Zbliżające się wybory parlamentarne bez wątpienia stanowią poważne wyzwanie pod względem zapewnienia bezpiecznego i niezakłóconego przebiegu. Biorąc pod uwagę ostatnią aktywność grup hakerskich powiązanych z Rosją oraz próby zakłócania przebiegu wyborów w Czechach, pojawiają się uzasadnione obawy, że mogła być to próba generalna przed zmasowanym cyberatakiem wymierzonym w Polskę. W tym miejscu warto podkreślić, że to właśnie Polska jest obiektem wszelkiej maści cyberataków i działań dezinformacyjnych nieprzerwanie praktycznie od 2014 roku, o czym niejednokrotnie informowałem na łamach DWU.Tygodnika. W ostatnim czasie w mediach pojawia się jednak coraz więcej niepokojących doniesień na temat rosnącego zagrożenia w cyberprzestrzeni ze strony Rosji – właśnie w kontekście zbliżających się w Polsce wyborów. Czy rzeczywiście mamy poważne powody do obaw?
Zacznijmy od podsumowania kilku faktów.
31 maja premier Mateusz Morawiecki przedłużył okres obowiązywania drugiego stopnia alarmowego (BRAVO) i trzeciego stopnia alarmowego CRP (CHARLIE–CRP) na terenie Polski, oraz drugiego stopnia alarmowego (BRAVO) w odniesieniu do polskiej infrastruktury energetycznej poza granicami kraju – poinformowało Rządowe Centrum Bezpieczeństwa. Stopnie te obowiązują do 31 sierpnia do godziny 23:59. Niedługo po tym, 13 czerwca, minister cyfryzacji Janusz Cieszyński poinformował o ataku DDoS na platformę ePUAP, która służy do załatwiania spraw urzędowych. Atak cybernetyczny nie całkowicie sparaliżował tę platformę, ale spowodował utrudnienia w świadczeniu usług.
Ataki hakerskie na instytucje publiczne to trend, który w sektorze cyberbezpieczeństwa obserwowany jest od lat. Trzeba jednak zaznaczyć, że dotychczas większość cyberataków miała charakter typowo przestępczy – najczęściej celem hakerów było wyłudzenie okupu czy kradzież danych. Tymczasem ostatnie ataki mają zupełnie inny wymiar. Już nawet pobieżna ich analiza pozwala jednoznacznie stwierdzić, że bez wątpienia coraz większa ich liczba związana jest z Rosyjską agresją na Ukrainę i rosnącym napięciem politycznym wokół toczącej się tam wojny. Celem ataków nie są jednak tylko podmioty ukraińskie. Grupy haktywistów z rosyjskim rodowodem z równą częstotliwością atakują cele na Zachodzie. Jednym z głównych obiektów ataków na przestrzeni ostatnich miesięcy jest właśnie Polska. O tym, że polskie instytucje także są zagrożone i wymagają szczególnej ochrony świadczy właśnie fakt, że podejmowane są decyzje o przedłużaniu stopni alarmowych. Skala i częstotliwość ataków dobitni wskazuje, że szczególną czujność powinniśmy zachować wszyscy – zarówno sektor rządowy i administracja publiczna, jak i szeroko pojęty biznes, aż po użytkowników prywatnych.
Zgodnie z wytycznymi po wprowadzeniu stopnia alarmowego CHARLIE-CRP, pracownicy administracji IT mają obowiązek przeglądać zasoby w przypadku ataku i natychmiast wdrażać plany ciągłości działania po stwierdzeniu ataku. Ponadto obowiązują ich również zadania z poprzednich stopni alarmowych (ALFA i BRAVO-CRP), takie jak monitorowanie systemów, procedur i zadań, zwiększona czujność i gotowość personelu, a także całodobowe dyżury administratorów systemów kluczowych. W przyszłości wzmocnieniu cyberbezpieczeństwa w Polsce służyć mają przepisy, które są już wprowadzane do krajowego prawa na podstawie unijnej dyrektywy NIS 2. Dotyczyć będą one również dużych organizacji komercyjnych z różnych obszarów biznesu. Jednak także mniejsze firmy powinny zadbać o wzmocnienie bezpieczeństwa IT.
Stopień BRAVO dotyczy zagrożenia terroryzmem. To drugi w czterostopniowej skali, stopień alarmowy. Wprowadza się go, jeśli istnieje zwiększone i przewidywalne zagrożenie zdarzeniem o charakterze terrorystycznym. MSWiA podkreśla, że stopień ma charakter prewencyjny i ma związek z aktualną sytuacją geopolityczną w regionie, czyli ataki hybrydowe prowadzone przez Rosję i Białoruś, wymierzone także w Polskę i inne kraje UE. Z kolei CHARLIE-CRP dotyczy cyberzagrożeń. Trzeci z czterostopniowej skali oznacza wysoki poziom zagrożenia w cyberprzestrzeni. Stopień alarmowy CHARLIE-CRP zobowiązuje instytucje publiczne do zachowania szczególnej czujności oraz intensywniejszego niż dotychczas monitorowania bezpieczeństwa systemów IT. Po raz pierwszy został wprowadzony 21 lutego 2022 roku i był już przedłużany. Przez ten czas odnotowano przynajmniej kilka incydentów – ich ofiarami były instytucje państwowe. Wśród nich warto wymienić ataki DDoS na serwery Senatu RP (27 października 2022 roku), ransomware na Centrum Zdrowia Matki Polki w Łodzi (3 listopada 2022 r.) oraz DDoS na Platformę eZamówienia (7 listopada 2022 roku). Z kolei w 2023 roku, na początku lutego, doszło do ataku credential stuffing na Profil Zaufany, a teraz hakerzy znów zaatakowali i tym razem ofiarą padł ePUAP. W tym roku podobne incydenty odnotowały także firmy, o czym informowano również w kontekście ataków na instytucje publiczne. Dzięki czujności polskich służb odpowiedzialnych za zabezpieczenie krytycznej infrastruktury teleinformatycznej, każde z tych zdarzeń nie wywołało poważniejszych skutków poza czasowym paraliżem, choć zagrożenie zazwyczaj było wysokie.
Co oczywiste, najbardziej zagrożone w przypadku ataku na instytucje publiczne są największe podmioty i strony rządowe, jednak nie jest to już regułą. Nie jest żadną tajemnicą, że obecnie coraz częściej hakerzy skupiają się na ilości, a nie jakości ofiar. Poza atakami na strony w domenie rządowej hakerzy na celownik wzięli ostatnio opiniotwórcze serwisy internetowe, a nawet poszczególne firmy i jej pracowników. Dlatego sektor MŚP również dość szybko znalazł się w ich zainteresowaniu. Przedsiębiorcy powinni przede wszystkim zadbać o infrastrukturę cybersecurity i procedury bezpieczeństwa. Szyfrowanie łączy czy zewnętrzne firewalle nie są już wystarczającą barierą, która zdoła powstrzymać atak hakerski. Praktyka pokazuje, że często hakerzy rezygnują z ataku, gdy napotykają silne zabezpieczenia podczas próby dostępu do infrastruktury. Mając powyższe na uwadze, hakerzy coraz częściej próbują osiągnąć zamierzone cele atakując zwykłych pracowników, licząc na ich mniejszą wiedzę na temat zagrożeń cybernetycznych niż wśród osób zatrudnionych w działach IT. Świadomy zespół w organizacji to kluczowy element cyberbezpieczeństwa.
O tym, że zagrożenie jest jak najbardziej realne, świadczą chociażby ostatnie komunikaty przekazywane przez polskie służby. Jak informował minister koordynator służb specjalnych, funkcjonariusze Agencji Bezpieczeństwa Wewnętrznego dokonali zatrzymania kolejnej osoby w śledztwie prowadzonym przez ABW pod nadzorem Lubelskiego Wydziału Zamiejscowego Prokuratury Krajowej. Śledztwo dotyczy siatki szpiegowskiej, która na terenie RP realizowała zadania na rzecz Rosji.
Do zatrzymania podejrzanego doszło 21 czerwca 2023 r. Zatrzymany jest 15. osobą, której przedstawiono zarzuty udziału w zorganizowanej grupie przestępczej w związku z prowadzeniem działalności szpiegowskiej.
Czy grozi nam paraliż wyborów?
Biorąc pod uwagę stale występujące zagrożenie ze Wschodu i prowadzone przeciwko Polsce zmasowane kampanie dezinformacyjne uzasadnione pozotaje pytanie – czy zbliżające się wybory parlamentarne mogą przebiegać w cieniu rosyjskich i białoruskich cyberataków. Czy grozi nam paraliż wyborów? O realności zagrożenia przekonali się na początku 2023 roku Czesi. Odbywające się tam wybory prezydenckie przebiegały właśnie w cieniu cyberataków na strony kandydatów na prezydenta oraz witryny instytucji publicznych. Eksperci zajmujący się cyberbezpieczeństwem ostrzegali wówczas, że może być to próba generalna przed cyberatakiem na Polskę.
Jak działali hakerzy w czasie wyborów w Czechach? Mechanizm całej operacji daje sporo do myślenia. Równie dużo, jak informacje o głównych aktorach zaangażowanych w serię cyberataków. Dziś wiadomo już, że za atakami prowadzonymi w cyberprzestrzeni równolegle do przebiegu czeskich wyborów prezydenckich stali powiązani z Rosją hakerzy z kolektywu NoName. Wykorzystali oni ataki DDoS i blokując dostęp do serwerów zaatakowali strony internetowe związane z wyborami.
Jeszcze przed samymi wyborami hakerzy zaatakowali organizację non profit, prezentującą programy wyborcze kandydatów, serwisy organizacji kontrolujących przebieg wyborów a nawet witryny urzędu statystycznego i resortu spraw zagranicznych. Dla spotęgowania chaosu wywołanego cyberatakami, rosyjscy hakerzy wzięli na cel również bankowość elektroniczną i klasyczne serwisy bankowe.
Eksperci ds. cyberbezpieczeństwa ostrzegali wówczas, że prowadzone przed wyborami prezydenckimi w Czechach cyberataki w rzeczywistości mogą być tylko sprawdzeniem „w boju” możliwości technicznych i próbą generalną przed wyborami parlamentarnymi w Polsce. Już na początku 2023 roku izraelska firma Check Point, monitorująca zagrożenia w cyberprzestrzeni, w swojej analizie ostrzegała, że podobny scenariusz zakładający akcje dywersyjne i cyberataki wymierzone w Polskę przez powiązanych z Rosją hakerów, jest jak najbardziej realny. W tym miejscu warto dodać, że kolektyw hakerów z NoName już wcześniej stał za serią cyberataków na polskie serwisy rządowe. Istnieją również inne prorosyjskie grupy cyberprzestępcze działające w Polsce, takie jak Killent i APT 28/29.
Pytany o skalę zagrożenia pod kątem wyborów parlamentarnych polski premier zapewniał, że polskie służby odpowiedzialne za bezpieczeństwo kraju oraz cyberbezpieczeństwo stale monitorują sytuację i są w stanie podwyższonej gotowości. Pytany przez reportera portalu Niezależna.pl, czy u progu wyborów polski rząd jest gotowy na dywersję ze strony Rosji, premier Morawiecki odpowiedział: „To bardzo ważne pytanie. Oczywiście, że nie tylko jesteśmy w stałym kontakcie z panem prezydentem, ale też na stałym podniesionym alercie, podniesionej uwadze wszystkich służb. Także tych, o które pan redaktor zapytał, które dbają o nasze cyberbezpieczeństwo. Ale nie tylko cyberebezpieczeństwo jest naszym zadaniem, bo propaganda, zalew fake newsów jest niesamowity, a skuteczność Rosji tutaj niestety ogromna. Nasze realne bezpieczeństwo, bezpieczeństwo życia dnia codziennego jest zabezpieczane przez nasze siły wewnętrzne, policję, służby. Granice są strzeżone, umacniane przez zakupy zagraniczne i produkcję krajową.” – mówił premier Mateusz Morawiecki.
Niemniej jednak ostrzeżenia dotyczące potencjalnych ataków cybernetycznych podczas polskich wyborów budzą uzasadnione obawy ekspertów ds. cyberbezpieczeństwa. Według doniesień izraelskiej firmy Check Point oraz Międzynarodowej Fundacji Systemów Wyborczych (IFES), ataki podczas czeskich wyborów prezydenckich w 2023 roku mogą powtórzyć się również w Polsce. Realność zagrożenia dla nikogo nie powinna być zaskoczeniem, biorąc pod uwagę, że wykorzystanie na coraz większą skalę technologii cyfrowych w procesie wyborczym na całym świecie w oczywisty sposób wpływa na wzrost zagrożenia dla infrastruktury wyborczej i wymusza konieczność jej odpowiedniego zabezpieczenia.
Zagrożenie atakami cybernetycznymi na infrastrukturę wyborczą staje się coraz bardziej realne, zwłaszcza w kontekście rosyjskich cyberataków, które nasilały się od wybuchu wojny na Ukrainie. Warto w tym miejscu zwrócić uwagę, że w czasie wyborów w Czechach prym w prowadzeniu zmasowanych cyberataktów wiodła ściśle powiązana z Kremlem grupa NoName. Hakerzy z tego kolektywu próbowali zakłócać proces wyborczy poprzez ataki DDoS na strony internetowe kandydatów oraz uniemożliwienie partiom publicznego przedstawienia raportów finansowych kampanii. Z analiz Check Point wynika, że własnie grupa NoName jest jedną z najbardziej aktywnych grup hakerskich w Polsce. Zgodnie z najnowszymi statystykami przypisuje się jej m.in. ataki na portal PiS, serwisy GPW, PFR i PZU. Należy jednak pamiętać, że wiele innych grup cyberprzestępczych ma na swoim celowniku Polskę już od dłuższego czasu. Szczególnie niebezpieczne są m.in. hakerskie kolektywy Killent i APT 28/29.
Oczywiste jest zatem, że w związku z jak najbardziej realnymi zagrożeniami, ważne jest podjęcie odpowiednich środków bezpieczeństwa, zarówno przez organy zarządzające wyborami, jak i partie polityczne, aby zapewnić uczciwość wyborów i ochronę infrastruktury wyborczej przed atakami cybernetycznymi. Wspomniana już Międzynarodowa Fundacja Systemów Wyborczych (IFES), ogłosiła, że organy zarządzające wyborami oraz partie polityczne w wielu krajach są słabo przygotowane na ataki cybernetyczne. Przedstawiciele IFES ostrzegają, że hakerzy mogą stanowić „krytyczne zagrożenie dla uczciwości wyborów”.
„Możemy powiedzieć z dużym prawdopodobieństwem, że zabezpieczamy te systemy. Tworzymy centralny rejestr wyborców. Do tej pory było tak, że gmina prowadziła go samodzielnie i bywało tak, że gmina padała ofiarą ataku ransomware, dane były szyfrowane i nie było dostępu do danych. Wyobraźmy sobie, że coś takiego by się stało w przeddzień wyborów” – zapewnia minister cyfryzacji Janusz Cieszyński.
Wszyscy jesteśmy cyberżołnierzami
Podczas, gdy wielu komentatorów paraliżuje lęk przed potencjalnymi cyberatakami poprzedzającymi wybory parlamentarne w Polsce, należy podkreślić, że w dużym stopniu wszyscy odpowiadamy za bezpieczeństwo w sieci. W dzisiejszych czasach wszyscy jesteśmy cyberżołnierzami i stoimy na pierwszej linii frontu. Choć często nadal nie zdajemy sobie z tego sprawy, wyciek numeru telefonu czy adresu e-mail jest tak samo groźny, jak wyciek numeru PESEL. Hakerzy potrafią je wykorzystać tak, że później sami podamy im swoje najbardziej wrażliwe dane, a w konsekwencji stracimy pieniądze lub dostęp do konta bankowego lub kont w mediach społecznościowych. Wystarczy, że hakerzy korzystając z socjotechnicznych sztuczek podszyją się pod instytucję lub firmę, z usług której korzystamy, a my w dobrej wierze przekażemy im dane, które wykorzystają później do wyłudzeń. Np. numer PESEL powszechnie stosowany jako sposób autoryzacji. Według CERT Polska liczba przypadków phishingu w 2022 roku wyniosła prawie 40 tys., czyli o 36 proc. więcej niż rok wcześniej.
Nic nie wskazuje na to, aby w tym roku ta dynamika zmalała. W każdym miesiącu są ujawniane przypadki podszywania się przestępców pod instytucje lub firmy, a ich celem jest wyłudzenie poufnych danych (PESEL, login i hasło do konta w banku itp.). To tzw. phishing. Ale do takiego ataku potrzebne są dane kontaktowe do potencjalnych ofiar. Te zdobywa się wykradając je ze słabo zabezpieczonych baz danych lub kupując na czarnym rynku. Tu również każdy miesiąc przynosi informacje o kolejnych wyciekach.
Dlaczego tak się dzieje? Niestety nadal pokutuje lekceważenie procedur bezpieczeństwa i odpowiednia ochrona danych osobowych. Bardzo ważne jest, aby dbać nie tylko o ochronę naszego numeru PESEL. Dane osobowe, to nie tylko PESEL, ale również inne wrażliwe dane takie jak: adres e-mail czy numer telefonu, którymi posługujemy się na co dzień.
Problem polega na tym, że choć z RODO stykamy się już od dłuższego czasu, nadal trudno doszukać się ma precyzyjnej definicji danych osobowych. Według Rozporządzenia o Ochronie Danych Osobowych są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Ale nie tylko, ponieważ poszczególne informacje, połączone ze sobą również mogą prowadzić do zidentyfikowania tożsamości danej osoby. Natomiast wśród wymienionych przez Komisję Europejską przykładów możemy wyróżnić imię i nazwisko, adres zamieszkania, imienny adres e-mail czy identyfikatory reklamowe.
Tych danych lepiej nie ujawniać…
Pojęcie danych osobowych definiuje art. 4 RODO. Zgodnie z nim dane osobowe są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
W szczególności na podstawie danych jak:
· imię i nazwisko,
· numer identyfikacyjny,
· dane o lokalizacji,
· identyfikator internetowy
· jeden bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej, dzięki którym możemy kogoś zidentyfikować.
Największym problemem w kontekście ochrony danych wrażliwych jest brak świadomości i bagatelizowanie zagrożeń. Większość Polaków pytana o to, co wchodzi w skład danych osobowych, wskazuje przede wszystkim PESEL, a dopiero potem imię i nazwisko czy adres zamieszkania. Niewielu zalicza do tej kategorii własny wizerunek czy numer rejestracyjny samochodu. Niestety nieznacznie zmalał w porównaniu z ubiegłym rokiem odsetek respondentów, którzy wiedzą, jak zadbać o bezpieczeństwo własnych danych osobowych, a największe zagrożenie dla nich upatrują w fałszywych telefonach, e-mailach i SMS-ach. To najważniejsze wnioski płynące ze wspólnego badania serwisu ChronPESEL.pl i Krajowego Rejestru Długów, pod patronatem Urzędu Ochrony Danych Osobowych.
Podsumowanie
Przyznać trzeba więc, że jako kraj jesteśmy dla intruzów po prostu łakomym kąskiem. Rekomendacje - wśród których znalazło się między innymi stosowanie uwierzytelniania wieloskładnikowego - nie zostały wprowadzone. Kontrola NIK prowadzona po zintensyfikowaniu zdalnych form komunikacji w związku z pandemią COVID-19 wykazała, że, podstawowymi kanałami przesyłania informacji niezbędnych do wykonywania zadań w polskiej administracji na odległość były: poczta elektroniczna oraz szyfrowane połączenie VPN. W trzech urzędach dopuszczono natomiast możliwość wykorzystywania w celach służbowych także prywatnych kont mailowych, a w dwóch z nich określono warunki, jakie należało spełnić, aby z tej możliwości można było korzystać. Jednym z nich było uzyskanie pisemnej zgody administratora danych lub administratora systemów informatycznych.
Podsumowując, w czasach, kiedy wciąż mówi się o bezpieczeństwie, kiedy intruzi wymyślają najbardziej wysublimowane ataki, wykorzystujące brak wiedzy i uwagi użytkowników, kiedy rządy innych państw właśnie z tego powodu wdrażają zaawansowane polityki bezpieczeństwa oparte na najbardziej niezawodnym standardzie FIDO2 i sięgają po modele zero trust i passwordless, nadal pozostaje jeszcze bardzo wiele do zrobienia. Hakerzy nie zwalniają tempa i cały czas pozostają realnym zagrożeniem.
dr Piotr Łuczuk
Medioznawca, ekspert ds. cyberbezpieczeństwa. Redaktor naczelny serwisu FilaryBiznesu.pl. Adiunkt w Instytucie Edukacji Medialnej i Dziennikarstwa Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ekspert Instytutu Staszica.
Foto: pixabay.com