NewsTechNews

Cyberobrona terytorialna – technologiczny wyścig zbrojeń jest już koniecznością

autor: Hagai Katz, szef sektora rządowego w Check Point Software Technologies, który bada, jak państwa narodowe mogą i powinny zapobiegać cyberatakom na ich krytyczne aktywa i obywateli

Wiosną 2007, Estonia stała się pierwszym państwem na świecie, które padało ofiarą masowego, ukierunkowanego cyberataku. Potężny atak DDoS dokonał paraliżu rządowych stron, portali internetowych oraz systemów infrastruktury bankowej. W konsekwencji rząd był zmuszony do odłączenia się od Internetu, aby umożliwić odzyskanie usług.

Od tego czasu ataki przeciwko interesom narodowym, mające na celu uszkodzenie infrastruktury krytycznej wybranych państw przybrały na sile. Rozważmy, na przykład, słynnego robaka Stuxnet, który został wykryty w czerwcu 2010. Skierowany został przeciwko infrastrukturze w Iranie i był, prawie na pewno, sponsorowany przez inne państwo. Inny przykład to USA i Wielka Brytania, które wydały wspólne oświadczenie w kwietniu 2018 w sprawie szkodliwych działań cybernetycznych, rzekomo popełnionych przez rząd rosyjski.

Hagai Katz

Istnieje wiele potencjalnych konsekwencji cyberataków ukierunkowanych na sektor państwowy, począwszy od tych jedynie destrukcyjnych, aż po te śmiertelne. Co bowiem należy zrobić, jeśli elektryczność lub zaopatrzenie w wodę dla miasta zostało odcięte? Przedsiębiorstwa nie byłyby w stanie funkcjonować, a pacjenci w szpitalach mogliby umrzeć. Atak na system bankowy na wielką skalę mógłby z kolei w znacznym zakresie doprowadzić do załamania rynków finansowych i spowodować, że przedsiębiorstwa – a nawet gospodarki – doświadczą kryzysu. Ataki, które zakłócają systemy transportowe, takie jak kontrola ruchu lotniczego, mogą mieć oczywiste konsekwencje.

Cyberwojny prowadzone przez państwa między sobą stały się realnym i w zasadzie bieżącym niebezpieczeństwem. Pytanie brzmi – co mogą zrobić rządy państwowe, aby chronić swoich obywateli i swoją infrastrukturę?

Aktualny stan cyberbezpieczeństwa narodowego
Cyberzagrożenia dla infrastruktury państwowej pochodzą nie tylko ze strony innych państw. Organizacje cyberterrorystyczne, terroryści, hacktywiści i inni korzystają z zaawansowanych narzędzi, również z tych przejętych od wywiadów czy agencji państwowych. Tak właśnie było w przypadku globalnego ataku wannacry ransomware (i w kolejnym ataku Notpetya), który gościł na nagłówkach gazet w 2017 roku. Nic dziwnego, że podczas Światowego Forum Ekonomicznego 2018 przedstawiono raport dotyczący globalnych zagrożeń, w którym cyberataki uznano za wielce prawdopodobne i o szerokim wpływie. W związku z tym większość państw zmieniła status zagrożeń cybernetycznych z „tylko” dotyczących strat finansowych, danych lub prywatności na rzeczywiste zagrożenia dla bezpieczeństwa fizycznego i życia obywateli.

Większość rządów podejmuje się zabezpieczeń na trzy sposoby. Po pierwsze, mają tendencję do tworzenia cyberbroni – to jest, rozwijają komitety i administracje, które koncentrują się na badaniu strategii oraz prawodawstwa do radzenia sobie z zagrożeniami cybernetycznymi.

Po drugie, rządy koncentrują się na programach edukacyjnych i świadomościowych. Najczęściej starają się przy tym zaspokoić popyt na specjalistów w dziedzinie bezpieczeństwa cybernetycznego, który szacuje się na około 3 500 000 ekspertów.

Po trzecie, ustanawiają one co najmniej jeden cywilny CERT (Komputerowy Zespół Reagowania Kryzysowego), w celu stawiania czoła zagrożeniom cybernetycznym i atakom. Kraje zazwyczaj oddzielają swoją wojskową cyberobronę od obrony cywilnej; do obrony cywilnej mogą mieć jeden scentralizowany CERT lub kilka zespołów, które przyporządkowane są określonym sektorom działalności. Jednak, jak sugeruje nazwa, CERT-y są z definicji reaktywne, a nie proaktywne. Zazwyczaj podejmują działania dopiero po poważnym incydencie cybernetycznym. Niektóre CERT-y dążą do proaktywnych działań – zbierają dane i próbują ostrzegać o nowych, pojawiających się zagrożeniach lub przewidywanych atakach. Skuteczność tych działań jest ograniczona, ponieważ ogólny cykl wykrywania, analizowania, publikowania i wdrażania może potrwać kilka tygodni, a nie kilka sekund lub minut.

W konsekwencji większości CERT-ów brakuje zdolności prawnych, a także możliwości technicznych, aby aktywnie chroni interesy państwa i obywateli w czasie rzeczywistym. I tutaj rzeczy muszą się zmienić; dziś, nawet jeśli CERT zostanie poinformowany kilka godzin przed wielkim atakiem, to nie ma środków, aby proaktywnie zablokować atak i obronić główne gałęzie przemysłu, zakłady użyteczności publicznej, szpitale, lotniska i inne obiekty krytyczne.

Budowanie skutecznych strategii cyberbezpieczeństwa wewnętrznego
Przyjrzyjmy się modelowi bezpieczeństwa, z którym jesteśmy bardziej zaznajomieni. Oprócz obrony granic, obrońcy bezpieczeństwa wewnętrznego korzystają z narzędzi takich jak np. radar, aby skanować niebo pod kątem zbliżających się ataków rakietowych na miasta i wnętrze kraju. Daje to możliwość analizowania działań wroga i podejmowania skutecznych decyzji czy instruowania obywateli o schronach przeciwrakietowych.

Podobne podejście należy przyjąć w odniesieniu do cyberobrony.

Zarówno obwodowe, jak i wewnętrzne zabezpieczenia są potrzebne, aby chronić przed szeregiem zagrożeń – od ataków DDoS na dużą skalę do „cichego” szkodliwego oprogramowania. Wszystkie główne punkty dostępu do infrastruktury krytycznej kraju winny być aktywnie monitorowane, a informacje o zagrożeniach powinna być przekazywana do centrum operacyjnego, aby identyfikować, analizować i ustalać prawidłową reakcję na nadchodzące zagrożenia. Można to połączyć z zapobieganiem zagrożeniom w czasie rzeczywistym, aby wychwytywać nowe zagrożenia złośliwym oprogramowaniem, zanim będą mogły się rozprzestrzeniać.

Ta ogólna warstwa widoczności i analizy powinna być “parasolem” i nad własną cyberobronnością i źródłami danych wywiadowczych organizacji, zabezpieczając ogólnokrajową odporność cybernetyczną. Ochrona musi być jak najbardziej zautomatyzowana, aby zapewnić reakcję natychmiastową, przy minimalnym interwencji człowieka i dopasować działanie, z ewentualnymi możliwymi zagrożeniami, jakie mogą wystąpić. Zabezpieczenia powinny opierać się również na wywiadzie w czasie rzeczywistym i świadomości sytuacyjnej, by umożliwić ochronę przed nowymi, nigdy wcześniej nie widzianymi zagrożeniami.

Internet zrewolucjonizował każdy aspekt życia i relacji międzynarodowych – w tym dyplomację i działania wojenne. Aby bronić się przed zagrożeniami nowej generacji, jedynie słusznym jest przyjęcie całościowego podejścia do krajowej cyberobrony, które może zidentyfikować wczesne oznaki ataków i automatycznie je powstrzymać, zanim spowodują one powszechne zakłócenia.

Leszek Cieloch Administrator
Sorry! The Author has not filled his profile.
×
Leszek Cieloch Administrator
Sorry! The Author has not filled his profile.