Ekspert: podmioty kluczowe dla polskiej sfery informacyjnej powinny być częścią Krajowego Systemu Cyberbezpieczeństwa
W rozmowie z PAP ekspert, prezes Fundacji Bezpieczna Cyberprzestrzeń, przez wiele lat kierujący zespołem CERT Polska, odniósł się do piątkowego ataku hakerskiego na PAP, w wyniku którego w serwisie Agencji pojawiła się pochodząca z zewnątrz depesza z nieprawdziwą treścią o mobilizacji wojskowej w Polsce.
Maj przestrzegł, że takie sytuacje w odniesieniu do polskiej sfery medialnej mogą się powtarzać. Zaznaczył, że w ocenie zagrożeń nie należy popełniać błędu polegającego na rozłącznym traktowaniu zagrożeń stricte cybernetycznych, zwłaszcza powiązanych z atakami technicznymi na sieci różnych instytucji, od zagrożeń w obszarze infosfery i operacji dezinformacyjnych.
"Ten przypadek pokazuje, że tak nie jest - po stronie atakującej łączone są np. umiejętności techniczne związane m.in. z łamaniem zabezpieczeń z umiejętnościami z zakresu operacji dezinformacyjnych" - podkreślił ekspert.
Maj zwrócił uwagę, że w Polsce obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), na mocy której niektóre podmioty - np. dostawcy usług telekomunikacyjnych, operatorzy kluczowych usług, w tym instytucji z sektora energetyki i transportu - muszą spełniać określone wymogi w ochronie własnych sieci informatycznych przed atakami.
"Natomiast ta ustawa w niewielkim stopniu, jeśli w ogóle, obejmuje tematykę bezpieczeństwa informacji. Skupia się na rozwiązaniach zagadnień o charakterze technicznym i konsekwencjami takich zagrożeń. Może takie superistotne z punktu widzenia działania państwa podmioty jak PAP czy inne ogólnopolskie media, publiczne i kluczowe prywatne, powinny być dopisane do listy podmiotów, od których wymagamy większego poziomu cyberbezpieczeństwa" - ocenił ekspert.
Maj zwrócił też uwagę, że nietrudno wyobrazić sobie podobny atak, który miałby jednak o wiele szersze efekty - w wypadku PAP mogłoby to być długotrwałe odcięcie odbiorców od serwisu czy odebranie nad nim kontroli dziennikarzom i wydawcom. "Przy skoordynowanej akcji samo niedziałanie kilku tak kluczowych serwisów mogłoby spowodować poważne konsekwencje, np. w jakiejś kryzysowej sytuacji" - zaznaczył.
W tej chwili - mówił ekspert - "na warsztacie" jest implementacja do polskiego systemu unijnej dyrektywy NIS2, co będzie się wiązało z potrzebą nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. Unijna dyrektywa m.in. wprowadza pojęcia podmiotów ważnych i kluczowych z punktu widzenia cyberbezpieczeństwa, a także rozszerza katalog branż, które będą musiały zostać objęte KSC o np. administrację publiczną, produkcję żywności, sektor kosmiczny, przemysł i zarządzanie odpadami.
"To jest dobry moment, by wyznaczyć - a może to zrobić minister cyfryzacji - właśnie te podmioty, co do których nie mamy wątpliwości, że odgrywają bardzo istotną rolę w obiegu informacji, jako ważne czy kluczowe, i one wtedy z automatu będą musiały w bardzo poważny sposób zająć się swoim cyberbezpieczeństwem" - powiedział Maj.
"Jeżeli jakiś podmiot jest w Krajowym Systemie Cyberbezpieczeństwa, to zarówno podpada pod szereg różnych obowiązków, które musi realizować, jak również ma takie dodatkowe przywileje, polegające na tym, że np. może oczekiwać pomocy ze strony trzech zespołów CSIRT (zespoły reagowania na incydenty cyberbezpieczeństwa zarządzane przez ABW, NASK i Wojska Obrony Cyberprzestrzeni - PAP)" - tłumaczył ekspert.
Wyraził też wątpliwość, czy za atakiem na PAP rzeczywiście stały służby rosyjskie lub białoruskie. Jego zdaniem, taki atak byłby o wiele bardziej profesjonalny - np. fałszywa depesza, która pojawiła się w serwisie, byłaby napisana i zredagowana w o wiele bardziej profesjonalny i przekonujący sposób, pozbawiona np. błędów językowych. "Trochę mnie dziwi ten komunikat - był on tak źle napisany, że trudno mi sobie wyobrazić, że jakiś poważny podmiot uczestniczył w próbie takiej operacji dezinformacyjnej" - stwierdził Maj.
"Ale wyobraźmy sobie, że jest to porządnie napisany komunikat, który wzbudza zaufanie i pojawia się w bardzo poważnym miejscu, jak serwis informacyjny PAP. Bardzo łatwo mi wyobrazić sobie sytuację, w której taki komunikat jest powielany i wywołuje negatywne konsekwencje" - zaznaczył Maj. Podkreślił, że w dobie masowej cyfryzacji mediów ryzyko różnych zagrożeń, łączących cyberataki z operacjami dezinformacyjnymi, jest bardzo duże i redakcje muszą mieć tego świadomość.
W piątek po godz. 14 w serwisie PAP ukazały się depesze pod tytułem "Premier RP Donald Tusk: 1 lipca 2024 r. zacznie się w Polsce częściowa mobilizacja". Polska Agencja Prasowa podkreśliła, że nie jest źródłem tej informacji; depesza nie powstała w agencji, nie została napisana ani nadana przez pracowników PAP. Depesze zostały anulowane.(PAP)
autor: Mikołaj Małecki
mml/ mrr/ wus/