Państwowy Instytut Badawczy NASK to instytucja silnie utożsamiana z wiedzą ekspercką w zakresie cyberbezpieczeństwa. Od jak dawna zajmujecie się Państwo tą dziedziną?
Maciej Siciarek, dyrektor CSIRT NASK: NASK powstał dokładnie trzydzieści lat temu. Przeżywaliśmy wtedy w Polsce głębokie zmiany społeczne, polityczne i gospodarcze. Zlikwidowana została również bariera blokująca dostęp do nowych technologii, którymi kraje zachodnie żyły już od jakiegoś czasu. Polska podejmowała zatem nowe wyzwania i ktoś musiał zająć się również internetem, choć używano wtedy różnych innych określeń. Mało kto, oprócz wąskiego grona naukowców komunikujących się ze swoimi kolegami zza świeżo pękniętej żelaznej kurtyny, wiedział wtedy, co to jest, a już na pewno trudno było przewidzieć, że w ciągu kolejnych dekad przeżyjemy tak ogromną rewolucję cyfrową.
Grono zapaleńców związanych właśnie ze środowiskiem naukowym, skupionym m.in. wokół Uniwersytetu Warszawskiego, podjęło wyzwanie i tak stopniowo powstał NASK, który najpierw siebie, a potem innych w Polsce uczył, czym jest internet. Zajęcie się bezpieczeństwem teleinformatycznym, powstanie zespołu CERT Polska, czyli pierwszego w kraju zespołu reagowania na incydenty w sieci, oraz zdobywanie kompetencji w dziedzinie, którą dzisiaj określamy cyberbezpieczeństwem – wszystko to było konsekwencją właśnie tego wcześniejszego zaangażowania się w temat internetu.
Do dzisiaj w strukturach NASK działa założony w tamtym czasie zespół CERT Polska, który jest głównym elementem wypełniania roli CSIRT NASK, jednego z trzech CSIRT-ów poziomu krajowego, powołanych w momencie wejścia w życie przepisów ustawy o krajowym systemie cyberbezpieczeństwa. W praktyce oznacza to, że to właśnie do NASK, do CERT Polska, trafiają zgłoszenia o incydentach, czyli niebezpiecznych i potencjalnie szkodliwych dla użytkownika zdarzeniach w sieci. Informacje takie przekazują do CSIRT NASK zgodnie ze wspomnianą ustawą m.in. osoby prywatne oraz podmioty gospodarcze, ale też jednostki samorządowe, szkoły i uczelnie.
Jakie wyzwania związane z cyberbezpieczeństwem uważa Pan za najważniejsze w kontekście szybko rozwijającego się świata wirtualnego?
M.S.: Od ponad trzydziestu lat jesteśmy świadkami i uczestnikami rewolucji cyfrowej, a otaczająca nas rzeczywistość każdego roku staje się w jeszcze większym stopniu oparta o technologie cyfrowe. Wiąże się z tym wiele korzyści – zarówno dla firm i organizacji, jak i dla prywatnych użytkowników usług online. Natomiast misja Państwowego Instytutu Badawczego NASK pozostaje niezmienna. Od początku ambitne wyzwania, jakie sobie stawia NASK, to właśnie udział w cyfryzacji kraju, budowa wartościowych inicjatyw pokazujących pozytywne strony wykorzystania internetu oraz to, co niestety idzie w parze z tym postępem, czyli ochrona użytkowników przed niebezpieczeństwami, które niesie ze sobą świat sieci. Najważniejsze obecnie wyzwania to właśnie budowanie świadomości użytkowników internetu, nie tylko o korzyściach z używania cyfrowego świata, ale również o zagrożeniach w cyberprzestrzeni.
Docieramy do wszystkich grup wiekowych, od najmłodszych użytkowników sieci oraz ich rodziców i opiekunów, aż po seniorów. Oprócz tego istotne jest dla nas zdobywanie aktualnej wiedzy, ale też czynny udział w rozwoju najnowszych technologii. Cele te realizujemy poprzez badania naukowe, wdrożenia innowacyjnych produktów, działania społeczne oraz akcje edukacyjne.
Jakie są główne zagrożenia w zakresie cyberbezpieczeństwa, na które Polacy powinni obecnie zwracać uwagę?
M.S.: Tak jak wspomniałem, otrzymujemy zgłoszenia o niebezpiecznych zdarzeniach, czyli tak zwanych incydentach, zachęcamy też użytkowników sieci, by – traktując nas jako podmiot zaufany – nie obawiali się przychodzić do nas z tego typu informacjami. Dzięki temu, oprócz oferowania poszkodowanym pomocy czy porad, możemy na podstawie zgłoszeń budować wiarygodny obraz zagrożeń w cyberprzestrzeni i ostrzegać innych.
Z obecnych statystyk CSIRT NASK, zawartych m.in. w raportach i informacjach dostępnych na stronie zespołu CERT Polska, wynika, że w dalszym ciągu dominują ataki bazujące na socjotechnice, zwłaszcza działania phishingowe. W tym roku obsłużyliśmy już ponad trzy tysiące incydentów zaklasyfikowanych jako phishing. To zła wiadomość, ponieważ wszyscy jesteśmy narażeni na tego typu ataki, niezależnie od wieku, płci czy poziomu wykształcenia. I wszyscy możemy paść ich ofiarą.
Każdy z nas zapewne otrzymał w ostatnich miesiącach wyglądające w pierwszej chwili dość wiarygodnie wiadomości e-mail lub SMS, nakłaniające np. do zapłaty za prąd, przesyłkę czy inną usługę, które po wnikliwym przeanalizowaniu okazywały się oszustwem. Dlatego musimy dziś bardzo uważnie i krytycznie odnosić się do informacji, które otrzymujemy w przestrzeni cyfrowej.
Dobrą natomiast wiadomością jest to, że walka z oszustwami socjotechnicznymi nie wymaga stosowania bardzo wyrafinowanych technologii czy wydajnych urządzeń. Bazuje przede wszystkim na wiedzy i świadomości zagrożeń, a zatem możemy skutecznie im przeciwdziałać poprzez szeroko prowadzoną edukację i profilaktykę. To właśnie jeden z podstawowych elementów misji NASK, o których już wspomniałem. Działamy, edukujemy, ostrzegamy, uczymy – to wszystko na wiele różnych sposobów, począwszy od telewizyjnych reklam społecznych, artykułów w prasie, poprzez szkolenia i webinary, a skończywszy na licznych publikacjach.
Jesteśmy dość ostrożni w wyrażaniu optymizmu co do pełnej skuteczności podejmowanych akcji, bo przeciwnik szybko zmienia metody działania, do których my musimy się adaptować, ale zdecydowanie widzimy pozytywne rezultaty naszych starań.
Dodatkowo angażujemy się też w działania legislacyjne, których wymiernym efektem jest np. ustawa o nadużyciach w komunikacji elektronicznej, która weszła w życie we wrześniu tego roku. Nowe, lepsze prawo będzie zdecydowanie wspierać skuteczniejszą walkę z tego rodzaju oszustwami.
W przypadku firm i instytucji główne zagrożenia, takie jak malware, ransomware i ataki DDoS, pozostają niezmienne. Częściej niż kiedyś obserwujemy jednak działania typu spear phishing, wycelowane w konkretne osoby czy zespoły. Nowym zjawiskiem, wycelowanym zarówno w pojedyncze osoby, jak i organizacje, jest coraz częstsze wykorzystywanie przez przestępców sztucznej inteligencji oraz szersza dostępność różnorodnych form ataków, oferowanych na zasadzie usług realizowanych przez podwykonawców, czyli specjalizowane grupy przestępcze, np. Ransomware as a Service czy DDoS as a Service.
Jak Pan ocenia obecny poziom świadomości Polaków, a także polskiego biznesu na temat cyberbezpieczeństwa?
M.S.: Bazując na statystkach z otrzymywanych przez nas zgłoszeń, mogę powiedzieć, że ta świadomość rośnie. Trzeba tu wspomnieć, że zgłoszenia to nie tylko informacja od osoby czy podmiotu już bezpośrednio poszkodowanego przez cyberprzestępców, ale coraz częściej świadome przekazanie informacji o samodzielnie zidentyfikowanych zagrożeniach.
W 2021 roku zespół CERT Polska otrzymał 116 071 zgłoszeń, co przełożyło się na zarejestrowanie 29 483 incydentów. Oznacza to, że na jedno unikalne zidentyfikowane zagrożenie lub też incydent bezpieczeństwa z nim związany przekładają się niecałe cztery zgłoszenia.
W 2022 roku tych zgłoszeń było już 322 479. Wynikało to zarówno z faktu, że do 39 683 wzrosła liczba samych incydentów, jak też właśnie z rosnącej świadomości Polaków w tym obszarze. Średnio każdy notowany przez nas incydent lub zagrożenie były bowiem zgłaszane przez ponad osiem różnych osób.
W tym roku w dalszym ciągu obserwujemy dużą liczbę zgłoszeń – w ciągu trzech kwartałów otrzymaliśmy ich ponad 200 000, co potwierdza, że świadomość Polaków, m.in. dzięki działaniom edukacyjnym NASK oraz Ministerstwa Cyfryzacji, nadal rośnie.
Z drugiej strony główny nacisk kładziemy obecnie na usuwanie zagrożeń, zanim zetkną się z nimi użytkownicy usług cyfrowych. Wiele narzędzi technologicznych, takich jak tworzona przez CERT Polska i udostępniana m.in. operatorom telekomunikacyjnym lista ostrzeżeń, czy też rozwiązań prawnych, takich jak wspomniana już ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, a także bezpośrednia, bardzo konkretna codzienna praca ekspertów zespołu CERT Polska, pozwalają nam jeszcze skuteczniej odcinać wiele zagrożeń i ataków, mimo że ich liczba również się zwiększa.
W jaki sposób NASK promuje bezpieczne praktyki wśród młodszych użytkowników internetu?
M.S.: Młodzi użytkownicy internetu są dla NASK szczególnie ważni i otaczamy ich wyjątkową troską. Liczny zespół spośród pracowników zatrudnionych w Instytucie zajmuje się właśnie działaniami mającymi poprawiać bezpieczeństwo cyfrowe najmłodszych – i to na wiele różnych sposobów.
Po pierwsze, edukujemy. Zarówno bezpośrednio, budując nasz przekaz do dzieci i młodzieży, jak i pośrednio – poprzez nauczycieli i rodziców. Stworzyliśmy wiele publikacji na temat cyberhigieny, które są dostępne bezpłatnie. To bogate i zróżnicowane materiały. Wśród propozycji NASK znajdziemy kursy dotyczące cyberbezpieczeństwa dla najmłodszych i nieco starszych dzieci tworzone w ramach OSE IT Szkoła, jak również Cyberlekcje 3.0 dla młodzieży, czyli zestawy gotowych materiałów dla nauczycieli do prowadzenia lekcji na wszystkich etapach nauki w szkole podstawowej i ponadpodstawowej. Wydajemy również poradniki dla rodziców i nauczycieli, okresowe raporty pomagające lepiej rozumieć tę rzeczywistość, czy też na bieżąco publikujemy w naszych mediach społecznościowych informacje i ostrzeżenia odnoszące się do bieżących problemów w sieci. Oprócz tego nasi eksperci prowadzą warsztaty z młodzieżą, aby przybliżać jej m.in. zasady cyberhigieny, pokazać metody przeciwdziałania przemocy w internecie czy pomóc w identyfikacji fałszywych informacji w mediach cyfrowych.
Po drugie, NASK, we współpracy z Ministerstwem Cyfryzacji, prowadzi też program Ogólnopolskiej Sieci Edukacyjnej (OSE), który dostarcza do polskich szkół bezpieczny, szerokopasmowy dostęp do internetu. Korzysta już z niego zdecydowana większość placówek edukacyjnych w Polsce. Z punktu widzenia szkoły jest to usługa darmowa.
Warto na koniec przypomnieć o trudnej, ale niezwykle ważnej misji zespołu Dyżurnet.pl, również działającego w strukturach CSIRT NASK. To bardzo ważny obszar naszej aktywności, łączący istotny obszar naszej działalności misyjnej i społecznej ze stosowaniem i rozwojem najnowszych technologii i narzędzi. Dzięki pracy Dyżurnet.pl identyfikujemy i zwalczamy naganne zjawisko wytwarzania i dystrybucji nielegalnych materiałów z udziałem osób nieletnich zazwyczaj związanych z ich seksualnym wykorzystywaniem. Dzięki pracy zespołu w 2022 roku udało się usunąć z sieci 100% zgłoszonych do niego materiałów tego typu, co nie oznacza oczywiście, że „posprzątaliśmy” już cały internet. Jest to nadal duże wyzwanie, ale prężnie rozwijamy ten obszar naszej działalności, budując nie tylko nowe narzędzia, ale też rozwijając współpracę z instytucjami krajowymi i zagranicznymi. Mając wysokie kompetencje w tej dziedzinie, pomagamy innym, mniej doświadczonym krajom budować tego typu zespoły.
Jakie działania podejmuje NASK, by zwiększyć świadomość społeczną na temat zagrożeń związanych z dezinformacją w sieci?
M.S.: Dezinformacja nie jest zjawiskiem nowym, jednak w dobie internetu, zwłaszcza popularności mediów społecznościowych nabrała zupełnie nowego znaczenia. Stała się jeszcze bardziej niebezpieczna za sprawą szybkiego rozprzestrzeniania się szkodliwych, zwłaszcza budzących silne emocje, treści w internecie, jak również poprzez ogromną elastyczność i szybkość powstawania nowych źródeł takiej informacji.
W NASK identyfikujemy to zjawisko i tam, gdzie jest możliwe, zwalczamy je. Dział Przeciwdziałania Dezinformacji monitoruje treści w mediach społecznościowych i informuje podmioty publiczne o zagrożeniach dezinformacyjnych. Opracowujemy także analizy jakościowe i ilościowe dla administracji publicznej, wspierające identyfikację i reakcję na treści o charakterze dezinformacyjnym.
Niezwykle istotnym elementem naszych działań jest edukacja. Realizujemy dziesiątki szkoleń i warsztatów, które kierujemy do wszystkich grup społecznych narażonych na działanie dezinformacji, m.in. seniorów, dzieci i młodzieży, ale także samorządowców czy osób zajmujących się komunikacją w administracji centralnej. Zwiększamy także świadomość społeczną w kontekście zagrożeń dezinformacyjnych, tworząc i biorąc udział w różnorodnych kampaniach oraz za pośrednictwem mediów społecznościowych. Na profilach „Włącz Weryfikację” w mediach społecznościowych regularnie zamieszczamy wpisy ostrzegające przed zmanipulowanymi lub fałszywymi treściami oraz informacje o charakterze edukacyjnym.
W ramach przeciwdziałania dezinformacji koncentrujemy się również na wydarzeniach aktualnie szczególnie istotnych dla społeczeństwa, np. takich jak ostatnie wybory. Aby zadbać o bezpieczeństwo informacyjne i cyberbezpieczeństwo tego procesu, zainicjowaliśmy projekt widoczny jako portal informacyjny BezpieczneWybory.pl. Portal oferuje użytkownikom internetu m.in. intuicyjny i wygodny formularz zgłoszeń do NASK w sprawie incydentów cyberbezpieczeństwa i niepokojących treści w infosferze oraz szybką ścieżkę kontaktu do platform społecznościowych w sprawach wszelkich naruszeń polityk i praw.
Jakie są plany NASK w zakresie badań nad technologiami sztucznej inteligencji i ich zastosowaniem w cyberbezpieczeństwie?
M.S.: NASK już od dłuższego czasu prowadzi prace badawcze w dziedzinach cyberbezpieczeństwa oraz zastosowań sztucznej inteligencji, działając jako NASK SCIENCE. Opracowaliśmy podstawy generycznej metodyki określenia stopnia podatności modeli predykcyjnych na wybrane typy ataków, wykorzystujące m.in. adversarial machine learning, występujących w obszarze systemów „cyberfizycznych”, czyli m.in. robotyki i automatyki przemysłowej oraz systemów cyberbezpieczeństwa.
Warto wymienić także przygotowane w NASK nowe algorytmy uczenia maszynowego do oceny złośliwości aplikacji mobilnych, detektor aplikacji złośliwych dla systemu Android czy nowy detektor anomalii w ruchu sieciowym – IoT. W gruncie rzeczy lista dokonań naszych naukowców w tym obszarze jest na tyle długa, że trudno je wszystkie nawet skrótowo wymienić. Dodam tylko, że NASK współpracuje również przy wytwarzaniu polskiego rozwiązania do bezpiecznej komunikacji z wykorzystaniem szyfrów wymienianych kanałem kwantowym oraz współtworzy szkielet polskiej sieci do kwantowej wymiany kluczy w ramach inicjatywy Komisji Europejskiej – EuroQCI.
Czy rozważają Państwo wprowadzenie nowych narzędzi i rozwiązań dla przedsiębiorstw w zakresie cyberbezpieczeństwa?
M.S.: NASK już od lat pełni rolę ważnego partnera przedsiębiorstw w obszarze cyberbezpieczeństwa. Współpracujemy z nimi zarówno przez działania edukacyjne i profilaktyczne, jak i poprzez dostarczanie wielu konkretnych, specjalnie utworzonych narzędzi i rozwiązań. Warto tu wymienić chociażby projekty prowadzone przez zespół CERT Polska, takie jak system N6, dzięki któremu, zwłaszcza większe przedsiębiorstwa i operatorzy sieci telekomunikacyjnych otrzymują bezpłatnie informacje o zdarzeniach dotyczących bezpieczeństwa, związanych z przestrzenią adresów sieciowych lub nazw domenowych konkretnego użytkownika, ale dostarczane przez społeczność wszystkich użytkowników systemu. Kolejny ważny projekt to Artemis, czyli automatyczny i bezpłatny system skanujący udostępnione w internecie systemy teleinformatyczne – serwisy informacyjne, systemy poczty e-mail, systemy brzegowe sieci lokalnych itp.
Celem jest identyfikacja najbardziej widocznych podatności bezpieczeństwa i błędów konfiguracyjnych, o których informujemy skanowany podmiot. W ten sposób ostrzegamy właścicieli infrastruktury o zagrożeniach i zachęcamy do bardziej poważnego potraktowania obszaru zabezpieczeń, w tym np.: skorzystania z pogłębionych badań i skanów oferowanych przez wiele podmiotów na rynku.
Inne projekty rozwijane od lat w NASK, to narzędzie BotSense, już dziś wzmacniające bezpieczeństwo transakcji w 12 dużych polskich bankach czy ARAKIS Enterprise, system wczesnego wykrywania i analizy zagrożeń bezpieczeństwa.
W kontekście krajowego systemu cyberbezpieczeństwa jesteśmy także w trakcie wdrożenia Systemu S46, który wybranym grupom przedsiębiorstw i instytucji objętych ustawą o krajowym systemie cyberbezpieczeństwa zapewnia możliwość przekazywania danych o zagrożeniach, a także integruje ostrzeżenia i dane przekazywane tym podmiotom. Istotną wartością tego systemu może być w przyszłości możliwość łączenia informacji o podobnych incydentach oraz propagacji skutków zagrożeń z nich wynikających pomiędzy podmiotami korzystającymi wzajemnie ze swoich usług.
Z nowych rozwiązań przeznaczonych dla polskiego biznesu proponujemy program Firma Bezpieczna Cyfrowo, który jest przeznaczony przede wszystkim dla sektora małych i średnich przedsiębiorstw. Dzięki niemu w łatwy sposób można samodzielnie przeprowadzić ocenę stanu cyberbezpieczeństwa własnej firmy, otrzymać bezpłatne porady dotyczące obrony przed zagrożeniami, a na końcu uzyskać certyfikat, który świadczyć będzie o odpowiednim poziomie cyfrowych kompetencji, będących w dzisiejszym świecie elementem budowania wiarygodności i zaufania między przedsiębiorcami, ich partnerami i klientami. Kolejną ważną inicjatywą, są spotkania i szkolenia w społeczności Partnerstwa dla Cyberbezpieczeństwa, skierowane szczególnie do polskich przedsiębiorców i jednostek samorządowych.
Dziękuję za rozmowę.
