Piotr Rogoziński (Onet): W Polsce często dochodzi do włamań na skrzynki pocztowe ważnych ludzi?
Marcin Maj: Zwykłym ludziom takie rzeczy zdarzają się bardzo często. Zdarzają się również w środowiskach firmowych – są wtedy nieco lepiej przygotowane. Zdarza się to również osobom, które wykonują zawody zaufania publicznego, prawnikom, dziennikarzom, różnego rodzaju aktywistom, ale jak widać także politykom.
Przypadek ministra Michała Dworczyka nie był wyjątkiem?
Nie był to pierwszy raz, także w Polsce. Widzieliśmy podobne rzeczy w Niemczech, Stanach Zjednoczonych i wielu innych krajach. Generalnie wszyscy mówią o „cyberataku”, ale ja chętnie użyłbym terminu „atak socjotechniczny”. W rzeczywistości mamy tu do czynienia z atakiem nie tyle na zasoby informatyczne, chociaż oczywiście dostano się do skrzynki mailowej, ale tak naprawdę jest to atak wykorzystujący słabe zabezpieczenia, plus pewne złe nawyki w korzystaniu z usług cyfrowych.
Zobacz także: Afera e-mailowa. Rząd rozważał pomysł wysłania wojska na ulice podczas Strajku Kobiet?
Dalsza część wywiadu znajduje się pod materiałem wideo.
O jakich złych nawykach mówimy?
Tutaj pierwszym złym nawykiem było mieszanie korespondencji prywatnej i służbowej na skrzynce prywatnej. Drugim, mogło być to, że ta skrzynka nie była zabezpieczona tzw. dwuetapowym uwierzytelnianiem. Gdyby tak było, to prawdopodobieństwo ataku spada. Chociaż gdyby to było zabezpieczenie kodem sms, to nadal ten atak jest możliwy, ale jest zdecydowanie bardziej skomplikowany. Wiele zależałoby w tym przypadku od sprawności atakujących.
Generalnie jednak mówimy o ataku na człowieka, a nie na komputer. Dlatego słowo „cyberatak” jest moim zdaniem trochę mylące. To sugeruje, że haker usiadł przed jakimś niesamowicie wypasionym komputerem, napisał nie wiadomo jaki kod czy oprogramowanie i się włamał. W rzeczywistości po prostu najprawdopodobniej minister otrzymał maila, który zachęcał go do zalogowania się gdzieś i zrobienia czegoś. Dodajmy, że ten mail mógł być bardzo dobrze przygotowany i poprzedzony jakimś wcześniejszym rekonesansem. Minister kliknął, na fałszywej stronie podał login i hasło i było pozamiatane. Mogło też być tak, że to hasło i tak wcześniej wyciekło z jakiegoś innego miejsca. Widzieliśmy, że dane dotyczące tych kont wyciekały. Jedno, albo drugie zawiodło. Ofiarą tego ataku owszem padła skrzynka, czyli zasób cyfrowy, ale jednak to był atak na człowieka.
Ale to może dziwić, że ofiarą takiego ataku pada tak ważna osoba w państwie?
Każdy może zostać tak zaatakowany. Właśnie rzecz polega na tym, że nie ma osób na to odpornych. Nie jest tak, że objęcie jakiegoś stanowiska, komuś automatycznie podnosi poziom świadomości i sprawia, że ta osoba nie padnie ofiarą takiego ataku. Podam pewien przykład. Widzieliśmy przecież wypadki samochodowe z udziałem aut dawnego Biura Ochrony Rządu. Można spytać, czy tak ważne osoby też mają wypadki? No mają, bo np. kierowca mógł zachować się sposób ryzykowny.
I tak samo jak wypadki rządowych aut są bardziej widoczne, tak samo zachowanie nieodstające od przeciętnego, stało się powodem poważnego w skutkach ataku. Przy czym gdyby na skrzynce ministra Dworczyka nie było spraw służbowych, to ten atak byłby słabszy. To nie oznacza, że on nie byłby dotkliwy, bo my ciągle patrząc na to, co przestępcy publikują, musimy wierzyć, że to wszystko pochodzi ze skrzynki ministra Dworczyka. Atakujący mogli przecież wziąć z tej skrzynki skan dowodu, pokazać „patrzcie, włamaliśmy się”, a później spreparować dowolną rzecz.
Reasumując zabrakło wyczucia, trochę więcej rozwagi?
Zabrakło stosowania się do takich norm bezpieczeństwa, jakie byłyby wskazane dla każdego z nas, a do których to norm większość i tak się nie stosuje. Uważamy, że cyberatak to coś, co zdarza się tylko wybranym i zdarza się rzadko. W rzeczywistości to zdarza się często i może zdarzyć się każdemu.
To jak się przed takimi atakami bronić?
Jeśli wykonujemy zawód zaufania publicznego w rodzaju polityk, dziennikarz czy prawnik, to nie mieszajmy sobie skrzynek prywatnych z służbowymi. To po pierwsze. Po drugie, stosujmy dwuskładnikowe uwierzytelnianie. Możemy je włączyć na poczcie. Jeśli mamy taką możliwość, to skorzystajmy z usług, które dają możliwość włączenia dwuskładnikowego uwierzytelnienia kluczem U2F. Są też darmowe usługi, które dają taką możliwość. Do tego stosujmy też właściwą higienę haseł. Jedno nasze hasło powinno być używane tylko do jednego konta. Najlepiej by było, gdybyśmy mieli te hasła odpowiednio złożone. Wtedy w zarządzaniu może pomóc program „Menadżer haseł”, który powinniśmy stosować.
Już zastosowanie tych trzech zasad mogłoby zapobiec większości ataków na polityków, a przynajmniej tych wszystkich, o których słyszeliśmy i które wiązały się z atakiem na skrzynki pocztowe.
Państwo proponujecie politykom różne szkolenia, które mają im pomóc w obronie przed hakerami. Jak takie szkolenie wygląda?
Takie szkolenie zaczyna się od pokazania autentycznych przykładów ataków, czy to dokonanych przez nas w ramach testów penetracyjnych, czy takich, o których wiemy, że były dokonane, bo pomagaliśmy ofiarom tych ataków lub opisywaliśmy ich przypadki. Chodzi o to, żeby najpierw pokazać, że to się dzieje i żywi ludzie mają z tego powodu problemy. To nie jest teoria bezpieczeństwa. Nasze szkolenia w żadnej mierze nie opierają się tylko na teorii, tylko pokazują konkretne przykłady, gdzie wiemy, że coś się stało, a można się było przed tym uchronić.
Później następuje omówienie metod bronienia się przed takimi atakami. Czyli pokazujemy przykład ataku i sposób obrony. To jest bardzo ważne, bo przyznam, że nie raz widziałem wykłady wybitnych specjalistów od bezpieczeństwa, które nie były przekonywujące z jednego powodu – oni mówili o pewnej teorii i procedurach. Trzeba sobie jednak powiedzieć, że to jest także realny ból, utracone pieniądze, utracone ważne informacje czy masa wstydu i to może spotkać nie tylko ministra.
Jestem święcie przekonany o tym, że teraz wiele osób powie w najbliższych dniach „o, ale głupi ten Dworczyk”, ale te same osoby, mogą robić dokładnie te same błędy. My mówimy każdemu, aby przez pięć minut usiadł i zastanowił się, co ma na skrzynce mailowej, a następnie niech pomyśli, co się stanie, jeśli trafi to do kogoś, kto będzie chciał zrobić mu krzywdę. Jeśli ktoś chce, to może też zalogować się na swoją skrzynkę i w wyszukiwarce wpisać: „paszport”, „dowód”, „skan”, i zobaczyć co znajdzie. Spróbujmy „shakować” siebie sami, wcielmy się w rolę włamywacza i zobaczmy, czy będzie nam mógł zrobić krzywdę. Takie doświadczenie może być bardzo orzeźwiające.
Także szokujące?
Jak najbardziej, i to w przypadku nawet wielu osób, które uważają się za świadome bezpieczeństwa.
Zainteresowanie takimi szkoleniami wśród parlamentarzystów jest duże?
Podejście do tego jest różne, tak sam jak różni są ludzie. Oczywiście są parlamentarzyści, którzy są bardzo świadomi takiego zagrożenia, a są też tacy, u których tą świadomość trzeba dopiero zbudować. Są też osoby, które pracują np. w partiach politycznych czy strukturach rządowych i były już u nas na szkoleniach. Same się zgłosiły i zapłaciły za to. My mamy nadzieję, że ta świadomość będzie rosła. Gdyby ktoś bardzo nie chciał poświęcać czasu na wysłuchanie nas, to ostatecznie może sobie za darmo poczytać inne serwisy o bezpieczeństwie, które piszą ciągle o tych samych problemach. Bo właśnie najciekawsze jest to, że problemy, które doprowadziły do ostatniego głośnego ataku, to są problemy omawiane nie od dwóch czy trzech lat, ale od ponad dziesięciu.
Nie uczymy się na błędach?
Podam kolejny przykład – jeśli mamy katastrofy lotnicze, to ciągle każda nowa katastrofa, powoduje zmianę procedur. Tyle że w lotnictwie wszyscy tych procedur pilnują. Tak samo każdy kolejny cyberatak powinien aktualizować naszą wiedzę o to, czego nie robić, żeby nie być zaatakowanym. Problem w tym, że ta wiedza jest, ale nikt nie chce wprowadzać procedur. Wszyscy uważają, że bezpieczeństwo to coś jak lekcje hiszpańskiego – kiedyś może się tym zajmę, jak będę miał czas. Tymczasem problemy wynikające z braku bezpieczeństwa, to coś, co występuje dzisiaj.
Biorąc pod uwagę rozwój techniki, tych problemów będzie przybywać. Ta nasza świadomość też będzie musiała się zmienić?
Tak, ale do tego musimy zacząć chłodniej patrzeć na kwestię ryzyka. Przewrotnie teraz ja zadam panu pytanie – boi się pan ataku terrorystycznego?
Dzisiaj pewnie mniej, ale tak, boję się.
Były takie momenty, kiedy wszyscy się baliśmy. Gdy spojrzymy na to, ile osób rocznie ginie w Polsce w wyniku ataku terrorystycznego, to okazuje się, że od kilku lat mamy zero. Natomiast masa ludzi ginie codziennie na drogach. Ci sami ludzie, którzy są w stanie w głupi sposób wyprzedzać, jednocześnie potrafią bać się ataku terrorystycznego. Tak samo jest z cyberbezpieczeństwem. Ludzie boją się nie tego, czego powinni.
Kiedy jestem na szkoleniach, to słyszę, że ludzie boją się wirusów. Wirus może się trafić, czasem nie jesteśmy w stanie temu zapobiec, ale tak naprawdę o wiele większe problemy możemy mieć z tego powodu, że gdzieś jakiś urzędnik załatwiając nasze sprawy czegoś nie dopilnował, że wyłudzono nasze dane i np. ktoś wziął na kogoś pożyczkę. My staramy się mówić na naszych szkoleniach, żeby w tej cyfrowej wersji zdjąć nogę z gazu. Nie trzeba bać się ataku terrorystycznego, bo to najprawdopodobniej nas nie spotka. Oczywiście nie oznacza to, że nie trzeba z tymi atakami terrorystycznymi walczyć, ale chodzi o to, żeby zacząć też widzieć co jest naprawdę ryzykowne.