O najważniejszych kwestiach związanych z cyberbezpieczństwem państwa i polskiej kolei rozmawiamy z Pawłem Nogowiczem, Prezesem firmy Evercom i członkiem Polskiego Towarzystwa Informatycznego.
Panie Prezesie, spotykamy się tuż po zakończonej XX Konferencji „Telekomunikacja i Informatyka na Kolei”, w dużej mierze poświęconej cyberbezpieczeństwu. Jednak na początku chciałbym zapytać o inny jubileusz, bo Evercom obchodzi 30-lecie istnienia?
Ten jubileusz bardzo nas cieszy. Jednak jeszcze bardziej cieszy nas fakt, że jesteśmy 30-latkiem w bardzo dobrej kondycji i dużymi planami na przyszłość. Nie byłoby tego sukcesu, gdyby nie współpraca ze wspaniałymi ludźmi, zarówno tymi będącymi po stronie klientów, jak i tworzącymi znakomity zespół w naszej firmie. Im należą się największe podziękowania.
Co mógłby Pan uznać za największe osiągniecia biznesowe Evercom?
Za największe nasze osiągnięcie uważam to, że żaden z realizowanych przez 30 lat projektów, przetargów publicznych nie zakończył się opóźnieniem, zmianami terminów czy jakąkolwiek porażką. Warto też dodać, że żaden system bezpieczeństwa wybudowany i wspierany przez nas nie uległ kompromitacji i nie „poległ” w zderzeniu z cyfrowymi napastnikami.
Panie Prezesie, jak wygląda krajobraz cyberbezpieczeństwa w Polsce?
Jest bardzo dynamiczny. Zmiany tego krajobrazu, są wynikiem współistnienia dwóch procesów. Pierwszy to nieustająca transformacja cyfrowa przenikająca coraz więcej procesów organizacyjnych, biznesowych i społecznych. Nasze działania, od chwili, gdy są realizowane za pomocą narzędzi cyfrowych, stają się podatne na zagrożenia związane z cyberbezpieczństwem. Równocześnie wzrasta niebezpieczeństwo na skutek nieuchronnej ewolucji istniejących zagrożeń i pojawiania się nowych. Te nowe zagrożenia są związane przede wszystkim z działaniami państw w cyberprzestrzeni oraz rozwojem samej technologii.
Czy można zaobserwować zmiany w zagrożeniach po rozpoczęciu wojny?
Wzrost liczby ataków w 2022 roku na infrastrukturę informatyczną wyniósł ponad 42%. Nasz kraj różni się nieco od innych w aspekcie wektorów ataku. O ile globalnie dominują ataki realizowane mechanizmami email – jest ich ok. 75%, o tyle w Polsce dominują ataki realizowane poprzez szkodliwe strony internetowe – ok. 52%. Relatywnie nieduży odsetek stanowią ataki APT, techniki ransomware wykazują tendencje spadkowe, ale w tym wypadku nie należy zbytnio ufać statystykom, ponieważ wiele podmiotów nie zgłasza incydentów.
Bardzo istotne są dwa typy zagrożeń. Ataki DDoS zwiększyły się lawinowo, jest ich coraz więcej, generują większy wolumen ruchu i bardzo często bazują nie tylko na prymitywnej metodzie wolumetrycznej, ale są atakami realizowanymi w warstwie aplikacyjnej. Drugi typ zagrożeń, który stał się bardzo istotnym, to ataki z wykorzystaniem narzędzi mających na celu nieodwracalne usuwanie danych. Tak zwane wycieraczki są przejawem zwiększania się udziału aktywności napastników nakierowanych na zniszczenie, wyłączenie systemów, paraliż cyfrowy i powodowanie jak największych strat.
Jest to typowe dla działań ze strony napastników instytucjonalnych, a nie cyberprzestępców, którzy w takim procederze nie widzą ewentualnych zysków. Całość uzupełniają bardzo złożone ataki mające na celu dyskretną kompromitację systemów, szpiegostwo, ingerencję w systemy, podmianę danych i kompromitacje użytkowników. Z punktu widzenia technologii informatycznej wzrost mocy obliczeniowej, komputery kwantowe i pojawianie się nowych rozwiązań, takich jak uczenie maszynowe czy sztuczna inteligencja stawiają przed nami nowe wyzwania.
Czy stosowane u nas zabezpieczenia przed atakami DDoS są skuteczne?
Evercom przeprowadził anonimowe badania ankietowe wśród podmiotów posiadających infrastrukturę krytyczną. Wyniki były niezbyt optymistyczne. O ile przed rokiem 2022 ataki DDoS dotknęły ok. 70% organizacji, o tyle w 2022 było to już 100%. Co gorsza, 70% ataków zakończyło się przed ich zmitygowaniem, a 90% badanych podmiotów doświadczyło poważnego zakłócenia lub zablokowania usług. Najwięcej problemów spowodowane było tym, że 80% ataków miało charakter aplikacyjny, a ruch odbywał się z wykorzystaniem szyfrowania SSL. Ponieważ dominujące w Polsce zabezpieczenia anty DDoS opierają się najczęściej na usługach operatorskich, które nie są w stanie poddawać skutecznej inspekcji ruchu SSL ani chronić przed atakiem aplikacyjnym, zaatakowani często byli bezradni.
Jak można modernizować ochronę przed atakami DDoS?
Skuteczna ochrona przed atakami DDoS opiera się na urządzeniach i oprogramowaniu wdrażanych na perymetrze sieci. Tylko one są w stanie zapewnić ochronę przed atakami aplikacyjnymi, ochronę dominującego obecnie ruchu SSL i zapewnić mitygację w ciągu kilku sekund. Dopiero uzupełnieniem takiego rozwiązania jest usługa operatorska czy chmurowa, która tworzy architekturę hybrydową. Należy pamiętać, że pozostałe rozwiązania chroniące styk z Internetem, takie jak choćby bramy sieciowe, muszą także posiadać mechanizmy wspierające walkę z DDoS i być właściwie skonfigurowane.
Czy sztuczna inteligencja będzie zwiększała zagrożenie, czy wzmacniała ochronę systemów IT?
Uczenie maszynowe znajduje swoje zastosowanie zarówno w systemach ochrony, jak i jest wykorzystywane przez napastników. Dzięki tej technologii możemy lepiej analizować zbierane dane i szybciej reagować na nowe oraz nieznane wcześniej zagrożenia. Pojawiły się też duże możliwości w zakresie automatyzacji reagowania na ataki, wspierającego działania ludzi. Po stronie napastników widzimy wykorzystanie ML do zwiększania liczby ataków i modyfikacji ich charakterystyk. Systemy AI potrafią generować nowy kod szkodliwy, tworzyć pule spamu i maili wyłudzających dane. Potrafią także analizować zachowania potencjalnych ofiar. Na szczęście te narzędzia są jeszcze dość prymitywne i mało skuteczne. Niestety, można zdecydowanie przyjąć, że waga tych zagrożeń będzie szybko rosła.
Jak ocenia Pan cyberbezpieczeństwo europejskich, a szczególnie polskich kolei?
W całej Europie słychać alarmujące komunikaty Agencji Unii Europejskiej ds. Cyberbezpieczeństwa wzywające do poprawy poziomu cyberbezpieczeństwa przedsiębiorstw kolejowych. Doniesienia o kolejnych skutecznych atakach na infrastrukturę kolejową w różnych państwach potwierdzają słuszność tych apeli. W tym miejscu chciałbym zwrócić uwagę, że kolej to nie jest po prostu przedsiębiorstwo i biznes. Jest to instytucja o ogromnej roli społecznej i gospodarczej, kluczowa dla bezpieczeństwa narodowego.