Cyberwojna to nie fikcja

Zagadnienie bezpieczeństwa cyberprzestrzeni nie jest niczym nowym. Jest ono punktem dyskusji od wielu lat przyciągającym uwagę polityków, biznesu i mediów. Code Red, Nimda, Sasser i Slammer to tylko kilka przykładów zagrożeń, które szerzyły się globalnie w czasie nie dłuższym niż 30 minut. Potencjalne zagrożenie stanowią również niechciane wiadomości (spam) oraz narzędzia phishingowe, służące do wyłudzania poufnych danych.

Dzisiejszy obraz cyberprzestrzeni wskazuje na konieczność traktowania tej sfery jako jednej ze strategicznych z punktu widzenia obronności kraju. Wskazują na to dwie podstawowe przesłanki. Pierwsza to fakt, że technologia IT jest kluczowym komponentem infrastruktury krytycznej państwa, np. jest wykorzystywana do zarządzania sieciami energetycznymi, telekomunikacyjnymi, transportowymi. Cyberatak na infrastrukturę krytyczną może automatycznie postawić pod znakiem zapytania bezpieczeństwo całego kraju.

Drugą przesłanką jest znaczenie, jakie zyskują technologie IT w jakiejkolwiek sytuacji konfliktowej. Stają się bowiem głównym elementem w centrum dowodzenia, nie tylko zasobami strategicznymi, ale również siłami zbrojnymi.

Ostatnim, najgłośniejszym przykładem cyberataku jest wirus o nazwie Stuxnet, który zainfekował w czerwcu br. system teleinformatyczny elektrowni atomowej w Iranie. Stuxnet przejął pełną kontrolę nad komputerami sterującymi elektrownią, całkowicie paraliżując jej funkcjonowanie. Jak wynika z dotychczasowych ustaleń, jego celem była ingerencja w sterowanie systemem przemysłowym, a tym samym uzyskanie wpływu na działanie elektrowni. Atak wirusa był jedną z najbardziej skomplikowanych i kompleksowych prób przejęcia infrastruktury krytycznej w historii cyberzagrożeń. Innymi szeroko dyskutowanymi przypadkami inwazji były ataki na serwery rządowe Estonii oraz Gruzji.

Wirusów coraz więcej

Ostatnia edycja corocznego raportu firmy Symantec pokazała, że w 2009 r. pojawiło się w świecie 2,8 mln nowych odmian szkodliwego oprogramowania, co stanowi wzrost o 71 proc. w stosunku do wyników z roku 2008. To równocześnie prawie trzy razy więcej niż odkryliśmy do tej pory przez wszystkie lata naszej działalności. Motorem napędowym rozwoju wirusów i szkodników jest tendencja do używania ich w celu przeprowadzania wysoce wyspecjalizowanych ataków. Charakterystyka działania takiego kodu polega na tym, że po dostaniu się do komputera pozostaje on w stanie uśpienia, by możliwie długo i skutecznie wyłudzać bądź usuwać wybrane informacje. Co ciekawe, pakiety narzędzi służących do tego typu ataków są dostępne w Internecie w cenie już od 300 euro, wraz z pełną obsługą techniczną, a nawet z umowami licencyjnymi i wsparciem.

Warto dodać, że w dobie współczesnego internetu, cybeprzestępcy nie muszą włamywać się do systemów rządowych, by dokonać precyzyjnego ataku. Na przykład informacje ogólnodostępne za pomocą serwisów geograficznych, jak Google Earth, dostarczają pełnego obrazu wybranych lokalizacji. Odnotowano w ostatnim czasie wiele sytuacji, w których poszczególne rządy (w tym kraje Unii Europejskiej) zwracały się do właściciela serwisu, firmy Google, o zamianę dokładnych zdjęć satelitarnych na takie o mniejszej rozdzielczości i gorszej widoczności. Działo się tak najczęściej w przypadku map terytoriów, gdzie zlokalizowane są kluczowe obiekty wojskowe.

Ogólnie rzecz biorąc możemy wyróżnić dwa podstawowe rodzaje ataków na infrastrukturę kluczową:

- Zmasowane ataki: Przybierają one najczęściej formę ataków przeciwko infrastrukturze, celem których jest uniemożliwienie jej działania w jak największym stopniu i jak najdłuższym czasie. Stanowią one niemal połowę wszystkich ataków na systemy rządowe. Tego typu ataki (zwane też DoS, ang. Denial of Service - odmowa usługi) najłatwiej wykryć, ponieważ ich efekty dość szybko widoczne są gołym okiem. Komputery i sieci przestają działać, gdyż ich pojemność procesowa jest wyczerpana na skutek sfałszowanych żądań wysyłanych przez system.

- Wyspecjalizowane ataki: Te ataki (ang. targeted attacks) mają nieco inną charakterystykę. Używają one unikalnych, szkodliwych kodów, które nie były wcześniej udostępnione w internecie i są prawdopodobnie elastyczne (modyfikują się w zależności od napotkanych utrudnień), co zwiększa szanse powodzenia ataku. Elastyczny (modułowy) kod po przedostaniu się do systemu czeka cierpliwie na uzyskanie połączenia z internetem. Dzięki niemu uaktualnia się samoistnie o destrukcyjne oprogramowanie. Celem ataku nie jest doprowadzenie do zawieszenia działania jak największej części infrastruktury, ale wyłudzenie konkretnych informacji lub przejęcie kontroli nad wybranym serwerem.

Znaczenie zagrożeń cyberprzestrzeni dla rządów

Po pierwsze i najważniejsze, rządy powinny zrozumieć, że pytania o bezpieczeństwo cyberprzestrzeni nie są już egzotycznym tematem, nie skupiają się one wyłącznie na takich tematach jak spam czy przestoje komputerów osobistych. Dotykają bowiem dziś kwestii bezpieczeństwa narodowego i możliwości obronnych kraju.

Po drugie, bezpieczeństwo to obecnie już nie tylko antywirusy i zapory ogniowe. Nie wystarczy chronić tylko infrastrukturę. Ważna jest ochrona informacji i monitorowanie jej użycia. Rozwiązania dla bezpieczeństwa systemów teleinformatycznych powinny być mobilne, dynamiczne i elastyczne. Muszą także uwzględniać wszystkie możliwe sposoby dostępu do informacji.

Ponadto istotna jest umiejętność monitorowania, a co za tym idzie, przewidywania zagrożeń i potencjalnych ataków. Tylko działanie proaktywne i zauważalne nakłady finansowe na bezpieczeństwo cyberprzestrzeni pozwolą na skuteczną reakcję w obliczu ataku na infrastrukturę o kluczowym znaczeniu dla bezpieczeństwa państwa.

Paweł Reszczyński

Autor od 2002 r. pracuje w polskim oddziale firmy Symantec, gdzie zajmuje się rozwiązaniami służącymi do zabezpieczenia danych na stacjach roboczych i serwerach, ochroną sieci komputerowych, filtrowaniem treści i spamu, zagadnieniami dotyczącymi polityki bezpieczeństwa i rozwiązaniami automatyzującymi zarządzanie stacjami roboczymi.