Poniewierski: mały atak, ogromne straty

Atak na World Trade Center pokazał, że wyobraźnia terrorystów nie zna granic. Każde ich nowe działanie jest zupełnie inne od poprzedniego. Przed 11 września kontrole graniczne na lotniskach koncentrowały się na tym, żeby sprawdzić, czy ktoś nie ma przy sobie broni lub narkotyków. Okazało się jednak, że zagrożeń, które powstają w cyberrzeczywistości i w głowach terrorystów, nie sposób przewidzieć i im zapobiec. Obecnie na źródło takich nieprzewidywalnych rodzajów ryzyka wyrasta nam Państwo Islamskie.

Jeśli myślimy o standardowych zagrożeniach, zwykle są to pożary, powodzie, zmiany geopolityczne czy wpływy ekonomiczne. Zbliżające się wielkimi krokami referendum w Szkocji może wpłynąć nie tylko na zmniejszenie powierzchni czy liczby ludności Wielkiej Brytanii, ale w konsekwencji także na stabilność funta. Wartość pieniądza skurczy się mniej więcej o jedną trzecią. Ale to są zagadnienia, które są przewidywalne. Można nakreślić ich scenariusze i działać później według nich. Zupełnie inaczej jest w przypadku nowych technologii.

System ?naczyń połączonych

Policja, wojsko, oczyszczalnie ścieków, ZUS, stacje benzynowe, elektrownie i szpitale – to wszystko część tak zwanej infrastruktury krytycznej. Osobno wpływają bezpośrednio na funkcjonowanie wszystkich mieszkańców. Łącznie tworzą system, którego funkcjonowanie gwarantuje stabilizację państwa. A co się dzieje, gdy ten system ktoś zaatakuje?

Infrastrukturę krytyczną można porównać do systemu naczyń połączonych albo, żeby się trzymać bardziej medycznej terminologii, do krwiobiegu. Wszystkie naczynia i żyły tworzą spójną całość. W momencie, gdy w jednym miejscu nastąpi wyciek, można go zatamować. Inaczej jest, jeśli takich ran w jednym momencie powstaje więcej. Podobnie jest w infrastrukturze krytycznej: tamowanie zagrożenia jest łatwe, jeśli wiemy, gdzie wystąpiło naruszenie bezpieczeństwa i jeśli jest to zdarzenie jednorazowe.

W takim systemie występuje wiele różnych połączeń, które na pierwszy rzut oka nie są krytyczne. Cztery lata temu w Sandomierzu okazało się, jak duże znaczenie w walce z powodzią ma tamtejsza huta szkła. Od tego, czy wytrzymają wały przeciwpowodziowe, zależało z jednej strony bezpieczeństwo okolicznych gospodarstw domowych, a z drugiej – utrzymanie 2 tys. miejsc pracy w regionie.

Jednak infrastruktura krytyczna to nie tylko wały, elektrownie czy oczyszczalnie ścieków. To także banki czy ZUS. Wyobraźmy sobie, że hakerzy zaatakowali Zakład Ubezpieczeń Społecznych. W takiej sytuacji ponad 7 mln emerytów i rencistów nie dostałoby wypłaty świadczeń na czas.

Zarządzanie, sterowanie, komunikacja

Według ustawy o zarządzaniu kryzysowym infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalne obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Jej celem jest jak najszybszy powrót do właściwego działania systemu po ewentualnym ataku.

Infrastruktura krytyczna to nie tylko wały, elektrownie czy oczyszczalnie ścieków. To także banki czy ZUS

Nikogo nie dziwi, że lekarze na dyżurze czy strażacy w remizach czekają na akcję ratunkową. Są na miejscu, pod telefonem, i w razie alarmu będą w stanie szybko zareagować. W przypadku infrastruktury krytycznej, czyli elektrowni, oczyszczalni, kluczowych urzędów, także powinny być takie „OIOM-y". Obecnie działają regionalne centra zarządzania kryzysowego, które podlegają Ministerstwu Spraw Wewnętrznych. W ich gestii powinna być nie tylko koordynacja działania służb ratunkowych, ale też tych technologicznych. W Stanach Zjednoczonych, Izraelu, Chinach czy Rosji ta świadomość zagrożeń ze strony cyberprzestępców jest dużo większa i istnieją tam powołane do tego służby.

W najbliższych kilku latach ataki na cyberprzestrzeń są nieuniknione. Straty z nich wynikające będą takie, jak w przypadku wybuchów bomb. Przez takie działania można szantażować i destabilizować sytuację w całych regionach. W 2007 r. cyberatak w Estonii na kilka dni sparaliżował kraj. Padła sieć internetowa, przestały działać systemy banków, strony parlamentu czy mediów. Zawiódł też system zarządzający dostawami energii. Przez pewien czas nie działał telefon alarmowy 112.

Także Gruzja podczas wojny z Rosją w 2008 r. padła ofiarą cyberataków. Zablokowane zostały strony: prezydenta, parlamentu, agencji informacyjnych i banków. Według ekspertów był to pierwszy przypadek, kiedy militarne działania toczyły się równocześnie z tymi w świecie wirtualnym.

(Nie)bezpieczne ?technologie

Globalizacja, łatwość kopiowania trendów, konkurowanie ceną – to wszystko sprawia, że rozwiązania i produkty wprowadzane na rynek są coraz mniej zabezpieczone i coraz mniej czasu poświęca się na ich testowanie. Podobnie jest z nowymi technologiami. Telefony komórkowe czy internet były tworzone nie z myślą o wojsku i o kosmicznych misjach, ale o prywatnym i biznesowym użytkowniku. Każde nowe rozwiązanie czy aplikacja zaspokaja potrzebę innowacyjności, ale nie gwarantuje bezpieczeństwa. Komercyjne zastosowanie nie wymaga sprawdzania, czy dana technologia nie zawiera luk, czy nie będzie mogła być podsłuchiwana, czy łatwo można złamać jej kody.

Dopóki mówimy o rozmowie przez komórkę dwóch prywatnych osób, to nie ma tematu. Problem pojawia się wtedy, gdy uświadamiamy sobie, że również system sterowania infrastrukturą krytyczną, czyli elektrowniami czy sygnalizacją świetlną na drogach, jest oparty na takich komercyjnych, w praktyce słabo zabezpieczonych rozwiązaniach.

Jednocześnie technologie komunikacyjne przyspieszają. Kolejne systemy i rozwiązania skracają czas przekazywania informacji. Od listów przez kilka dekad doszliśmy do przesyłania komunikatów w czasie rzeczywistym.

Za tymi trendami idzie w parze zmiana trybu życia. W momencie, gdy przestaje działać sieć komórkowa, nie jesteśmy w stanie się do kogokolwiek dodzwonić. Tracimy dostęp do internetu, nie możemy sprawdzić informacji ani wysłać szybko przelewu. Warto przypomnieć, że czterodniowe „odcięcie" klientów od e-maili, komunikatorów czy internetu w wyniku awarii wpłynęło na przecenę akcji kanadyjskiej spółki RIM – właściciela marki Blackberry.

Dorastanie ?społeczeństwa

Liczba wysokiej klasy specjalistów z zakresu nowych technologii jest na razie bardzo mała – na szczęście. Jeszcze 20 lat temu zarówno ceny, jak i dostęp do rozwiązań technologicznych i komputerów były dużą barierą. Teraz tablety obsługują już kilkuletnie dzieci, a aplikacje projektują nastolatki. To, co obecnie jest domeną elit informatycznych, za dziesięć lat będzie mógł zrobić każdy. Już kilka lat temu czternastolatek z Łodzi był w stanie za pomocą urządzenia na podczerwień przestawiać zwrotnice tramwajowe, co spowodowało kilka poważnych wypadków.

Wymiary rzeczywisty i wirtualny coraz częściej się przenikają. Trudno zdecydować, jakie zasoby i w jakiej kolejności zabezpieczyć. Wojna już dawno przestała się kojarzyć wyłącznie z rakietami i wojskiem. W Stanach Zjednoczonych działa US-CERT, czyli zespół zajmujący się bezpieczeństwem sieci Departamentu Bezpieczeństwa Narodowego USA. Przy nim zorganizowane są ośrodki edukacyjne, które szkolą służby do walki z cyberprzestępczością.