Cyberbezpieczeństwo jest obecnie jednym z popularniejszych sformułowań w Polsce dzięki ministrowi Dworczykowi, który być może udostępnił hasło do swojej skrzynki mailowej osobom postronnym. Piszę "być może", bo wciąż niewiele w tej sprawie oficjalnie wiadomo.

Wiadomo za to, że pewne osoby (atakujący) od kilku dni prowadzą w Polsce miniserial psychologiczny. Posługując się wykradzionymi materiałami i dokumentami, mają pewien wpływ na dyskurs publiczny, polityków oraz media. Początkowo wyglądało na to, że odrobiliśmy lekcję z USA i "wycieknięte" dane nie zostały zaprzęgnięte w bieżący spór polityczny. Jednak sytuacja na tym polu szybko ewoluuje i temat znalazł się w centrum dyskusji opinii publicznej, czego kulminacją jest raportowanie w mediach kolejnych odsłon wycieku, a nawet zorganizowane w minioną środę w trybie niejawnym posiedzenie Sejmu.

Na razie nie wiemy, w jaki sposób ktoś uzyskał dostęp do prywatnej korespondencji ministra Dworczyka, ale w podobnych sytuacjach pierwsze podejrzenie często pada na phishing. Ataki phishingowe to jedna z podstawowych metod stosowanych przez osoby dokonujące cyberataków. W ramach takich działań atakujący buduje atmosferę "wiarygodności i zaufania".

W ten sposób przekonuje "cel" do przekazania jego prywatnych danych (np. hasła do konta). Może to zrobić w bezpośredniej komunikacji z ofiarą, ale może też wykorzystać fałszywe strony internetowe, podszywające się pod inną stronę, i nakłonić ofiarę, by podjęła jakieś działania na tej stronie, np. wpisała swój login i hasło. Ofiara ma myśleć, że loguje się, na przykład, na stronie dostawcy jakiejś usługi, gdy w rzeczywistości przekazuje swoje dane atakującemu.

Próby takich cyberataków przynoszą różne efekty, te zależne są od zaangażowanych środków, techniki i od celu lub potencjalnej ofiary.

Sieć

Często zresztą atakujący zarzucają swoje sieci szerzej. Celując na raz w wiele potencjalnych ofiar, zwiększają szanse na to, że któraś z tych prób się powiedzie. Nie jest więc tak, że da się zhakować konto każdego polityka. Raczej zarzuca się sieć i ktoś w nią wpada.

Choć zdana na domysły opinia publiczna może odnieść wrażenie, że na celowniku znalazła się konkretna osoba. A to przecież nie musi być prawda. Ale to na tej osobie skupia się uwaga publiki i dzieje się to nawet w przypadku, gdy cele działań atakujących były szerokie.

Phishing to jedna z podstawowych metod, ale dziś wciąż nie wiemy, czy właśnie tak to wyglądało w przypadku ministra Dworczyka. Bo w ogóle w tej sprawie niewiele wiemy. Niewiele informacji jest dostępnych publicznie. Wiemy jednak, że raczej nie zastosowano technicznych metod łamania haseł. Trudno sobie wyobrazić, by systemy dostawcy usługi e-mail (Wirtualnej Polski) umożliwiały takie działania bez ich wykrycia. A wykrycie wielu prób podania nieprawidłowych haseł nie stanowi technicznego problemu.

Gdyby jednak zainfekowano i zhakowano prywatny komputer pana ministra, czyli np. przełamano zabezpieczenia i/lub doprowadzono do instalacji złośliwego oprogramowania, np. szpiegujących koni trojańskich, to prawdopodobnie już dziś wyciekłyby o wiele poważniejsze informacje. Dlatego hipoteza ta wydaje mi się mniej prawdopodobna. Pozostaje więc hipoteza, że Michał Dworczyk padł ofiarą ataku phishingowego.

Teoretycznie da się zhakować prawie każdego polityka (i oczywiście nie tylko polityka). Ale to zawsze kwestia kosztów: ktoś musi spędzić czas, wybrać i dopasować metody i narzędzia. Przykładowo, mogłaby to być strona podszywająca się pod prawdziwą, a w rzeczywistości wyłudzająca hasła w ramach ataku phishingowego. Teoretycznie można by doprowadzić do zainstalowania złośliwego oprogramowania. Jeszcze bardziej teoretycznie - można by zhakować smartfon za pomocą odpowiednich narzędzi, w pewnych sytuacjach bez możliwości obrony za pomocą wcześniejszej instalacji poprawek.

Metody takie różnią się pod względem ryzyka i kosztów po stronie atakującej, ale pamiętajmy, że przecież im taniej da się osiągnąć cel, tym lepiej.

Obrona

Dlatego najlepszą obroną jest podniesienie kosztu ataków. Jeśli chodzi o obronę przed phishingiem, można to zrobić chociażby poprzez zastosowanie odpowiednich rozwiązań i technologii, np. uwierzytelniania wieloskładnikowego, czyli np. przez logowanie się do skrzynki email z uwzględnieniem jednorazowych kodów przesyłanych choćby za pomocą SMS-a. Zmniejszyłoby to ryzyko złych następstw wykradzenia hasła - bez jednorazowego kodu wysłanego na prywatny telefon nie byłoby możliwości zalogowania się na konto.

Pomocne może być też respektowanie podstawowych zasad, np. rozdzielenie funkcji prywatnych od tych publicznych.

Bo "szczęśliwie", przynajmniej na razie, w przypadku ministra Dworczyka mowa jedynie o wycieku informacji rzekomo pochodzących z jego zhakowanej prywatnej skrzynki emailowej. Miały się na niej znajdować informacje dotyczące raczej jego aktywności politycznej, zaś w mniejszym stopniu jego pracy jako urzędnika państwowego. Straty być może są znaczne. Jednak przynajmniej obecnie ograniczają się one do wizerunkowych, dla Dworczyka i dla niektórych polityków, z którymi kontaktował się za pośrednictwem prywatnego maila.

Nie znamy też odpowiedzi na pytanie, kto za tym stoi. Na razie w żadnej mierze nie możemy wyciągać wniosku, kim jest atakujący, nie mamy ku temu żadnych realnych przesłanek. Wszystkie informacje, które mamy, to albo domysły, albo są one kontrolowane przez stronę atakującą. A skoro tak, to mogą być odpowiednio spreparowane.

W Polsce mówi się o służbach białoruskich czy rosyjskich jako o potencjalnych sprawcach. Ale chyba wyłącznie na podstawie domysłów, co dla kogoś może wydawać się "prawdopodobne". W taki sposób nie można jednak wyciągnąć wniosków. By móc wyciągać wnioski, musielibyśmy mieć informację o tym, co faktycznie zaszło. Przykładowo, jakie oprogramowanie zainstalowane jest na komputerze ofiary, jakie strony internetowe odwiedzano, na jakich się logowano.

Sankcje

Analiza i identyfikacja źródła ataku jest jednak procesem bardzo złożonym. Co prawda, faktycznie Rosjanie mają szereg sukcesów w hakowaniu polityków wielu państw. Tak właśnie stało się z Johnem Podestą z Partii Demokratycznej w USA, którego emaile wyciekły (tzn. zostały udostępnione w określonych celach ingerencji w politykę wewnętrzną). Tak właśnie było ze zhakowaniem osoby ze sztabu kandydata Emmanuela Macrona, późniejszego prezydenta Francji. Zhakowano konta, wykradziono dane, potem je udostępniano, zainteresowano nimi opinię publiczną, co wywołało dyskusję, jednak na skalę o wiele mniejszą niż w USA, dzięki czemu zasięg wycieku był ograniczony. Wszystko to miało jednak miejsce w trakcie kampanii wyborczej, a nawet w trakcie ciszy wyborczej we Francji, co było bezpośrednią ingerencją we francuski system polityczny.

Zresztą nie zawsze jest tak, że to zagraniczne służby specjalne biorą lub nie polityków na celownik, o czym opinia publiczna przekonała się w 2018 i 2019 roku. Wtedy to ktoś postanowił zbudować bazę danych z informacjami o politykach. Tę dużych rozmiarów bazę zawierającą m.in. prywatne informacje o Angeli Merkel i innych liderach politycznych, dziennikarzach czy celebrytach następnie szeroko rozpropagował i upewnił się, że nie będzie łatwo usunąć ją z internetu (umieszczając ją w wielu miejscach i serwisach, tak by proces usuwania był czasochłonny). Początkowo służby traktowały to jako poważny polityczny cyberatak. Wskazywano na wielu podejrzanych. Dopiero po czasie okazało się, że za publikacją stoi dwudziestoletni obywatel Niemiec, najwyraźniej motywowany ogólną złością na klasę polityczną.

Do największych publicznie znanych cyberataków na Polskę musimy zaliczyć zhakowanie Komisji Nadzoru Finansowego i wykorzystanie jej strony internetowej do hakowania polskich banków. Strona KNF została przejęta i zmieniona w taki sposób, że po wejściu na nią komputery użytkowników były infekowane. Odpowiedź za ten cyberatak udało się Polsce zawrzeć w ramach sankcji wobec obywateli Korei Północnej, których zidentyfikowano jako ich źródło. Do sankcji tych wykorzystano powstały w Unii Europejskiej w 2019 roku mechanizm. Decyzję podjęto w lipcu 2020. Niestety, opinia publiczna faktem zhakowania KNF (od października 2016 do stycznia 2017 roku) była zainteresowana w znacznie mniejszym stopniu niż obecnym zhakowaniem kont polityków w mediach społecznościowych albo skrzynki e-mailowej ministra, nawet jeśli ranga takich zdarzeń wciąż wydaje się dużo mniejsza. Zhakowanie szerokiego systemu bankowego jest problemem poważnym, może przecież dotyczyć stabilności systemu finansowego.

Kto i dlaczego?

Polscy politycy faktycznie są hakowani. Część z publicznych zdarzeń z ostatnich lat przeanalizowano w raporcie Mandiant (dostępnym tutaj i tutaj). Warto odnotować także atak na strony Akademii Sztuki Wojennej (2020) oraz Państwowej Agencji Atomistyki (2021), a także przypadki zastosowania operacji dezinformacji przy wykorzystaniu cyberataków. To dowody albo poszlaki wskazujące na to, że ktoś faktycznie jest zainteresowany celami w Polsce i Europie Wschodniej. Podejrzewa się, że mogły za tym stać zagraniczne służby specjalne.

Oczywiście, hakowanie urzędników i polityków to bardzo poważny problem. Zawsze powstaje pytanie: kto i dlaczego? - to znaczy, jakie są motywacje atakujących. Te, mówiąc najogólniej, mogą być finansowe lub polityczne. Cyberoperacje, których celem może być zbieranie informacji o kandydatach na stanowiska polityczne lub wręcz ingerowanie w kampanie wyborcze, to rzeczywistość geopolityczna, w której żyjemy, więc można sobie wyobrazić, że wykradziony materiał może zostać wykorzystany w kampaniach wyborczych. I czasami tak się dzieje.

Trudno jednoznacznie wskazać, jak przeciwdziałać hakowaniu prywatnych kont polityków i ich rodzin. Nikt chyba sobie nie wyobraża, by służby państwowe miały monitorować sposób, w jaki politycy używają prywatnych systemów, oraz kontrolować ich dane. Trudno sobie też wyobrazić, by osoby takie (i ich rodziny) zgodziły się przekazać komuś dostęp do własnych systemów w celach obrony. Politycy muszą myśleć zdroworozsądkowo. Powinni znać podstawy cyberbezpieczeństwa, regularnie odświeżać wiedzę o zagrożeniach oraz metodach zabezpieczeń. I tę wiedzę stosować w praktyce.

Strategie

Dlatego też Polska powinna stworzyć oraz wdrożyć politykę cyberbezpieczeństwa, która obejmowałaby także wyższych urzędników państwowych oraz polityków. Nie chodzi o napisanie dokumentu. Chodzi raczej o jasne zdefiniowanie, co należy zrobić, przypisanie konkretnych sum pieniężnych na zabezpieczenie, szkolenia i stałe uświadamianie. Oraz o to, by ktoś wziął za to odpowiedzialność. Nawet jeśli nie ma chętnych do takiej funkcji, to nie stać nas na to, aby łatwo można było zhakować ważnych urzędników państwowych.

Dlatego od dłuższego czasu powtarzam, że także partyjne sztaby wyborcze powinny traktować problemy cyberbezpieczeństwa standardowo bardzo poważnie. Powinny mieć wyspecjalizowane strategie, także na wypadek incydentów cyberbezpieczeństwa. Takie strategie powinny obejmować swoimi działaniami kwestie technologiczne, ale także informacyjne i polityczne. Trzeba zrobić wszystko, by ograniczyć ryzyko negatywnych zajść w wyniku cyberataków, które nastąpią. I trzeba wiedzieć, jak zachowywać się w sytuacji, gdy jednak dojdzie do negatywnych zdarzeń.