i co zostało skradzione, zniszczone czy podsłuchane. Pycha poprzedza upadek, jak uczy stare przysłowie. Dziś nadmierna pycha poprzedza zwykle hakerski wypadek.

Aleksandra Sowa

[1]Gesetzzur Erhöhungder Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz).
[2]BMI.2014. Referentenentwurf. Entwurfeines Gesetzeszur Erhöhungder Sicherheitinformationstechnischer Systeme (IT-Sicherheitsgesetz),s.46 – 47.
[3]S. Krempl, „Bundesregierungbeschließt Entwurffür IT-Sicherheitsgesetz” [w:] „Heise Security”,http://www.heise.de/newsticker/meldung/Bundesregierung-beschliesst-Entwurf-fuer-IT-Sicherheitsgesetz-2498915.html,17.12.2014.
[4] A. Sowa, „Nihil Novi. Hochkarätige Referentendiskutieren über explosive Themen”, Arbeitskreis Digitale Gesellschaft(https://akdigitalegesellschaft.de/2014/nihil-novi-hochkaraetige-referenten-diskutieren-ueber-explosive-themen/),09.12.2014.
[5]Recenzja książki: A. Sowa, „United Stasi of America. Amerykańska hipokryzja versus niemieckan aiwność”, 2014 [w:]NoweMedia8-2/2014,s.204 – 207.
[6] http://www.dlr.de, letzter Zugriff,28.12.2014.
[7]„Spähangriff auf Deutsches Zentrum für Luft-undRaumfahrt”, http://www.spiegel.de/netzwelt/web/dlr-mit-trojanern-von-geheimdienst-ausgespaeht-a-964099.html,13.04.2014.
[8]A. Higgins, „The Man Behind the Hacking: Talking to Guccifer” [w:] The New York Timeshttp://www.nytimes.com/times-insider/2014/11/21/the-man-behind-the-hacking-talking-to-guccifer/?_r=0,21.11.2014.
[9] J. Dahlkamp, J. Schmitt, „DieDotcom-Räuber”[w:]DerSpiegel48/2014,s.68 – 69.
[10] B. Modrow, „Kriminellemanipulieren Telefonanalagen von Firmen” [w:] Kieler Nachrichten,23.08.2014,s.1.
[11] A. Sowa, „NihilNovi…”, op. cit.
[12] M. Rosenbach, H. Stark, „DerNSA-Komplex.Edward Snowden und der Wegindietotale Überwachung”, DeutscheVerlagsanstalt, München 2014.

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.

Chcę otrzymywać powiadomienia o najnowszych tekstach.

Autorzy wszyscy autorzy

A B C D E F G H I J K L M N O P R S T U W Y Z
Przejdź do paska narzędzi