Były wiceszef ABW: ACTA to sprawdzenie naszych służb

Czytaj także:
Poznań: Po demonstracji przeciw ACTA wracają do domów
Poznań: Kilka tysięcy osób protestuje przeciwko ACTA [RELACJA NA ŻYWO]
ACTA nie służy ochronie, tylko totalnej inwigilacji

Umowa ACTA dotyczy wielu krajów. Jak Pan myśli, dlaczego to akurat w Polsce nastąpił tak zmasowany atak blokujący strony Kancelarii Prezesa Rady Ministrów, Kancelarii Prezydenta, Sejmu i innych ważnych instytucji? Mamy takich wrażliwych internautów czy zdecydowały o tym inne czynniki?

Mieczysław Tarnowski: - To tylko domniemanie, bo na dobrą sprawę nikt tego dzisiaj nie wie, ale o ile początek temu zjawisku, z którym mieliśmy do czynienia, dała jakaś grupa ludzi, to w pewnym momencie, moim zdaniem, doszło do typowego hakerskiego ataku określanego mianem DDoS (atak polegający na zmasowanych zapytaniach powodujących zablokowanie usług informacyjnych na przeciążonych serwerach). Niestety, nie mam danych, z jakich państw i adresów sieciowych prowadzony był atak. Obawiam się jednak, że atak ten służył między innymi sprawdzeniu gotowości naszych służb odpowiedzialnych w takiej sytuacji za bezpieczeństwo teleinformatyczne kraju. Służył sprawdzeniu, czy potrafimy się obronić przed naprawdę poważnym atakiem, już nie na serwery o charakterze stricte informacyjnym, tylko na takie, które wykorzystywane są do obsługi krytycznych funkcji państwa. I nie chodzi tu o systemy niejawne, które najczęściej są odseparowane fizycznie od sieci Internet, ale chociażby o system informatyczny, który będzie wykorzystywany do obsługi Euro 2012. Obecne ataki mogą być więc próbą tzw. rozpoznania bojem gotowości do zabezpieczenia systemów informacyjnych na Euro 2012.

Zatem kwestia podpisania międzynarodowej umowy ACTA to był tylko pretekst?

Mieczysław Tarnowski: - Myślę, że ACTA posłużyła do wywołania pewnego społecznego niepokoju. Nie znam tego aktu prawnego, ale wzbudził emocje, więc pewna grupa ludzi zainteresowana tym zaczęła odwiedzać serwery. Natomiast nie wierzę w to, że akurat sama działalność tej grupy ludzi, napędzana wzajemnie informacjami przekazywanymi przez media i portale społecznościowe, mogła doprowadzić do tego typu sytuacji, z jaką mieliśmy do czynienia. Ich działania musiałyby być wykonane w tym samym momencie, co biorąc pod uwagę czas - sobotnie popołudnie - wydaje się zbyt mało prawdopodobne. Żeby w ten sposób zablokować serwer kancelarii premiera, potrzeba by pewnie ruchu generowanego jednocześnie przez około półtora miliona komputerów, a tak przypadkowe zainteresowanie internautów wydaje się bardzo mało prawdopodobne. Opowiadanie o tym, że to właśnie wywołało taki efekt, jest mydleniem ludziom oczu. To jest typowy efekt wywołany przez atak hakerski, do czego już zresztą się przyznano. Nie wierzę i nie chcę wierzyć w to, że serwer, na którym jest strona kancelarii premiera czy serwery ministerstw, to pojedyncze urządzenie, jeden komputer. Z założenia o gotowości do jednoczesnej obsługi wielu zapytań od obywateli serwerów wykorzystywanych przez daną instytucję powinno być co najmniej kilka - ich liczba i konfiguracja powinny bazować na obliczeniach dotyczących prawdopodobnego ruchu generowanego przez obywateli. Przynajmniej tak to sobie wyobrażam, bo nie znam architektury tego systemu, ale to nie są przecież czasy, gdy ministerstwo brało sobie dwóch młodych studentów, kupowało dwa, trzy serwery, przeznaczało jeden pokój na ich zainstalowanie i ludzie ci po partyzancku sobie tam rzeźbili serwis rządowy. Dziś mamy do czynienia ze skalą ataków podobną do tych, które zostały przeprowadzone w 2007 r. w Estonii i od co najmniej czterech lat wszyscy wiedzą, że coś takiego może się zdarzyć, więc teraz powierza się budowanie systemów profesjonalnym firmom, najczęściej operatorom telekomunikacyjnym, którzy mają pieniądze na niezbędną infrastrukturę i zabezpieczenia.
Jak w takim razie sprawdziły się nasze służby? Są przygotowane do tego typu ataków?

Mieczysław Tarnowski: - Trudno byłoby wystawić im w tej chwili dobrą ocenę. Kiedy w 2001 r. zdaliśmy sobie sprawę z tego, że to poważny problem, w strukturach, które nadzorowałem wtedy jeszcze w Urzędzie Ochrony Państwa, w Biurze Bezpieczeństwa Łączności i Informatyki powstał zespół ludzi, którym kierował zdolny, młody człowiek Robert Kośla, późniejszy zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego ABW. Zaczęliśmy przygotowywać założenia do prowadzenia przedsięwzięć mających na celu ochronę krytycznej infrastruktury teleinformatycznej państwa. W ramach tych przedsięwzięć powołano zespół, który miał przygotować podstawy dla budowy rządowego zespołu reagowania na incydenty komputerowe CERT. Efektem było przygotowanie projektu rozwiązań prawnych związanych z infrastrukturą krytyczną oraz zacieśnienie współpracy z zespołem CERT Polska funkcjonującym w strukturze Naukowej i Akademickiej Sieci Komputerowej kierowanym przez Mirosława Maja. Zespół ten dysponował w tym czasie w Polsce największym doświadczeniem w zakresie rozpoznawania i reagowania na incydenty komputerowe, w tym ataki sieciowe. Oczywiście NASK też nie jest gigantem, to jednostka badawczo-rozwojowa, wykonująca jednocześnie funkcje jednego z operatorów komunikacyjnych w kraju. Kiedy odchodziłem ze służby w 2004 r., wciąż jeszcze zastanawiano się, gdzie powinien zostać umiejscowiony rządowy zespół CERT.

Pan nie był zwolennikiem, aby znalazł się on w strukturze służb specjalnych.

Mieczysław Tarnowski: - Nie. Teleinformatyka na całym świecie rozwija się bardzo gwałtownie, więc zadania zespołu typu CERT wymagają dużej dynamiki i zasad finansowania niemieszczących się w formule obecnego Departamentu Bezpieczeństwa Teleinformatycznego, jednostki organizacyjnej ABW. Wspólnie z CERT Polska testowaliśmy wówczas projekt, który w tej chwili jest już publicznie znany, nazywa się ARAKIS-GOV. Jego zadaniem jest wykrywanie anomalii w sieci, wskazujących na możliwość przygotowań do ataku lub fakt jego rozpoczęcia. Sondy ARAKIS-GOV umiejscowione na styku z siecią Internet miały informować o nietypowej aktywności na poszczególnych portach. Oczywiście każdy system wczesnego ostrzegania wymaga interpretacji ze strony administratorów i podejmowania działań zaradczych. Analizując ruch sieciowy przez 24 godziny na dobę z wykorzystaniem właściwych narzędzi, administratorzy są w stanie odpowiednio wcześnie rozpoznać ataki i co najmniej ograniczyć ich skutki. Odpowiedzią na ataki DDoS jest zwiększanie wydajności serwerów i łączy sieciowych. Żadna z polskich instytucji rządowych nie jest w stanie robić tego samodzielnie - bo i rolą administracji publicznej nie powinna być budowa i zabezpieczanie systemów teleinformatycznych. Na świecie w obsłudze serwisów publicznych korzysta się coraz powszechniej z tzw. Cloud Computing, czyli globalnego środowiska przetwarzania informacji utrzymywanego przez wyspecjalizowanych krajowych operatorów telekomunikacyjnych i największe firmy informatyczne (m.in. Amazon, Google czy Microsoft). Podczas ostatnich znanych ataków administratorzy zaatakowanych stron rządowych przekierowywali ruch do portali społecznościowych, na których umieszczone były odpowiedniki tych stron. Taki model się sprawdził, może więc warto rozważyć ograniczenie wydatków na nieudolne próby budowy i zabezpieczenia dedykowanych serwerów rządowych na rzecz wykorzystania usług dostępnych na rynku i egzekwowania od ich dostawców właściwej jakości (wydajności i bezpieczeństwa)? Wracając do rządowego zespołu reagowania na incydenty komputerowe - CERT GOV - w 2008 r. powołano go w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW. Moim zdaniem dużo lepszym miejscem dla tego rodzaju zespołu jest struktura regulatora telekomunikacyjnego lub ministerstwo odpowiedzialne za administrację i cyfryzację.
Dlaczego ABW nie powinno się tym zajmować?

Mieczysław Tarnowski: - Umiejscowienie zespołu reagowania na incydenty komputerowe u regulatora telekomunikacyjnego, jakim w Polsce jest Urząd Komunikacji Elektronicznej, umożliwi bezpośrednie oddziaływanie na poszczególnych operatorów telekomunikacyjnych w celu wprowadzenia niezbędnych standardów bezpieczeństwa w dostępie do usług (przykładem może być Litwa). W niektórych państwach zespół CERT funkcjonuje w strukturze ministerstwa spraw wewnętrznych (np. Niemcy lub USA - w strukturze Departamentu Bezpieczeństwa Kraju - DHS). Departament Bezpieczeństwa Teleinformatycznego ze względu na swoje umiejscowienie w służbie specjalnej, jaką jest ABW, nie jest w stanie skutecznie prowadzić działań wymaganych od tego typu zespołów, dotyczy to m.in. prac badawczych, współpracy ze środowiskami naukowymi i… hakerskimi. ABW nadal współpracuje z NASK, ale wygląda to tak, jakby ABW chciało wykorzystać NASK, żeby przejąć część jego zadań. ABW, chcąc zaistnieć wizerunkowo, bierze więc na siebie ogromny ciężar, którego nie jest i nie będzie w stanie udźwignąć. Ale to moje zdanie. Serwery publiczne świadczące usługi informacyjne w imieniu administracji publicznej, które zostały ostatnio zaatakowane, powinny być prowadzone przez dużych operatorów - oczywiście nie za darmo. W zamian rząd powinien zaoferować zwolnienia podatkowe za wydatki na poprawę bezpieczeństwa. Jestem przekonany, że wyszłoby to o wiele taniej, a na pewno bezpieczniej, niż model, w którym każda instytucja, każde ministerstwo buduje własne serwery informacyjne. Nie są w stanie tego zrobić wystarczająco bezpiecznie. Koszty są ogromne i muszą takie być, adekwatnie do tego, co oferuje aktualnie informatyka dla ludzi, którzy zajmują się budową sieci złożonych z przejętych nielegalnie komputerów (botnetów) służących do przeprowadzania ataków sieciowych typu DDoS. Doświadczenia Estonii wskazują, że w 2007 r. źródłem ataku była Russian Business Network, grupa, która współpracuje ze służbami specjalnymi Rosji. Na co dzień zajmuje się przestępstwami internetowymi, a służby rosyjskie przymykają na to oko, bo w razie konieczności przeprowadzenia ataku sieciowego to właśnie ich botnety są do tego wykorzystywane.

Kim byli nasi hakerzy? Też powiązani ze służbami?

Mieczysław Tarnowski: - Tego nie wiem, ale w Stanach Zjednoczonych co czwarty haker współpracuje z FBI. Cyberprzestrzeń traktuje się dziś bardzo poważnie. Hakerzy nie promują się, ich promocja następuje wtedy, kiedy działają skutecznie, kiedy atakowane są serwery rządowe i ludzie widzą, jaka jest skala i jakie skutki tych ataków. Nie dysponuję precyzyjnymi danymi, które pozwoliłyby na ocenę ich siły, ale proszę pamiętać, że nie należy dzielić hakerów regionalnie. Dobrze, że wiemy, iż atak idzie z Rosji, ale polski haker może przeprowadzić atak z każdego kraju po to, żeby zmylić organy ścigania. Temu służą komputery zombi, podłączone do sieci np. w Chinach. Cyberprzestępczość ma charakter globalny. Nie da się jej zwalczać w jednym kraju. Podział ról, jeśli chodzi o policję i służby specjalne w Polsce, powinien pozostać taki, jaki jest. Policja świetnie współpracuje z policjami innych państw i ma na tym polu ogromne sukcesy. Informując policję w Holandii, Danii czy innym kraju na świecie, że z konkretnego adresu IP wyszła transmisja, lub zadając pytanie, polscy policjanci mogą uruchomić procedury, które sprawią, że policja danego kraju przejmie dyski, komputery jako dowody potrzebne w sądzie. Dla służb specjalnych zarezerwowany jest obszar bezpieczeństwa państwa, przede wszystkim zbierania i analizy informacji dotyczących potencjalnych zagrożeń - wiedza ta następnie powinna trafiać do organów ścigania i rządowego zespołu CERT, który powinien wypracowywać metody przeciwdziałania i reagowania na ataki sieciowe. Służby nie powinny budować mechanizmów, aby śledzić ruch w cyberprzestrzeni, tak jak nie budują fabryk urządzeń podsłuchowych do realizacji zadań.
Czy nasze służby są w stanie dotrzeć do sprawców tych ataków?

Mieczysław Tarnowski: - Na pewno nie same. Nie bez współpracy ze służbami policyjnymi innych państw. Nie znam zapisów ACTA, ale uważam, że tego typu przepisy prawne powinny stanowić kompromis między wolnością a bezpieczeństwem, o którym powinni zadecydować sami ludzie. I te akty powinny być poddane ocenie szerokiej opinii publicznej. Jednocześnie specjaliści, a nie politycy, powinni mówić jasno, prosto i wyraźnie, co za tym idzie. Za ograniczeniem wolności wzrost bezpieczeństwa. Musimy sobie zdawać sprawę, że zaatakowano serwery informacyjne instytucji publicznych, ucierpiał wizerunek kraju, instytucji, ale to nie jest najważniejsze. Na analogicznych komputerach, serwerach, pracują systemy, które zapewniają nam bezpieczeństwo transakcji bankowych, komunikację, dostawy energii, ruch lotniskowy. To wszystko tą samą metodą można wyłączyć, zakłócić, powodując totalny chaos. Jeśli służby tak nie myślą, to uważam, że mają obowiązek zacząć tak myśleć. Jeszcze raz podkreślam, że to, z czym obecnie mamy do czynienia, być może jest przygotowywaniem do potężnego ataku przed lub w czasie Euro 2012. Są na świecie siły, które byłyby zainteresowanie zakłóceniem tej imprezy, pokazaniem Polski i Ukrainy jako państw niezdolnych do przeprowadzenia wielkiego wydarzenia. Sparaliżowanie w tym czasie komunikacji, systemów bankowych, transmisji telewizyjnych mogłoby temu służyć. Nawet jeśli to, co teraz mówię, jest fantazją, to służby mają obowiązek tak myśleć, przewidując rzeczy najgorsze. Nie można mówić, że jest atak, bo jest ACTA. A może ACTA jest wygodnym pretekstem do przetestowania paru rzeczy. Jestem przekonany, że tak jest.

Ale debata, jaką rozpoczęły te ataki, toczy się poza rządem, rozpoczęli ją ludzie. To chyba kiepsko świadczy o rządzie, który w niej nie uczestniczy?

Mieczysław Tarnowski: - Nie zajmuję się polityką, ale uważam, że tego typu akty prawne, których efektem jest kompromis między wolnością ludzi a bezpieczeństwem, muszą być procedowane w świetle jupiterów i nie tylko, bo też i w docieraniu do ludzi, i prostym tłumaczeniu, co stracimy, a co zyskamy. Kilka lat temu firma, w której byłem doradcą, miała współpracować przy tworzeniu programu monitorującego anomalie sieciowe na zlecenie firmy Avet, jednej z najlepszych w tym zakresie na rynku, która otrzymała takie zlecenie od rządu. Ale w pewnym momencie poinformowano nas, że strona rządowa z zakupu się wycofała. Jak zaczęły się obecne ataki, to sobie pomyślałem, że jeśli podjęto jeszcze kilka takich decyzji, to nie możemy się czuć bezpiecznie. Teraz należy przeprowadzić niezależny audyt tego, co się wydarzyło, nie tylko stron rządowych, ale też sprawdzający, czy te rozwiązania, które zastosowano w ramach służb specjalnych, odpowiadają współczesnym wymogom. Mamy jeszcze trochę czasu do Euro 2012. Miejmy nadzieję, że moje krakanie jest nieuzasadnione. Ale jeśli tego nie zrobimy, to wtedy pozostaje nam tylko nadzieja.

Czy służby miały szansę, aby takim atakom zapobiec? Mają na to procedury?

Mieczysław Tarnowski: - Całkowicie zapobiec takim atakom jest bardzo trudno, ale jest możliwe znaczne ograniczenie ich skutków. Dobrze umiejscowiony w strukturze państwa i działający całą dobę zespół CERT posługujący się dobrymi narzędziami umiejscowionymi w sieci jest w stanie odpowiednio wcześniej wychwycić anomalie, zidentyfikować źródło, a przynajmniej kierunek, z którego przychodzą ataki, i odpowiednio na nie zareagować. Tego zabrakło przy obecnych atakach - strona ABW i funkcjonującego w jej strukturze zespołu CERT GOV PL zostały również skutecznie zablokowane.
Hakerzy ujawnili na stronie kancelarii premiera, zarówno login, jak i hasło administratora. Czy sami je podmienili, aby ośmieszyć kancelarię, czy rzeczywiście administrator rządowej strony ma login admin, a hasło admin1?

Mieczysław Tarnowski: - Pewnie tak było, a oczywiście tak być nie powinno. Obawiam się, że te serwery nie są powierzone wyspecjalizowanym firmom, tylko administrowane z tzw. doskoku, żeby było taniej. To właśnie wtedy zdarzają się tego typu szkolne błędy i zaniedbania jak hasła proste do odgadnięcia, bez użycia jakichkolwiek narzędzi. Mogło tak być, ale to nieporozumienie. Tak poważna instytucja w poważnym państwie powinna zlecić obsługę publicznych serwisów wyspecjalizowanym firmom lub operatorowi telekomunikacyjnemu.

Myśli Pan, że teraz po podpisaniu przez Polskę ACTA ataki się nasilą? Nasze służby będą umiały im zapobiec?

Mieczysław Tarnowski: - W tak krótkim czasie niewiele da się zrobić. Można wyłączyć serwery i zablokować ruch, co spowoduje, że efekt będzie taki sam, jakby był atak. Natomiast, gdyby mimo tej zapowiedzi nie doszło do kolejnych ataków, to tym bardziej świadczy to o tym, że była to próba przed naprawdę poważnym atakiem, więc nie ma sensu przeprowadzać jej drugi raz, bo ten, kto ją przeprowadzał, wie już to, co chciał wiedzieć.