Debata IT Reseller Business Club – Cyberbezpieczeństwo Polski (cz. 3 z 4): Cyberbezpieczeństwo i kryptowaluty wzajemnie się wykluczają.
- Tomasz Stępski, prezes Sinersio Polska Sp. z o.o.,
- Łukasz Czechowski, dyrektor biura informatyki w PPUC Envelo, lider biznesowy 10. strumienia rządowego programu „Od papierowej do cyfrowej Polski”.
- Piotr Kupczyk, dyrektor ds. komunikacji w Kaspersky Lab Polska.
- Krzysztof Polak, redaktor naczelny IT Reseller
Cyberbezpieczeństwo i kryptowaluty wzajemnie się wykluczają.
Stępski: Organy ścigania mają tu trudność ze zdefiniowaniem wartości, jaką poniosła ofiarą przestępstwa. Jak oszacować wartość dysku utraconego, który napastnik zaszyfrował? Podobnie jest z omawianą strategią – czy ona mówi cokolwiek o zagrożeniu, jakie stanowią kryptowaluty?
Hakerzy kopią kryptowaluty
Czechowski: Resort cyfryzacji nie identyfikuje kryptowalut jako zagrożenia. W jednym z działań programu „Od papierowej do cyfrowej Polski” postanawia, by promować technologię blockchain i rozwijać polski rynek walut cyfrowych. To może oznaczać, że omawiana strategia już jest zdezaktualizowana, bo nad kryptowalutami państwo nie ma przecież kontroli.
Czy omawiana Strategia już jest zdezaktualizowana?
Stępski: Popieranie kryptowalut świadczy też o tym, że niczego się nie nauczyliśmy z kryzysu finansowego sprzed 10 lat, czy kryzysu wywołanego przez opcje walutowe. Same kryptowaluty nie mają przecież żadnych realnych fundamentów i są kolejną bańką spekulacyjną. Tkwi w nich duże ryzyko dla gospodarki, bo im więcej lokalnego pieniądza obstawia kurs kryptowaluty tym większe będą szkody w gospodarce po nieuchronnym pęknięciu tej bańki.
Czechowski: Spośród 13. strumieni programu „Od papierowej do cyfrowej Polski” część została już przygotowana do realizacji, np. PPUC Envelo jest gotowe do realizacji działań w zakresie eSkrzynki i eDoręczenia. Natomiast strumień dotyczący blockchain i kryptowalut wciąż cieszy się dużym zainteresowaniem i poparciem resortu cyfryzacji. Powstał inkubator startupów, które działają na tym polu i resort cyfryzacji się tym chlubi. Dlaczego? Blockchain to technologia, która zagranicą zyskuje na znaczeniu. Resort cyfryzacji chce, by w Polsce tworzyć kompetencje i powołać firmy, które są wyspecjalizowane w tym zakresie. Wszystko po to, byśmy nie byli biernymi obserwatorami technologicznego trendu. Nie można jednak zapominać o tym, że kryptowaluty nie podlegają regulacjom rynku finansowego, co samo w sobie generuje ryzyko dla osób w nie inwestujących.
Stępski: Nie ma sprzeciwu wobec cyfryzacji sektora finansowego, która faktycznie postępuje. Jednak z tym procesem wiąże się ryzyko, że przybywa w obrocie pieniędzy bez pokrycia. Kryzys sprzed 10 lat z całą siłą nam pokazał do czego to może doprowadzić. Można więc przyjąć, że strategia cyberbezpieczeństwa już na starcie jest nieaktualna, bo nie nadąża za zachodzącymi zmianami.
Czechowski: Oficjalne waluty podlegają ścisłym regulacjom, kontroli banków centralnych i krążą w systemach transakcyjnych. Kryptowaluty krążą w rozproszonych rejestrach i nawet na styku z regulowanymi walutami nie podlegają żadnej kontroli.
Kupczyk: Kryptowaluty już cieszą się popularnością wśród cyberprzestępców. Świadczy o tym choćby fakt, że za odszyfrowanie dysków cyberprzestępcy żądają okupu w kryptowalutach. Ich generowanie, zwane wydobywaniem – kopaniem, odbywa się za pośrednictwem komputerów. Im większa moc obliczeniowa, tym większe prawdopodobieństwo otrzymania kryptowaluty. Hakerzy chętnie infekują komputery ofiar, by z ich pomocą wydobywać kryptowaluty. Dlatego KNF i NBP już ostrzegają, że inwestorzy w kryptowaluty mogą paść ofiarą cyberprzestępców lub nieświadomie brać udział w działalności związanej z przestępstwem.
Czechowski: Gdy tworzono strategię cyberbezpieczeństwa Polski w ogóle nie wzięto pod uwagę zagrożeń związanych z rozwojem blockchain – technologii już od kilku lat dobrze znanej.
Stępski: W sieci już jest mnóstwo porad w jaki sposób budować narzędzia do kopania kryptowalut i w jaki sposób kopać, co można tłumaczyć jako „drukowanie cyfrowego pieniądza”. Jak NBP emituje pieniądze tak „górnicy” kryptowalut je kopią – wytwarzają. Nie do pomyślenia jest, by na popularnych forach lub oficjalnych platformach e-commerce odbywał się handel papierem do banknotów, specjalnymi farbami czy maszynami drukarskimi. W świecie kryptowalut każdy bez żadnych problemów może zostać „kopaczem”, nabywając „koparkę” do kryptowalut.
Czechowski: Każdy może na swoim komputerze kopać kryptowalutę, co nie ma żadnego odzwierciedlenia w realnej gospodarce. Mechanizm spekulacji finansowej jest tu taki sam jak w XVII w., gdy giełdowa cena cebulek tulipanów sięgnęły poziomu cen kamienic w Amsterdamie. Strategia cyberbezpieczeństwa, o której dyskutujemy dotyczy sfery cywilnej, a bezpieczna cyberprzestrzeń to efekt także zaangażowania militarnego i działalności służb, które nie lubią rozgłosu.
Jaka jest tu rola służby cywilnej, a jaka wojska i służb specjalnych?
Stępski: Cywilne i wojskowe działania na rzecz bezpiecznej cyberprzestrzeni powinny się zazębiać. Od niedawna Exatel należy do Polskiej Grupy Zbrojeniowej. Świadczy to o ambicji dysponowania przez państwo co najmniej sporym fragmentem sieci komunikacyjnej. Trzeba jednak przyznać, że infrastruktura sieciowa należąca do Exatel ma mocno ograniczony zasięg.
Odpowiedzialności resortów
Czechowski: W świecie analogowym funkcjonuje wyraźne rozgraniczenie sfer działania służb cywilnych i militarnych. Natomiast w cyberprzestrzeni takiego podziału nie ma, co skutkuje ryzykiem pokrywania się czy wręcz niepotrzebnego rywalizowania między poszczególnymi służbami państwa. Najwyraźniej uwidacznia się to w Exatelu i dowodzi, że istnieje pilna potrzeba sprecyzowania podziału odpowiedzialności między poszczególnymi służbami.
Kupczyk: Najpierw działalność wywiadowcza przeniosła się do cyberprzestrzeni, a zaraz za nią działalność militarna. Dziś otwarcie mówi się już o cyberwojnie, o atakach sponsorowanych przez rządy państw. Jednak jest rzeczą bardzo trudną do jednoznacznego ustalenia, kto stoi za atakami, bo cyberprzestępcy się maskują, ukrywają, pozostawiają po sobie fałszywe tropy. Przykładem jest atak Petya, któremu towarzyszyła bandera sugerująca rosyjskie pochodzenie, co przy dokładniejszej analizie okazało się złudne. Kaspersky Lab śledzi ponad sto organizacji cyberprzestępczych, które są tak świetnie wyposażone i finansowo zasilane, że powstaje uzasadnione podejrzenie wspierania ich przez potężne, zasobne instytucje, a może nawet rządy. Przy czym to są raczej najemnicy, a nie urzędnicy, czy żołnierze. My wspieramy organy ścigania, ale nie naszą rolą ścigać hakerów. Brak wiedzy, a co gorsze brak dobrej woli po stronie ofiary ataku często uniemożliwia zidentyfikowanie napastnika. Tak było w jednym z banków, w którym odkryliśmy anomalie w sieci, ale nie mogliśmy od razu przystąpić do zbadania ataku, bo nie było zgody. Gdy w końcu wyrażono zgodę hakerów już nie było i „posprzątali po sobie”.
Czechowski: Kluczem do budowania bezpiecznej cyberprzestrzeni jest edukacja. Każdy wie, że przy wyjściu z domu należy zamknąć drzwi na klucz. Natomiast świadomość ryzyk związanych z przemieszczaniem się po cyberprzestrzeni jest nikła. Pilnie potrzebne jest edukacja nastawiona na przekazanie minimum wiedzy i ukształtowanie umiejętności w tym zakresie. Wprawdzie strategia cyberbezpieczeństwa Polski podkreśla wagę edukacji, ale – jak w innych przypadkach – w realizacji najmniej poświęca się jej uwagi. Nawet w już realizowanych inicjatywach, np. „100 Mbitów w każdej szkole”, czy „Warsztaty programowania”, brakuje podstawowej edukacji zmierzającej do ukształtowania higieny poruszania się po internecie. Gdy w 2022 r. Internet będzie dobrem łatwo dostępnym w Polsce wspomniane niedostatki edukacyjne mogą obrócić wspomnianą wartość w źródło poważnych problemów dla zwykłych obywateli.
Stępski: Na dziś ogół uczestników cyberprzestrzeni dba o swoje bezpieczeństwo w świecie realnym ale zachowuje się lekkomyślnie w świecie wirtualnym ułatwiając cyberprzestępcom ich proceder. Edukacja nie powinna opierać się tylko na przekazywaniu wiedzy o zagrożeniach czyhających w sieci.