Gościem VII odcinka naszego podcastu o cyberbezpieczeństwie jest Przemysław Jaroszewski – Kierownik Zespołu CERT Polska, w NASK PIB. Programista i psycholog społeczny. Ma kilkanaście lat doświadczenia w bezpieczeństwie teleinformatycznym, a w swojej karierze zaangażowany był w wiele krajowych i międzynarodowych projektów związanych ze współpracą zespołów reagujących oraz wymianą danych. W odcinku przedstawiamy dzień z życia anioła stróża Internetu – CERT Polska. Czym się dokładnie zajmuje, jak wygląda jego praca, czy śpi z otwartymi oczami, a może nie śpi w ogóle? Zapraszamy do słuchania!
Transkrypcja podcastu
Prowadzący: Cześć. Witam wszystkich słuchaczy w kolejnym odcinku naszego podcastu. W poprzednich odcinkach sporo czasu poświęciliśmy cyberprzestępcom i ich kampaniom. Ale wiemy, że w przyrodzie, z reguły występuje równowaga. Gdzie są przestępcy, tam są również i obrońcy. I tutaj do gry wchodzą między innymi zespoły reagowania na incydenty bezpieczeństwa. Dzień z życia anioła stróża Internetu – CERT Polska, Superbohaterowie kontra Superprzestępcy. Czym się dokładnie zajmują, jak wygląda ich praca, czy śpią z otwartymi oczami, a może nie śpią w ogóle? Wszystko to dzisiaj na bazie doświadczeń, prosto z CERT Polska. Moim dzisiejszym gościem jest Przemek Jaroszewski, weteran w szeregach CERT Polska, przeszło 20 lat w CERT Polska, wcześniej oczywiście CERT NASK i ponad 4 lata, jako kierownik CERT Polska. Przemku, dzięki za Twoją wizytę u nas.
Przemek Jaroszewski: Dzięki za zaproszenie. Cześć wszystkim.
Sponsorem cyklu rozmów „Rady Porady” jest firma Cisco
TRANSKRYPCJA
CERT Polska Superbohaterowie kontra Superprzestępcy
[00:00:06]Prowadzący: Cześć. Witam wszystkich słuchaczy w kolejnym odcinku naszego podcastu. W poprzednich odcinkach sporo czasu poświęciliśmy cyberprzestępcom i ich kampaniom. Ale wiemy, że w przyrodzie, z reguły występuje równowaga. Gdzie są przestępcy, tam są również i obrońcy. I tutaj do gry wchodzą między innymi zespoły reagowania na incydenty bezpieczeństwa. Dzień z życia anioła stróża Internetu – CERT Polska, Superbohaterowie kontra Superprzestępcy. Czym się dokładnie zajmują, jak wygląda ich praca, czy śpią z otwartymi oczami, a może nie śpią w ogóle? Wszystko to dzisiaj na bazie doświadczeń, prosto z CERT Polska. Moim dzisiejszym gościem jest Przemek Jaroszewski, weteran w szeregach CERT Polska, przeszło 20 lat w CERT Polska, wcześniej oczywiście CERT NASK i ponad 4 lata, jako kierownik CERT Polska. Przemku, dzięki za Twoją wizytę u nas.
Przemek Jaroszewski: Dzięki za zaproszenie. Cześć wszystkim.
Prowadzący: Przemku, przechodząc dalej. Skąd u Ciebie zainteresowanie cyberbezpieczeństwem? Jakie były początki, biorąc pod uwagę Twój staż w CERT? Zainteresowania pewnie się zmieniały, tak samo jak zajęcia, którymi się zajmowałeś?
Przemek Jaroszewski: Początki w CERT to był trochę przypadek, ponieważ trafiłem do NASK w połowie mniej więcej studiów na Politechnice, gdzie wydawało mi się, że będę programistą zawsze i to będzie moja kariera. Trafiłem na ogłoszenie po prostu Instytutu NASK, tam szukali administratora sieci, tak naprawdę. Natomiast na rozmowie rekrutacyjnej, którą przeprowadzał ówczesny DyrektorTechniczny Krzysztof Silicki, dzisiaj jeszcze dużo większy weteran bezpieczeństwa ode mnie, zapytał mnie, gdzieś tam zahaczyło na tematy po prostu bezpieczeństwa, ponieważ zauważyłem, że nie wiem, w pracowni szkolnej, w liceum na przykład, jakoś tak dziwnie łatwo dawało się hasło czyjeś podsłuchać i czy to tak powinno być, jak to w ogóle działa. I zapytał mnie, czy jeśli takie tematy mnie interesują nie byłbym zainteresowany właśnie dowiedzeniem się czegoś więcej, popracowaniem przy cyberbezpieczeństwie, ponieważ NASK takie coś jak CERT buduje. No i po odbyciu takiego pierwszego stażu, po zdobyciu trochę podstawowej wiedzy o sieciach, w ogóle o tym jak to funkcjonuje, zacząłem taką pracę u podstaw ogarniania tych incydentów, uczenia się tego. No i tak zostałem 20 lat.
Prowadzący: Czym zajmują się zespoły typu CERT/CSIRT? Jakie główne zadania przyświecają tego typu jednostkom? Takie ogólne założenia, które stoją przy tworzeniu tego typu zespołu, bo oczywiście nie mówimy tylko o zespołach powołanych w skali kraju, ale również jednostki w mniejszym zakresie, które mogą być powoływane na przykład w obrębie danej organizacji. Jakie przyświecają im zadania? I czym między sobą rzeczywiście mogą się różnić?
Przemek Jaroszewski: CERT, jak sama nazwa wskazuje, jest zespołem reagującym na incydenty, co do zasady. I tak jak wspomniałeś, mogą one funkcjonować w różnych konfiguracjach, odpowiadać za różne odcinki tego frontu walki z incydentami. I zazwyczaj są to certy na przykład korporacyjne, które odpowiadają za bezpieczeństwo samej organizacji, czasem również jej klientów. Rzadziej są to certy takie jak nasz, które bardziej zajmują się koordynacją incydentów niż obroną jakiejś konkretnej sieci, jakiejś konkretnej infrastruktury. Czyli w przypadku naszego zespołu i takich zespołów krajowych to zazwyczaj chodzi bardziej o zrozumienie mechanizmów ataków i o doradzenie innym, w jaki sposób się przed atakami bronić w szczególności, jeśli one są nowe, jeśli nie ma jeszcze gotowych mechanizmów pudełek, które ochronią, tak. W jaki sposób po prostu skuteczniej analizę ryzyka w tych przedsiębiorstwach przeprowadzać.
Prowadzący: Czym zajmujesz się na co dzień w CERT? Jakie są Twoje główne obowiązki, jako kierownika CERT Polska zarządzającego całym zespołem?
Przemek Jaroszewski: Teraz, jeśli pytasz już o moje zajęcie to bardzo daleko odeszło od tego, co było te 20 lat temu i w między czasie już. Co raz rzadziej siadam do konsoli, brzydko mówiąc. I co raz częściej zajmuję się po prostu organizacją pracy innym, tego żeby dobierać ludziom ciekawe zadania, za które dostaną takie pieniądze, które jakby w połączeniu z ciekawością tego, czym się zajmują, pozwolą im zostać z nami.
Prowadzący: A dzień pracy w CERT Polska? Myślę, że jest to bardzo ciekawe zagadnienie. Poranna kawka? Wątpię, aby to było tak 09:00 – 17:00. Przypuszczam, że różne linie pewnie pracują w innych trybach i w inny sposób, więc ciężko uznać to pytanie za jednoznaczne. Ale ja przynajmniej jestem bardzo ciekawy. A przy okazji, jak wygląda struktura CERT Polska?
Przemek Jaroszewski: Struktura CERT Polska to jest 5 zespołów. Cały dział nie jest taki duży, bo to jesteśmy działem w Instytucie Badawczym NASK, tak. Ja odpowiadam za ten dział, który liczy teraz około 40 osób. W nim mamy 5 zespołów. Pierwszy zespół to jest taka pierwsza linia nasza, czyli ten działający 24/7, rzeczywiście ludzie, którzy odbierają zgłoszenia incydentów, podnoszą telefon, odbierają tickety w systemie zgłoszeń. I to jest mniej więcej 1/3 zespołu, ze względu na tę zmianowość tak, tam personelu musi być więcej. Kolejne mniej więcej 10 osób to jest ten hardcore taki techniczny, analitycy, którzy zajmują się przede wszystkim analizą złośliwego oprogramowania, testami web aplikacji.
[00:05:02]Przemek Jaroszewski: Do tego dwa zespoły jeszcze takie operacyjne. Jeden zajmujący się stricte ściganiem, nie chciałbym użyć tego słowa może ściganie, ale pomocą organom ścigania w zwalczaniu właśnie cyberprzestępczości. Czyli, jeśli widzimy z tej pracy takiej pierwszej, drugiej linii, że są konkretne kampanie wymierzone zwłaszcza w polskich klientów, to staramy się ustalić, jakimi narzędziami pracują, jaką metodą, jak działa ich infrastruktura po to, żeby pomóc organom ścigania i jak najwięcej informacji na ich temat zdobyć, czyli przekuć taką naszą techniczną wiedzę i rozumienie tego światka na, no czynności procesowe na koniec dnia, bo pracujemy z prokuratorami i z policjantami przede wszystkim, rzadziej jako gdzieś tam biegli w sądzie. Do tego jeszcze malutki zespół stricte forezikowy od zabezpieczenia danych, analiz danych. I zespół taki projektowy, który wspiera nas w rozwoju systemów, współpracy z Działem Rozwoju Oprogramowania po to, żeby no rozwijać nasze wewnętrzne systemy, wspierające.
Prowadzący: Wiele talentów zgromadzonych w jednej organizacji.
Przemek Jaroszewski: Wiele talentów, także tak, także też rzeczywiście trudno jest opisać dzień z życia jednego Certowca. Tak jak wspomniałeś, rzeczywiście to nie zawsze jest ta praca 09:00 – 17:00. Pierwsza linia ma grafik, rzeczywiście ustalony, tam to musi tak to działać. Natomiast co do reszty, rzeczywiście są tacy, którzy lubią sobie przyjść na 08:00 rano, ale są też tacy, którzy lubią przyjść na 11:00 i nie mamy z tym żadnego problemu. Pandemia w ogóle była czymś fantastycznym, jeśli chodzi o uświadomienie sobie, jak ludzie pracują i jak jest im wygodnie tak, bo okazało się, że w naszym przypadku wiele osób było wydajniejszych przy tej pracy domowej, bo stwierdzali, że no dobra, i tak mają komputer otwarty, ta praca jest de facto ich hobby, więc jeżeli nawet siądą sobie już dawno po godzinach, to jeszcze kurcze tam mogą trochę linii kodu do tego projektu dopisać, tak albo czemuś tam się jeszcze przyjrzeć. I to w zasadzie po prostu tak w naturalny sposób się stawało, no ich sposobem na spędzanie czasu.
Prowadzący: Taka naturalna sytuacja, jeżeli komputer leży w salonie, to zawsze jeszcze można zaglądać na chwileczkę.
Przemek Jaroszewski: No właśnie.
Prowadzący: A jak wyglądały początki pracy CERT Polska? Mówię CERT Polska, ale oczywiście chodzi mi o sam początek, czyli również o tę wcześniejszą nazwę CERT NASK, tak.
Przemek Jaroszewski: Jakby samą ideą, która stała za założeniem czegoś takiego w NASK było to, że NASK, tak, może wiecie, może nie wiecie jest również rejestrem domeny.pl, za rejestrację domen bierze się pieniądze tak, to jest jakiś konkretny przychód dla NASK. No i to był pomysł właśnie Dyrektora Silickiego, że no to oddajmy trochę tego dobra do użytkowników Internetu i zaopiekujmy się tematem, którym w zasadzie pod koniec lat 90. no nikt się nie interesował. Wtedy wszyscy się interesowali tym, żeby się wdzwonić na Tepsę na 0202022 tak, a niekoniecznie tym, żeby sobie jakiegoś Firewalla stawiać czy uważać, co tam na nas czyha. Więc NASK było taką jedną z pierwszych instytucji, która zaczęła się tym interesować – no dobrze, super, że wszyscy tutaj rzucamy się online, ale co złego może nas tam spotkać? I to było fajne, to było takie bardzo, no taka idea tak, która przyświecała temu i przez długie lata to tak działało, że to była czysto taka bezpłatna fallcommunity usługa NASK. Oczywiście to, że darmowa wiązało się też z tym, że tylko na tyle, na ile mógł sobie NASK pozwolić, tak. No, nie można było wyznaczyć jakiegoś SLA, ale właśnie oddawanie czegoś fajnego dla community. Kolejnym etapem, który przyszedł, był taki etap komercyjny, który wiązał się z tym, że jakby nie zamknęliśmy tej całej działalności fallcommunity, to cały czas tak działało i nadal działa. Natomiast w którymś momencie przyszły do nas instytucje, które mówiły – słuchajcie, fajną robotę robicie, fajne rzeczy ogarniacie, tylko my byśmy nie chcieli stać w kolejce razem ze wszystkimi, jesteśmy gotowi wam zapłacić za to, żebyście jednak jakieś parametry usługi dla nas ustalili. I wokół tego zostały zbudowane jakieś tam usługi komercyjne. No i przyszedł etap jeszcze najnowszy, który jest związany z Ustawą o krajowym systemie cyberbezpieczeństwa, gdzie na NASK zostały nałożone role ustawowe. W związku z czym znowu CERT Polska pożegnał się z tymi usługami komercyjnymi, żeby tutaj nie było jakiegoś budowania przewagi rynkowej za pieniądze państwowe czy jakiegoś w ogóle konfliktu interesów. Więc, tych usług komercyjnych my, jako CERT Polska nie świadczymy od momentu przejęcia tej roli ustawowej. Natomiast mamy dotacje z budżetu państwa w ramach, której musimy wypełniać pewne obowiązki opisane w Ustawie. I taka to historia tego, co robił, czym się zajmował CERT.
Prowadzący: Słuchaj, CERT – analiza i reagowanie. To są główne elementy, z którymi kojarzony jest CERT. Chciałbym rozpocząć od analizy, o jakich ilościach incydentów w skali miesiąca, roku, możemy mówić? Incydentów, które trafiają oczywiście do Was.
Przemek Jaroszewski: Mhm. Ten przyrost jest niesamowity, bo to już jest praktycznie 100% rok do roku. Zbliżamy się do 10 tysięcy mniej więcej rocznie incydentów, już takich stricte incydentów, bo my sobie wewnętrznie mówimy o zgłoszeniach, czyli tych ticketach, które do nas przychodzą. I na ich podstawie, rejestrowanych incydentach, czyli no już case’ach, którym my się przyglądamy.
[00:10:08]Przemek Jaroszewski: Często jest tak, że wiele zgłoszeń dotyczy jednego incydentu albo, że zgłoszenie w ogóle nie jest de facto incydentem. Więc samych stricte incydentów, samego mięsa mamy mniej więcej 10 tysięcy rocznie. Oczywiście duża część z tego to są rzeczy, no nie chcę powiedzieć błahe, bo one są dla zgłaszających bardzo istotne. To też, musimy sobie jasno powiedzieć, że staramy się każdemu z tych zgłaszających pomóc tak, żeby on się poczuł, że warto było do nas napisać, że jakąkolwiek pomoc chociaż otrzymał. Nawet, jeżeli to jest pomoc, która sprowadza się czasami do poklepania po ramieniu i powiedzenia – no niestety w tym momencie już nic nie jesteśmy w stanie dla Ciebie zrobić. Bo i tak niestety bywa, takie są przykre sytuacje. No to żeby on zrozumiał, jaka jest sytuacja tak, na co uczulić swoich znajomych w przyszłości albo, co teraz może z tym zrobić, żeby nie został w takiej sytuacji zawieszenia. No i właśnie większość incydentów to jest taka dotycząca, no cyberprzestępczości. Tego, że ktoś zauważył stronę, która coś wyłudza, że ktoś padł ofiarą już jakichś złodziei, którzy nie wiem, na jakiś serwis ogłoszeniowy go złapali. Natomiast pewna niewielka część to są incydenty takie poważne, niekoniecznie poważne w rozumieniu Ustawy o krajowym systemie cyberbezpieczeństwa, ale poważne to znaczy ze znacznymi szkodami na przykład w przedsiębiorstwach czy jakimiś tam skutkami dla ludzi, tak. No, jeżeli na przykład padnie ofiarą ransomwaru urząd, no to ludzie nie mogą załatwiać codziennych spraw, więc to są takie incydenty, które już bolą.
Prowadzący: A zdarza się.
Przemek Jaroszewski: A zdarza się. Tak.
Prowadzący: Z jakich narzędzi korzystają analitycy? Czy są to Wasze autorskie narzędzia czy też korzystacie z komercyjnych rozwiązań, znanych przez Działy Bezpieczeństwa?
Przemek Jaroszewski: Z komercyjnych rozwiązań korzystamy przede wszystkim, jeśli chodzi o samo zabezpieczenie naszej sieci, o analizę logów i tak dalej. To to są rzeczywiście no rozwiązania takie, które są szeroko stosowane na rynku. Natomiast stricte do naszej pracy, takiej CERTowej korzystamy w większości albo z opensourcowych narzędzi, które są pewnym standardem w tym środowisku albo z naszych autorskich systemów. I tutaj takim, no myślę, że książkowym przykładem fajnej rzeczy, która powstała po to, żeby nam pomóc w pracy, ale oddajemy ją do community, jest coś, co nazywamy MWDB. Czyli taka baza danych złośliwego oprogramowania, która de facto jest dużo więcej niż bazą danych, bo jest pewnym interfejsem do naszego zaplecza analitycznego. Czyli cała robota analityczna, którą ktoś poświęcił nad zrozumieniem złośliwego oprogramowania, nad jego zrewersowaniem, nad wyciąganiem w sposób automatyczny pewnych informacji z takiego działającego złośliwego oprogramowania, żeby na przykład zobaczyć, jak ona ewoluuje, skąd ściąga konfigurację i co w tych konfiguracjach jest. Całe to know-how jest wrzucone do backendu właśnie takiego narzędzia i jeżeli ktoś zasili je próbką dostanie wszystko, co my bylibyśmy w stanie w sposób automatyczny wyciągnąć, czyli może z tego narzędzia po prostu korzystać. Tak, my mamy próbki, a ktoś ma całą naszą wiedzę analityczną i wsparcie jeszcze do tego. Tak się staramy, w takim modelu trochę działać, żeby te narzędzia też oddawać no innym, bo też uważamy, że jakby jak ktoś z zewnątrz rzuci na nie okiem to wychodzi to z korzyścią dla wszystkich.
Prowadzący: A słuchaj, ja chciałem jeszcze wrócić do kwestii związanych ze zgłoszeniami. Jak wygląda obsługa takich zgłoszeń? Czyli powiedzmy taki standardowy scenariusz tak, powiedzmy właśnie czy Pan Kowalski czy jakieś przedsiębiorstwo odzywa się do Was, że ma problem. Jak, że tak powiem po kolei wygląda cała procedura?
Przemek Jaroszewski: Najpierw to zgłoszenie trafia tak jak wspomniałem na pierwszą linię, która działa 24/7, więc to już jest fajne, że rzeczywiście nie czekamy gdzieś tam do najbliższego dnia roboczego albo…
Prowadzący: Albo do poniedziałku.
Przemek Jaroszewski: Tak. Albo jak to się zdarzało wcześniej nawet i tydzień można było czekać na odpowiedź no, bo takie były warunki. Teraz rzeczywiście ludzie są już pozytywnie podbudowani, jeśli ktoś im odpowiada na przykład w piątek o 23:00, tak. I to tak działa. Jeżeli to są typowe, takie standardowe zgłoszenia typu właśnie, no nie wiem – znalazłem nową stronę rozsyłaną gdzieś tam przez portal społecznościowy, gdzie ktoś wyłudza coś. To otrzyma standardową instrukcję – rzeczywiście na to i na to uważaj, ostrzeż znajomych, jeżeli ktoś Ci się włamał na konto to w ten i w ten sposób możesz je odzyskać. My oczywiście zbieramy jak najwięcej informacji z takiego zgłoszenia, czyli na przykład, jeżeli to była nowa strona, którą ktoś zauważył, to taką stronę my sobie wrzucamy do systemu, który zabezpieczy informacje dotyczące tej strony, tej domeny, wyśle ostrzeżenia do hostowni, doda ją na listę ostrzeżeń naszą, którą dzielimy się z operatorami internetowymi, żeby blokowali dostęp dla swoich klientów. I to jest taka robota rutynowa, którą można robić według procedury powiedzmy.
[00:15:01]Przemek Jaroszewski: Jeżeli incydent jest taki, który przerasta zdolności tego operatora z pierwszej linii to wrzuca o nim informacje na nasz wewnętrzny taki komunikator, na którym tak jak wspomniałem, zazwyczaj nawet o 1:00 w nocy ktoś tam się jeszcze odezwie, podchwyci wątek i podpowie temu operatorowi co to może być, z jakim problemem ma do czynienia. A jeżeli to będzie rzeczywiście coś zupełnie nowego, czego nie widzieliśmy, to jak ktoś weźmie, może nie o tej 1:00 w nocy, ale możliwie szybko na warsztat próbkę tego złośliwego oprogramowania, to tak jak na przykład znowu, trzymając się tego wątku ransomwaru, standardowo my poprosimy o przesłanie wszystkich komunikatów, które ten ransomware wyświetlił. W stylu, jaki to portfel bitcoinowy tak, jaki w ogóle był ten, jaka w ogóle była ta wiadomość, żeby rozpoznać, jaka to rodzina ransomwaru, próbki zaszyfrowanych plików. Jeżeli to możliwe i da się ustalić, jaki program wykonywalny doprowadził do zaszyfrowania, to sam ten program wykonywalny i próbujemy działać anty-kryptorem, tak. Jeżeli to jest znana rodzina, to jest jakaś tam po pierwsze szansa, że ktoś się wcześniej nad tym pochylał i że jakby albo szybko zrobimy odcięcie, że – słuchajcie, na to patrzyło już tysiąc osób i wiemy, że kryptografia jest zrobiona tak dobrze, że z matematyką nie wygramy, sorry. I to są mówię, to są te smutne przypadki, kiedy kogoś możemy tylko poklepać po ramieniu i doradzić mu jak się odtworzyć z backupu. Natomiast zdarzały się takie przypadki i to jest fajne, że na przykład trafiały do nas nowe rodziny, nowe próbki, nad którymi jeszcze nikt nie patrzył i okazało się, że komuś tam udało się rozmóżdżyć tak, w jaki sposób jest generowany klucz na przykład i że był generowany słabo, że te dane były gdzieś tam przewidywalne i, że da się ten proces odwrócić. No więc tak, więc kompetencje mamy różne, mówię, od pentesterki po, no po kryptoanalizę taką. Naprawdę mamy ludzi, którzy, zresztą wiesz, że grają ludzie od nas w CTF…
Prowadzący: Oczywiście.
Przemek Jaroszewski: I mają tak szerokie pole zainteresowań, że nawet nad sprzętem różnym, nietypowym są w stanie się pochylić.
Prowadzący: Słuchaj, czy informacje o incydentach bierzecie w większości właśnie od zgłoszeń czy we współpracy z innymi jednostkami? Jak tutaj wyglądają ewentualne proporcje? I o jakich tych jednostkach możemy mówić?
Przemek Jaroszewski: To jest bardzo fajne pytanie i tu jest bardzo różnie. Te 10 tysięcy blisko incydentów, o których mówiłem, to są w większości te, które trafiają tylko do systemu ticketingowego, w ogromnej większości od ludzi bądź od tych, którzy muszą do nas raportować w ramach krajowego systemu cyberbezpieczeństwa. To jest tam myślę, że jakieś 2% wszystkich zgłoszeń, ale nie zliczam w ogóle w tej liczbie tego, co my na przykład mamy z systemów różnych automatycznych. Czyli zespół pracy z najróżniejszymi dostawcami, feedów, informacji o różnych zaobserwowanych zagrożeniach, którzy dostarczają informacji, na przykład w tej i w tej sieci jest podatny host, tak, który jest używany aktywnie w atakach DDoS albo jest źródłem spamu, albo coś tam, tak. Takie rzeczy mamy zapięte w procesy automatyczne, my sobie to zliczamy, my to dystrybuujemy do ISP, jak jest gdzieś tam potrzeba to je skalujemy. Natomiast to jest w ogóle ogromne źródło, o którym w zasadzie tak na co dzień nie mówiłem, bo to jest mało ciekawe. Nad tym się gdzieś tam nie zgłębiamy za bardzo, ale to jest grą tej takiej codziennej działki, która jest wykonywana. No i oprócz tego to, co wspomniałeś, zgłoszenia takie od tych, którzy nas znają. Czyli po pierwsze od pozostałych 2 CSIRT krajowych, od wojska i od ABW. Po drugie od CSIRT z innych krajów, bo działamy również zarówno w sieci CSIRT tej, która powstała na mocy Dyrektywy NIS jak i w First, jak i w Task for SeeSearch czy, czyli takim Europejskim Zrzeszeniu Sieci Akademickich. Tych kontaktów staraliśmy się przez te 20 lat nawiązywać jak najwięcej właśnie dlatego, że no jest coś takiego jak Virtual Relationship, tak. Im więcej się z kimś tam zje soli i popije jakimś napojem, tym. A tak naprawdę to im więcej się pokażemy komuś, że my faktycznie rozumiemy, o czym mówimy, że można nam zaufać, że my coś potrafimy zrobić z informacją, którą nam przekaże, tym więcej jesteśmy w stanie użytecznych informacji dostać. Ktoś wiedząc o tym, że na przykład jest jakiś incydent w Polsce nie będzie się bał powiedzieć nam o tym, nie będzie miał takich obaw, że my z tym zrobimy zły użytek, a będzie wierzył, że doprowadzimy do rozwiązania tego incydentu.
Prowadzący: To teraz przechodząc do reagowania na incydenty. Co tak naprawdę znaczy szybkie reagowanie na incydenty? Bo oczywiście jest to pojęcie względne. Jak wygląda reakcja zespołu na incydenty? Jakie są kolejne kroki w przypadku, na przykład właśnie znalezienia nowej kampanii malware, popularnej w skali kraju?
Przemek Jaroszewski: Znowu, to, co znaczy szybkie jest pojęciem względnym, bo oczywiście chciałoby się powiedzieć, że real time, jak znajdziemy to od razu reagujemy. W praktyce, jak dobrze wiesz na pewno, bywa tak, że incydenty pozostają niewykryte w ogóle przez miesiące. I no trzeba sobie potem wtedy radzić po prostu z całym tym procesem obsługi incydentu, tak.
[00:20:02]Przemek Jaroszewski: Ocenić straty, przywrócić to wszystko, wyciągnąć wnioski i tak dalej, i tak dalej. Odizolować najpierw systemy. Z naszego punktu widzenia przede wszystkim to, co warto powiedzieć, żeby to wybrzmiało, nie zawsze jesteśmy każdemu w stanie pomóc on side, czyli zareagować na incydent, tak. Nigdy nie mieliśmy do tego wystarczających środków, żeby każdemu być w stanie pomóc, tak jakbyśmy chcieli. W Ustawie też jest to zapisane tak, że w pewnych szczególnych przypadkach my możemy pomóc w samej obsłudze incydentów. W każdym innym przypadku to, co musimy zrobić to jest skoordynować ten incydent, czyli zapewnić to, żeby każdy rozmawiał z tym, z kim powinien rozmawiać, żeby miał ustalone jakby kanały kontaktu tak, żeby jakby być takim trochę katalizatorem i podpowiadać. Natomiast, wspomniałeś o nowych kampaniach malwaru. I to jest dobry przykład, gdzie my możemy rzeczywiście działać, tak. Nie bronimy infrastruktury konkretnej, ale możemy zareagować na pewne zjawisko, które się dzieje i które dotyka tysięcy użytkowników Internetu, takich przeciętnych Kowalskich. I tutaj bardzo fajnym przykładem mechanizmu, który działa prawie real time to jest ta lista ostrzeżeń, o której gdzieś tam wspomniałem. To jest no mechanizm mega prosty, tak, ale mega skuteczny. Jeżeli ktoś nam zgłosi podejrzaną stronę, która na przykład służy do phishingu, do zbierania danych nie wiem, o kartach płatniczych albo do logowania się na jakiś serwis internetowy, dzięki temu, że działamy 24/7, dwie osoby w krótkim czasie są w stanie zweryfikować tę stronę, a automat zabezpieczy informację o tym tak, jakieś zrobi screenshoty, sprawdzi gdzie ona była hostowana i tak dalej, żebyśmy potem mieli materiał. I po zweryfikowaniu przez dwie pary oczu taka strona jest dodawana do takiej publicznej listy ostrzeżeń, która jest zaciągana przez wszystkich operatorów komórkowych, ale też na całe szczęście przez co raz bardziej rosnącą rzeszę po prostu ISP, mniejszych i większych administratorów sieci. I oni na swoich DNSach domeny po prostu wycinają czy przekierowują na naszego singhole, na taką stronę z landing pagem, która mówi – próbowałeś właśnie wejść na stronę, która została zweryfikowana, jako służąca do wyłudzeń, ostrzegamy. No i to działa rzeczywiście w real time, bo to są kwestie minut tak, od kiedy się dowiemy. Stąd tak ważna jest, myślę, że to też warto żeby wybrzmiało, że możemy zareagować na to tylko, o czym wiemy. Bo często jest też taka, takie rozumowanie później – no dobra, coś się wydarzyło gdzie był CERT, tak? No CERT był i być może pił kawę w tym czasie tak, bo nikt nie powiedział, że coś się dzieje. Więc zawsze staramy się w każdym komunikacie przekazywać to – widzicie coś, to zgłaszajcie, do nas również. Pomożemy, ale tylko wtedy, kiedy będziemy o tym wiedzieli.
Prowadzący: A jak zespół CERT Polska przyczynia się do wzrostu świadomości w zakresie bezpieczeństwa teleinformatycznego? Jeden też z kolejnych filarów funkcjonowania jednostki. Pytam tutaj głównie o politykę informacyjną właśnie i edukacyjną. Bardzo często, jako podstawę działalności w tym temacie są brane pod uwagę Wasze raporty prawda, ale również i inne kampanie, bo takowych też widziałem kilka. Czy możesz coś więcej odpowiedzieć w temacie tej działki Waszej pracy?
Przemek Jaroszewski: Oczywiście. Jedna rzecz to to, o czym wspomniałeś, raport roczny, który staramy się żeby trzymał poziom. Jest publikacją, która no ma koło 100 stron zazwyczaj, gdzieś tam…
Prowadzący: Obszerną.
Przemek Jaroszewski: Dosyć obszerną, tak i myślę, że o tyle fajną, polecam, jeżeli ktoś nie zaglądał, że tam każdy ma szansę znaleźć coś dla siebie. To znaczy są rzeczy bardzo techniczne, ale są też rzeczy takie, które no jakiś CEO też jest w stanie przyswoić, przeczytać i coś z tego wynieść dla siebie i dla swojego przedsiębiorstwa. Więc warto tam zaglądać i dzięki, że o nim wspomniałeś. Są nasze media społecznościowe, w których no staramy się, żeby naprawdę często pokazywać, co do nas trafia, przed czym możemy ostrzec, co tam lata po Internecie, po tych skrzynkach mailowych. Taką przestrzeń, też tak zdradzę trochę, że szykujemy na nowej stronie CERT, czyli żeby była taka przestrzeń do kawy, żeby oprócz tych raportów, które zawsze piszemy, takich bardzo technicznych, że rozkminiliśmy jakiś nowy malware tak, że coś tam, to mało kogo interesuje oprócz hardcoru.
Prowadzący: Dlaczego?
Przemek Jaroszewski: Po to żeby była tam na naszej stronie też taka miejscówka, do której warto zajrzeć właśnie przy porannej kawie i zobaczyć, co nowego lata po Internecie. Są też rzeczy, w których jesteśmy mniej widoczni, ale które zasilamy wiedzą, tak. Czyli wszelkiego rodzaju kampanie edukacyjne, które sam NASK, czyli instytucja w ramach której działamy prowadzi, to oczywiście wspieramy naszą wiedzą merytoryczną. I tam są kampanie, które mają trafić rzeczywiście do przeciętnych Kowalskich, z wykorzystaniem, no łącznie z takimi mechanizmami, jak jakieś umieszczenie wątków w jakimś filmie tak, serialu czy coś takiego, które dotyczy cyberbezpieczeństwa.
[00:25:15]Przemek Jaroszewski: Więc to jest bardzo fajne. To nie są rzeczy, które są osiągalne dla nas, jako dla CERT, ale już dla NASK czy jakichś kampanii, które wspólnie z KPRM są robione, jak najbardziej. Więc właśnie tymi drogami się też angażujemy.
Prowadzący: Wspominałeś również o innych CERTach państwowych. Jak wygląda podział obowiązków pomiędzy CERT Polska, a CERT Gov i CERT Mil?
Przemek Jaroszewski: Ten podział obowiązków jest określony w Ustawie. I jeśli chodzi o tak zwane constituency, czyli kto, za co odpowiada, bo to najłatwiej tutaj jest linię podziału wytyczyć. To jest tak, że no Mil, jak to Mil odpowiada za to, co wojskowe, czyli za wszystkie no Jednostki Wojskowe, Instytucje Wojskowe oraz Instytucje, które realizują ważne zadania dla obronności, tak to jest jakoś określone. Gov to jest administracja rządowa, administracja centralna, to, co podlega bezpośrednio Prezesowi Rady Ministrów plus Instytucje, które są operatorami infrastruktury krytycznej. A cała reszta to jesteśmy my. Więc, no jest tego najwięcej, tak. I w dużej części to są rzeczy, znaczy w dużej, w pewnej części są to podmioty, które obowiązkowo obsługujemy, nazwijmy to te, które są w Ustawie wymienione jako operatorzy usług kluczowych, dostawcy usług cyfrowych i podmioty publiczne. Natomiast jest też taki zapis w Ustawie, że każdy może do nas zgłosić incydent i w miarę możliwości każdemu pomożemy. Więc po prostu reszta świata to my.
Prowadzący: Przemku, teraz mam takie pytanie. Polska cyberprzestępczość vs świat. Chodzi mi tutaj o krótkie podsumowanie cyberprzestępców na terytorium Polski względem innych krajów. Czy to jeżeli chodzi o masowe kampanie, na przykład ransomware czy targetowane ataki. Temat ten był poruszany również w innym odcinku, ale w skrócie chodzi o to, że w dalszym ciągu polskie przedsiębiorstwa bardzo się wstydzą albo tak mi się przynajmniej wydaje i tak chyba to wygląda, że zostały ofiarami ataku. I często w żaden sposób nie jest to nagłaśniane, często widzimy przypadki opisujące organizacje zagraniczne właśnie, które nie mają takich problemów i dosyć otwarcie są w stanie o takich elementach mówić, również na naszym podwórku. Czy tak jest w rzeczywistości, a jeżeli tak to z czego wynika? Tak z Twojej obserwacji, biorąc pod uwagę te właśnie incydenty, które są do Was zgłaszane.
Przemek Jaroszewski: Nie wiem czy jest słuszne takie wnioskowanie, że na całym świecie jest inaczej, u nas jest tylko tak. Może dlatego więcej słyszymy o tym co jest na świecie, bo ten świat jest większy, po prostu. Więc jakby statystycznie często usłyszymy rzeczywiście o czymś tam ze świata. Natomiast mnóstwo incydentów, o nich nie wiemy, że nie wiemy tak, jeżeli one się dzieją nawet na świecie. Więc myślę, że ta kultura braku zgłaszania incydentów, no nie jest tylko specyficznie Polska. Jeśli o mnie chodzi to, no jest mi szczególnie przykro, bo jakby cały czas, całe swoje życie w CERT namawiamy do tego, żeby o incydentach mówić. Zwłaszcza w ostatnich latach rzeczywiście troszkę na świecie się zaczęło mówić o tym, że właśnie o tej kulturze dzielenia się informacjami po incydencie, że warto to robić. I że to nie jest powód do wstydu przyznanie się, że padliśmy ofiarą ataku, bo to spotka wszystkich, tak. To myślę, że gdzieś tam koło nie wiem, 2017/2018, po tym jak sporo dużych firm, również związanych z bezpieczeństwem padło ofiarami ataków i o tym się zaczęło mówić, no to może takie odium zeszło z tego, żeby mówić o incydentach. Bo skoro każdy może paść ofiarą, no to rzeczywiście, czemu my mamy udawać, że jest inaczej. I rzeczywiście tak jest, że w Polsce tego jeszcze chyba nikt nie przełamał. To znaczy bardzo wiele widziałem incydentów w Polsce takich, które warto żeby ktoś inny się dowiedział, tak. Nie dlatego żeby szkalować firmę, która padła ofiarą. My staramy się właśnie zawsze to podkreślać – słuchajcie, to nie jest kwestia tego, że wy się nie obroniliście, bo nie ma możliwości w 100% obronienia się przed atakiem. Ktokolwiek sprzedaje wam pudełka mówiące, że one was na pewno obronią, no to na pewno podchodźcie do niego z dystansem. Pudełka oczywiście są ważne i są potrzebne, bo ograniczą wam ryzyka, ale musicie być świadomi tego, że te ryzyka gdzieś tam zostają, musicie jakieś ryzyka zaakceptować, tak. A jeżeli padniecie ofiarą ataku, to wręcz taki coming out i powiedzenie – słuchajcie, to i to się zadziało, ale zobaczcie, co my z tym potem zrobiliśmy tak, jakie wnioski z tego wyciągnęliśmy, w jaki sposób zareagowaliśmy. I to często lepiej świadczy o profesjonalizmie firmy niż próba ukrycia faktu, że do incydentu doszło. Tym bardziej, że co raz częściej to i tak się wyda.
Prowadzący: Oczywiście.
Przemek Jaroszewski: Tak. I tak ktoś nie wiem, napisze do znajomego dziennikarza czy wyjdą jakieś maile, jakieś kwity, gdzieś to wyjdzie.
[00:30:03]Przemek Jaroszewski: I to stawia w dużo gorszej sytuacji taką firmę niż gdyby ona powiedziała – tak, byliśmy ofiarą incydentu, ustaliliśmy, że w ten i ten sposób do niego doszło, wyciągnęliśmy takie i takie działania poprawcze. Słuchajcie, jeśli wy chcecie się obronić przed takimi incydentami, tutaj macie gotowca, którego dla was przygotowaliśmy. U nas to zadziałało, a to nie zadziałało, tak. I to świadczy o profesjonalizmie firmy. Więc gorąco zachęcam. Chętnie pomożemy każdej firmie, która będzie chciała taki coming out zrobić, jak taki przekaz przygotować. Mamy pewne doświadczenie w obsłudze takich incydentów.
Prowadzący: Ale to się rzeczywiście zgadza, biorąc pod uwagę najróżniejsze organizacje, które w taki naprawdę bardzo otwarty sposób podchodziły do informowania o tym, co się stało. I w większości przypadków, biorąc pod uwagę no najróżniejsze casy, no to tak jak wspominasz, raczej nie przysporzyło to dodatkowych problemów. Zresztą nawet wystarczy popatrzeć na nasze podwórko. Ostatnio sprawa CD Project RED, tak. I też ich takie dosyć obszerne informacje, które zostały od razu udzielone opinii publicznej, no w większości komentarzy, no są same pozytywne elementy tak, odnośnie tego, że przynajmniej nie ma tutaj żadnego dzikiego ukrywania tylko tak naprawdę wystawienie na świat publiczny, że – tak, zostaliśmy zaatakowani, będziemy działać po prostu dalej.
Przemek Jaroszewski: Tak. Myślę, że rzeczywiście CD Project to jest pierwszy przykład takiej dojrzałej reakcji. Fajnie, że to przywołałeś.
Prowadzący: Wiesz co, mam jeszcze jedno pytanie o porównanie kampanii czy incydentów, z którymi mieliście do czynienia właśnie w przedziale tych 20 lat, tak. No bo to wszystko bardzo mocno ewoluowało. Jak wyglądały te zgłoszenia sprzed 5, sprzed 10 lat względem tego, jakie incydenty, jakie zgłoszenia otrzymujecie w chwili obecnej?
Przemek Jaroszewski: To jest przepaść. To znaczy te początki, te początki lat 2000 to w większości była taka, to co kojarzyliśmy ze słowem hakerka. Że ktoś się włamał, bo chciał sprawdzić czy się da, czasami z powodu jakiegoś hacktywizmu. Tak jak, no jeszcze zanim ja trafiłem do NASK, to NASK był jedną z pierwszych takich ofiar hacktywizmu i grupy Gumisiów tak, która chciała zaprotestować przeciwko konkretnemu systemowi poboru opłat za dostęp do Internetu. To były w większości motywacje, które gdzieś tam na początku lat 2000. Później zaczęła się cała taka pandemia wirusów, związanych z tym, że pamiętasz, zanim był XP Service Pack 2 to mnóstwo usług głównie w Windowsach, ale to nie tylko Windows jakby cierpiał na tę chorobę wieku dziecięcego było powystawianych publicznie, tak. I często na nie pojawiały się zero-daye i właściwie, no tydzień bez jakiegoś nowego robaka internetowego, który tam przejmował masowo strony czy serwery, kontrolery domen i tak dalej, to był tygodniem straconym.
Prowadzący: Ale nawet użytkownicy końcowi, restarty wieczne prawda, Windowsów.
Przemek Jaroszewski: Tak, tak. No i jak się wystawiało komputer, to tam były różne badania tak, ile to zajmuje, czy jeszcze w minutach czy już w sekundach zanim ktoś się rozgości na twoim komputerze. To były ciekawe czasy, rzeczywiście. To się skończyło właściwie, no takim przełomem właśnie XP Service Pack 2, który wprowadzał tego Firewalla domyślnie na stacji końcowej. No i w ogóle się zmieniło trochę myślenie o tym udostępnianiu usług i pozostali vendorzy też troszeczkę inaczej zaczęli podchodzić do tego. Aczkolwiek to wróciło, razem z erą IoT, tak. Fajnie przeżywamy renesans tego, bo co raz więcej tych urządzeń różnych śmiesznych, śmiesznych czy nieśmiesznych, bo to nie tylko chodzi o gadżety takie, które sobie w domu instalujemy, ale też na przykład do pomiarów gdzieś tam instalacji przemysłowych. One też są wystawiane na świat, znowu brzydko mówiąc, na golasa, tak. No, bo ktoś tam, jakiś inżynier potrzebuje zdalnie pobrać pomiary, no więc jest w Internecie, no i…
Prowadzący: Dla wygody.
Przemek Jaroszewski: Tak. No jest to wygodne. Więc troszeczkę paradoksalnie, zataczamy takie cykle. Tak samo jak z robakami, zresztą takimi, może nie robakami, teraz wirusami, tymi rozsyłanymi mailowo. No wydawało się, że to gdzieś tam nie wiem, 2002/2003 jakieś te I love you, że to było śmieszne i haha, my mamy to za sobą, przecież mamy antywirusy. No nie, znowu jednym z głównych takich wektorów ransomwaru dzisiaj, w przypadku użytkowników indywidualnych jest to, że dostajemy mailem jakąś fakturę z pdfem, czy jakiegoś excela i klikamy, i hello.
[00:35:01]Przemek Jaroszewski: Więc śmieszne jest to, że rzeczywiście to działa w takich cyklach. Natomiast ta motywacja bardzo się zmieniła, tak. I teraz narzędzia być może są te same, to znaczy znowu albo zero-daye, które są teraz co raz rzadsze i co raz cenniejsze, albo prymitywne takie narzędzia, czyli jakiś Excelek z makrami, albo jakiś pdf. Ale przede wszystkim albo dla pieniędzy, czyli taka masówka cyberprzestępczość i po prostu kradniemy pieniądze. Albo, no niestety też powiedzmy sobie otwarcie, co raz częściej działania takich statesponsors aktorów, tak. I z tym też mamy co raz częściej do czynienia, że takie incydenty okazują się częścią większego planu, nazwijmy to. Więc to rzeczywiście, jakby ciężar gatunkowy się zmienia, ta masowość też się zmienia. Zresztą, znowu fajnym przykładem jest ransomware, jak ewoluują te incydenty, bo coś, co w zasadzie znamy od nie wiem, 5/6 lat przynajmniej i zresztą ciekawe, ostatnio patrzyłem w statystyki, takie sobie robiliśmy wewnętrznie ze zgłoszeń ransomwaru, to wcale nie jest tak, że jego przybywa teraz. Paradoksalnie, więcej zgłoszeń mieliśmy 2 lata temu, tylko one pochodziły w większości od właśnie od indywidualnych użytkowników, którzy dostawali notkę – przelej mi tam nie wiem, 2 000 zł. I być może przestępcy też doszli do wniosku, że – a taki model to się nie sprawdza tak, bo on tam nie wiem, zaniesie do serwisu albo coś tam, niewarte są te dane.
Prowadzący: Po prostu machnie ręką na swoje dokumenty.
Przemek Jaroszewski: Tak. Albo zaora, przeinstaluje. I to w ogóle za dużo trzeba się bawić w taką indywidualną obsługę przy tych tysiącach infekcji. No to nie ma to sensu, tak. I zaczęły się infekcje być może rzadsze, ale bardziej bolesne. Czyli właśnie infekcje dużych przedsiębiorstw, infekcje urzędów, które rzeczywiście no mają dylemat poważny, czy ponosić koszty zawieszenia działalności operacyjnej czy jednak zapłacić okup, tak. Ostatnio, nie wiem czy widziałeś wyciekły informacje dotyczące Urzędu w Oświęcimiu bodajże, który wprost przesunął z budżetu na inwestycje drogowe 650 tysięcy na obsługę odszyfrowania zasobów w ransomwarze. To są decyzje biznesowe tak, ale w innej skali podejmowane. No plus jeszcze szantażowanie tych, którym zaszyfrowaliśmy komputer tym, że ich dane, które sobie wcześniej skopiowaliśmy, ujawnimy na przykład, tak. No i teraz znowu, jeżeli to jest przedsiębiorstwo, takie jak CD Project, które zostanie zaszantażowane tym, że ujawnimy wasze kody źródłowe waszych produktów, wasze tajemnice handlowe, no to znowu jest poważna i trudna decyzja dla Zarządu. I to jest zupełnie inny kaliber incydentów i przestępczości niż to, z czym mieliśmy do czynienia.
Prowadzący: A takie najciekawsze, najbardziej zajmujące casy, którymi zajmowaliście się ostatnio?
Przemek Jaroszewski: Hmm, o czym można opowiedzieć? Wiesz co, myślę ciekawym casem, o którym zawsze warto mówić i znowu będziemy się trzymali tego wątku ransomwaru, który wielu osobom kojarzy się z CERT Polska, jest Kościerzyna. Nie wiem, no właśnie. Nie jest to takie super ostatnie, bo to był, końcówka 2019.
Prowadzący: Już chwilkę temu.
Przemek Jaroszewski: Natomiast to jest bardzo ciekawy przykład, który pokazuje, jak pewne rzeczy poszły dobrze, a pewne poszły bardzo źle. Ponieważ, my dla tych z Państwa, którzy jakimś cudem nie słyszeli o incydencie w Kościerzynie, to był chyba taki pierwszy publiczny incydent ransomwaru w Polsce, tak. Urząd Gminy Kościerzyna padł ofiarą ransomwaru. Przyznał się od razu do tego, że no nie działa Urząd w wyniku ataku hakerskiego.
Prowadzący: Tak jak wspominałeś, chyba on nie miał wyjścia, żeby się nie przyznać w takim wypadku.
Przemek Jaroszewski: No zawsze mógł to, nie wiem, zwalić na awarię tam jakąś sprzętu czy coś tam, tak. Natomiast oni od razu powiedzieli tutaj – padliśmy ofiarą ataku hakerskiego. No i ok. Zgłosili ten incydent do nas. I to była pierwsza rzecz, która poszła źle po naszej stronie, tak. To jakby, my się bijemy w pierś i mówimy o tym od razu, że jakby zostali potraktowani przez operatora pierwszej linii, no w zasadzie zupełnie poprawnie, jeśli chodzi o Ustawę. To znaczy dostali informację – dziękujemy, prosimy tutaj o przesłanie próbek. Na tę chwilę niestety nie ma narzędzia, które wam pozwoli się odszyfrować. Radzimy tutaj skorzystać z jakiejś firmy komercyjnej, jeżeli nie macie własnych zasobów, która wam pomoże się przywrócić. No po pierwsze, tutaj zabrakło trochę empatii operatorowi. Mówię o tym, mówimy jakby otwarcie tak, że trochę inaczej trzeba było do tego podejść. I z tego też wyciągamy wnioski. I teraz już to tak nie wygląda. Natomiast z drugiej strony, tutaj Wójt Gminy od razu odczytał tę odpowiedź jako coś, co takie odesłanie trochę na drzewo.
[00:40:00]Przemek Jaroszewski: A mało tego, odesłanie do firm, które, tak to zrozumiał tak, że jeśli my doradzamy kontakt z firmą komercyjną, to odradzamy zapłacenie okupu, tylko przez pośrednika. Tak mu to ktoś podpowiedział, więc no – co ten CERT sobie wyobraża, co to za idioci tam pracują i tak dalej. Wobec tego narobił szumu w mediach. Pierwszą rzeczą, którą zrobił właśnie było, było gdzieś tam obdzwonienie dziennikarzy, pościągał trochę osób, które zaczęły biegać w kółko i próbować tym wszystkim zarządzić. No i szczęście w nieszczęściu było takie, że rzeczywiście, do nas po tam dniu czy dwóch, tak jak on uderzył do mediów, to do nas też dotarło, że – halo, no tutaj coś nie tak zrobiliśmy przy tym. Jednak może pociągnijmy ten temat dalej, może da się coś tam bardziej pomóc. Aczkolwiek i tak w między czasie nasi analitycy pracowali nad tym ransomwarem, ale nie komunikowali tego, tak. I tutaj zabrakło takiej zwykłej, ludzkiej mówię, rozmowy i tego, żeby trzymać rękę na pulsie. Więc my zajęliśmy się rewersowaniem ransomwaru. Ci ludzie, którzy tam biegali w między czasie w kółko, zaangażowali firmę zewnętrzną, w której pracował nasz dobry też znajomy, która również zaczęła równolegle pracować nad ransomwarem, nad tym dekryptorem do ransomwaru. W tym samym czasie, jakby też łącząc trochę siły udało się ten dekryptor wypracować, więc w Kościerzynie udało się na koniec odszyfrować. I teraz powstało takie mylne wrażenie, że – dzięki temu, że poszliśmy do mediów, dzięki temu, że tutaj poruszyliśmy niebo i ziemię, udało się odszyfrować pliki. No nie, te pliki i tak by się udało odszyfrować, dzięki pracy czy naszej, czy tej drugiej firmy. Może nie przy takim szumie, może nawet szybciej, gdyby co chwila ktoś tam nie dzwonił, nie dociskał. Natomiast udało się tylko dlatego, że to była rzeczywiście nowa, nieznana rodzina, w której był błąd po prostu, tak. I oni mieli szczęście. Skutek był taki, że w kolejnych przypadkach, jak dochodziło gdzieś tam do infekcji ransomwarem w innych podmiotach, no to wszyscy oczekiwali, że znowu, jak tutaj dociśniemy śrubę i poprosimy ładnie CERT, żeby rzucił wszystko inne i napisał dekryptor, to nam napiszą dekryptor. No niestety to tak nie działa, tak. Wielokrotnie podkreślamy, że te przypadki, gdzie udaje się, są szczęściem po prostu. Oczywiście również tytaniczną pracą kryptoanalityków, ale są tym przypadkiem raczej marginalnym.
Prowadzący: Ustawa o krajowym systemie bezpieczeństwa – czemu tak naprawdę ma służyć i jakie są jej założenia? Czy tego typu opracowania pomagają w pracy, czy wręcz przeciwnie? Jeżeli tak, to w jaki sposób? I czy to ma naprawdę sens w przypadku powiedzmy, zmasowanego ataku na polskie przedsiębiorstwa, w tym te o znaczeniu strategicznym?
Przemek Jaroszewski: No właśnie. Tutaj pierwsza jakby koncepcja, która jest czasami źle zrozumiana to jest to, że cała Ustawa o krajowym systemie cyberbezpieczeństwa nie za bardzo służy obronie przed atakiem. To nie jest to, że wprowadzamy Ustawę o krajowym systemie cyberbezpieczeństwa i automatycznie jesteśmy lepiej chronieni. Ta ustawa jest pewnym takim frameworkiem, który daje możliwości, podstawę prawną do wymiany informacji, dla pewnych podmiotów również obowiązki dotyczące wymiany informacji po to, żeby chociażby to, o czym mówiłem, żeby te incydenty, informacje o incydentach trafiały tam gdzie powinny i na ich podstawie, żeby można było wyciągać wnioski, wydawać jakieś rekomendacje. Tak jak ja rozumiem przynajmniej krajowy system cyberbezpieczeństwa i tak jak rozumie je Dyrektywa NIS, której implementacją jest krajowy system cyberbezpieczeństwa, to całe to raportowanie incydentów i cały ten obieg informacji ma służyć temu, żebyśmy się uczyli na błędach innych, żebyśmy po prostu czegoś ważnego nie przeoczyli i żebyśmy nie powtarzali własnych błędów. Z krajowym systemem bezpieczeństwa problem jest taki, że no to jest tylko prawo, aż, ale i tylko. To jest tam 40 parę stron pewnego frameworku, który daje ci podstawę do działania, daje ci możliwości, ale to nie zmusi ludzi do dzielenia się informacjami o tym, co ich rzeczywiście boli. Do tego potrzeba pewnej kultury, pewnego zaufania i pewnego budowania relacji. I to jest szalenie istotne. I to jest takie nasze CERT rozumienie, że celowo ta Ustawa została napisana w sposób dosyć ogólny, stwarzający możliwości pewne, a nie, raczej na zasadzie takiej marchewki, nie na zasadzie kija po to, żeby dalej całą robotę wykonać właśnie na miękko, żeby zachęcić podmioty do dzielenia się tymi informacjami. Niestety powiem, że teraz to nie jest jakaś tajemnica, że troszeczkę się różnimy rozumieniem tego krajowego systemu cyberbezpieczeństwa z KPRM, który jest, no jakby dysponentem tej Ustawy i przygotowuje nowelizacje i który wychodzi z założenia, że skoro to nie działa tak jak sobie wyobraziliśmy. Zaraz powiem, dlaczego nie działa moim zdaniem. Skoro to nie działa tak jak sobie wymyśliliśmy, to dokręćmy śrubę, wyregulujmy to jeszcze bardziej, opiszmy jeszcze dokładniej obowiązki, nałóżmy je i wtedy to na pewno zadziała.
[00:45:04]Przemek Jaroszewski: Przekonamy się pewnie, ale troszeczkę obawiam się, że to nie tędy droga, że to nie zapisy prawa stwarzają jakby klimat wokół tego, że się dzielimy zagrożeniami, że jest bezpieczniej. Zresztą mamy prawo o ruchu drogowym, które ma, jak sprawdziłem chyba 306 artykułów i 144 strony, samochodami jeździmy już ponad 120 lat. No i czy mamy bezpieczne drogi? Polemizowałbym, tak. To jakby od samej nowelizacji Prawa o ruchu drogowym, która też jest szykowana, czy weszła.
Prowadzący: Mało tego, właśnie to Prawo jest zmieniane i to dosyć regularnie.
Przemek Jaroszewski: No właśnie. I jakby to nie jest tak, że no jakby odczuwam dramatyczny skok bezpieczeństwa, kiedy sobie jeżdżę, czy po Warszawie czy gdzieś w trasę. I trochę analogicznie jest z krajowym systemem cyberbezpieczeństwa. To nie jest moim zdaniem klucz w tym, żeby bardzo ściśle wszystko wyregulować, tylko w tym, żebyśmy rzeczywiście pozostawili pewną autonomię, no chociażby takim instytucjom jak CERTY. O, fajnym przykładem jest na przykład CERT, który powstał w KNF. Z jednej strony, KNF jest instytucją nadzorczą w stosunku do rynku finansowego, więc no mogą wjechać z buta z kontrolą po prostu do Banku tak, czy do jakiejś innej instytucji z sektora finansowego i powiedzieć – no słuchajcie, tutaj wiedzieliśmy o jakimś incydencie, więc proszę się wyspowiadać, co tutaj poszło nie tak, dlaczego żeście zawiedli i dlaczego się nie zastosowaliście do regulacji i tutaj macie jeszcze karę, tak. Ale to jest fajne, że KNF zrozumiał, że jakby rola CSIRT jest czymś innym i ten dział, w którym funkcjonuje CSIRT jest czymś zupełnie innym niż ten, który przeprowadza kontrole. Do tego CSIRT powinno się zgłaszać informacje w pewnym zaufaniu, tak – słuchajcie, no informujemy was o incydentach, bo chcemy, żebyście mieli obraz, dlaczego pewne rzeczy nie działają, czy one wynikają raczej z, nie wiem, błędów sprzętu, błędów w oprogramowaniu, błędów człowieka czy z ataków hakerskich. Notabene, taka ciekawostka, ogromna większość incydentów tych poważnych, które są w rozumieniu Ustawy, to są właśnie nie ataki hakerskie, tak jak my je rozumiemy. One są zgłaszane, dlatego, że nie wiem, koparka przecięła światłowód tak, że nie wiem, padły dyski w czymś tam i przez 2 godziny ludzie nie mieli dostępu do bankowości. No to są incydenty, które są tymi poważnymi tak, a zupełnie inaczej je sobie wyobrażamy, kiedy mówimy o roli CSIRT. Więc no tak, no najpierw trzeba troszeczkę zrozumieć, posiedzieć w tym, a potem może zastanawiać się, dlaczego coś działa i nie działa. Zresztą, właśnie miałem powiedzieć, dlaczego moim zdaniem nie działa. Nie działa, dlatego, że no dopiero 3 lata mijają jak weszła Ustawa, że trochę mało tego relationship, w którym też nie pomogła pandemia, żeby ludzie się rzeczywiście pospotykali, pogadali, powiedzieli jak to powinno funkcjonować, że mają wspólny interes w tym, żeby się nad pewnymi obowiązkami rzeczywiście pochylić, a nie traktować je po macoszemu. No znowu, jeśli coś jest napisane w Ustawie to można to zrobić i zrobić, tak. Można wypełnić obowiązek po linii najmniejszego oporu, a można rzeczywiście zrozumieć, po co to było napisane i zadziałać w duchu tego, co wymyślono w Dyrektywie NIS chociażby.
Prowadzący: Moim gościem w dzisiejszym odcinku był Przemek Jaroszewski CERT Polska. Przemku, bardzo Ci dziękuję za Twoją obecność. I dzięki wielkie za te wszystkie informacje te, których nam udzieliłeś. A hasło na dzień dzisiejszy dla naszych słuchaczy to CERT. Do usłyszenia w kolejnym odcinku.
Przemek Jaroszewski: Dzięki za zaproszenie. I dziękuję słuchaczom.
Prowadzący: Dzięki wielkie.
