Marcin Spychała z IBM: Cybertechnologia wyprzedza prawo

Mamy w rękach wszystkie narzędzia, żeby znacząco ograniczyć wpływ cyberprzestępczości na naszą codzienność. Od nas tylko zależy, czy z tego skorzystamy. Z Marcinem Spychałą, głównym ekspertem IBM Polska ds. cyberbezpieczeństwa rozmawia Marek Siudaj

Co właściwie stanowi największe zagrożenie z punktu widzenia firm: ataki hakerskie, szpiegostwo przemysłowe czy raczej ataki takie jak na Ukrainie, gdy wskutek paraliżu państwa cierpią przedsiębiorstwa?

Marcin Spychała: Na tak postawione pytanie nie da się odpowiedzieć jednoznacznie, ponieważ ekosystem ataków jest równie zróżnicowany, co ekosystem firm, które są atakowane. Sparaliżowanie systemu kontroli lotów przez atak DDoS jest o wiele bardziej krytycznym zdarzeniem, niż taki sam atak na oficjalną stronę uczelni. Jednocześnie podczas gdy kradzież danych firmowych (na przykład części znanego serialu przed jego premierą) może być katastrofalne dla zysków firmy, kradzież materiału wideo z zakładu fotograficznego nie będzie miała raczej skutków globalnych. Są natomiast dobre statystyki pokazujące pewne trendy. Z raportu „Cost of Data Breach” na rok 2017 możemy się dowiedzieć że 47 proc. firm doświadczyło ataków którego źródłem był człowiek – przestępca lub osoba z wewnątrz firmy. Ten rodzaj ataków jest najczęściej spotykany i najbardziej kosztowne są jego skutki. Jednak całkiem sporo realnych strat dla firm generują również błędy w konfiguracji systemów lub zaniechanie zabezpieczeń. Nie stoją za tymi zdarzeniami osoby trzecie, ale powstają realne szkody dla firm: chociażby negatywny PR czy przestoje systemu powodujące konkretne straty finansowe.

Należy też wziąć pod uwagę, że żyjemy w czasach, gdy do internetu jest podpiętych więcej urządzeń niż żyje ludzi na świecie. Zabezpieczenie takiego systemu jest praktycznie niemożliwe i może to potwierdzić każda osoba zajmująca się zawodowo testowaniem zabezpieczeń w firmach, zwłaszcza jeśli do obejścia zabezpieczeń wykorzystamy socjotechnikę. Wtedy 100 proc. firm jest podatnych na ataki i tylko od konfiguracji ich wewnętrznych zabezpieczeń będzie zależało, w jakim stopniu firma ucierpi.

Czy widać jakieś trendy w sposobie atakowania firm przez cyberprzestępców? Czy raczej można mówić o powolnym poszerzaniu arsenału sposobów atakowania, choć jednocześnie cały czas są używane wypracowane wcześniej przez przestępców metody?

Trendy jak i metody są dobrze znane, ale różnią się geograficznie. W ogóle mapa zagrożeń i metod ataku jest bardzo różnorodna i zależy od stopnia informatyzacji kraju oraz od możliwości spieniężenia wykradzionych danych. Należy również nałożyć na to siatkę powiązań i wpływów geopolitycznych – jednak tego typu ataki z uwarunkowaniem politycznym są prowadzone przez innych aktorów niż finansowo motywowana przestępczość zogniskowana wokół przestępstw internetowych. W Polsce do niedawna było pod względem typów ataków dość spokojnie. Jeśli opierać się na danych z raportu o stanie bezpieczeństwa publikowanych corocznie przez zespół CERT, to można zobaczyć, że głównymi typami incydentów są infekcje złośliwym oprogramowaniem. I w tej dziedzinie nic się od lat nie zmieniło. Zmienia się co najwyżej rodzaj złośliwego oprogramowania użytego do ataku. Inna sprawą jest fakt, że stopień skomplikowania złośliwego oprogramowania się zmienia i ewoluuje.

Jak wygląda z punktu widzenia IBM koordynacja walki z cyberprzestępczością w skali Unii Europejskiej? Czy taka koordynacja istnieje czy w tej dziedzinie każdy kraj członkowski prowadzi własną politykę?

Cyberprzestępczość jest po prostu jedną z odmian przestępczości i jako taka jest traktowana tak w skali kraju członkowskiego, jak i w przypadku całej Unii. Utworzona w 2004 r. agencja ENISA (Europejska Agencja bezpieczeństwa Sieci i Informacji) ma za zadanie nie tylko wspierać ale też koordynować działania lokalnych CSIRT-ów.

Obecnie UE realizuje wiele projektów mających na celu poprawę cyberbezpieczeństwa. Od początku jednym z głównych wyzwań było zachowanie spójności działań i ich koordynacja. Część badań przeprowadzonych przez ENISA oraz STOA sugerują pilna potrzebę zastosowania modeli cyberdojrzałości w skali społeczeństw, aby sprawnie zarządzać cyberobroną w ramach Wspólnej Polityki Bezpieczeństwa i Obronności (CSDP). Takie modelowanie jest potrzebne nie tylko w celu poznania i uwzględnienia wszystkich aspektów cyberprzestępczości, ale także do monitorowania dojrzałości wysiłków oraz do koordynacji przekazywania zasobów obronnych do obszarów najbardziej potrzebujących.

Jednocześnie EU wyraźnie promuje ideę koordynacji działań na poziomie lokalnych CERT-ów i CSIRT-ów z uwzględnieniem ich specyfiki branżowej. Takie działania również są prowadzone chociażby przez CERT.PL w strukturach NASK.

Jak ocenia Pan strategię cyberbezpieczeństwa, przyjętą przez rząd? Czy widać już jej pierwsze efekty?

Przyjęcie Strategii Cyberbezpieczeństwa oceniam bardzo pozytywnie. Zwłaszcza pamiętając, że pierwsze plany stworzenia tego dokumentu datują się jeszcze na rok 2008. Sama strategia jest pierwszym kompleksowym dokumentem opisującym cele zarówno dla administracji publicznej, jak i dla całości społeczeństwa, i działa jako dokument wykonawczy do ogłoszonej wcześniej Doktryny Cyberbezpieczeństwa RP. Jeżeli przy ocenie stanu realizacji Strategii uwzględnimy ocenę stanu cyberbezpieczeństwa przedstawioną w raporcie NIK z 2015 r. to postęp widać gołym okiem.

Niemniej jednak tak jak w skali całego kraju Strategia i Doktryna są dokumentami dominującymi i określającymi cele szczegółowe działań administracji do 2022 r., to w przestrzeni publicznej działa ogromna liczba organizacji i stowarzyszeń pozarządowych, które również mogą się poszczycić osiągnięciami w zakresie cyberbezpieczeństwa. Również działania IBM w Polsce wpisują się długofalowo w realizację strategii, a w szczególności jej drugiego i trzeciego celu szczegółowego. We Wrocławiu od lat działa nasz oddział X-Force Command Center zarządzając bezpieczeństwem naszych klientów. Również z Uniwersytetem Ekonomicznym we Wrocławiu realizujemy wspólny program studiów z zakresu cyberbezpieczeństwa. Z kolei Politechnika Wrocławska współpracuje z IBM Research i rozwija inicjatywy związane z przetwarzaniem w chmurze.

Z perspektywy obywatela RP trzeci cel szczegółowy uważam za szczególnie ważny w kontekście bezpieczeństwa. Biorąc pod uwagę, że cyberprzestępczość nie zna granic krajowych ani międzynarodowych, to również bezpieczeństwo cybernetyczne to coś więcej niż techniczne możliwości i infrastruktura; to są ludzie, zachowania społeczne, praworządność i zharmonizowana wizja ze stron wszystkich uczestników internetu na szczeblu europejskim, jak i krajowym. Dlatego też koordynacja i budowanie zaufania są takie ważne i powinny być jednym z europejskich priorytetów.

Jakie problemy związane z cyberbezpieczeństwem są w Polsce największym wyzwaniem? Chodzi zarówno o zabezpieczenia i procedury stosowane przez firmy, jak i organy i agendy państwowe?

Wyzwania stojące przed administracją publiczną nie tyle wynikają ze specyfiki cyberdomeny, co z faktu, że nowoczesne technologie wyprzedzają zarówno tworzenie procedur, jak i zwykłą legislację. W Polsce akurat sprawa legislacji wygląda całkiem nieźle, gdyż w Kodeksie karnym mamy już klasyfikację 13 przestępstw komputerowych, więc przestrzeń prawna do realizacji Strategii została stworzona. Równocześnie od zeszłego roku cyberprzestrzeń została dodana jako domena, działania w której mogą wywołać zastosowanie Artykułu 5. Wydaje się więc że w warstwie strategicznej wszystko idzie w dobrym kierunku.

Z warstwie operacyjnej również duży nacisk się kładzie na wyposażenie działów bezpieczeństwa w odpowiednie narzędzia oraz na coraz intensywniejszą edukację pracowników. Programy edukacyjne również ruszają w szkołach więc mamy szansę w średnim okresie osiągnąć podstawowy stopień cyberedukacji w skali całego społeczeństwa. Dodając do tego możliwości kognitywne oraz narzędzia wspierane możliwościami inteligencji rozszerzonej (na przykład IBM Watson for Cybersecurity czy AllForSecure Mayhem) mamy w rękach wszystkie narzędzia, żeby znacząco ograniczyć wpływ cyberprzestępczości na naszą codzienność. Od nas tylko zależy czy z tego skorzystamy.

Dziękuję za rozmowę