Polska znajduje się na froncie cyfrowej wojny, a ataki ransomware ewoluowały z chuligańskich wybryków w potężny, międzynarodowy przemysł. Podczas debaty “Cyber Wars - ataki ransomware na firmy i infrastrukturę krytyczną państw” zorganizowanej przez Bankier.pl i “Puls Biznesu” w ramach konferencji “Scamming Out! Summit” eksperci obalali mity o hakerach w kapturach i punktowali “papierowe bezpieczeństwo” polskich zarządów.
W dyskusji moderowanej przez Eugeniusza Twaroga udział wzięli przedstawiciele największych instytucji: Orange Polska, PKO Banku Polskiego, PZU oraz środowiska akademickiego.
Mimo alarmujących nagłówków, eksperci zalecają chłodną kalkulację. Choć statystyki CERT Polska i raporty Microsoftu stawiają nasz kraj w czołówce celów cyberataków, Eugeniusz Twaróg, zastępca redaktora naczelnego „PB”, otwierając dyskusję zauważył, że branża cyberbezpieczeństwa wyszła z cienia dopiero niedawno, a polski rząd wprost mówi o byciu na froncie cyfrowej wojny.
Paneliści przestrzegali jednak przed ślepą wiarą w liczby.
– Statystycznie jak jeden je ryż, a drugi mielone, to jemy gołąbki – ironizował Maciej Jan Broniarz, ekspert w dziedzinie bezpieczeństwa ICT i wykładowca UW. Wskazał on, że oficjalne 140 incydentów ransomware w raporcie CERT to wierzchołek góry lodowej, gdyż jego zespół w rok obsłużył niemal tyle samo zgłoszeń. Problemem jest brak raportowania incydentów przez firmy, które obawiają się strat wizerunkowych, oraz „magiczne myślenie” zarządów, wierzących, że certyfikaty w segregatorach ochronią ich przed włamaniem.
Orange Polska: odsiewanie ziarna od plew
Ważny głos w dyskusji zabrał Robert Grabowski, szef CERT Orange Polska, który rzucił światło na to, jak wygląda cyberwojna z perspektywy operatora infrastruktury krytycznej. Jego zdaniem, choć Polska jest na celowniku, narracja o „apokalipsie” bywa przesadzona, a wiele rzekomych sukcesów hakerów to efekt dezinformacji.
– Od lat w sieci Orange Polska notujemy średnio nawet kilkadziesiąt tysięcy ataków DDoS miesięcznie. Dla nas liczy się charakter tych ataków a nie ich ilość - punktował Grabowski.
Szef CERT Orange Polska wyjaśnił również mechanizm działania grup haktywistów, takich jak prorosyjski NoName057.
– Grupa ogłasza sukces, że polski serwis "leży". Tymczasem serwis ten po prostu odciął ruch z zagranicy, bo 95 proc. jego klientów jest w Polsce. Serwis działa, firma się obroniła, a przestępcy trąbią o zwycięstwie – tłumaczył.
Grabowski przestrzegał przedsiębiorców przed zaniedbaniami w zakresie cyberbezpieczeństwa, ustawiającymi firmę na pozycji "ofiary pierwszego wyboru". Wskazywał, że zautomatyzowane skanery przestępców nie wybierają ofiar ze względu na branżę, lecz ze względu na podatności w ich systemach informatycznych.
PKO BP i PZU: Specjalizacja wroga i wnioski z Ukrainy
Uczestnicy debaty zgodnie podkreślali, że obraz cyberprzestępcy diametralnie się zmienił. Marcin Kuhiwczak, szef Sekcji Analiz Cyberzagrożeń w PKO BP, zwrócił uwagę na ścisłą specjalizację w świecie przestępczym. Dziś mamy do czynienia z Initial Access Brokers (którzy tylko kradną dane dostępowe) oraz operatorami Ransomware-as-a-Service.
– To nie są hakerzy w piwnicach. Korzystają z tego najbardziej zaawansowane grupy, by ukryć swoją działalność. Wynajmują infrastrukturę, co utrudnia nam atrybucję ataku – wyjaśniał ekspert PKO BP. Kuhiwczak przywołał też przykłady globalnych ataków na łańcuchy dostaw, takie jak incydent w Jaguar Land Rover czy firmie F5, wskazując, że nawet giganci technologiczni padają ofiarami szpiegostwa przemysłowego.
Z kolei Bartosz Zbyszewski, dyrektor ds. ryzyka i bezpieczeństwa IT w PZU, przypomniał o lekcji płynącej z ataku NotPetya na Ukrainę w 2017 roku, który dotknął spółki grupy PZU na tamtym rynku.
– Sytuacja była apokaliptyczna. Nie działały bankomaty, stacje paliw, kasy w sklepach. To było doświadczenie frontowe, gdzie celem było niszczenie, a nie okup – wspominał Zbyszewski. Wskazał on również na rosnącą rolę ubezpieczeń od cyberryzyk, które w sytuacji paraliżu firmy mogą pokryć np. koszty wynagrodzeń pracowników.
Dylemat okupu: decyzja biznesowa, nie technologiczna
Najbardziej kontrowersyjnym wątkiem była kwestia płacenia okupów. Choć Maciej Jan Broniarz wskazywał, że ich płacenie to finansowanie reżimów (np. Putina) i „kolejne rakiety spadające na Kijów”, to w zderzeniu z widmem bankructwa, dylemat wygląda inaczej.
– Tak naprawdę zapłacenie okupu jest decyzją w stu procentach biznesową, dlatego bezpieczeństwo powinno się z tym pogodzić. Po prostu – ktoś odpowiada za biznes, ktoś za bezpieczeństwo, a ktoś za logistykę – wskazał Robert Grabowski, szef CERT Orange Polska.
