Policja zatrzymała speca od alarmów bombowych. Za alarm bombowy
W sylwestrową noc policja wyciągnęła z domu i przewiozła do odległej o kilkaset kilometrów komendy eksperta od cyberbezpieczeństwa z podległego premierowi instytutu NASK. Policjanci podejrzewali go o zgłoszenie fałszywego alarmu podczas sylwestra TVP. Do zatrzymania doszło, mimo że dzień wcześniej NASK zgłosił policji, iż mężczyzna padł ofiarą przestępców podszywających się pod cudze numery i ktoś może zgłaszać w jego imieniu fałszywe alarmy.
Tydzień temu opisaliśmy w Wirtualnej Polsce działania przestępcy lub grupy przestępców, którzy od niemal trzech lat podszywają się pod maile i numery telefonów Polaków, wywołując w ten sposób fałszywe alarmy bombowe, wysyłając groźby lub po prostu siejąc chaos i zamieszanie. W ostatnim czasie ofiarami tych przestępców padły m.in. żona senatora Krzysztofa Brejzy oraz córka Romana Giertycha. Media ochrzciły tę grupę mianem "podszywaczy".
Fachowo to przestępstwo z użyciem cudzego numeru telefonu nazywa się spoofingiem. Przykładowo operator numeru alarmowego 112 otrzymuje informację o podłożeniu bomby w szpitalu lub innym miejscu publicznym. Alarm zawsze okazuje się fałszywy, a policja zaczyna szukać osoby odpowiedzialnej. W tym przypadku może się wydawać, że śledczy mają ułatwione zadanie, bo operatorowi wyświetlił się numer telefonu komórkowego, który można łatwo przyporządkować do konkretnej osoby. Sęk w tym, że przestępcy podszywają się pod cudze numery, a policja i operatorzy telekomunikacyjni są bezradni.
W tekście tydzień temu opisaliśmy, że ofiarą takiego przestępstwa padł m.in. mężczyzna z Warszawy, którego policja podejrzewała, że stoi za alarmem bombowym podczas imprezy sylwestrowej, którą w Zakopanem zorganizowała telewizja publiczna. Wtedy nie znaliśmy szczegółów sprawy, wiedzieliśmy jedynie, że mężczyznę przesłuchano w charakterze świadka i wypuszczono do domu. Próbowaliśmy się dowiedzieć, gdzie go zatrzymano, kiedy wypuszczono na wolność i dlaczego nie postawiono żadnych zarzutów. "Z uwagi na dobro śledztwa na obecnym etapie nie udzielamy informacji o szczegółach sprawy" - przekazał nam mł. insp. Sebastian Gleń, rzecznik małopolskiej policji.
Ale szczegóły sprawy przypadkiem ujawnił Janusz Cieszyński. W środę Cieszyński, który od pół roku jest sekretarzem stanu w Kancelarii Prezesa Rady Ministrów i pełnomocnikiem rządu do spraw cyberbezpieczeństwa, zaprosił dziennikarzy na spotkanie nt. zagrożeń płynących m.in. właśnie ze spoofingu. Zapytany, dlaczego rząd zajmuje się tą problematyką dopiero, gdy ofiarami przestępców padli politycy i ich rodziny, Cieszyński odparł, że to nieprawda, a ofiarami padają też zwykli urzędnicy i pracownicy administracji. I jako przykład podał niedawny atak na pracownika NASK, czyli instytutu badawczego nadzorowanego przez KPRM, który zajmuje się przede wszystkim zapewnieniem bezpieczeństwa internetu.
Gdy dziennikarz Wirtualnej Polski dopytał, czy chodzi o zatrzymanie osoby podejrzewanej przez policję o fałszywy alarm podczas sylwestra TVP w Zakopanem, Cieszyński potwierdził. Idąc tym tropem ustaliliśmy kolejne bulwersujące szczegóły tej sprawy.
Okazuje się, że zatrzymany w sylwestrową noc mężczyzna pracował w NASK (pełna nazwa to Naukowa i Akademicka Sieć Komputerowa) i to w wyjątkowo newralgicznym dziale: CSIRT, czyli zespole reagowania na incydenty bezpieczeństwa komputerowego.
To właśnie do pracowników CSIRT-ów (oprócz NASK działają one przy ABW i wojsku) trafiają informacje o incydentach z zakresu cyberprzestępczości i to oni mają przeciwdziałać zagrożeniom oraz reagować w przypadku konkretnych zagrożeń. W związku ze swoją pracą sami często bywają celem cyberprzestępców. Gdy w ostatnich miesiącach "podszywacze" poznali dane ludzi z CSIRT-ów, wysyłali w ich imieniu groźby lub fałszywe alarmy bombowe.
30 grudnia, czyli dzień przed imprezą w Zakopanem, pracownik NASK zorientował się, że przestępcy poznali jego numer telefonu i mogą próbować wykorzystać go przy kolejnym ataku metodą spoofingu. Z informacji Wirtualnej Polski wynika, że policja otrzymała tego dnia informację od NASK, że pojawiło się zagrożenie i że może dojść do takiego incydentu z wykorzystaniem numeru konkretnego pracownika rządowego instytutu.
Nie wiemy, co się stało z tymi informacjami. Przedstawiciel NASK odpisał nam, że "nie udziela informacji w opisywanej sprawie". Komenda Główna Policji nie odpowiedziała na nasze pytania.
Przewidywania ludzi z NASK potwierdziły się już po kilkudziesięciu godzinach. W Sylwestra rzeczywiście pojawiła się informacja o bombie podłożonej na imprezie TVP w Zakopanem. Sprawa trafiła do policjantów z pionu kryminalnego. Ci na podstawie numeru telefonu wytypowali potencjalnego sprawcę i namierzyli jego adres w Warszawie.
W ten sposób pracownik CSIRT NASK został zatrzymany nad ranem 1 stycznia i przewieziony na przesłuchanie do Krakowa. Dopiero tam zaczęło się wyjaśnianie pomyłki. Mężczyzna nie usłyszał zarzutu, przesłuchano go w charakterze świadka. Ale z informacji Wirtualnej Polski wynika, że zatrzymano mu telefon, którego nie odzyskał do dziś.
Janusz Cieszyński nie chciał komentować omyłkowego zatrzymania podległego mu pracownika. Ale podczas środowego spotkania z dziennikarzami zapewniał, że w porozumieniu z policją oraz prokuraturą są zmieniane procedury działania służb w podobnych przypadkach, tak żeby uniknąć kolejnych zatrzymań ofiar spoofingu.
Jak przekazała nam Prokuratura Krajowa, jej wydział ds. cyberprzestępczości opracował zalecenia dotyczące postępowań, gdzie sprawcy podszyli się pod numer telefonu osoby lub instytucji. Wytyczne zostały rozesłane do wszystkich prokuratur i biura do walki z cyberprzestępczością Komendy Głównej Policji. A sprawy, gdzie doszło do podszycia się pod konkretną osobę, koordynuje teraz Prokuratura Regionalna w Warszawie.
Janusz Cieszyński poinformował, że w KPRM pracują nad rozwiązaniami, które miałyby utrudnić życie przestępcom posługującym się spoofingiem. Na razie trwają konsultacje z operatorami telekomunikacyjnymi. Przedstawiciele rządu nie potrafili podać terminu, kiedy powstaną narzędzia do skutecznej walki z tego typu przestępstwami.
Szymon Jadczak
szymon.jadczak@grupawp.pl