Strona główna Bezpieczeństwo biznesu Wojna w Ukrainie a cyberbezpieczeństwo w Polsce

Wojna w Ukrainie a cyberbezpieczeństwo w Polsce

Cyberwojna

niebezpiecznik.pl


Jaki wpływ na bezpieczeństwo polskiego Internetu ma inwazja Rosji na Ukrainę i jak się zabezpieczyć przed ewentualnymi negatywnymi skutkami cyberataków skierowanych zarówno przeciwko Ukrainie, jak i krajom sojuszniczym? Oto kilka porad i opis tego, co może nam zagrażać w sferze internetowej.

Dzisiaj wojna to nie tylko bomby, to także wirusy, ataki DDoS czy Deface

Bombardowanie Ukrainy zaczęło się 24 lutego, ale pierwszą fazą ataku w tej wojnie były działania w cyberprzestrzeni. Tak naprawdę zaczęły się one już 15 stycznia, kiedy zaatakowano kilkanaście sieci rządowych (tzw. Deface). Włamywacze, używając narzędzi powiązanych z tymi, które wykorzystują rosyjscy hakerzy, podmienili treści rządowych stron internetowych na komunikat. Treść sugerowała, że za atakiem mają stać nieprzychylni Ukraińcom Polacy… Tego samego dnia do niektórych rządowych ukraińskich sieci wpuszczono złośliwe oprogramowanie służące do kasowania danych (tzw. wiper).
Z kolei 23 lutego wieczorem informowaliśmy na naszym Twitterze, że ok. godz. 16:00 ESET powiadomił o kolejnej fali ataków na setki komputerów w ukraińskich firmach i instytucjach. Znów użyto tzw. wipera i sparaliżowano działania tych instytucji, wymuszając konieczność odtworzenia systemów z kopii bezpieczeństwa. Ten atak miał zapewne zająć i utrudnić reakcję w początkowej fazie inwazji zbrojnej, która nadeszła 10 godzin później. Ta wojna zaczęła się więc od cyberataku.

Ukraińskie serwery regularnie były i są atakowane DDoS-ami. Nie powodują one wprawdzie utraty danych, ale budzą niepokój wśród ludzi, którzy ze względu na skutki ataku nie mogą dostać się np. do swoich kont bankowych. Również 23 lutego o godzinie 16:30 taki atak DDoS uruchomiono przeciwko kilku ukraińskim instytucjom. Co ciekawe, w tym samym czasie atak DDoS odnotowaliśmy także my i kilka innych sieci w Polsce. Atak nie był duży i trwał ok. 30 min, ale jego charakterystyka była ciekawa – proporcja złośliwego ruchu z polskich adresacji była wyższa niż we wcześniejszych atakach DDoS.

Konsekwencje wojny w Ukrainie dla Polski

Bazując na przedstawionym opisie tego, co się dzieje w ukraińskiej cyberprzestrzeni, daje się zauważyć trzy rodzaje zagrożeń.

1. Atak złośliwym oprogramowaniem

Na razie wszystkie tego typu działania, o jakich wiemy, są skierowane przeciw sieciom i firmom w Ukrainie. Ale pamiętajmy, że Internet nie ma granic i wiele polskich firm ma oddziały lub w inny sposób jest ściśle połączone z firmami na Ukrainie. Oznacza to, że infekcja i atak na maszyny znajdujące się po stronie ukraińskiej może szybko rozpropagować się na połączone z nimi polskie siedziby. Wspomniany wiper został też użyty wobec firm na Litwie, a podobny atak już kilka lat temu był przeprowadzony także na firmy w Polsce świadczące usługi (czyli połączone) z firmami na Ukrainie.
Polskie firmy utrzymujące sieciowy kontakt z Ukrainą powinny:

  • upewnić się, że połączenia pomiędzy sieciami (oddziałami) są odpowiednio filtrowane,
  • zweryfikować konfigurację rozwiązań bezpieczeństwa, zwłaszcza pod kątem propagacji wiperów,
  • wprowadzić, gdzie to możliwe, dwuskładnikowe uwierzytelnienie, najlepiej oparte na kluczach U2F, aby ograniczyć ataki phishingowe i credential stuffing,
  • zweryfikować poprawność wykonywania kopii bezpieczeństwa i zdolność przywracania z nich pracy systemów.

2. Bezpośredni atak na infrastrukturę w Polsce

Na razie nie ma informacji, aby Polska infrastruktura była bezpośrednim priorytetowym celem ataków ze strony Rosjan. Ale to może się zmienić, m.in. dlatego, że wraz z innymi państwami oficjalnie pomagamy Ukrainie w cyberkonflikcie, a więc Rosjanom może zależeć, aby związać nasze zasoby rodzimymi problemami.

CyberwojnaW Polsce obowiązuje już stopień alarmowy CHARLIE-CRP. To oznacza, że przynajmniej obiekty infrastruktury krytycznej powinny być ściślej niż zwykle monitorowane pod kątem zagrożeń. Wprowadzono m.in. dyżury 24-godzinne i przetestowano procedury awaryjne. Nie uważamy, że grozi nam całkowity cyberparaliż w Polsce, ale na chwilowe awarie w dostępie do różnych usług warto się przygotować. I nie wpadać w panikę, kiedy nastąpią.

W celu zminimalizowania skutków takich ataków:

  • zadbaj o to, aby kluczowe dla siebie dane mieć lokalnie, a nie w chmurze (kontakty, klucze licencyjne itp.);
  • ulokuj pieniądze w kilku bankach. Gdyby jeden miał problem, będziesz mógł skorzystać z drugiego;
  • miej przy sobie gotówkę na wypadek awarii nie tylko banku, ale także pośredników w płatnościach obsługujących terminale w sklepach;
  • zaktualizuj swój system operacyjny na komputerze, telefonie, telewizorze, kamerze monitoringu, lodówce. Wszędzie. W ten sposób zamykasz ewentualnym atakującym dostęp do twoich urządzeń za pomocą znanych, niezałatanych dziur, gdyż takie najczęściej się wykorzystuje w atakach internetowych;
  • naładuj powerbanki;
  • pamiętaj, że w trakcie wojny celem jest przede wszystkim paraliż infrastruktury krytycznej, gdyż jednym uderzeniem można zaszkodzić wielu osobom (co nie wyklucza ataków skierowanych na poszczególnych internautów). To prowadzi nas do trzeciego zagrożenia.

3. Dezinformacja i PSYOP*

Od dawna obserwujemy działania dezinformacyjne ze strony Rosji i Białorusi, m.in. wymierzone przeciwko Polsce. Narracji jest sporo. Przytoczmy zwłaszcza dwa przykłady: kiepskie „dowody” na to, że za atakami na ukraińskie serwisy internetowe mają stać Polacy, oraz najświeższy tzw. false-flag, że to niby Polacy mieli wysadzić w powietrze zbiornik z chlorem na terenie oczyszczalni ścieków w Doniecku.

Celem tych działań jest poróżnienie sojuszników, ale w dobie Internetu zagrożenie dezinformacją jest zdecydowanie bardziej złożone i przerażające. Obserwujemy, jak w mediach społecznościowych pojawiają się fałszywe komunikaty (np. o tym, gdzie doszło do „tragicznego w skutkach ataku”) albo ślady operacji PSYOP. Na przykład SMS-ów, które miały zostać wysłane do ukraińskich żołnierzy tuż przed inwazją, „zachęcające” do ucieczki i poddania się bez walki. Wspomnijmy podobne SMS-y, których nikt nie widział (krążyły same screenshoty) wysłane do Polaków w strefie przygranicznej informujące o mobilizacji wojskowej kilka lat temu.

Takie działania i wpisy, często bardzo mocno nacechowane emocjonalnie, mają na celu szybko spolaryzować dyskusję i fałszywie kogoś o coś oskarżyć, wywołać niepokój. Są szybko udostępniane i podawane dalej. Bazując na półprawdach, mieszając fakty z fake newsami, skutecznie budują fałszywą narrację. Dlatego:

  1. Nie wierz we wszystko, co widzisz w Internecie z obszaru „konfliktu”. Bardzo często zdjęcia i materiały wideo pochodzą z innych lokalizacji i innej daty. Pamiętaj, że nie zawsze łatwo zweryfikować prawdziwość tych nagrań, a ich metadane można fałszować;
  2. Bazuj na zaufanych źródłach. Preferuj rzetelnych dziennikarzy, którzy znają sytuację geopolityczną, są na miejscu i dokładnie weryfikują to, co podają, ponieważ od tego zależy ich reputacja. Listę takich osób piszących o Ukrainie na bieżąco znajdziesz w naszym serwisie niebezpicznik.pl, ale pamiętaj, że i one mogą czasem dać się ponieść emocjom;
  3. Zastanów się, zanim podasz informację dalej. Sprawdź „komentarze”, może ktoś dostrzegł coś podejrzanego w danym przekazie;
  4. Jeśli po fakcie zorientujesz się, że nowe informacje przeczą temu, co podałeś dalej, usuń lub odpowiednio skoryguj wcześniejszy wpis. To żaden wstyd. Sytuacja zmienia się dynamicznie, a wiele treści jest naprawdę profesjonalnymi manipulacjami. Ryzyko błędu jest wpisane w dyskusję internetową, ale rzetelnych dyskutantów poznaje się po tym, że przyznają się do błędów.

Ważna rada dla każdego

Gdzie tylko możliwe włącz dwuskładnikowe uwierzytelnienie w oparciu o klucze U2F. To jedyne zabezpieczenie, które nie jest podatne na najbardziej popularne i wykierowane w każdego ataki phishingowe.

Zdecydowanie warto zabezpieczyć w ten sposób skrzynkę e-mail i konta w mediach społecznościowych. Przejęcie skrzynki oznacza dostęp do wszystkich kont, które zarejestrowaliśmy na ten adres e-mail, jeśli nie mamy na nich włączonego dwuskładnikowego zabezpieczenia. Przejęcie profili w mediach społecznościowych to ryzyko wycieku poufnych danych z prywatnych rozmów i wykorzystanie naszego konta do dezinformacji lub ataku na naszych przyjaciół (tzw. atak na BLIK).

Na naszym kanale na YouTubie zamieszczamy dziesiątki godzin merytorycznego materiału z zakresu cyberbezpieczeństwa. Zdecydowanie częściej i więcej tego, co się dzieje w polskiej cyberprzestrzeni, publikujemy na naszych profilach na Twitterze i Facebooku. Tu na nasz serwis o bezpieczeństwie teleinformatycznym trafiają najpoważniejsze tematy.

*  Operacje psychologiczne