Infrastruktura informatyczna Federacji Rosyjskiej jest w ubiegłych miesiącach poddawana bezprecedensowej fali ataków. Według danych tamtejszych służb wywiadowczych, w samym 2016 roku odnotowano ponad 70 milionów prób włamań do państwowych i finansowych systemów elektronicznych. W jaki sposób Rosjanie chcą bronić się przed plagą cyberprzestępczości? Czy GosSOPKA i surowsze prawo okażą się skuteczne?

Wirtualna broń idzie na prawdziwą wojnę

Już od dawna specjaliści ds. cyberbezpieczeństwa ostrzegali, że hakerzy mogą znaleźć sposób na wyrządzanie realnych, fizycznych szkód w krytycznej infrastrukturze dowolnego państwa. Stało się tak w 2009 roku, kiedy irański program atomowy został zaatakowany przez Stuxnet – pierwszą, nowoczesną broń cybernetyczną. Według dziennikarza Davida Sangera z New York Times, Stuxnet został stworzony, aby stanowić pokojową alternatywę dla wojennego scenariusza: Stany Zjednoczone obawiały się, że Izrael przystąpi do ataków powietrznych na Iran i jego obiekty jądrowe. Źródła Sangera mówiły, że robak komputerowy został zaprojektowany przez kilka współpracujących ze sobą agencji wywiadowczych: CIA, NSA, amerykańskie dowództwo Cyber ​​Command, centralę łączności rządu brytyjskiego, a nawet specjalny oddział rozpoznawczy izraelskiego Mosadu.

Stuxnet został umieszczony na pendrive’ach pracowników którzy, najwyraźniej nieświadomie, zainfekowali chronioną sieć zakładu, niemającą połączenia z Internetem. Korzystając z zamkniętego systemu, zarządzającego instalacją wzbogacania uranu Iranu w Natanz, wirus przyczynił się do zniszczenia ponad jednej czwartej wirówek, kluczowych dla powodzenia przedsięwzięcia.

Wirówki napędzane były silnikiem elektrycznym obracającym się z prędkością 1050 obrotów na sekundę. W jednym z wariantów ataku, Stuxnet podwyższał prędkość obracania się silników do 1410 obrotów na sekundę, a następnie obniżał ją do niemal zera, co przyczyniało się do ich uszkodzenia. W konsekwencji tych wydarzeń, niektórzy pracownicy zostali zwolnieni z powodu podejrzeń naruszenia procedur bezpieczeństwa obiektu.

Stuxnet i jego następcy

Stuxnet, po swoim pierwszym sukcesie, był używany do atakowania obiektów przemysłowych w różnych krajach. W 2010 roku zainfekował około 100 tys. urządzeń na całym świecie – wśród ofiar znalazła się nawet infrastruktura jednej z rosyjskich elektrowni jądrowych. Podobnie jak w Iranie, obiekt nie był połączony z Internetem. Wystarczyło zakażenie pojedynczego urządzenia, by złamać zabezpieczenia wewnętrznej sieci elektrowni.

Od czasu powstania Stuxnetu pojawiły się nowsze „bronie cybernetyczne”, działające na podobnej zasadzie. W 2016 roku eksperci z firmy ESET ogłosili powstanie narzędzia o nazwie Industroyer, przeznaczonym m.in. do utrudniania i uniemożliwiania działalności przedsiębiorstw z branży energetycznej. Podejrzewa się go o spowodowanie spektakularnej awarii zasilania w Kijowie w grudniu 2016 roku. Mrok spowił wówczas aż cztery stołeczne dzielnice. Nie byłby to odosobniony przypadek – przez ostatnie trzy lata hakerzy wielokrotnie atakowali Ukrainę, odcinając od prądu całe regiony.

Na problemy – GosSOPKA

Sukces Stuxnetu nie pozostał w Rosji niezauważony. W styczniu 2013 r. Władimir Putin zobligował Federalną Służbę Bezpieczeństwa do stworzenia państwowego systemu wykrywania, zgłaszania i eliminowania skutków ataków komputerowych. System ten, znany szerzej jako “GosSOPKA”, miał objąć wszystkie federalne zasoby informatyczne, a także państwowe korporacje Rostec i Rosatom.

GosSOPKA opiera się na monitoringu, obejmującym całą chronioną infrastrukturę. Pozwoli to na dynamiczne informowanie Kremla o potencjalnych cyberatakach i szybkie diagnozowanie ich źródeł. Umożliwi także skuteczne zabezpieczenie tych zasobów, które nie zostały objęte atakiem.

W 2015 r. Agencja opublikowała zarys projektu GosSOPKI. Plan zakładał podzielenie systemu na centra reagowania, utworzone przy państwowych i regionalnych instytucjach. W ramach FSB miałoby powstać Krajowe Centrum Koordynacji ds. Incydentów Komputerowych, zarządzające ochroną krytycznej infrastruktury Rosji.

W listopadzie 2016 r. Alex Novikov, oficer FSB odpowiedzialny za rosyjski Gov-CERT, poinformował, że system GosSOPKA objął już 10 agencji państwowych, a ponadto centra reagowania zostały utworzone w Rosteku i Centralnym Banku Rosji.

Rosyjski wywiad utworzył sieć łączącą instytucje państwowe, aby dzielić się informacjami o incydentach związanych z włamaniami. System, zdaniem Novikowa, będzie umożliwiał ofiarom ataków przesyłanie wiadomości do Gov-CERT z prośbą o pomoc. Wiadomości te otrzymają wysoki priorytet, a centrum koordynacyjne FSB rozpocznie rozwiązywanie zgłoszonego problemu natychmiast po jego otrzymaniu, np. odetnie złośliwy ruch sieciowy, nakazując usługodawcom jego filtrowanie lub próbując unieszkodliwić botnet. Novikov chwalił wywiad za skuteczną neutralizację kilku centrów kontroli botnetów podczas Zimowych Igrzysk Olimpijskich 2014 w Soczi.

Więzienie dla cyberprzestępców

W najbliższej przyszłości Rosja wprowadzi surowsze prawo dotyczące cyberprzestępczości skierowanej przeciwko krytycznej infrastrukturze kraju. W grudniu ubiegłego roku premier Dmitrij Miedwiediew przedłożył parlamentowi projekt ustawy. Proponowane przepisy ustanawiają specjalny rejestr komputerów wchodzących w skład kluczowych systemów. Przeprowadzanie ataków na te systemy zostanie uznane za ciężkie przestępstwo, zagrożone karą do 10 lat więzienia. Pobyt za kratkami czekałby zarówno hakerów, jak i urzędników, którzy znajdowaliby się z nimi w zmowie, udzielali pomocy w atakach lub ujawniali im wrażliwe informacje.

Zmiany w prawie wydają się konieczne, bo rosyjska cyberprzestrzeń jest wystawiana na coraz cięższe próby. Na konferencji w styczniu 2017 roku Dimitry Shalkov, zastępca dyrektora FSB, poinformował, że w ubiegłym roku rosyjskie zasoby informacyjne zostały zaatakowane 70 milionów razy. To aż trzykrotny wzrost w stosunku do roku 2015. “W listopadzie 2016 nastąpił zmasowany atak na sektor finansowy, skierowany na Sberbank, Alfa-Bank, Bank Moskwy i inne instytucje. Specjaliści FSB zneutralizowali zagrożenie, ale liczba ataków na rosyjskie zasoby narodowe stale wzrasta”, powiedział Shalkov, prezentując projekt nowej cyber-ustawy Dumie Państwowej. Mimo iż parlament przegłosował akt w pierwszym czytaniu już 27 stycznia 2017, dalsze prace znacznie się przeciągały.

Aby uratować sytuację, 23 czerwca dyrektor FSB, Alexander Bortnikov, zaapelował do Dumy o przyspieszenie prac. Już dwa tygodnie później, 7 lipca, nastąpiło drugie czytanie ustawy w Dumie, zakończone przegłosowaniem projektu. W pakiecie znalazły się również poprawki do rosyjskiej ustawy o tajemnicach państwowych. Trzecie i końcowe czytanie miało miejsce 12 lipca. Jeśli Rada Federacji, izba wyższa parlamentu, zaaprobuje projekt do końca wakacji, nowe prawo może wejść w życie jeszcze przed 1 stycznia 2018 r. Parlament zignorował głosy sprzeciwiające się tak szybkiemu włączaniu nowych ustaw do rosyjskiego systemu prawnego.

To drugi artykuł z cyklu poświęconego cyberbezpieczeństwu w Rosji. Zapraszamy do śledzenia dalszych publikacji. Jeżeli chcesz wiedzieć, jak zabezpieczyć dane osobowe, przetwarzane przez Twoją firmę, przed zakusami przestępców, zapraszamy na szkolenia.