PolskieRadio24.pl: Ofiarą jakich ataków możemy najczęściej paść w sieci?

Robert Siudak z Instytutu Kościuszki: Cyberataków jest coraz więcej. Mieliśmy wzrost ransomware - czyli programów szyfrujących, za które następnie wymuszano "okup". Jednym z najłatwiejszych działań i najszerzej stosowanych jest phishing. Wiele osób dostaje maile, w których np. wyłudza się wpłatę pewnych kwot. Cóż, krótko mówiąc - nie klikajmy w takie podejrzane linki.

Co jeszcze możemy zrobić, by zadbać o prywatne cyberbezpieczeństwo?

Czytaj też

NAJWIĘKSZE CYBERATAKI XXI WIEKU: W TYM NA USA, POLSKĘ, ESTONIĘ, UKRAINĘ

Trzeba zadać sobie pytanie, co chcemy chronić. Trzeba zastanowić się, co jest dla nas kluczowe, jakie usługi są dla nas najważniejsze. Może należy zabezpieczyć funkcjonowanie na platformie społecznościowej, jeśli tam ma miejsce duża część naszego życia.

Na wielu platformach mamy już możliwość drugiego poziomu autoryzacji dostępu, są dedykowane aplikacje, są klucze fizyczne, takie jak na przykład YubiKey lub inne, które umożliwiają logowanie np. do konta Google. Wówczas nikt nie zaloguje się na konto, jeśli nie będzie fizycznie posiadał określonego klucza.

Trzeba zmieniać hasła, a także używać trudnych haseł - to powtarza się do znudzenia. Pytanie jednak, jak wiele haseł jesteśmy w stanie zapamiętać. Dlatego poleca się menedżery haseł, agregujące hasła na urządzeniu cyfrowym lub w chmurze.

Warto mieć listę haseł, które zmieniamy często, i tych, które rzadziej. Dotyczy to przede wszystkim miejsc, gdzie jest wiele danych dla nas wrażliwych, to na przykład skrzynki mailowe, platformy, gdzie ktoś może się pod nas podszyć.

Hasło nie jest jedynym instrumentem zabezpieczenia funkcjonowania w internecie. Pojawiły się też inne techniki, które można wykorzystywać w newralgicznych dla nas usługach.

Ważna jest cyberhigiena. Nie można klikać w linki, których pochodzenia nie znamy, czy nie wiemy, od kogo przyszły. Nie klikajmy, jeśli mamy wątpliwości.

Niektórzy myślą, że nic się nie stanie, jeśli klikną, wyjdą z danej strony... Cóż mogło się stać.

Automatycznie mogą zostać ściągnięte programy malware, które mogą posłużyć do infiltracji systemu, śledzenia nas bądź do innych celów, jakie założył sobie cyberprzestępca.

Taki program wykorzystuje często różne luki w oprogramowaniu. Zatem kolejna kluczowa rzecz to aktualizacja oprogramowania. Na braku aktualizacji bazuje większość przestępców. Często patrzą oni na ostatnio publikowane aktualizacje, wykorzystują luki i to, że nie aktualizujemy oprogramowania.

Zatem ważne jest właściwe, często zmieniane hasło, drugi faktor identyfikacji, aktualizacja oprogramowania i higiena korzystania z sieci.

Są oczywiście różnego rodzaju zabezpieczenia, aplikacje, systemy monitorujące ruch w sieci, wskazujące anomalie. To jednak dotyczy już np. firm czy instytucji - większych systemów. Jednak warto być świadomym, że mamy takie możliwości.

Rozwija się sektor zabezpieczeń przed cyberatakami.

Cyberbezpieczeństwo to nie tylko wyzwanie, to także szansa. Jak wskazuje Instytut Kościuszki, w kontekście polskim to przede wszystkim szansa rynkowa dla naszych specjalistów IT. Są oni znani na świecie m.in. z tego, że wygrywają zawody cyberbezpieczeństwa, takie jak Capture the Flag.

Jest szereg start-upów, które zaczynają oferować tego rodzaju usługi na świecie. Specjalizacja w tym zakresie jest szansą dla sektora IT w Polsce. Ochrona przed cyberzagrożeniami to jeden z najszybciej rozwijających się sektorów IT. Jeśli IT szybko rośnie jako rynek, to cyberbezpieczeństwo wyprzedza resztę branż. Rośnie bowiem w tempie 8-10 proc. rocznie w globalnym wymiarze.

Chcemy, by nasi informatycy nie tylko pracowali w centrach monitorujących zagrożenia z Polski na cały świat, bo takie otwierane są w Polsce przez światowe firmy, np. CISCO czy Akamai, ale by mogli także samodzielnie tworzyć produkty i usługi, które będą konkurować na globalnym rynku start-upów czy większych firm.

Wówczas nie tylko będziemy mieli większy wachlarz wyboru takich usług w Polsce, ale też będzie to przekładać się na konkurencyjność takich firm w przyszłości. Wiemy, że cyfrowa gałąź gospodarki będzie kluczowa, a jej zabezpieczenie będzie istotne dla jej wzrostu.

Słabością branży IT na całym świecie jest brak specjalistów. W Instytucie Kościuszki zwracamy uwagę na potrzebę tworzenia nowych kierunków studiów, edukację młodzieży i studentów, by ukierunkować ich na cyberbezpieczeństwo. Obecność ekspertów przyczyni się do lepszych możliwości naboru przez instytucje publiczne, a także do zwiększenia świadomości całego społeczeństwa.

***

Z Robertem Siudakiem z Instytutu Kościuszki rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl

- Trzeba poważnie podchodzić do zagrożeń w sieci – bo świat przenosi się coraz bardziej w cyberprzestrzeń, a pandemia koronawirusa znacznie przyspieszyła ten trend – mówi portalowi PolskieRadio24.pl Izabela Albrycht, prezes Instytutu Kościuszki.   

CZYTAJ TAKŻE

5G z Chin albo z Zachodu. Prezes Instytutu Kościuszki: chodzi o demokratyczny lub autorytarny rozwój cyfrowy

Pandemia to także czas zagrożeń w związku ze zwiększoną liczbą ataków hakerskich, tych z pobudek majątkowych, ale także sponsorowanych przez państwa. To na przykład Grupa Hades, APT28 (Fancy Bear), chińska Mustang Panda czy pakistańska APT36 – mówi nasza rozmówczyni.

CZYTAJ TAKŻE: DZIEŃ HASŁA: ZADBAJ O CYFROWE BEZPIECZEŃSTWO >>>

Co zatem robić, by nie paść ofiarą ataku? – Musimy dbać o zabezpieczanie naszego sprzętu i aktualizacje systemów operacyjnych, aplikacji. Trzeba unikać podłączania się do publicznych sieci Wi-Fi, zwłaszcza bezhasłowych. Trzeba zabezpieczać hasła, poprawnie je przechowywać, polecana jest szczególnie weryfikacja dwuetapowa (także dla szyfrowanych komunikatorów), odpowiedni menadżer haseł także pomoże nam w praktyce – mówi prezes Instytutu Kościuszki.

Ostrzega także przed podszywaniem się przez hakerów pod znane nam lub łudząco podobne adresy e-mail – a następnie na przykład wysyłanie zainfekowanych załączników czy niebezpiecznych linków.

Więcej o cyberzagrożeniach pandemicznych i jak się przed nimi chronić  – w rozmowie.

PolskieRadio24.pl:Zmiany po pandemii wydają się nieuniknione. Ta sytuacja niesie ze sobą pewne szanse i pewne zagrożenia. Szansą jest udział w wytwarzaniu dla świata nowych rozwiązań, głównie z zakresu cyfryzacji. Są też jednak  zagrożenia. Wiążą się z potrzebą zapewnienia bezpieczeństwa, podobnie jak przy infrastrukturze tradycyjnej – by nikt nie mógł przejąć, uszkodzić, zablokować działalności w ważnej sferze działalności społeczeństw i państw.

Prezes Instytutu Kościuszki Izabela Albrycht Im więcej technologii – tym bardziej poszerza się powierzchnia zagrożeń cyfrowych. Procesowi cyfryzacji gospodarki towarzyszy zwiększona liczba cyberzagrożeń. W Instytucie Kościuszki mówimy, że pandemii koronawirusa – towarzyszy epidemia cyberzagrożeń. Pośrednią konsekwencją pandemii, z którą walczymy, jest wzrost liczby ataków w cyberprzestrzeni. Chodzi o ataki wymierzone w indywidualnych użytkowników, pracujących w trybie home office, funkcjonujących poza firmową architekturą bezpieczeństwa systemów i sieci.

Widzimy jednak, że bardzo wiele ataków jest przeprowadzanych na podmioty, prowadzące walkę z koronawirusem na pierwszej linii. Bardzo wiele szpitali czy instytucji systemu zdrowia publicznego padło ostatnio ofiarą ransomware’u.

Dziś Dzień Hasła. Czas epidemii to pandemia cyberataków na szpitale, laboratoria. Ostrzegają przed ”Cyber-9/11

Takie ataki zdarzały się w przeszłości. Widzimy jednak teraz ich większą liczbę. Walka z pandemią, gdy nie działają systemy komputerowe w szpitalu, jest bardzo trudna. Zaatakowane zostały szpitale w kilku krajach, m.in. w Czechach, USA czy we Francji. Warto dodać, że atakowane są także laboratoria, zajmujące się testowaniem zachorowań na COVID-19. FBI wydało również ostrzeżenia dla firm farmaceutycznych, by wzmocniły zabezpieczania cyfrowe i chroniły własność intelektualną w czasie kiedy pracują nad szczepionkami i lekami na koronawirusa. Służby te zwróciły uwagę na możliwość ataków przez hakerów sponsorowanych przez państwa.

PAP

W ostatnich tygodniach zwiększyła się liczba ataków phishingowych na firmy i administrację rządową. Jest ich bardzo wiele. Ale rośnie również zagrożenie atakami na infrastrukturę krytyczną. Wiele instytucji zwraca uwagę, że trzeba wzmocnić bezpieczeństwo krytycznych sektorów gospodarki, bo mogą być przedmiotem ataków.

W USA działa komisja pod nazwą Cyberspace Solarium Commission. Jej członkowie starają się rekomendować rządowi USA takie działania, które potencjalnie zapobiegną atakowi cybernetycznemu o skutkach podobnych do ataku terrorystycznego z 11 września. Zagrożenie ”Cyber 9/11” jest zatem czymś, z czym amerykańscy eksperci starają się zmierzyć.

Cyberataki nie są domeną tylko hakerów, którzy dokonują ich z motywów finansowych. Zidentyfikowane są różne podmioty, które angażują się w cyberoperacje, a mogą być sponsorowane przez państwo. To na przykład Grupa Hades, APT28 (Fancy Bear), chińska Mustang Panda czy pakistańska APT36.

Widzieliśmy, że ofiarami ataków są tacy giganci jak Tesla, Space-X, Lockheed Martin. Ostatnio wyciekły ich poufne dane. Dlatego podsumowując, warto zaznaczyć, że nikt nie jest tak naprawdę bezpieczny. Musimy przemyśleć nasze sposoby i strategie walki z cyberzagrożeniami. Musimy potraktować to poważniej.

Napięcie w przestrzeni cyfrowej jest bowiem coraz większe.

PAP

I my powinniśmy przemyśleć, jak zachowujemy się w sieci, jak samemu wzmocnić swoje bezpieczeństwo. Ważne są hasła, zmiana haseł, hasła dwustopniowe. Ale czasami nie dba się o to, bo tak wygodniej.

Musimy wrócić do podstaw. Od lat znane są zasady higienicznych zachowań w sieci i cyberbezpieczeństwa. Człowiek jest od zawsze najsłabszym ogniwem. W ostatnich dniach funkcjonujemy często poza architekturą bezpieczeństwa naszych miejsc pracy, musimy zatem bardziej niż dotychczas, często samodzielnie, dbać o zabezpieczanie naszego sprzętu i aktualizacje systemów operacyjnych i aplikacji. Trzeba unikać podłączania się do publicznych sieci Wi-Fi, zwłaszcza bezhasłowych bez dodatkowej ochrony takiej jak np. usługi VPN. Trzeba zabezpieczać hasła, poprawnie je przechowywać, polecana jest weryfikacja dwuetapowa, a także odpowiednio skonfigurowany menadżer haseł.

Niedawno Narodowe Centrum Bezpieczeństwa w Wielkiej Brytanii ostrzegało, że WhatsApp wydał zalecenia, by wszyscy użytkownicy włączyli sobie weryfikację dwuetapową. Mimo że korzystamy z bezpiecznych aplikacji do komunikowania się, które są szyfrowane, typu end-to-end,  to jednak musimy mieć świadomość tego, że aplikacje można gorzej lub lepiej zabezpieczyć.  Dwustopniowe hasło w aplikacji często nie jest od razu aktywowane, w momencie jej instalacji musimy to zrobić sami.

To jak w mieszkaniu – naturalne jest, że montujemy drzwi, w drzwiach zamek, dolny i górny, do tego jeszcze alarm. To podstawy, których w przypadku mieszkań nie trzeba nikomu przypominać, nie inaczej powinno być także w przypadku świata cyfrowego.

Musimy zachować także szczególną uwagę w przypadku e-maili – m.in. zwracać uwagę na adresy mailowe adresatów. Trzeba upewniać się, czy ktoś nie podszywa się pod kogoś, kogo znamy lub dostawców naszych usług. Każdy musi sam wypracować sobie odporność cybernetyczną.

Rzeczywiście, ciągle część osób uznaje cybersferę za obszar, który sam się organizuje, ale jak w przypadku naziemnej rzeczywistości – potrzeba działań organizacyjnych, na bieżąco.

***

Z Prezes Instytutu Kościuszki, Izabelą Albrycht, rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl

PAP

W czasie pandemii większość naszej aktywności przeniosła się do sieci.

- Nasza praca, nasze obowiązki, często kluczowe sprawy osobiste są teraz w cyberprzestrzeni. Tymczasem zachowanie zasad bezpieczeństwa leży w dużym stopniu  po stronie użytkownika – to my musimy pamiętać, by ich przestrzegać – mówi dr Joanna Świątkowska (AGH).

Jak zatem z okazji Dnia Hasła ułożyć dobre hasło? Jakie niebezpieczeństwa czekają na nas w sieci w czasie pandemii koronawirusa? O tym w rozmowie.

CZYTAJ TAKŻE

5G z Chin albo z Zachodu. Chodzi o demokratyczny lub autorytarny rozwój cyfrowy

CZYTAJ TAKŻE: DZIEŃ HASŁA: ZADBAJ O CYFROWE BEZPIECZEŃSTWO >>>

PolskieRadio24.pl: Dzień Hasła to okazja, by zwrócić uwagę na bezpieczeństwo w sieci. Stara się uwrażliwić internautów na to, że bezpieczeństwo w sieci nie jest gwarantowane.

Dr Joanna Świątkowska, Akademia Górniczo-Hutnicza: Dzień Hasła to świetny asumpt do tego, by przypomnieć sobie o podstawowych zasadach bezpiecznego korzystania z cyberprzestrzeni, szczególnie w czasie pandemii, kiedy większość naszego życia przeniosła się do Internetu.

Nasza praca, nasze obowiązki, często kluczowe sprawy osobiste są teraz w cyberprzestrzeni. Tymczasem zachowanie zasad bezpieczeństwa leży bardzo często po stronie użytkownika – to my musimy pamiętać, by je przestrzegać.

Kwestie związane z bezpieczeństwem haseł są jednym z podstawowych elementów bezpiecznego działania w cyberprzestrzeni.

Jakie wytyczne mamy w kwestii haseł? 

Wytyczne wydają organizacje i środowiska eksperckie. Tłumaczą one, co oznacza silne, bezpieczne hasło. Przede wszystkim zaleca się, by było złożone, skomplikowane, długie, warto korzystać przy jego tworzeniu ze znaków specjalnych, z małych i dużych liter itd.

Happy World Password Day! How does your password match up?#WorldPasswordDay pic.twitter.com/3ZVS4nGkNM

— Infotech Solutions (@InfotechUK) May 7, 2020

Nie spisujemy haseł na kartce, nie udostępniamy ich osobom do tego niepowołanym, nie stosujemy tych samych haseł w różnych serwisach. Tzw. recycling haseł jest szczególnie niebezpieczny  – gdyż raz złamane hasło pozwala uzyskać dostęp do różnych zasobów, tworzy się efekt domina.

Co ciekawe – rekomendacje ekspertów w zakresie haseł czasem się  zmieniają. Do niedawna wiele środowisk eksperckich rekomendowało częste zmiany haseł, a teraz ta rekomendacja została wycofana. Eksperci doszli niedawno do wniosku, że przez to, iż użytkownicy często zmieniają hasła, to siłą rzeczy zaczynają stosować te same, albo wracają do starszych haseł.

Paradoksalnie częsta zmiana haseł prowadziła do osłabienia bezpieczeństwa. Na bazie tych wniosków rekomendacje ewoluowały.

Gdy uzmysławiamy sobie, z jak wielu serwisów korzystamy, pojawia się problem związany z tym, że trudno wszystko zapamiętać, zwłaszcza jeśli to szereg skomplikowanych haseł. Przychodzą tu z pomocą menedżery haseł – to środki dostępne również bezpłatnie. Menedżer popoprawia znacznie poziom bezpieczeństwa.

Dziś Dzień Hasła. Czas epidemii to pandemia cyberataków na szpitale, laboratoria. Ostrzegają przed ”Cyber-9/11

Menedżer jest bezpieczny?

To rozwiązanie znacznie podnoszące poziom bezpiecznego przechowywania, generowania haseł i nimi zarządzenia.  Choć i sam menadżer powinien być rozważnie stosowany – np. poprzez stworzenie i bezpieczne przechowywanie hasła głównego.

W jakie inne  pułapki wpadają internauci? Słyszymy o załącznikach, na które należy uważać, dołączonych do maili…

Istnieje zestaw podstawowych zasad tzw. higieny w sieci, które znacznie podnoszą poziom bezpieczeństwa.

To rzeczy podstawowe, ale absolutnie kluczowe. Chodzi m.in. o aktualizowanie systemu, aktualizację aplikacji, używanie programów antywirusowych, bezpieczną konfigurację sprzętu, np. routera etc.

Sam sprzęt to nie wszystko. Należy także bez końca podkreślać konieczność rozważnego korzystania z internetu. Zasada ograniczonego zaufania może pomóc ochronić się przed atakami phishingowymi. To działania polegające na tym, że użytkownik Internetu jest na rozmaite sposoby skłaniany do tego, by udostępnić informacje, dane, które z kolei mają umożliwić dalsze wrogie działania, np. wyłudzane są informacje pozwalające na uzyskanie dostępu do konta bankowego i nielegalnego wyprowadzenia z niego środków. Mogą to być też kampanie, które mają skłonić internautę do działań, które mogą doprowadzić do zainfekowania komputera, chodzi na przykład o klikanie na załączniki, na linki.

O tym warto powiedzieć, bo w czasach pandemii obserwujemy lawinę nowych kampanii phishingowych. Wykorzystują one tematy związane z pandemią i tym samym zwiększają skuteczność dotarcia do użytkowników i ich zaatakowania.

Kampanie phishingowe najczęściej żerują na emocjach ludzi i w tym kontekście pojawiają się  różne metody działania. Rozwój pandemii sprawił, że ludzie intensywnie interesują się na przykład informacjami medycznymi, rozwojem zakażeń, teoriami nt. pochodzenia wirusa, zbiórkami charytatywnymi. To zwiększone zainteresowanie jest wykorzystywane przez przestępców.  Projektują oni często ataki w taki sposób, że przyciągają ludzi ciekawymi, sensacyjnymi informacjami (często fałszywymi), a następnie nakłaniają do podjęcia akcji, które są szkodliwe.

Na przykład: otrzymujemy mail z informacją o lekarstwie, które ma zwiększać poziom odporności na koronawirusa. Czytamy: "kliknij i zobacz więcej na temat najnowszych badań". Link zaś jest zainfekowany.

PAP

Czasem czujemy nawet obowiązek, by kliknąć w określone informacje. Czytamy: "nowe zasady, nowe regulacje" i automatycznie klikamy. A trzeba wcześniej upewnić się co do źródła.

Zatem ważne są nie tylko rozwiązania techniczne, ale krytyczne podchodzenie do informacji, które napotykamy. Ważna jest zasada ograniczonego zaufania, jeśli chodzi o czynności, które podejmujemy w sieci. Warto zastanowić się, skąd wiadomość przyszła, czy znam tego adresata, czy może powinienem zweryfikować ten e-mail przed kliknięciem.

Trzeba być czujnym, bo czasem ktoś w celu wyłudzenia informacji wysyła informacje z e-maila podobnego do oryginalnego.

Można zweryfikować adres, można zadzwonić od adresata. Częstą kampanią jest tzw. atak "na zarząd". Na przykład księgowa dostaje maila, że trzeba szybko wykonać przelew, bo sprawa jest bardzo ważna i wiele znaczy dla przyszłości firmy. Oczywiście jest to fałszywa wiadomość, która ma doprowadzić do podjęcia działań, które przyniosą firmie straty – w mailu może np. pojawić się fałszywe konto, na które należy przelać środki.

Księgowa działa szybko, chcąc wykonać polecenie prezesa. W ten sposób można np. stracić pieniądze.

Tak więc  gdy dostajemy komunikat, wychodzący poza pewne procedury, wywołujący podejrzaną presję,  warto pomyśleć na chłodno, czy nie warto zadzwonić, upewnić się, czy taką dyspozycję wydano.

W jakie sidła internauci wpadają najczęściej?

Zagrożeń jest wiele, nie sposób wymienić wszystkich. W ostatnich latach wyraźnie wzrosło na przykład zagrożenie atakami typu ransomware. Polegają onen na szyfrowaniu i blokowaniu dostępu do naszych danych, na przykład na dysku komputera. Myśląc o podnoszeniu bezpieczeństwa w tym kontekście, warto stosować choćby regularne wykonywanie kopii danych, kopii systemu. Dodatkowo, szczególnie w czasach pandemii zwróciłabym też uwagę na korzystanie z urządzeń mobilnych. Nasze smartfony to obecnie małe komputery, jest tam wiele wrażliwych danych, wiele informacji. Warto pamiętać o zabezpieczeniu tych urządzeń, m.in., weryfikować aplikacje, które ściągamy na smartfony.

Działania cyberprzestępców zależą kontekstu. Obecnie jesteśmy w czasie, gdy rozpowszechniona jest praca online. Firmy przenoszą swoje działania do sieci, działamy zdalnie. Warto wskazać, że każda firma powinna przygotować takie vademecum bezpieczeństwa w kwestii korzystania z pracy zdalnej. Nie ma tu złotych rad – każda firma będzie miała inne potrzeby, inne rozwiązania. Jednak polityka bezpieczeństwa, zestaw zasad, byłaby bardzo przydatna pracownikom w tym czasie. Chodzi o zasady korzystania z telekonferencji, jak podłączać się bezpiecznie do sieci, jak zabezpieczyć sprzęt i inne.

PAP

***

Z dr Joanną Świątkowską z Akademii Górniczo-Hutniczej rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl

PAP

Ekspert: statystyki dotyczące zachorowań zmieniano w Chinach na różne sposoby i wielokrotnie

- 5G to nazwa nieco myląca – sugeruje nowszą wersję poprzedniej technologii, dlatego nie odpowiada skali, jaką daje nowa infrastruktura w porównaniu do poprzednich - mówi portalowi PolskieRadio24.pl Mirosław Maj, ekspert ds. cyberbezpieczeństwa z Fundacji Bezpieczna Cyberprzestrzeń.

Ta technologia to prawdziwy wyścig – wygra ten, kto będzie lepszy pod względem komercyjnym i kto spełni wymagania zapisane w regulacjach prawnych. Te ostatnie jednak, jak zaznacza ekspert, są wciąż w trakcie opracowywania. Założenia w Unii Europejskiej są ambitne - do końca tego roku mają być uruchomione programy pilotażowe 5G we wszystkich państwach członkowskich. Do 2025 roku 5G ma być dostępna wzdłuż wszystkich szlaków komunikacyjnych.

CZYTAJ TAKŻE: "5G TO WYBÓR GEOPOLITYCZNY, CHODZI O BEZPIECZEŃSTWO PAŃSTWA" >>>

Bezpieczeństwo przede wszystkim

Aspekt bezpieczeństwa tutaj jest niezwykle ważny – chodzi i o wojskowość, i o infrastrukturę krytyczną, którą w dużej mierze możemy powierzyć 5G. - Jeśli się decydujemy, że przerzucamy do sieci teleinformatycznej bardziej wrażliwe elementy naszego funkcjonowania jako organizmu państwowego, a 5G daje nam taką możliwość, to robienie tego bez przemyślenia aspektów bezpieczeństwa technologicznego związanego z łańcuchem dostaw, byłoby bardzo nierozsądne, mówiąc prosto – niemądre – mówi ekspert Mirosław Maj.

Rozwój 5G, która dostarcza infrastrukturę nieporównywalną z wcześniejszą, i bazę dla rozwoju przyszłych technologii, może być ew. przyhamowany w przypadku zmiany obliczeń biznesowych – jeśli wymusi je pandemia – zaznacza przy tym analityk. Czy tak będzie? Czy może wręcz przeciwnie, pojawi się popyt na nowe rozwiązania technologiczne, związane z mobilnością?

O tym w rozmowie.

Chińska propaganda i dezinformacja to dopiero początek. Ekspert o tym, jak należy z nią walczyć: trzeba inwestować w analityków, think tanki zajmujące się Chinami, nie tylko Rosją

PolskieRadio24.pl: Wokół coraz głośniej, już nawet bardzo głośno, o 5G. W wywiadzie sprzed roku zapowiadaliśmy rewolucyjne zmiany, które wynikną z powszechnego wprowadzenia tego standardu. Autonomiczne pojazdy, internet rzeczy, smart cities. Czy dziś można rzec, że są za progiem?

Mirosław Maj, ekspert ds. cyberbezpieczeństwa, Fundacja Bezpieczna Cyberprzestrzeń: Oczywiście, ten moment się przybliża. Trzeba co prawda zadać sobie pytanie, czy i na ile zostanie opóźniony w związku z pandemią. Może być też spowolniony przez decyzje o charakterze regulacyjnym. Nie zmienia to faktu, że zmiana nadejdzie w perspektywie kilkunastu miesięcy.

A plany UE nakładają zobowiązania na członków Unii, by zrealizowały instalacje w postaci działających systemów pilotowych 5G w wybranych miastach do końca tego roku.

Polski minister cyfryzacji mówił w poniedziałek, że zgodnie z planem KE do 2025 roku sieć 5G ma być dostępna we wszystkich dużych miastach UE i wzdłuż najważniejszych szlaków transportowych.

Z moich obserwacji wynika, że to jeden z najszybszych procesów implementacji technologii w historii rozwoju technologicznego. Miały tu miejsce zdarzenia niespotykane w przypadku innych technologii, takie jak wdrożenia produkcyjne przed tym, jak były zatwierdzane standardy technologiczne, w których reżimie urządzenia miały funkcjonować.

To spektakularny wyścig. Bardzo często zatem używa się sformułowania "wyścig o 5G". To wyścig z użyciem wszelkiego typu narzędzi: technologicznych, komercyjnych, prawno-politycznych.

Pokażmy zatem, kto się z kim ściga i jakie są zagrożenia i szanse wynikające z tego wyścigu? Stany Zjednoczone ostrzegają przed chińską infrastrukturą, stwierdzając wprost, że zagrożone jest bezpieczeństwo przepływu danych, także bezpieczeństwo informacji wywiadowczych. Z drugiej strony Wielka Brytania wstępnie dopuściła firmę Huawei do swoich sieci, twierdząc jednakże, że zabezpieczyła najważniejsze obszary.

5G to pierwsza z serii bitwa USA-Chiny, potem będą Big Data, AI. Ekspert: nasze dane to dziś strategiczny zasób

Wyścig staje się niezwykle ciekawy. Możemy zastanawiać się, w jakim stopniu pandemia będzie mogła wpłynąć na obecną rywalizację między USA i Chinami. Wielu komentatorów uważa, że Chiny w związku z kontrolowaniem gospodarki, ustroju, mogą uzyskać niedługo przewagę w stosunku do reszty świata – jako argument wskazuje się m.in. na to, że przez Chiny przeszła już fala pandemii.

Trzeba też zadać pytanie, czy wcześniejsze założenia i analizy związane z zastosowaniami komercyjnymi wciąż obowiązują. Mówią one bowiem o tym, że musimy wprowadzić zdecydowanie lepszą jakość połączeń sieciowych w związku z coraz większą mobilnością społeczeństwa. 5G są to bowiem fale krótkiego zasięgu. Eksperci mają jednak teraz przed oczyma statystyki i wykresy, przedstawiane przez wielkich operatorów internetowych takich jak Google czy Apple, po tym, jak mobilność spadła w związku z pandemią.

Pandemia zapewne niedługo się skończy, ale część osób twierdzi, że tego typu stany mogą powracać do naszego życia – może nawet co roku. Pytanie, czy wówczas wdrożenie tej technologii oparte byłoby na takich samych współczynnikach ekonomicznych, jak było przy wcześniejszych założeniach. Korekta biznesplanów z uwzględnieniem kosztów i zysków może potencjalnie opóźnić wdrożenie.

Od biznesplanu wiele zależy.

Poza tym w warunkach powszechnego przeniesienia dużej części naszej aktywności do internetu operatorzy są skoncentrowani na utrzymaniu jakości tego systemu, który już istnieje. Przy obecnych wydatkach mogą mieć mniejszy apetyt na szybką rozbudowę sieci 5G.

Ważny jest też nie tylko aspekt ekonomiczny, ale i strona bezpieczeństwa.

Ekspert: pełna kontrola Chin nad 5G to byłby poważny problem. Chodzi o stabilność Zachodu

CZYTAJ TAKŻE: "Ścisłe kierownictwo partii Chin biznes rodzinny, układ rodzinny. Nie ma mowy o merytokracji, nagrodach za zasługi" >>>

Jednym z ważniejszych elementów tego wyścigu jest nowy akt prawny, który pod koniec marca pojawił się w Stanach Zjednoczonych – określany jest jako "Secure 5G and Beyond Act of 2020".

W wolnym tłumaczeniu to akt, który ma wprowadzać zasady bezpiecznego wdrożenia technologii komputerowych – 5G i każdej następnej – poprzez odpowiednie strategie. Prezydent USA został zobowiązany do wypracowania takiej strategii. Jak to zwykle bywa w warunkach amerykańskich, wyznaczono dokładny zakres i czas jej przygotowania. To 180 dni. Można zatem spodziewać się jej we wrześniu.

Strategia dotyczy trzech głównych punktów. Chodzi w nich przede wszystkim o to, by kolejne systemy telekomunikacyjne oparte na 5G oraz następne technologie były wdrażane w Stanach Zjednoczonych w sposób bezpieczny. Z naszego punktu widzenia bardzo ciekawy jest drugi punkt tego aktu, w którym mówi się, że Stany Zjednoczone mają w ramach strategii przewidzieć asystę, pomoc przy włączaniu w proces zabezpieczenia również swoich sojuszników.

Ten aspekt pojawiał się w temacie 5G od początku. To dla jasności bardzo praktyczny aspekt – nie jest to próba dominacji ekonomicznej. Bo przez sojuszników należy rozumieć inne państwa członkowskie NATO. Ośrodki dowodzenia, siły zbrojne poszczególnych państw, w działaniach sojuszniczych zakładają możliwość wspólnej komunikacji i wspólnego włączania się w sieci, które mają ze sobą współdziałać.

PAP

CZYTAJ TAKŻE

Łańcuchy dostaw się rozrywają. To szansa dla Polski i Trójmorza, jednak Zachód musi wspólnie stawić czoło Chinom

Trudno tutaj podważać argument, że sieci te muszą być równie bezpieczne dla każdego z członków. Stany Zjednoczone są dominującym krajem NATO – i zapewne tak zostanie długo, jeśli nie zawsze. Nie pozwolą na dołączenie sieci, do których nie mają zaufania.

To nie oznacza, że każda sieć 5G musi być taką zaufaną siecią. Jednak na pewno ta, która miałaby w takiej kooperacji państw członkowskich działać, raczej musi.

Poza tym każdy operator i tak będzie musiał spełnić pewne warunki związane z obronnością państwa. Mówię tutaj np. o polskim rozwiązaniu, ale tak jest właściwie wszędzie na świecie. To znowu zmieniałoby odpowiedź na pytanie, czy każda sieć musi być zaufana, czy nie każda.

Wiele jest tu różnych czynników, składujących się na końcową ocenę sytuacji. Nie ma jednak żadnych wątpliwości, że mamy kluczowy i ciekawy okres, jeśli chodzi o dalsze losy technologii 5G.

Widać w świetle powyższego, jak ważne jest bezpieczeństwo.

To nie jest rzecz wydumana. 5G trzeba rozpatrywać w dwóch obszarach – gospodarczym, komercyjnym, budowania gospodarki, nowych rozwiązań, nowych usług, ale także w sferze związanej z bezpieczeństwem państwa.

Te kwestie w tym przypadku w niezwykle dużym zakresie zbiegają się – jak w żadnym innym przypadku w obszarze technologicznym do tej pory.

NATO buduje wspólne bezpieczeństwo, więc jeśli robi się w nim wyłom, zagrożona jest cała forteca. 5G jest ważne właśnie z tego punktu widzenia, tymczasem część osób myśli o tej technologii jako o zwykłym produkcie.

Myślenie ludzi czasem może być takie: "5G oznacza, że będzie można w czasie rzeczywistym oglądać dowolny materiał multimedialny, z dowolnego miejsca, w najwyższej jakości obrazu…".

Ktoś może sobie wyobrazić, że jeśli zaatakują 5G – to najwyżej nie będzie oglądał. W tym przypadku nie jest to wielki kłopot. Bez platformy wideo można wytrzymać tygodnie, miesiące, a niektórzy w ogóle z niej nie korzystają.

Podsyłane są nam jednak do analizy rozmaite przykłady, które czasami mają znaczenie z punktu widzenia planu biznesowego, bo próbuje się działać na wyobraźnię potencjalnych klientów. Jednych przekonuje się o dostępności filmów, innym wskazuje na samochody autonomiczne.

Ale pamiętajmy o tym przykładzie, który będzie dotyczył nas jako jednostki, ale w sumie, w masie, będzie niezwykle wrażliwym elementem dla całego państwa i wszystkich nas z osobna. Warto tu przypomnieć pojęcie infrastruktury krytycznej. Spójrzmy na projektowane smart cities. Mogą być inteligentnie sterowane, w mieście możemy mieć inteligentny system świateł etc. Każdy będzie to postrzegał jako pewną wygodę. Z drugiej strony ten system, zaatakowany, może sparaliżować wielkie ośrodki albo doprowadzić do katastrof w transporcie.

Groźny będzie nawet paraliż, który spowoduje, że pewne rzeczy będą niewykonalne.

Smart cities to również sterowanie energią, masą najróżniejszych procesów, które towarzyszą współczesnemu miastu. To zatem przykład tego, jak mając kontrolę nad technologią, można potencjalnie zaatakować infrastrukturę krytyczną.

Dlatego aspekt bezpieczeństwa tutaj jest niezwykle ważny. Jeśli się decydujemy, że przerzucamy do sieci teleinformatycznej bardziej wrażliwe elementy naszego funkcjonowania jako organizmu państwowego, a 5G daje nam taką możliwość, to robienie tego bez przemyślenia aspektów bezpieczeństwa technologicznego związanego z łańcuchem dostaw, byłoby bardzo nierozsądne, mówiąc prosto – niemądre, głupie.

Dlatego dyskusja cały czas toczy się na równoległych torach. Chodzi o to, co możemy osiągnąć, jeśli chodzi o funkcjonalności w sieci 5G i jakie musimy przy tym zapewnić zasady bezpieczeństwa, by można było czuć się bezpiecznie.

W kontekście obronnym podkreśla się, że chodzi o przepływ informacji, dzielenie się nimi. Były apele np. sił zbrojnych Kanady, by sieć 5G budować razem z sojusznikami. To samo robią też Stany Zjednoczone – podkreślają ten aspekt bezpieczeństwa.

Absolutnie należy brać ten aspekt pod uwagę. Ci, którzy działają w resortach obronnych, wdrażają rozwiązania, które nie są w oderwaniu od reszty krajowej infrastruktury i od rozwiązań cywilnych.

Obecnie, jakakolwiek infrastruktura jest budowana dla celów cywilnych, w praktyce ma również swoją rolę w ewentualnym konflikcie.

Te rozwiązania są konsultowane z resortami obrony poszczególnych państw. Wdrożenie bowiem poważnych technologii, w tak ważnym obszarze jak sektor transportu, energii, bez takich konsultacji wydaje się niemożliwe. Energia jest potrzebna wojsku, transport jest potrzebny wojsku, każdy z operatorów tego rodzaju usług musi świadczyć usługi na potrzeby obronności państwa. Tego być może nie widzimy na co dzień, ale taka jest organizacja. I w warunkach zagrożenia w państwie np. przestają jeździć pociągi osobowe, zaczynają kursować te wożące uzbrojenie. Przygotowane na tę okoliczność są specjalne plany.

Jeśli ktoś buduje sieć transportu kolejowego w oparciu o najnowsze technologie, związane z informatycznym sposobem sterowania tymi sieciami, muszą one być bezpieczne. Bo w tym przypadku potencjalny sabotaż dziś przybrałby zupełnie inną postać: ataku teleinformacyjnego. A jego skutki mogą być zaś dokładnie takie same jak ataku kinetycznego.

To, że słyszymy tylko o technologiach i usługach cywilnych, nie oznacza, że one nie mają swoich aspektów obronnych dla całego kraju.

Nie da się ich zatem tak w pełni oddzielić.

Tak, im większa bliskość do infrastruktury krytycznej, tym bliżej do obronności. W przypadku stanu wyjątkowego operator telekomunikacyjny, usług transportowych czy firma energetyczna, staje się de facto przedsiębiorcą zmilitaryzowanym, który świadczy swoje usługi na rzecz najważniejszego wówczas podmiotu z punktu widzenia funkcjonowania państwa, jakim jest resort obrony narodowej.

Te wszystkie kwestie mają swój aspekt komercyjny. Jednak nie można oderwać ich także od aspektu obronnego, związanego z bezpieczeństwem państwa.

Z drugiej strony historia wdrożenia 4G pokazuje, że te państwa, które zrobiły to szybko i sprawnie, mogły liczyć na towarzyszący temu wzrost gospodarczy. Mówimy o technologii, która ma być także środkiem potencjalnego zdobycia przewagi konkurencyjnej w rozwoju gospodarczym.

Stąd dylematy: działać czy czekać na bezpieczne rozwiązanie. Niektórzy mówią: czekać to oznacza, że świat ucieknie nam od strony ekonomicznej.

Jednak jeśli system się załamie, bo nie będzie bezpieczny, to i gospodarka się załamie. Jeśli nie będzie rokowań, że system jest stabilny, jeśli będzie czymś zagrożony, to nikt nie będzie chciał w niego na dłuższą metę inwestować, bo tworzy się też analizy ryzyka… Dobrze byłoby połączyć korzyści gospodarcze i bezpieczeństwo, tym bardziej że to ostatnie je warunkuje.

Wiele wskazuje na to, że technologia chińska jest o krok do przodu w stosunku do innych aktorów. Po stronie Zachodu widzimy zaś sojusze, np. podmiotów amerykańskich i skandynawskich. Dziś Chińczycy przychodzą z propozycją gotowych rozwiązań, często lepiej przetestowanych niż to, co może zaproponować konkurencja.

Ryzyko jest duże, jeśli chodzi o wybór producenta technologii. Może przesądzić o losie państwa.

Zwróćmy uwagę na nazwę amerykańskiego aktu prawnego, który mówi o technologii 5G i następnych. U wrót stoją kolejne technologie. To, co się dzieje, to nie jest kolejne przejście między 3G i 4G. By odzwierciedlić skok jakościowy między 4G a 5G, trzeba by nadać mu o wiele wyższą numerację, może nawet 10G. Ten skok jakościowy determinuje dużą część naszej przyszłości.

W kolejce są następne technologie? Czego można się spodziewać? Pojawi się sztuczna inteligencja?

Sztuczna inteligencja to nieco inna kategoria. W świecie informatycznym mówimy o pewnych warstwach, z których zbudowana jest całość teleinformatyki.

5G jest warstwą niższą, daje narzędzia, kanały komunikacji i technologię do tego, by dzięki wydajności tej infrastruktury zacząć realizować projekty zupełnie innego kalibru w warstwie software.

W sieci 5G będziemy mogli w czasie rzeczywistym poruszać się w środowiskach wirtualnych, sterować awatarem, który jest po drugiej stronie świata. Będziemy mogli robić to w pełni sprawnie. Można sobie wyobrażać, że użytkownik będzie graczem wideo albo sportowcem. Jednak są i kwestie znacznie poważniejsze, jak na przykład telemedycyna, o której teraz wiele się mówi. Dzięki 5G lekarz może przeprowadzić operację, nie będąc fizycznie na miejscu operacji.

Warstwa wykorzystania technologii 5G - aktualnie daje nam możliwości wykorzystania algorytmów, które wymagają nieorganicznych nawet przepustowości. Jesteśmy mniej podatni na błędy, opóźnienia, awaryjność tej technologii – bo na przykład w autonomicznym ruchu samochodowym nie może być opóźnień.

Kto jednak wybuduje sieci 5G w Europie?

Wybudują ci, którzy wygrają wyścig, biorąc pod uwagę dwa aspekty, o których wciąż mówimy – będą mieli najlepszą ofertę komercyjną, najlepszą dla operatorów, i ci, którzy przejdą przez filtr różnych obostrzeń nakładanych przez poszczególne państwa, jeśli chodzi o bezpieczeństwo tych rozwiązań.

Pozostaje pytanie, w jakim stopniu te obostrzenia będą uzgadniane wspólne. 30 kwietnia minął termin nadsyłania do Komisji Europejskiej sprawozdawczości dotyczącej tego, jak rekomendacje, które znalazły się w tzw. 5G Security Toolbox, zostały implementowane przez poszczególne państwa. Zapewne dowiemy się o tym w sposób zbiorczy na koniec czerwca. Grupa robocza ma wówczas przygotować syntezę tych poczynań. Już teraz jednak widać, że różne państwa różnie do tego podchodzą. Filtry bezpieczeństwa zapewne będą różne.

W Polsce, jak przypuszczamy, wdrożenia nie będzie można uzależnić od jednego dostawcy. Będzie musiał to być dostawca zaufany – można jednak dyskutować długo, co to oznacza. Jesteśmy u progu wprowadzenia zbioru zasad w postaci zapisów do ustaw czy specjalnych rozporządzeń dotyczących działalności operatorów telekomunikacyjnych. Takie prace w tej chwili się toczą.

Dopiero później będzie można powiedzieć, które z wprowadzonych zapisów są precyzyjne, które są miękkie. Ważne będzie i to, jak te rekomendacje będą w praktyce realizowane.

Z Mirosławem Majem, ekspertem ds. cyberbezpieczeństwa z Fundacji Bezpieczna Cyberprzestrzeń rozmawiała Agnieszka Marcela Kamińska, PolskieRadio24.pl

PAP