Sylwia Czubkowska: Poważne problemy polityczne ma Komisja Nadzoru Finansowego, czyli regulator rynku finansowego w Polsce. Dwa lata temu była też w tarapatach, gdy okazało się, że po hakerskim ataku miesiącami nie wykryto, iż zarażała złośliwym oprogramowaniem inne instytucje, być może nawet banki. To był wtedy spory szok dla branży finansowej w Polsce, która była przekonana, że jest nieźle zabezpieczona na wypadek cyberataku. 

Mikko Hyppönen*: Niestety, wcale mnie to nie zaskakuje. Wciąż ogromnym problemem jest to, jak dużo czasu mija od ataku do jego wykrycia. Nawet w bardzo dużych firmach czy ważnych instytucjach publicznych przestępcy mogą działać niezauważeni tak długo, że ciężko jest nawet oszacować, jak wielkie mogli wyrządzić szkody. Powód czasami jest banalny: zabezpieczający firmy czy instytucje publiczne traktują zagrożenia w cyberprzestrzeni jako zewnętrzne. Budują mury, systemy,  które mają zabezpieczyć przed atakiem skierowanym do środka. A wcale nierzadko atak pochodzi ze środka od pracowników, kontrahentów. Lub wykorzystuje ich pośrednio metodami socjotechniki, bez konieczności forsowania tradycyjnych zabezpieczeń. 

Mam jednak pewien dysonans poznawczy. Od lat jesteśmy straszeni, że cyberataki to największe zagrożenie współczesnego świata, a większość ludzi to bagatelizuje. Może jednak problem dotyczy głównie przedsiębiorstw i instytucji państwowych?

Rzeczywiście to firmy są pod ciągłym i coraz poważniejszym ostrzałem ze strony cyberprzestępców. Ale ostatnich pięć lat to także wyraźny zwrot w stronę zwykłych użytkowników internetu. Szczególnie to widać w atakach ransomware. Przestępcy  potrafią tak je skonstruować, by inaczej atakowały sprzęt prywatny, a inaczej firmowy, np. domagały się innych sum w ramach okupu za odblokowanie zainfekowanego komputera. Mniejszych za prywatne komputery, gdzie mamy dane cenne głównie emocjonalnie, a większych w przypadku komputerów firmowych, które mogą zawierać znacznie cenniejsze informacje. Prawda jest taka, że ludzie nie czują się zagrożeni, dopóki nie dotknie ich taka sytuacja.

Kiedy dbanie o bezpieczeństwo w sieci wejdzie nam w nawyk?

To pytanie właściwie tylko do naszego pokolenia. To, które dziś dorasta, urodzone w świecie internetu i urządzeń mobilnych, w ogóle się nie będzie nad tym zastanawiać. Oni żyją w świecie, w którym Google czy Facebook są od zawsze i nie muszą się uczyć specjalnego nawigowania w nim. Na ulicach europejskich miast mogą nam ukraść samochód lub portfel, ale znacznie większa jest szansa na to, że padnie się ofiarą w sieci. Bo nawet, jeżeli jesteśmy fizycznie w spokojnej Warszawie czy w Helsinkach, to internetowi przestępcy działają z dowolnego miejsca.

Pieniądze czy nasze prywatne dane? Na czym im bardziej zależy? 

Prywatność już dawno umarła, sami ją oddaliśmy. Stanowczo to pieniądze są celem. Ale są to inne pieniądze niż jeszcze niedawno. Widoczny jest nowy trend w działalności cybergangów. Dla nich zawsze najtrudniejszym zadaniem był transfer pieniędzy z systemu bankowego albo z danych kart kredytowych tak, by można było ich bezpiecznie używać. Bo przecież banki, wiedząc o tym zagrożeniu od lat, świetnie się broniły. Teraz więc atakujący skupiają się na nowym, niekontrolowanym tak dobrze rynku kantorów kryptowalut. Jest on słabiej chroniony, a jeszcze dysponuje pieniędzmi, które z samego założenia są skonstruowane jako nienamierzalne.

Czyli to jest kolejny trend w cyberbezpieczeństwie?

Jeden z wielu. Kolejnym jest niewątpliwie to, że wszystko wokół nas staje się komputerami - od samochodów, poprzez pralki, klimatyzację, po mikrofalówki... Wszystko w ramach Internetu Rzeczy zaczyna być podłączane do sieci. A tym samym staje się świetnym punktem dostępu do znacznie bardziej cennych urządzeń korzystających np. z tego samego wi-fi. Znaleźliśmy już ponad 40 botnetów, które nie atakowały komputerów, tylko niewinnie wyglądające urządzenia, np. systemy wentylacji. Teoretycznie więc i one powinny być zabezpieczane jakimiś specjalnymi antywirusami, tak jak tradycyjne komputery. Oczywiście nie są, bo nawet nie mają odpowiednich interfejsów, by zainstalować takie zabezpieczenia. Więc może to ich producenci powinni zacząć wprowadzać specjalne zabezpieczenia? Tyle że to na pewno podniesie ich cenę. A przecież kupując pralkę, szukamy takiej z dużą liczbą programów, energooszczędną, a nie z systemem antywirusowym. Więc producenci są niechętni, bo wiedzą, że klienci nie będą chcieli dopłacać za takie zabezpieczenia. 

Mimo wszystko może właśnie to jest przyszłość? Może takich zabezpieczeń powinniśmy wymagać wręcz ustawowo od producentów?

To wymagałoby wprowadzenia specjalnych regulacji. Takich, jakie mamy obecnie w stosunku do innych kwestii bezpiecznego używania sprzętu. Jak kupujemy wspomnianą pralkę, to dzięki systemowi regulacji i kontroli wiemy, że nie kopnie nas prądem ani nie zaleje nagle mieszkania, ale na razie nie ma pewności, czy nie będzie słabym ogniwem, przez które ktoś wykradnie nasze hasło do domowego wi-fi. Mimo to jestem zwolennikiem kolejnych regulacji dlatego, że musiałyby one zadziałać w stosunku do całego świata. A z tym w przypadku rynków znacznie bardziej liberalnych niż Europa będzie bardzo trudno. 

Skoro Internet Rzeczy już teraz jest na celowniku cyberprzestepców, to zapewne równie mocne przygotowania idą też w stosunku do sztucznej inteligencji i uczenia maszynowego?

Oczywiście. Na razie jednak jesteśmy tu w o wiele lepszej sytuacji. Obecnie mamy do czynienia z wielką luką wśród specjalistów od AI. Jeśli jesteś ekspertem od analityki danych, od programowania sztucznej inteligencji, od uczenia maszynowego, to możesz przebierać w świetnych ofertach pracy. Więc po co decydować się na jakąś nielegalną, obarczoną sporym ryzykiem działalność. Większość cyberprzestępców, jakich poznałem, chętnie wybrałaby pracę legalną niż życie w wiecznym zagrożeniu, nawet za odrobinę mniejsze pieniądze. Co nie znaczy, że AI jest całkowicie odporne na przestępstwa. Wręcz przeciwnie - im bardziej będzie się popularyzować, im stanie się prostsza, taka “dla opornych”, tym więcej pojawi się zagrożeń wokół niej. To moim zdaniem kwestia co najwyżej pięciu lat.

Co jeszcze w najbliższych pięciu latach stanie się poważnymi wyzwaniami?

Ofensywne używanie cyberataków w celach politycznych. Nie wierzę w cyberwojny w których dwa lub więcej państw będzie ze sobą walczyć tylko w cyberprzestrzeni. To jest przecież tylko nowe miejsce toczenia potyczek. 500 lat temu były tylko wojny lądowe, bo brakowało technologii do walki na morzach. Gdy się pojawiły, pojawiły się też wojny morskie, potem w przestrzeni powietrznej, kosmiczne, ale to nie znaczy, że całkiem wykluczono wojny lądowe. Wszystkie się przenikają i tak jest też z wykorzystaniem do walki cyberprzestrzeni. Najmocniej odczuła to Ukraina, która doświadczyła ataku ze strony Rosji w każdej, z wyjątkiem morskiej, przestrzeni. Co więcej, zauważmy, że podczas ataku Petya ucierpiały też firmy zachodnie, amerykańskie. Jaki to miało cel?

Dać sygnał, że jest niebezpiecznie robić interesy z Ukrainą. 

Dokładnie, to była wiadomość od Kremla: jeżeli będziecie robić biznesy na Ukrainie, to was dorwiemy. W ostatnich kilkunastu miesiącach Rosja dwa razy dokonała zagranicznej agresji: właśnie za pomocą ataku Petya na Ukrainie i otruciem Skripalów. Dwie zupełnie różne sprawy, ale w obu Rosja dokonała ataku poza swoimi granicami, mocno naruszając prawo. I zobaczmy, jak różnie zareagował Zachód. Po sprawie Skripala wybuchło międzynarodowe oburzenie, nałożono sankcje, wydalano dyplomatów. A po Petya? Nic. Jaki to jest sygnał dla agresora?

Cyberatak jest obarczony mniejszym ryzykiem kłopotów.  

Dokładnie, to jak teoria gier. Sprawdzamy, co się bardziej opłaca, i na to stawiamy. 

Czyli szpiegostwo też przeniesie się do strefy cyber?

Do niedawna tak myślałem. Że to już koniec czasów szpiegostwa typu James Bond. Ale już nie jestem co do tego przekonany. Moim zdaniem tradycyjni szpiedzy i tradycyjne działania wywiadów zostaną. Ale całość tych prac jest coraz mocniej skierowana w stronę kontroli technologii. Jestem przekonany, że agencje wywiadowcze wszystkich stron świata mają swoich agentów w największych firmach od Google'a, przez Amazona, po Huawei. Bo to tam dziś powstają technologie, którymi można kontrolować świat. Oprócz tego coraz bardziej rozwija się szpiegostwo gospodarcze. Jeden z ataków, które zrobiły na mnie w ostatnim czasie największe wrażenie, miał miejsce w styczniu, w jednej z amerykańskich firm, która jest podwykonawcą armii. Namierzyła ją najprawdopodobniej rosyjska operacja, która chciała uzyskać dostęp do firmowych danych. Próbowała do nich dotrzeć różnymi sposobami. Od klasycznych ataków botnetem poprzez sporo e-mailowego phishingu. Nic nie działało, bo pracownicy tej firmy byli wyszkoleni, by nie dać się łatwo nabrać. Do czasu aż użyto krótkiego maila dziękującego użytkownikowi za subskrypcję newslettera. W ramach podziękowania w mailu podesłano bezpłatny dostęp do jednego z nagrań na YouPorne, czyli stronie pornograficznej. Wystarczyło kliknąć w link, by je obejrzeć.Tyle że ten link prowadził do strony, która od razu infekowała komputer wchodzącego. Wystarczył taki bazujący na bardzo przecież pierwotnym instynkcie haczyk, by złapać ludzi i uzyskać dostęp do bardzo wrażliwych danych.

*Mikko Hyppönen, szef zespołu badawczego w firmie F-Secure zajmującej się cyberbezpieczeństwem