MON znów padło ofiarą cyberprzestępców? Eksperci: to element wojny informacyjnej

Czytaj również: Polska w cyberprzestrzeni

W czwartek hakerzy podający się za grupę "Prawy Sektor" poinformowali za pośrednictwem Twittera, że włamali się do serwerów Ministerstwa Obrony Narodowej. Na potwierdzenie opublikowali dane mające pochodzić z serwerów MON, w tym m.in. formularz z danymi osobowymi jednego z chorążych oznaczony jako aplikacja na stanowisko "kandydata do służby PRISM" (faktycznie była to spreparowana aplikacja do służby za granicą). Hakerzy zagrozili, że upublicznią resztę wykradzionych danych jeśli nie dostaną od polskiego rządu 50 tysięcy dolarów. Konto, na które miały zostać przelane pieniądze, należało do autora serii tekstów o konfliktach na linii ukraińsko-rosyjskiej.

Ministerstwo Obrony Narodowej początkowo nie potwierdziło, ani nie zaprzeczyło, że doszło do ataku, a jego prawdopodobieństwo uwiarygadniał fakt, że tuż przed szczytem NATO grupa "Prawy Sektor" dokonała udanego włamania na serwery "Netii", z których wykradziono poufne dane. Dodatkowo nie byłby to pierwszy przypadek włamania do sieci wewnętrznej MON. Kilka lat temu dostał się do niej Alladyn2. Dodatkowo, rok temu Krzysztof Bondaryk ujawnił na łamach miesięcznika "Raport", że z serwerów MON wykradziono kilkaset tysięcy e-maili.

Dopiero w piątek rano doczekaliśmy się dementi MON ws. ataku hakerów. Poinformowano, że była to manipulacja mającą stworzyć wrażenie groźnego ataku cybernetycznego.

"W istocie opublikowane dane personalne pochodziły z jawnej sieci MON. Nie zawierały informacji tajnych, były nieaktualne (2012 r.) i ograniczały się do jednej osoby. Systemy kierowania i dowodzenia Ministerstwa Obrony Narodowej i Sił Zbrojnych RP działają bez zakłóceń i są całkowicie bezpieczne. Trwają czynności wyjaśniające wszystkie okoliczności, w jakich doszło do tego incydentu" - napisało MON.

Polska pod ostrzałem

Według ekspertów propagandowa akcja związana z fikcyjnym atakiem na MON jest elementem wojny informacyjnej, a wiele przesłanek pozwala przypuszczać, że stoi za nim Rosja.

- W jej interesie jest generowanie zamieszania w Europie, a zwłaszcza na wschodniej flance NATO. W tym celu Rosja sięga po narzędzia propagandowe. Niestety liczba ludzi, którzy dają się na to nabrać, wciąż jest duża. Oni później powielają nieprawdziwe informacje, a polski rząd oraz służby mają problem z ich dementowaniem - mówi w rozmowie z WP Piotr Niemczyk, ekspert z zakresu bezpieczeństwa oraz były funkcjonariusz Urzędu Ochrony Państwa.

W podobnym tonie wypowiada się Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń. - Jeżeli ktoś zna zasady funkcjonowania podziemia związanego z cyberprzestępstwami, jak również tzw. state-sponsored attack (ataki inspirowane lub kierowane przez rządy obcych państw), to wie, że akcja z rzekomym atakiem na MON jest zupełnie niespójna. Była to zwykła próba manipulacji oraz podważania zaufania do instytucji państwowych. Jej celem było zdyskredytowanie i osłabienie struktur polskiego państwa - analizuje ekspert, który dodaje, że był to klasyczny przykład ataku w wojnie informacyjnej. - Polega ona na manipulacji i kreowaniu nieprawdziwych opinii. Na bazie tego później stosuje się odpowiednią narrację - kończy.

Nasi rozmówcy podkreślają, że Polska jest ciągłym celem cyberataków, co stanowi element wojny informacyjnej. Nasiliły się one zwłaszcza po aneksji Krymu oraz wkroczeniu Rosji na wschodnią Ukrainę. Niektóre z nich kończą się niestety sukcesem. Jednym z takich przykładów było wspomniane już wykradzenie poufnych danych z Netii. Biorąc pod uwagę, że tym "sukcesem" pochwalili się hakerzy z "Prawego Sektora", zasadne jest postawienie pytania, czy nie miało ono na celu uwiarygodnienie rzekomego ataku na MON?

- Trudno powiedzieć czy atak na Netię jest powiązany z atakiem na MON. Konto, na którym opublikowano obie informacje jest niezidentyfikowane, tzn. nie mamy pewności, kto je prowadzi. Nie można wykluczyć sytuacji, że zostało wykorzystane przy ataku na Netię, a później ktoś inny je przejął i starał się mieszać w MON. Z drugiej strony w obu przypadkach chodziło o wywołanie zamieszania informacyjnego. Atak na Netię miał miejsce tuż przed szczytem NATO, a na MON, tuż po. Jeżeli postawimy tezę, że stoją za tym służby rosyjskie, to może to wskazywać na połączenie dwóch sił - prowadzących wojnę propagandową (MON) z tymi, które zajmują się wykradaniem informacji (Netia)
- odpowiada Mirosław Maj.

Szczyt NATO jak płachta na byka

Nie jest również tajemnicą, że szczególnie "gorącym" okresem pod kątem cyberataków był zorganizowany w Warszawie szczyt NATO. Tuż przed tym wydarzeniem rosyjska grupa cyberszpiegowska APT28 próbowała zainfekować komputery MSZ wysyłając do kluczowych pracowników ministerstwa e-maila z załącznikiem o treści: "Putin jest zachęcany do porzucenia ugodowego podejścia i szykuje się do wojny".

Eksperci pytani o tę kwestię nie mają wątpliwości, że próba zainfekowania komputerów MSZ oraz późniejszy, rzekomy atak na MON są elementem długofalowego procesu związanego z dyskredytowaniem szczytu NATO.

- To dopiero początek, a podobne rzeczy mogą się powtarzać - nie ma wątpliwości Mirosław Maj. - To, że w przypadku rzekomego ataku na MON mieliśmy do czynienia z manipulacją może świadczyć o tym, że podczas samego szczytu cyberprzestępcom nie udało się nic spektakularnego zrobić. Spreparowane informacje, które zostały upublicznione miały natomiast wywołać zamieszanie i podtrzymać stan niepewności w stosunku do państwowych instytucji - dodaje.

- Jest to z pewnością element wojny hybrydowej. Jednak nie byłbym wcale taki pewien, że Rosjanie są w niej mistrzami. Sam fakt, że głośno mówimy o ich działalności na tym polu, świadczy o tym, że tak nie jest - dodaje Piotr Niemczyk.

Świadomi zagrożenia

Polska w sprawach cyberbezpieczeństwa wciąż jest daleko w tyle za krajami Europy Zachodniej. Raport NIK z 2015 roku bardzo surowo ocenił działania poprzedniego rządu w kwestii bezpieczeństwa systemów informatycznych instytucji publicznych. Słabe zapieczenia, chaotyczne zarządzanie, niedobór funduszy oraz ekspertów, bałagan i zupełny brak koordynacji - to główne wnioski płynące z dokumentu.

Wymowne jest, że we wskazanym raporcie, dobrze oceniono Ministerstwo Obrony Narodowej, które i tak nie ustrzegło się udanych ataków ze strony cyberprzestępców. Nowo wybrany rząd PiS zapowiedział, że zapewnienie cyberbezpieczeństwa stanie się sprawą priorytetową. Dlatego w ekspresowym tempie Ministerstwo Cyfryzacji powołało do działania CERT Narodowy, czyli zespół reagowania na incydenty informatyczne.

Eksperci, choć podkreślają, że do zapewnienia cybebezpieczeństwa Polsce jest jeszcze daleka droga, to odbierają działania rządu, jako krok w dobrym kierunku. - Zanim będziemy sobie radzili z poważnymi zagrożeniami w cyberprzestrzeni, upłynie jeszcze trochę czasu - mówi w rozmowie z WP były szef Biura Bezpieczeństwa Narodowego Krzysztof Liedel. - Muszą istnieć odpowiednie założenia strategiczne, przepisy prawa, dobre struktury, muszą zostać zatrudnieni profesjonaliści i zakupiony odpowiedni sprzęt. Te wszystkie elementy są w równym stopniu bardzo ważne - wylicza.

W podobnym tonie wypowiada się Mirosław Maj. - Po udanych atakach na MON, które miały miejsce w przeszłości, wyciągnięto wnioski i jesteśmy lepiej przygotowani, co wcale nie znaczy, że jest dobrze. Choć działania rządu w ciągu ostatnich 6 miesięcy są raczej wyrażeniem pewnych chęci, niż realnym osiągnięciem zdolności do lepszej cyberobrony, to mimo wszystko idzie to w dobrą stronę. Jest jednak jeszcze wiele rzeczy do zrobienia, a jedną z najważniejszych zbudowanie jednego ośrodka decyzyjnego, który koordynowałby działania wszystkich instytucji publicznych - kończy prezes Fundacji Bezpieczna Cyberprzestrzeń.