- Kto ma utalentowanych hakerów, ten jest najpotężniejszy w cybernetycznej walce – mówi w rozmowie z money.pl zajmujący się cyberbezpieczeństwem prof. Jarno Limnéll z Uniwersytetu Aalto. I przekonuje, że zagrożeniem większym od włamań do systemów jest manipulowanie informacjami, by wpływać na nasze przekonania. Ochronić przed takimi próbami może europejskie społeczeństwa... edukacja.
Marcin Lis: Jeden z ekspertów zajmujących się cyberbezpieczeństwem stwierdził w rozmowie z naszym portalem, że społeczeństwa w minionych sześciu dekadach żyły w cieniu zagrożenia nuklearnego, a przez kolejne sześć będą żyły w cieniu zagrożenia cybernetycznego. Zgodziłby się pan z tym twierdzeniem?
Prof. Jarno Limnéll: I tak, i nie. Myślę, że w przyszłości także będziemy mierzyć się z zagrożeniem nuklearnym, a wiemy, jakie zniszczenia może powodować broń atomowa. W pełni zgadzam się tym, że obserwujemy trend digitalizacji, który spowoduje prędzej czy później, iż każda informacja zostanie poddana temu procesowi. To rodzi bardzo wiele skutków dla naszego codziennego życia, prowadzenia biznesu, czy bezpieczeństwa narodowego. Radykalny rozwój technologii dokonywany przez rodzaj ludzki powoduje, że to ostatnie jest nierozerwalnie związane z cyberprzestrzenią.
NATO postanowiło wyjść naprzeciw ryzyku i uznało cyberprzestrzeń za kolejny teatr działań wojennych.
To był nie tylko dobry, ale i niezbędny krok. Współczesne wojny faktycznie prowadzone są na lądzie, morzu, w powietrzu, kosmosie i właśnie w cyberprzestrzeni. Ten ostatni z teatrów wojennych wykorzystywany jest coraz częściej. Przyznanie się do tego, że działania na nim są prowadzone, zrodziło konieczność podjęcia działań. Przygotować się do obrony, ale także rozwijać zdolności ofensywne w cyberprzestrzeni.
Zdolności ofensywne, czyli? Na lądzie odpowiadają za nie m.in. czołgi, w powietrzu samoloty, a w sieci? Ciemne pomieszczenia pełne zakapturzonych hakerów?
Gdy oglądał pan parady wojskowe, na pewno widział pan maszerujących w mundurach żołnierzy, jadące czołgi lecące myśliwce. Ale czy widział pan kiedyś żołnierzy odpowiedzialnych za działania wojenne w cyberprzestrzeni?
Chyba nie.
No właśnie. Bo jak można pokazać te zdolności? Do ich osiągnięcia potrzebne są organizacje, środki i technologie. Ale przede wszystkim niezbędne są utalentowane jednostki. Mówiąc wprost: utalentowani hakerzy. Kto ich ma, ten jest najpotężniejszy w cybernetycznej walce. W skrócie chodzi o to, by móc w cyberprzestrzeni wpłynąć na systemy przeciwnika, ale także na niego samego. Na sposób myślenia społeczeństwa.
Utalentowani hakerzy... Tylko skąd ich wziąć? Wyobraźnia podpowiada propozycje składane "złapanym za rękę" wirtualnym przestępcom przed sądem.
To nie jest sytuacja, którą trzeba sobie wyobrażać, czy oglądać w filmach. Zdarzały się takie przypadki. Na przykład w Rosji. Element ludzki to jeden z kluczowych punktów. Szacuje się, że wkrótce liczba osób zdolnych do dokonywania naruszeń bezpieczeństwa w sieci osiągnie liczbę 350 tys. Żeby się zabezpieczyć, potrzebujemy dużo więcej ekspertów od bezpieczeństwa. Moim zdaniem, jednym z rozwiązań jest otwarcie branży na kobiety. Większość jej pracowników to obecnie mężczyźni, a wiem o bardzo wielu utalentowanych kobietach, które mogłyby pracować jako eksperci od cyberbezpieczeństwa. Musimy je inspirować, by zajmowały się tą dziedziną profesjonalnie.
W szkołach powinien pojawić się specjalistyczny przedmiot przygotowujący do działań w sieci?
Świadomość tego, w jaki sposób bezpiecznie korzystać z cyberprzestrzeni musi się stać podstawową umiejętnością społeczną taką, jak czytanie i pisanie. Każdy mieszkaniec Europy powinien wiedzieć, w jaki sposób żyć i pracować w sieci bezpieczne. To tylko podstawa, a my musimy wykształcić profesjonalistów.
Czy istnieje zatem jakikolwiek aspekt życia, który jest bezpieczny od zagrożenia cybernetycznego?
Gdy w Finlandii, która jest jednym z najbardziej rozwiniętych cyfrowo państw, toczyliśmy dyskusję o krytycznych elementach życia społeczeństwa, doszliśmy do wniosku, że cyberprzestrzeń obecna jest w każdym aspekcie. Stała się ona integralną częścią życia i jesteśmy od niej zależni. Kiedy jesteśmy zależni, jesteśmy bardziej narażeni na ataki. Ktoś, kto z zewnątrz postanowi zaingerować w naszą sieć, może paskudnie namieszać.
Tym problemem postanowiła się zająć Unia Europejska, ale nie wiem, czy nie postanowiła pójść o krok za daleko. Toczą się rozmowy w sprawie umożliwienia państwom odpowiedzi konwencjonalnymi środkami militarnymi na atak w cyberprzestrzeni.
Jestem w stanie sobie wyobrazić, że w przyszłości bardzo poważny atak w sieci wywoła kinetyczną odpowiedź państwa.
Ja z kolei wyobrażam sobie nieodpowiedzialnego polityka, którego jedno słowo za dużo wywołuje wojnę...
Ale przecież podejście takie samo, jak zawarte w projektowanym dokumencie, jest już obecne w Unii Europejskiej. Zjednoczone Królestwo otwarcie poinformowało, że rezerwuje sobie możliwość użycia siły w odpowiedzi na atak cybernetyczny. Także NATO uważa, że tego typu poważny atak jest wystarczającym powodem do przywołania artykułu piątego. Może się tak stać, ale należy pamiętać, że zawsze istnieje pytanie o sposób odpowiedzi. Przecież można wykorzystać środki polityczne, sankcje ekonomiczne, czy nawet dokonać odwetu w sieci. Być może zupełnie jawnie. Odpowiedź środkami konwencjonalnymi to ekstremalny przypadek, więc politycy muszą pamiętać o całym wachlarzu możliwości... I dokonywać mądrych wyborów.
Polska i Finlandia ze względu na geografię muszą mierzyć się z podobnym problemem. Nasz wspólny sąsiad – Rosja – jest uważany za jednego z największych "chuliganów" w światowej cybeprzestrzeni. Słusznie?
Na tę kwestię należy spojrzeć przez pryzmat zagrożenia ze strony różnych graczy. Poza ich zdolnościami należy myśleć o tym, czy istnieje wola do ich wykorzystania. Oszacowanie zdolności pojedynczego kraju jest bardzo trudne, ale gotów jestem zaryzykować tezę, że Rosja to jedno z trzech państw najlepiej przygotowanych do wojny w sieci. Gdy spojrzymy na to, co działo się w minionych latach, to zauważymy, że istnieje tam również wola do wykorzystywania zdolności ofensywnych w cyberprzestrzeni.
Mówimy o próbach ataków na elementy infrastruktury rządowej innych państw?
Nie tylko. Moim zdaniem od typowych ataków takich, jak włamania, bardziej powinniśmy się bać działań psychologicznych. Wywierania wpływu na społeczeństwa. Na to, jak myślimy. Największe starcia w przyszłych wojnach w sieci będą toczone w naszych głowach, o nasze myśli i opinie. To jest sprawa, której powinniśmy poświęcić więcej uwagi. I to nie tylko w kontekście zagrożenia ze strony Rosji, ale wszystkich graczy.
Także wielkiego biznesu? Nie jest tajemnicę, że największe firmy na potęgę zbierają dane o nas.
Firmy takie, jak Google, Facebook, czy Apple zbierają informacje o tym, kim jesteśmy i co robimy. Później je analizują i profilują każdego użytkownika. Wiedzą, jakimi osobami jesteśmy, co lubimy robić, co lubimy jeść... Później sprzedają te informacje. To właśnie posiadanie danych będzie w kolejnych latach kluczem do prawdziwej władzy.
Takie dane mogą być też kluczem do władzy politycznej? Jesteśmy zasypywani doniesieniami o możliwych zewnętrznych ingerencjach w proces wyborczy w USA, Holandii, Francji, czy najnowsza informacji w kampanię referendalną ws. Brexitu.
No właśnie. Manipulowanie informacjami jest znacznie groźniejsze niż proste włamania i kradzieże danych. Istnieją niejako dwie różne rzeczywistości – obiektywna i subiektywna. Ta pierwsza pokazuje rzeczy, jakimi są, a druga – za jakie je uważamy i jak je odbieramy. Gdy pada deszcz, to opady są obiektywną rzeczywistością. Ale kiedy nie wiemy, jaka ona jest, to za pomocą cyberprzestrzeni można bardzo łatwo wpłynąć na nasze postrzeganie i to, jak powinniśmy rozumieć konkretne zjawiska.
Załóżmy najgorszy scenariusz. Dochodzi do niezauważonego ataku i manipulowana jest informacja, która później stanowi podstawę do tworzenia kolejnych. Czy możliwe będzie jej odnalezienie i przywrócenie do stanu pierwotnego?
Niestety. To działanie jednostronne, co wynika z liczby informacji tworzonych każdego dnia. Problemem będzie samo jej odnalezienie, a później ocenienie co jest prawdą, a co nią nie jest. Jeśli wszystkie dane o społeczeństwie są w wersji cyfrowej i nie możesz im wierzyć, bo ktoś je zmanipulował, wpłynął na ich integralność, to powstaje gigantyczny problem.
W jaki sposób można się zatem zabezpieczyć?
Otoczenie wokół nas zmienia się tak szybko, że skuteczne zabezpieczenie stanowi wielkie wyzwanie. Podstawowym, strategicznym zadaniem jest doprowadzenie do sytuacji, w której obywatele posiadają podstawową świadomość dotyczącą aktywności w sieci. Uważam, że 90 proc. skutecznych ataków i innych naruszeń bezpieczeństwa nie miałoby miejsca, gdyby stosowane były te elementarne zasady.
Najsłabszym ogniwem bezpieczeństwa w cyberprzestrzeni pozostaje człowiek?
Niestety tak. Bezpieczeństwo to kwestia kulturowa, a takie zmiany zawsze zajmują dużo czasu. Dopiero się uczymy nowego cyfrowego świata. Większość problemów, o których mówiłem, nigdy nie miałaby miejsca, gdyby ludzie tworzyli kopie zapasowe, a firmy zapewniały wystarczająco silne hasła.
Finlandia uznawana jest za kraj o społeczeństwie, które jest jednym z najlepiej przygotowanych do bezpiecznego korzystania z sieci. Czego moglibyśmy się od was nauczyć?
Najprostszą i najtańszą metodą jest zwiększanie świadomości obywateli. Choć jej poziom jest w Finlandii wysoki, to i tak przed nami długa droga. Państwo we współpracy z mediami musi upowszechniać informacje, by ludzie traktowali je poważnie. To, co widzę, to fakt, że wysokie zrozumienie zasad bezpieczeństwa wśród młodych ludzi nie ustrzegą ich przed podejmowaniem ryzykownych zachowań. Z kolei starszym brakuje umiejętności. Organizujemy dla nich wyjątkowo popularne kursy, na których dowiadują się, jak zadbać o swoje bezpieczeństwo w sieci. Zachęcałbym wszystkie europejskiej kraje do skutecznych kampanii informacyjnych.
W kontekście młodych ludzi – czy nie należy za winne uznać koncernów. Przecież instalacja prostej aplikacji, może nam zagrozić. Co więcej, zostaniemy przed tym ostrzeżenia, ale w niezrozumiałym regulaminie i warunkach korzystania...
Absolutnie się zgadzam. Jeśli nie jest się prawnikiem, zazwyczaj nic się nie rozumie. Człowiek zgadza się na warunki, bo chce mieć nową aplikację. One mają po 30-40 stron, podczas gdy powinny być zrozumiałe. Chcę zaznaczyć jeszcze jedno. Korzystamy z amerykańskich aplikacji, mediów społecznościowych, wyszukiwarek. Nie ma w tym nic złego, ale pytam: gdzie są europejskie media społecznościowe? Europejski Facebook? Europejski Google lub Apple? Taki ruch bardzo chciałbym zobaczyć w Europie.
Mieliśmy przecież takiego gracza i niestety wiemy, jak skończył. Myślę o...
O Nokii. Ale będzie lepiej. Na pewno.
Wywiad został przeprowadzony w trakcie Warsaw Security Forum 2017