Generał Karol Molenda: Liczba cyberataków na polskie wojska zdecydowanie wzrosła

Jakie wnioski mogą wyciągnąć Wojska Obrony Cyberprzestrzeni (WOC) po trzech miesięcach walk w Ukrainie?

- Większość ekspertów z zakresu z cyberbezpieczeństwa, w tym także ja, spodziewaliśmy się, że jeżeli nastąpi wojna, to rozpocznie się od cyfrowego Pearl Harbour. Uważaliśmy, że różnica potencjałów będzie tak duża, że grupy ATP działające pod egidą rosyjskich służb specjalnych, mające lata doświadczeń w prowadzeniu ofensywnych kampanii w cyberprzestrzeni, zostaną skutecznie wykorzystanie przeciwko infrastrukturze ukraińskiej.

- Pierwszym wnioskiem, który można wyciągnąć to fakt, że Ukraińcy odrobili lekcje z przeszłości, czyli zarówno ze złośliwego działania ze strony Rosji w 2014, 2015 i 2016, mam na myśli odcinanie prądu, jak również doświadczenia z 2017 roku i infekcji ransomware NotPetya. Ukraińcy wyciągnęli wnioski i dobrze się przygotowali. Oczywiście pewne ataki zostały odnotowane i miały miejsce, natomiast nie wywołało to tak wielkiego efektu jak niektórzy się spodziewali.

Czy nie zadało to kłam twierdzeniom o tym cyfrowym Pearl Harbour, że pierwsze strzały padną w cyberprzestrzeni i będzie unieszkodliwiona cała infrastruktura?

- Nie. Jestem przekonany, że Ukraińcy dobrze się przygotowali, wykorzystując doświadczenie partnerów zagranicznych. Oni zbudowali swoje zdolności do cyberobrony wykorzystując  wiedzę ekspercką. Ukraińcy pokazali, że można przygotować się do cyberkonfliktu, analizując taktyki, procedury, techniki, którymi operują wrogie grupy. Znając cyber kill-chain można  przerwać atak. Znając swojego przeciwnika i sposób, w jaki działa można skutecznie bronić infrastruktury. Trzeba pamiętać że broniący ma trudniejsze zadanie, bo musi pilnować całej infrastruktury, a atakujący musi przełamać tylko jeden z zasobów, żeby dostać się do sieci. Druga lekcja jest taka, że Rosjanie są lepsi w  ataku niż w obronie. Jako przykład tych działań można wskazać sukcesy grupy Anonymous w rosyjskiej infrastrukturze.

A czy te działania mają jakiś faktyczny wpływ na przebieg wojny?

- Uważam, że one mają realny wpływ i są poszczególne grupy, który osiągają dobre efekty. Grupie Anonymous brakuje jednak koordynacji. Jest to szereg różnych grup, które działają równolegle, ale można sobie wyobrazić sytuację, w której jedna grupa próbuje wyciągać dane z infrastruktury rosyjskiej, a druga przeprowadza w tym samym czasie ataki DDoS na taką samą infrastrukturę. Przez brak koordynacji działań Anonymous mogą sami sobie utrudniać działania.

- Ciekawym pytaniem, które warto sobie zadać, jest to, czy działania ofensywne z kierunku rosyjskiego zmniejszyły się dlatego, że Rosjanie są zajęci odpieraniem ataków, które kierowane są na ich infrastrukturę. Można przypuszczać, że różne grupy, które próbują wchodzić w interakcję z rosyjską infrastrukturą angażują zasoby po tamtej stronie.

- W kontekście WOC kluczowe jest to, że zaczęliśmy wcześniej je tworzyć - już trzy lata temu. To była jedna z lepszych decyzji. Pojawił się plan, wizja oraz środki finansowe.. Pozwoliło to nam, biorąc pod uwagę aspekt obronny infrastruktury osiągnąć już teraz pewien poziom dojrzałości, który pozwala nam na skuteczną ochronę naszej infrastruktury. Czujemy presję ze strony grupy APT oddziaływujących na naszą infrastrukturę. Udzieliliśmy ogromnego wsparcia humanitarnego i militarnego Ukrainie oraz jesteśmy głównym hubem logistycznym sprzętu, który z terytorium Polski zostaje przekazany na Ukrainę. Przez Rosję nie jesteśmy z tego powodu dobrze postrzegani.

Czy notujemy zwiększoną aktywność grupy APT w polskiej cyberprzestrzeni?

- Tak, ewidentnie to widać. Ilość prób ataków ze strony grup APT powiązanych z Rosją, które miały miejsce na przestrzeni ostatnich miesięcy jest 4-krotnie większa niż przez cały rok 2021. Mówimy tutaj wyłącznie o celach wojskowych. Tych złośliwych incydentów i prób jest znacznie więcej, ale nie liczę prostych skanowań i czegoś, co się odbija od urządzeń. Mówię o bardziej wyszukanych, ukierunkowanych próbach ataków, których analiza  wskazuje,  że są dziełem grup APT. Wszystkie próby takich operacji były nieudane.

- Tu też trzeba podkreślić pewne pozytywne zmiany, do których doszło po tym jak Minister Janusz Cieszyński został mianowany pełnomocnikiem ds. cyberbezpieczeństwa. Chodzi tutaj o zmianę kultury wymiany informacji pomiędzy trzema CSIR-tami. Dochodzi do częstych formalnych i nieformalnych spotkań przedstawicieli tych jednostek, tak aby współpraca była jak najbardziej efektywna oraz, żeby ludzie sobie ufali. Nakazuje to ustawa o krajowym systemie cyberbezpieczenstwa z 2018 roku, ale współpraca ta została zintensyfikowana w ostatnich miesiącach. Moje zespoły też nie kończą pracy dopóki informacje, które zdobyli nie zostaną przekazane innym CSIRT-om. Ważna jest również współpraca międzynarodowa, ponieważ sami nie poradzimy sobie z tymi wszystkimi wyzwaniami. Nie powinniśmy też dopuścić do sytuacji, w której ten sam incydent jest obsługiwany przez różne CSIR-ty. Teraz sytuacja wygląda tak, że jeżeli  grupa APT nas atakuje, technikę i rozpoznanie tej grupy wrzucamy do zespołu wymiany informacji. Wówczas inne CSIRT-y od razu mogą to zaimplementować u siebie. Więc jeżeli jakaś grupa zaatakuje infrastrukturę wojskową i się ten atak nie powiedzie, a powtórzy się ten atak przeciwko infrastrukturze rządowej, to ona będzie na to już przygotowana dzięki otrzymanym od nas informacjom.

- Polska odrobiła lekcję w tym zakresie i nie musi się przejmować np. wypowiedzeniem wojny przez jakąś cybergrupę. Nie można jednak też wpadać w samozachwyt i spoczywać na laurach. Bezpieczeństwo cyberprzestrzeni nie jest stanem, tylko procesem i nie jest dane raz na zawsze. Jutro może się okazać, że hakerzy przełamią zabezpieczenia, bo będą mocno zdeterminowani, albo znajdą odpowiednią podatność. Na pewno jest presja po drugiej stronie, ponieważ Rosjanie zostali ośmieszeni pod względem militarnym, ale również działań w cyberprzestrzeni. Po tamtej stronie naprawdę są bardzo dobrzy fachowcy, którzy nie spoczną, aż nie znajdą ścieżki.

Jaka jest rola WOC przy trzecim poziomie  (trzeci stopień alarmowy CRP -CHARLIE-CRP)?

- Działanie WOC zbytnio się nie zmieniło. My w sumie ciągle działaliśmy w trybie Charlie CRP, więc byliśmy jednym z nielicznych zespołów CSIRT, który działał 24 godziny na dobę. Mam też ten ogromny przywilej, że wszystkie systemy MON-u są konfigurowane przez naszych ekspertów. Dlatego, jeżeli widzimy, że pojawiła się krytyczna podatność w jednym z rozwiązań zaimplementowanych w naszej sieci, to załatanie luki zajmuje nam 6 godzin. Nawet nasi partnerzy z zagranicą, jak się dowiedzieli, że jesteśmy w takim tempie załatać naszą sieć, byli pod wrażeniem.

Współpracujecie ze stroną ukraińską. Jak wyglądają wasze działania?

- Staramy się pomagać w miejscach gdzie możemy to zrobić. Ukraina zwróciła się do UE, NATO i poszczególnych państw o wsparcie, jeśli chodzi o pewien typ sprzętu i rozwiązań z zakresu cyberbezpieczeństwa. Jesteśmy jednym z partnerów, którzy podchodzą do tego aktywnie, Polska bardzo roztropnie uczestniczy w tym procesie. Bardzo zależy nam tutaj na współpracy,  dla nas bardzo wartościowa jest informacja zwrotna od strony ukraińskiej -  jak są atakowani, jakie taktyki i narzędzia są wykorzystywane  oraz jakie grupy prowadzą działania. Jeżeli jakaś grupa operuje na Ukrainie to z pewnością będzie chciała uderzyć również w sąsiada, który ją wspiera. Korelując nasze urządzenia i dostrajając je do zagrożeń, które się materializują możemy skuteczniej się bronić. Moim zdaniem, dalsze próby cyberataków będą podejmowane i pewnie będziemy świadkami incydentów na Ukrainie, aczkolwiek Rosjan teraz interesuje przede wszystkim efekt destrukcyjny, czyli żeby trwająca wojna na wyniszczenie spowodowała osiągnięcie efektu militarnego i mogą już nie przykładać odpowiedniej wagi do czynnika cyber.

- My jednak, jako kraje zachodnie, wspierające Ukrainę zgadzając się na sankcje przeciwko Rosji, powinniśmy mieć się na baczności. Uważam, że operacje w cyberprzestrzeni mogą być wykorzystywane wtedy, gdy trzeba osiągnąć wymagane efekty, albo żeby zastraszyć lub prowadzić działania i operacje psychologiczne z wykorzystaniem cyberprzestrzeni i oddziaływać na społeczeństwo tak, aby przekonać je do swoich racji. Były zresztą przypadki takich kampanii dezinformacyjnych wykorzystujących trudną historię polsko-ukraińską, które miały na celu skłócenie nas. Będziemy świadkami takich działań ukierunkowanych w stronę Polski, jak również państw zachodnich. To wypowiedzenie wojny może być jednym z PRowych aspektów działań psychologicznych i pewne złośliwe działania mogą pójść za tym dalej.

A jaki może być czarny scenariusz takich ataków?

- Łatwo sobie wyobrazić, że któryś ze zdeterminowanych hakerów po tamtej stronie, który będzie chciał bardzo intensywnie osiągnąć efekt doprowadzi do sytuacji, która miała miejsce w 2017 roku i podobnej infekcji w stylu NotPetya. Pytanie, które warto zadać, brzmi, czy kultura pracy wynikająca z poziomu alarmowego Charlie-CRP nie powinna z nami zostać dłużej.