Jeszcze niedawno były to tylko wirusy rozsyłane do naszych domowych komputerów, robiące więcej bałaganu niż rzeczywistej szkody. Poźniej mieliśmy technoterroryzm polegający na niszczeniu danych zapisanych na dyskach komputerów, w czym specjalizowały się grupy antyrządowe. Wciąż jednak wszystko odbywało się w świecie wirtualnym, nierzeczywistym. Dziś to kradzież tożsamości na wielką skalę, przechwytywanie tajnych danych, włamania na konta bankowe, a także wpływanie na decyzje wielkich korporacji, a nawet zagrożenie bezpieczeństwa poszczególnych państw. Im większa skala internetowego ataku, tym częściej pojawia się stosunkowo nowe określenie – cyberterroryzm.
Niedawna decyzja SONY o wycofaniu z kin filmu „The Interview” jest doskonałym przykładem tego, jak szybko w XXI wieku rzeczywistość przegoniła fantazje pisarzy science-fiction sprzed zaledwie kilkudziesięciu lat. Nie mówimy już o kradzieży numerów kart kredytowych i danych osobowych, ale o skutecznym zastraszeniu wielkiej korporacji i wywołaniu reakcji rządu najpotężniejszego państwa świata. Mimo że sprawa miała już swój ciąg dalszy i jak się okazało, SONY finansowo na zamieszaniu nie ucierpiało, to musimy pamiętać, że niemal w tym samym czasie inny producent filmowy odwołał premierę nie związanego z „The Interview” obrazu tylko dlatego, że jego akcja rozgrywała się w Korei Północnej, a Paramount zrezygnował z pomysłu na powtórne wyświetlanie kreskówki „Team America” bo wyśmiewa ona ojca obecnego przywódcy tego kraju, nieżyjącego już Kim Jung Il`a.
Amerykańskie agencje bezpieczeństwa niemal natychmiast doszły do wniosku, że rzeczywiste zagrożenie zapowiadanymi przez hakerów atakami w stylu 9/11 jest niewielkie, w związku z czym reakcja Sony i pokrewnych jej firm wielu zaskoczyła. Okazało się jednak, że nie tyle chronią one potencjalnych widzów w kinach, ile siebie przed dalszymi atakami cybernetycznymi i ewentualnym wyciekiem poufnych danych.
W Boże Narodzenie grupa hakerów nazywających siebie Lizard Squad niemal całkowicie zablokowała systemy Playstation i Xbox, co dla milionów osób oznaczało nie tylko niedostępność gier, ale również większości serwisów telewizyjnych i filmowych, które bez zalogowania do sytemu nie chciały działać. Wprawdzie zrobiono to pod hasłem „wyjdźcie w święta z domu”, ale po raz kolejny pokazało nam, ze grupa zdolnych nastolatków z dostępem do internetu jest w stanie decydować o niektórych elementach naszego życia.
Problem w tym, że mogą uczynić znacznie więcej szkody. Wraz z postępem możliwości są coraz większe, a zagrożenie coraz bardziej realne. Dwóch uczniów jest w stanie za pomocą telefonu komórkowego na miesiąc zablokować komputery dystryktu szkolnego, by uniemożliwić wystawianie ocen i sprawdzanie obecności, co niedawno miało miejsce na przedmieściach Chicago. Grupa zmotywowanych hakerów z innego kraju może za pomocą bardziej zaawansowanego sprzętu teoretycznie dostać się do komputera zarządzającego elektrownią atomową, systemu nawigacyjnego FAA, czy krajowej sieci energetycznej. Szkody tam poczynione nie będą już tylko liczone w miliardach dolarów, ale rownież liczbą ofiar śmiertelnych.
Komputery towarzyszą nam wszędzie. Spełniając coraz więcej funkcji ułatwiają i uprzyjemniają nam życie, a także gwarantują dalszy rozwój każdej niemal dziedziny. Jednocześnie stanowią coraz większe zagrożenie. Mamy je w domu, samochodzie, samolocie, w sygnalizacji świetlnej, w kieszeni, a od niedawna coraz częściej na przegubie dłoni. W znacznie większym stopniu, niż sobie z tego zdajemy sprawę, sieci informatyczne i łącza internetowe wykorzystuje wojsko. Oprogramowanie do tych wszystkich urządzeń pisze coraz więcej specjalistów, coraz większa ich liczba zajmuje się jednocześnie zapewnieniem nam bezpieczeństwa. Bo współczesna sieć internetowa to przecież plac zabaw dla hakerów, więc i cyberbezpieczeństwo nie jest już dla prywatnego sektora i agencji rządowych mniej ważnym tematem.
Działania hakerów kosztują biznes i indywidualnych użytkowników na całym świecie już ponad 500 miliardów dolarów rocznie, a eksperci oceniają, że mimo coraz lepszych zabezpieczeń suma ta będzie z roku na rok coraz wyższa. Poza tym, podana liczba jest na pewno zaniżona – firma McAfee ocenia ją na co najmniej trylion - gdyż wiele firm i państw nie zgłasza ataków chroniąc swoje dane, a przede wszystkim reputację.
W tej chwili cyberprzestępczość stanowi około 0.8 światowego produktu brutto, z czego największe straty notują USA i Europa – wynika z raportu opublikowanego przez Center for Strategic and International Studies (CSIS). Dla porównania, 0.9 światowego produktu brutto przeznacza się na walkę z produkcją, przemytem i handlem narkotykami.
„Nie jesteśmy w stanie zatrzymać większości cyberprzestępców, zwłaszcza tych najlepszych i najbardziej skutecznych – mówi James Lewis z CSIS, współautor raportu – Tu tkwi problem. Na razie są oni całkowicie bezkarni”.
Niezależnie jaki jest rzeczywisty koszt cyberprzestępczości, na pewno będzie on coraz wyższy, zwłaszcza biorąc pod uwagę błyskawicznie rozwijający się sektor komunikacji mobilnej. Według Homeland Security firmy kupujące skradzione dane doskonalą się w sposobach ich wykorzystania. Za pomocą sieci komputerowych hakerzy są w stanie ukraść nie tylko nasze karty kredytowe, ale też wyniki wieloletnich i kosztownych badań, skomplikowane technologie, a także informacje służące późniejszemu szantażowi. To wszystko kosztuje nie tylko sektor prywatny i konsumentów, na których straty te są rozkładane, ale również budżety krajów starających sie przeciwdziałać temu procederowi. Ocenia się na przykład, że amerykańskie firmy mogłyby wykorzystać utracone w wyniku cybernetowych ataków pieniądze na stworzenie 200 tysięcy miejsc pracy.
Dla samych hakerów kradzież danych jest mniejszym problemem, niż późniejsza ich sprzedaż. Dlatego coraz częściej mamy do czynienia z atakami na zamówienie, zwłaszcza w świecie biznesu. Szpiegów gospodarczych wyposażonych w mikrokamery zastąpili młodzieńcy spędzający całe dnie przy klawiaturach swych komputerów.
W okresie ostatnich 12 miesięcy niemal połowa mieszkańców USA miała do czynienia z kradzieżą danych personalnych – numerów kart kredytowych, social security, prywatnych zdjęć i listów, donosi w dorocznym raporcie PriceWaterhouseCoopers. Już w lutym rząd federalny wydał listę wskazówek dla prywatnych firm dotyczącą przeciwdziałania cyberatakom. Skorzystały z nich nieliczne. Jednym z zaleceń było zatrudnienie specjalistów od zabezpieczenia sieci, co byłoby najlepszym i najtańszym sposobem obrony. Tu pojawia się problem. Specjalistów takich brakuje, nie tylko w Stanach Zjednoczonych, ale na całym świecie.
W 2009 r. niedochodowa organizacja Air Force Association zapoczątkowała program o nazwie CyberPatriot, który w formie konkursu miał zainteresować młodych ludzi uzdolnionych w kierunkach ścisłych, karierą konsultanta ds. bezpieczeństwa cybernetycznego. Po kilku latach przekonaliśmy się, że twórcy programu popełnili błąd zapraszając do rywalizacji tylko uczniów szkół średnich, których wtedy uznano za najbardziej podatnych i rokujących największe nadzieje. Okazało się, że to zbyt późny wiek na doskonalenie w tym kierunku. W tej chwili Cyber Patriot odnosi sukcesy, jednak upłynie jeszcze kilka lat zanim program ukończą obecni nastolatkowie, czyli przyszli specjaliści od bezpieczeństwa sieciowego. Na pewno wybrali właściwą karierę, bo bez trudu znajdą dobrze płatne zatrudnienie w agencjach federalnych i prywatnym sektorze. Nie będą się tam jednak zajmowali wyłącznie ochroną numerów naszych kart kredytowych, ale bezpieczeństwem transportu, urządzeń i danych medycznych, sieci energetycznych oraz tajemnic rządowych.
Zarobki są naprawdę niezłe. Agencja Reuters dokonała analizy wydatków firm zaliczanych do elitarnej grupy Fortune 500. Okazało się, że szef działu bezpieczeństwa cybernetycznego może w nich liczyć na zarobek rzędu 200,000 – 700,000 dolarów rocznie. Sondaż przeprowadzony wśród specjalistów z tej branży wykazał, iż średnia pensja wynosi wsród nich ok. 120 tysięcy dolarów. Mimo tak wysokich wynagrodzeń liczba nieobsadzonych etatów jest spora. Powodów jest kilka. Pierwszy częściowo opisany został wcześniej, to brak zachęty do wyboru tej kariery we wczesnym wieku. Drugi to przepływ części najzdolniejszych programistów na tzw. ciemną stronę. Według raportu przygotowanego przez zespól MCaffe Virtual Criminology nowe pokolenie cyberprzestępców jest rekrutowane przy użyciu tych samych technik jakie stosowało KGB przy werbowaniu agentów podczas zimnej wojny. Drugi raport tego samego autorstwa oparty na informacjach pochodzących z czołowych europejskich jednostek do walki z przestępczością komputerową jak i z FBI, rzuca jeszcze inne światło na przestępstwa komputerowe. Według niego zorganizowane gangi cyberprzestępców pozyskują uczniów z najlepszych szkół i ośrodków akademickich dostarczających odpowiedniej wiedzy i umiejętności potrzebnych do dokonywania przestępstw komputerowych. Stosowane są także praktyki werbowania zdolnych nastolatków, którzy wabieni sławą i ogromnymi pieniędzmi dokonują przestępstw komputerowych.
Greg Day, analityk ds. bezpieczeństwa w firmie McAfee stwierdza, iż "Cyberprzestępczość już dojrzała i przekształciła się w ogromny biznes. Przestępcy mogą szybko zarobić ponosząc minimalne ryzyko, przez co ich szeregi cały czas rosną. Wraz z rozwojem technologii wzrasta też liczba okazji do dokonania przestępstwa mających globalny charakter, nieograniczony geograficznie zasięg i nie znających barier językowych".
W czasie gdy Kongres stara sie zmniejszyć wydatki na różne cele, cyberbezpieczeństwo pozostaje jednym z priorytetów. Na przykład Pentagon poprosił w 2015 roku o ponad 5 mld. dolarów na ten cel. Departament Pracy ocenia, że w najbliższych latach powstaną dziesiątki tysięcy miejsc pracy dla specjalistów ds. zabezpieczeń komputerowych.
Zmasowane ataki hakerów sprawiły, że w inny sposób mieszkańcy USA spoglądają teraz na przyjętą po cichu przez Kongres zaledwie kilkanaście miesięcy temu ustawę CISPA, czyli Cyber Intelligence Sharing and Protection Act. W momencie jej podpisywania traktowana była jako zamach na wolność internetu, próbę kontroli społeczeństwa i wielki krok w kierunku orwellowskiego świata. Zwolennicy Cyber Intelligence Sharing and Protection Act uważają, że Amerykanie muszą się bronić przed cyberterrorystami i podobnie jak w przypadku Patriot Act muszą zrezygnować z niektórych praw i przywilejów na rzecz tego bezpieczeństwa. Coraz więcej osób zaczyna się z tym zgadzać. Problem w tym, że CISPA nie pomaga w zabezpieczeniu cyberprzestrzeni i nie jest swoimi zapisami w stanie pomóc w ochronie rządowych i biznesowych serwerów, czy prywatnych komputerów. Jej głównym zadaniem jest kontrola komunikacji pozwalająca na wskazanie potencjalnych terrorystów, którzy w ramach przygotowań do zamachów wykorzystują internet, choćby do komunikowania się między sobą, dokonywania niezbędnych zakupów, itd. Mając świadomość istnienia takiej ustawy śpimy spokojniej, choć tak naprawdę nie zabezpieczy ona naszych danych i pieniędzy na kontach, a jedynie pozwoli na dostęp do przesyłanych przez nas informacji. Zresztą większość dużych ataków cybernetycznych przeprowadzana jest na terenie USA z terytorium innego kraju, gdzie amerykański wymiar sprawiedliwości zwykle nie sięga. Kongres domaga się od rządu wywierania większego nacisku na inne kraje w zwalczaniu cyberprzestepczości. Na razie jednak są to działania mało skuteczne, a hakerzy w większości pozostają bezkarni.
Na podst. U.S. News, Businessweek, uplook.net
opr. Rafał Jurak
