Na początku rozmowy z Markiem Tejchmanem John Hultquist zwrócił uwagę na akty fizycznego sabotażu w Europie i w Polsce – chodzi na przykład o ataki dronów. Są obawy, że może dojść do ataku o podobnym charakterze, ale już w pełni cyfrowego, cybernetycznego. Zdarzały się co prawda incydenty w cyberprzestrzeni, jednak były one ograniczone – mało widoczne i bez szerokiego wpływu na społeczeństwo, jak zdefiniował to ekspert. Podkreślił on, że nie chodzi o to, jak bardzo destrukcyjny jest atak, ale jak bardzo jest widoczny. Bo tak naprawdę w tego rodzaju operacji chodzi raczej o podważenie poczucia bezpieczeństwa niż o realne osłabienie go w praktyce.

– I to właśnie obserwujemy od lat – dopowiadał John Hultquist.

Coraz nowsze i groźniejsze metody

Wskazał on jednocześnie na państwa takie jak Rosja, Korea Północna czy Iran jako sprawców tego typu zdarzeń, łączących ataki destrukcyjne i zakłócające funkcjonowanie, z fizycznymi, żeby uderzyć w swoich wrogów.

– Ciekawe jest to, że w ostatnich latach zyskali oni przewagę dzięki ransomware – zauważył analityk wyjaśniając, że w takich przypadkach trudno jest czasem odkryć rzeczywistego sprawcę. Może chodzić o sparaliżowanie infrastruktury krytycznej, zablokowanie danych – tego typu działania można zrzucić na „zwykłych” przestępców.

– Widzieliśmy to wiele razy – stwierdził ekspert.

Istotne znaczenie w kontekście zagrożeń ma wykorzystanie sztucznej inteligencji. Na początku wspierała ona ataki oparte na inżynierii społecznej, służyła do skuteczniejszego przekonywania ludzi, aby kliknęli w jakiś link albo otworzyli załącznik. Chodziło o fałszywe e-maile czy filmy.

– Teraz obserwujemy jej wykorzystanie w bardziej niebezpiecznych zastosowaniach – mówił główny analityk Google Threat Intelligence Group.

I podawał przykład grupy APT28 z Rosji, która często atakuje Polskę.

– Jako pierwsi użyli oni złośliwego oprogramowania wspieranego przez AI. W Ukrainie stworzyli wirusa, który łączył się z dużym modelem językowym, aby generować komendy w czasie rzeczywistym. Dzięki temu omijał tradycyjne programy antywirusowe, bo polecenia nie były zapisane na stałe w kodzie – tłumaczył John Hultquist.

Sztuczna inteligencja w roli obrońcy

Jak można się bronić? Pocieszające jest to, że widać w tym obszarze postępy. Do walki ze złośliwym oprogramowaniem opartym na sztucznej inteligencji trzeba zaprzęgać rozwiązanie również oparte na AI. To pozwala skutecznie odpowiadać na ataki, choć nie jest to proste.

– Największą zaletą AI w obronie jest analiza ogromnych ilości danych. W cyberbezpieczeństwie często mamy tak wiele informacji, że nie sposób ich ogarnąć. AI pomaga „przeciąć szum”. Nie jest idealna, ale w bezpieczeństwie nigdy nie ma ideału. Chodzi o to, żeby podejmować lepsze decyzje niż przeciwnik. AI może wskazać coś podejrzanego, co warto sprawdzić – i to już daje przewagę – opowiadał podczas rozmowy ekspert.

Dodawał, że APT28 to są szpiedzy, wywiad wojskowy.

– Samodzielnie ich nie złapiesz. Dlatego my działamy jak detektywi – od incydentu do incydentu, zbierając ślady i stopniowo budując obraz działań przeciwnika – opisywał analityk.

Nie ukrywał on, że w praktyce chodzi o ciągłą obronę. Choć oczywiście odnoszone są sukcesy – w Polsce i w innych krajach: ataki są powstrzymywane, wrogie operacje spowalniane.

Ataki w świecie cyfrowym mogą też przynosić spektakularne efekty w tym rzeczywistym. John Hultquist opowiedział o zdarzeniu, do którego doszło w Stanach Zjednoczonych: zaczęło brakować paliwa na stacjach, bo zaatakowano kluczowy rurociąg. Rosyjscy hakerzy doprowadzili nawet do zniknięcia ciastek Oreo z półek sklepowych, co może brzmieć zabawnie, ale dotknęło ludzi.

– Jeszcze groźniejsze było to, że podobny atak uderzył w produkcję szczepionek. To było widoczne i nie dało się tego zignorować – a o to im chodzi – wskazał analityk.

Jeśli idzie o rekomendacje dla średnich i mniejszych organizacji, to ekspert radził

przede wszystkim skupić się na najbardziej realistycznym scenariuszu – czyli ransomware.

– Jeśli przygotujesz się na ransomware, to w dużej mierze jesteś też przygotowany na inne ataki – stwierdził.

Chodzi o posiadanie kopii zapasowych, planów przywracania działania, odporności i zdolności do szybkiego powrotu online.

Zadanie dla wszystkich

W Europie rosną wydatki wojskowe. Czy zatem państwa-atakujący skupią się na celach wojskowych, czy raczej cywilnych? Jak powiedział John Hultquist, ich aktywność zawsze była i nadal dotyczy tych pierwszych. Ale jeśli chodzi o zastraszenie społeczeństwo, to celem będzie infrastruktura krytyczna. Trochę analogicznie do dronów, chodzi o efekt psychologiczny. Dlatego najlepsza postawa to „zachować spokój i działać dalej”, nie dać się wciągnąć w panikę.

Konsekwencją obecnego stanu rzeczy jest to, że o cyberbezpieczeństwie musi pamiętać całe społeczeństwo. Koniec końców najsłabszym ogniwem w systemie zabezpieczeń pozostaje człowiek – o czym również była mowa podczas rozmowy.

MK