Aleksandra SOWA, Natalia MARSZAŁEK: Cyberbezpieczeństwo w Roku Bawołu. Dylemat okupu. Płacić czy nie płacić?

Cyberbezpieczeństwo w Roku Bawołu. Dylemat okupu. Płacić czy nie płacić?

Photo of Aleksandra SOWA

Aleksandra SOWA

Badacz nowych mediów. Z kryptologiem Hansem Dobbertinem w Horst Görtz Institute for Information Security prowadziła jedne z najważniejszych europejskich badań dotyczących kryptologii oraz bezpieczeństwa w dziedzinie technologii informatycznych. Autorka licznych publikacji fachowych. Zajmowała się także m.in. redakcją internetową w ramach „Wahlkampftour” w kampanii wyborczej Gerharda Schroedera.

Ryc.: Fabien Clairefond

zobacz inne teksty Autora

Photo of Natalia MARSZAŁEK

Natalia MARSZAŁEK

Absolwentka kierunku Bezpieczeństwo Wewnętrzne ze specjalnością bezpieczeństwo systemów i sieci teleinformatycznych. Czyta literaturę fantasy. Kocha Tatry. Pisze prozę.

zobacz inne teksty Autora

Zgodnie z chińskim kalendarzem księżycowym 1 lutego 2022 obchodzony jest Nowy Rok. Kończy się Rok Bawołu – zaczyna się Rok Tygrysa Wodnego. Najpewniej bez zmian pozostaje wyścig między cyberprzestępcami i ich potencjalnymi ofiarami o to, kto ma lepsze mechanizmy i strategie cyberataków lub cyberobrony. Pewne jest, że zdolność do szybkiego reagowania w przypadku ataku nie jest już dziś wystarczająca – pisze Aleksandra SOWA i Natalia MARSZAŁEK

.Wymuszenia okupu za pomocą odpowiedniego oprogramowania były, są i najwyraźniej pozostaną wygodnym modelem biznesowym dla cyberprzestępców. Nawet jeśli z biegiem czasu zmieniają się grupy docelowe, które wydają się warte tych wymuszeń. Niewiele pomaga w walce z ransomware’em. Im więcej danych, informacji, procesów i usług ulega cyfryzacji, tym większe jest bogactwo danych, które mogą przechwycić przestępcy. Z takim łupem można już zrobić wiele rzeczy: skłonić właścicieli – organizacje czy osoby prywatne – do zapłacenia okupu, aby dane ponownie odszyfrowano lub by nie zostały opublikowane. Jeśli szantażowani nie zapłacą okupu (a czasem nawet gdy zapłacą), dane idą na sprzedaż w darknecie, bywają publikowane, usuwane lub szyfrowane na zawsze.

Niewiele można zaradzić na ataki ransomware, jeśli systemy informatyczne nie zostaną unowocześnione i jeśli nie zapewni się – z wykorzystaniem odpowiednich zasobów, personelu, zarządzania ryzykiem – że będą one utrzymywane zgodnie z aktualną sytuacją zagrożenia i będą zgodne z aktualnym stanem techniki. Nazywa się to cyberhigieną.

Można również wykupić ubezpieczenie od cyberprzestępczości, które w razie ataku pokryje okup. Jednak firmy ubezpieczeniowe zareagowały na rosnącą liczbę ataków ransomware oraz rosnące ryzyko i nie chcą już przejmować opłat okupów. Francuski ubezpieczyciel Axa jako pierwszy usunął z katalogu swoich świadczeń ochronę przed wyłudzeniem pieniędzy[1]. Raz po raz pojawiają się dyskusje na temat całkowitego zakazu płacenia okupu zgodnie z logiką: dlaczego cyberprzestępcy mieliby sparaliżować firmę, skoro nic na tym nie zyskają?[2]

Ku nowym brzegom

.Podczas gdy przedsiębiorstwa sektora prywatnego milczą na temat tego, czy oraz ile zapłaciły szantażystom za przekazanie kluczy i udostępnienie zaszyfrowanych danych, kopii zapasowych i systemów, organy publiczne ujawniają, kiedy są szantażowane. Nolens volens, bo trudno jest zachować tajemnicę, jeśli po ataku na uniwersytet studenci i profesorowie nie mają dostępu do systemów[3] przez kilka dni lub tygodni, wykłady są odwoływane czy też w szpitalu pacjenci nie mogą być leczeni, ponieważ wszystkie systemy są offline.

„Sektor publiczny – niezależnie od tego, jak robi to sektor prywatny – […] nie będzie ulegał żadnym żądaniom okupu” – powiedziała Sabine Griebsch, Chief Digital Officer w administracji okręgu Anhalt-Bitterfeld (ABI). Latem 2021 roku okręg ten padł ofiarą ataku ransomware.

Czasami można odnieść wrażenie, że cyberprzestępcy chętnie biorą na cel niemieckie instytucje publiczne. I nie dlatego, że można tam uzyskać duży okup, ale raczej dlatego, że systemy IT są często w tak żałosnym stanie, że cyberprzestępcy bardzo łatwo jest je spenetrować. Staje się to szczególnie groźne, gdy takie ataki pociągają za sobą prawdziwe ofiary. Tak było w przypadku szantażu w szpitalu uniwersyteckim w Düsseldorfie w 2020 r., gdy cyberprzestępcy wykorzystali lukę w zabezpieczeniach Citrixa, aby przeniknąć do systemów[4]. 30 serwerów szpitala uniwersyteckiego zostało zakodowanych; karetki pogotowia nie dojeżdżały do szpitala. Jedna z pacjentek nie została zoperowana na czas i w konsekwencji tego zmarła, ponieważ karetkę przekierowano do kliniki znajdującej się nie w Düsseldorfie, lecz odległym Wuppertalu. Szantażyści wycofali się i przekazali dobrowolnie klucz do odszyfrowania danych. Z listu z szantażem, który był zaadresowany na Uniwersytet w Düsseldorfie, a nie na klinikę, policja wywnioskowała, że doszło do pomylenia celów ataku. Klinika nie była zamierzonym celem szantażystów.

Dżentelmen szantażysta?

.Innym spektakularnym wydarzeniem był przypadek Sądu Wyższego (Kammergericht) w Berlinie, gdzie w 2019 roku wirus Emotet sparaliżował cały system informatyczny[5]. Wprawdzie nie użyto tu ransomware’u, lecz innego złośliwego oprogramowania (napastnicy uzyskali dostęp do zasobów danych sądu, ale z niewiadomych przyczyn powstrzymali się od żądania okupu). Incydent ten doskonale zilustrował podatność systemów administracji na ataki – sieć sądowa została ponoć „nieodwracalnie uszkodzona”[6]. Sprawa ta była również jednym z powodów interpelacji poselskiej ówczesnego posła FDP Bernda Schlömera w marcu 2021 roku. Z jego odpowiedzi wynikało, że prawie żaden urząd w Berlinie nie spełnia wymogów bezpieczeństwa informatycznego[7].

No i jest katastrofa

.Jednym z najbardziej znanych opinii publicznej incydentów z 2021 r. jest niewątpliwie atak ransomware na okręg Anhalt-Bitterfeld – powiat w Saksonii-Anhalt liczący ok. 160 tys. mieszkańców[8]. Między innymi dlatego, że w tym przypadku po raz pierwszy ogłoszono po cyberataku stan wyjątkowy i zwrócono się do wojska, do Bundeswehry, o wsparcie w cyberprzestrzeni.

Konsekwencje ataku, w wyniku którego doszło do zaszyfrowania danych i systemów, były katastrofalne – pensje, świadczenia socjalne, pożyczki studenckie itp. nie mogły zostać wypłacone. Ponadto zaszyfrowane zostały dane osobowe i poufne czy protokoły z niepublicznych części posiedzenia rady okręgu, a także dane osobowe członków rady, w tym dane dotyczące kont bankowych, adresy, dane dotyczące pracodawców. Szantażyści zagrozili, że jeśli nie zostanie zapłacony okup w kwocie pół miliona euro w kryptowalucie Monero, opublikują te dane. Okręg Anhalt-Bitterfeld nie zapłacił, po czym przestępcy umieścili w sieci darknet dane osobowe 92 osób, w tym 42 członków rady okręgu. Administracja w Anhalt-Bitterfeld była sparaliżowana przez wiele tygodni. Z pomocą Bundeswehry mozolnie odbudowywano systemy i odtwarzano dane. „Obecnie doszliśmy do dwóch milionów” – taką kwotę wydatków, które były niezbędne do odbudowy i przywrócenia systemów, potwierdziła CDO BIA w rozmowie z dr. Svenem Herpigiem z Stiftung Neue Verantwortung (SNV)[9].

Strategia Hack and Leak

.To, jak i kiedy dane przejęte w przeszłości przez cyberprzestępców pojawią się ponownie, stało się tematem bezpieczeństwa w kontekście wyborów federalnych do Bundestagu w 2021 roku. Organy odpowiedzialne za bezpieczeństwo wyborów do Bundestagu, Federalny Komisarz Wyborczy (Bundeswahlleiter) i Ministerstwo Spraw Wewnętrznych, obawiały się, że dane, które zostały przechwycone w 2015 roku podczas ataku na konta mailowe ówczesnych członków Bundestagu i które od tego czasu nigdzie się nie pojawiły, mogą zostać wykorzystane do szantażu, dezinformacji lub manipulacji wyborczej. W cyberprzestrzeni rozważano takie scenariusze jak phishing w celu m.in. wykradania danych osobowych polityków i posłów i ewentualnego wykorzystania ich później do zniesławienia lub rozpowszechniania fałszywych informacji, hakowania i wycieku lub hakowania i publikowania, przeprowadzania kampanii dezinformacyjnych z zagranicy. „Zwraca się uwagę na zainteresowanie niektórych państw wpływem na wybory do Bundestagu”, powiedział 14 lipca 2021 r. przewodniczący BfV na konferencji prasowej na temat bezpieczeństwa wyborów do Bundestagu. „Nasze organy bezpieczeństwa mają to na uwadze, są dobrze przygotowane” – dodał ówczesny Minister Spraw Wewnętrznych, Horst Seehofer[10].

Pod innymi względami przygotowanie i przeprowadzenie wyborów było jednak bezpieczne, co podkreślił Minister Spraw Wewnętrznych na tejże konferencji prasowej, z prostego powodu – mianowicie głosowanie odbywało się wyłącznie na papierze. Według Federalnego Komisarza Wyborczego nie jest to „zależne od bezpieczeństwa informatycznego i nie jest podatne na manipulacje”. W wyborach federalnych i europejskich nie używa się w Niemczech maszyn do głosowania. Papier stał się więc gwarantem bezpieczeństwa tych wyborów.

Kiedy bezpieczeństwo zapisane jest w gwiazdach

.Wybory federalne się zakończyły, nowy rząd rozpoczął urzędowanie. W kwestii bezpieczeństwa informacji nowy rząd chce wiele rzeczy zrobić inaczej niż jego poprzednicy. Chiński Rok Tygrysa rozpoczyna się 1 lutego 2022 roku. Ten znak oznacza odwagę i waleczność. W 2022 roku jest wspierany przez żywioł wody, który ma zapewnić obfitość i urodzajność. W dziedzinie bezpieczeństwa, wyjaśnił niemiecki kryptolog Hans Dobbertin, nieustanny wyścig toczy się pomiędzy twórcami (codemaker) a łamaczami kodów (codebreaker). Nie wiadomo, kto wygra wyścig w Roku Wodnego Tygrysa i kto skorzysta z obfitości i urodzaju. Czy sektor publiczny i przedsiębiorstwa wyjdą z ataków silniejsze, z ugruntowanym zarządzaniem bezpieczeństwem informacji i ochroną danych oraz bardziej odpornymi systemami? Czy też cyberprzestępcy i szantażyści będą górą? Wiele organizacji wyciągnęło wnioski z lekcji w Roku Bawołu. Przykładem jest okręg Anhalt-Bitterfeld, który dzięki wydanym dotychczas dwóm milionom euro chce być najnowocześniejszy w dziedzinie cyberbezpieczeństwa[11]. Inni mogą spróbować postawić horoskop swojemu oficerowi bezpieczeństwa informatycznego. Nie jest tylko pewne, czy to coś da.

Aleksandra Sowa
Natalia Marszałek

[1] Volz, M. „Axa zahlt kein Lösegeld mehr an Cyber-Kriminelle: Ein Modell für die Branche?”, https://versicherungswirtschaft-heute.de/schlaglicht/2021-05-11/axa-zahlt-kein-loesegeld-mehr-an-cyber-kriminelle-ein-modell-fuer-die-branche/ (21.5.2021). [2] SNV. „Transkript zum Hintergrundgespräch: ‚Cyberkriminelle erpressen Anhalt-Bitterfeld – Was können wir daraus lernen?”, https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was (3.12.2021). [3] Der Tagesspiegel, „Unbekannte attackieren Computersysteme der TU Berlin”, https://www.tagesspiegel.de/berlin/massive-angriffe-unbekannte-attackieren-computersysteme-der-tu-berlin/27148794.html (30.4.2021). [4] Der Tagesspiegel, „Unbekannte attackieren Computersysteme der TU Berlin”, https://www.tagesspiegel.de/berlin/massive-angriffe-unbekannte-attackieren-computersysteme-der-tu-berlin/27148794.html (30.4.2021). [5] Der Tagesspiegel, „Schadsoftware legt Berliner Kammergericht lahm”, https://www.tagesspiegel.de/berlin/nach-cyberattacke-schadsoftware-legt-berliner-kammergericht-lahm/25079048.html (2.10.2019). [6] Kiesel, R. „Kaum eine Berliner Behörde erfüllt Vorgaben der IT-Sicherheit”, in: Der Tagesspiegel, https://www.tagesspiegel.de/berlin/naechster-hack-eine-frage-der-zeit-kaum-eine-berliner-behoerde-erfuellt-vorgaben-der-it-sicherheit/26998758.html (12.3.2021). [7] Tamże [8] https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was (3.12.2021). [9] https://www.stiftung-nv.de/de/publikation/transkript-zum-hintergrundgespraech-cyberkriminelle-erpressen-anhalt-bitterfeld-was (3.12.2021). [10] BReg. „Die Vorbereitung der Wahl und die Durchführung sind sicher”, https://www.bundesregierung.de/breg-de/themen/bundestagswahl-2021/sicherheit-der-bundestagswahl-1941912 (14.7.2021). [11] MDR, „Anhalt-Bitterfeld will Vorreiter bei Cyber-Sicherheit werden”, https://www.mdr.de/nachrichten/sachsen-anhalt/dessau/bitterfeld/landkreis-vorreiter-cybersicherheit-100.html (2.1.2022)

Materiał chroniony prawem autorskim. Dalsze rozpowszechnianie wyłącznie za zgodą wydawcy. 15 stycznia 2022