Informacje o ataku hakerskim na firmę EuroCert niepokoją i wymagają odpowiedniej reakcji państwa. Jak pisał Wicepremier, Minister Cyfryzacji firma stała się ofiarą skutecznego ataku hakerskiego, którego naturę badają obecnie uprawnione podmioty. Choć na razie nie znamy skali i szczegółów, ale już widać, że sprawa jest bardzo poważna.
Minister Gawkowski pisał, że firma informowała „o incydencie cyberbezpieczeństwa dotyczącym naruszenia bezpieczeństwa danych osobowych klientów, kontrahentów i pracowników”. I dodał, że „służby państwa wszczęły odpowiednie procedury mające minimalizować straty wynikające z ataku ransomware”. Z informacji przekazanych przez Ministra wynika, że badaniem sprawy zajmuje się NASK, gdzie „trwa analiza wektora ataku, która ma pomóc wykryć sprawców i zapobiegać podobnym incydentom w przyszłości”.
Sprawa pokazuje, że Polska jest na gorącej wojnie prowadzonej w cyberprzestrzeni. Żaden kraj obecnie nie jest w stanie skutecznie zabezpieczyć się w 100 procentach przed zagrożeniami w cyberprzestrzeni. Dzięki działaniom podjętym w ostatnich latach mamy w Polsce efektywne rozwiązania prawne i instytucjonalne, które pozwalają monitorować i chronić najważniejsze obszary działań państwa. Jednak nigdy nie można spocząć na laurach, o czym właśnie się przekonujemy.
Sprawa ataku na spółkę EuroCert to kolejny dowód, że Polska jest dziś w centrum wojny wywiadowczej. Z uwagi na właściwość tej spółki, instytucje państwowe powinny założyć, że mamy do czynienia właśnie z elementami wojny prowadzonej de facto przez obce służby. Jakie? Pytania o aktywność rosyjskich i białoruskich służb jest oczywista. Ale to niejedyne kierunki możliwego ataku. Sprawę należy potraktować bardzo poważnie właśnie z uwagi na wątek potencjalnych działań obcych wywiadów. To oznacza, że do wsparcia badania tego ataku należy skierować siły ABW i SKW. Zespoły CSiRT GOV i CSiRT MON powinny zostać włączone w badanie, przy wsparciu zespołów kontrwywiadowczych.
Spółka EuroCert zajmuje się w Polsce wrażliwymi usługami dot. dokumentów elektronicznych, w tym wydawaniem elektronicznego podpisu i utrzymywaniem systemu pozwalającego na autoryzowanie działań urzędowych w cyberprzestrzeni. W Polsce te usługi są wciąż ograniczone do wybranej grupy osób, co oznacza, że klientami są kręgi będące w zainteresowaniu obcych służb specjalnych. Wystarczy wskazać, że jedną z instytucji, która chwaliła się podpisaniem umowy właśnie z EuroCert, jest Naczelna Rada Adwokacka. To klient bardzo specyficzny i bardzo ciekawy dla obcego wywiadu. Pytanie czy umowa była kontynuowana i czy wśród ofiar kradzieży danych są polscy adwokaci? Jakie inne priorytetowe grupy społeczno-zawodowe znajdują się wśród klientów spółki? Strona internetowa podmiotu opisuje specyficzne oferty dedykowane m. in. do branży – władz samorządowych, geodezyjnej, placówek edukacyjnych, tłumaczy przysięgłych. To sugeruje, że m.in. w takich obszarach działają klienci spółki. To w wielu miejscach grupy mające dostęp do szczególnych informacji i zasobów, mające realny wpływ na funkcjonowanie państwa polskiego. Pozyskanie materiałów dotyczących osób działających w takich branżach jest dla wywiadu bardzo dużym zyskiem.
Niepokoi skala wycieku danych, o których już obecnie mówi spółka. Są wśród nich informacje pozwalające na oszustwa finansowe na szkodę ofiary – szczegółowe dane personalne, ale przede wszystkim informacje pozwalające budować bazy danych dot. instytucji, kadr, powiązań osobowych, a także choćby do typowania werbunkowego. Materiały pozyskane mogą posłużyć jako informacje uzupełniające i aktualizujące informację zbierane przez wrogów Polski. Co więcej, atak i pozyskanie danych z tej firmy może pomóc w rozpoznaniu systemów kryptograficznych, co może pozwolić wyprodukować fałszywe podpisy klientów spółki. Jeśli atakujący mógł również pozyskać dane osób, których podpisy są już nieaktywne, może być w stanie dane wykorzystywać w działaniach stricte wywiadowczych przeciwko Polsce, choćby do pomocy przy legendowaniu swoich oficerów. Problemem dla państwa polskiego będzie zidentyfikowanie choć jednego przypadku przełamania zabezpieczeń i nieautoryzowanego użycia podpisu kwalifikowanego jednej z ofiar. Chaos, jaki to spowoduje, będzie ogromny. Szczególnie, jeśli nie będzie natychmiastowej reakcji.
Sytuacja budzi poważne ryzyka. Należy zaznaczyć, że dane zostały wykradzione i wkrótce zapewne gdzieś wypłyną, albo zostaną sprzedane. To jednak nie przesądza o jakim typie ataku mówimy. Ataki typu ransomware są bowiem często jedynie elementem operacji hakerskiej, która ma de facto inne cele, a użycie ransomware ma głównie mylić tropy. Tak może być tym razem. Tak czy inaczej, służby powinny zbadać kiedy atakujący uzyskał dostęp do systemów, co w nich robił, kiedy je opuścił (czy w ogóle opuścił) i jakie dane pozyskał, czy jakieś wprowadził. Ważne jest również zbadanie, czy w systemach firmy oraz w innych obszarach cyberprzestrzeni istotnej dla państwa miały miejsce jakieś zdarzenia, które mogą świadczyć o próbie wykorzystania danych pozyskanych w ramach omawianego ataku. To kluczowe. Media o ataku dowiedziały się bowiem 17 stycznia, ale – jak podaje spółka – sam atak miał miejsce 12 stycznia. W międzyczasie mogły mieć miejsce zdarzenia, które mogą rzutować na ocenę szkód, strat i zagrożeń.
Patrząc przez pryzmat zaatakowanego podmiotu, z uwagi na brak szczegółów dotyczących strat i szkód, należy wskazać, że w badanie tego incydentu powinny się włączyć służby kontrwywiadowcze, które mają uprawnienia do analizy tej sprawy na płaszczyznach niedostępnych innym podmiotom Krajowego Systemu Cyberbezpieczeństwa.
Stanisław Żaryn
Dodaj komentarz