Hakerzy i innowacyjność

Gorącym tematem ostatnich dni jest atak hakerów (najprawdopodobniej północno-koreańskich, choć w takich sytuacjach zawsze bardzo trudno jednoznacznie wskazać atakujących) na Sony. Wśród terabajtów ukradzionych danych jednych bardziej zajmują emaile zawierające oceny talentu aktorskiego Angeliny Jolie, innych informacje o kartach kredytowych abonentów PlayStation Network, a jeszcze innych wpływ włamania na kurs akcji firmy. Wszystkich zajmuje natomiast decyzja Sony, aby wycofać premierę filmu „Wywiad ze Słońcem Narodu”. To bardzo zła decyzja…

Atak hakerów na Sony jest świetnym przykładem wojny asymetrycznej (PKB Korei Północnej jest dwa razy mniejsze niż przychody firmy Sony). Asymetria dotyczy nie tylko wielkości ale także typów podmiotów z jakimi mamy do czynienia – z jednej strony państwo z drugiej prywatna, międzynarodowa korporacja (wygląda na to, że niektóre z zaatakowanych komputerów znajdowały się w Polsce).

Czy taki atak może być powodem wypowiedzenia wojny? Kto miałby tą wojnę wypowiedzieć? Wszystkie kraje, których obywatele posiadają akcje Sony? A może te, których obywatele zarejestrowali się w PlayStation Network? Co może być odpowiedzią na cyberatak? Taki sam atak wobec agresora? Jeśli jest nim Korea Północna, czy talibowie ukrycie w jaskiniach w Afganistanie to taki atak jest nierealny – tam po prostu nie ma systemów informatycznych, które możnaby zaatakować.

Nikt nie wypowie wojny z powodu kradzieży numerów kart kredytowych i dlatego, że kilka filmów wyciekło? Zgoda, ale co, jeśli tą prywatną firmą będzie dostawca energii elektrycznej, albo największy prywatny bank w kraju? Czy to wciąż pozostaje tylko kwestia prywatnej firmy? Prywatyzacja usług publicznych wcale nie ściąga z państwa odpowiedzialności za ich poprawne funkcjonowanie.

W Polsce za bezpieczeństwo funkcjonowania infrastruktury krytycznej odpowiada głównie Agencja Bezpieczeństwa Wewnętrznego i właściciele poszczególnych systemów, ale całość prac koordynuje Rządowe Centrum Bezpieczeństwa. To ono także przygotowało dokument Narodowy Program Ochrony Infrastruktury Krytycznej, który określa co jest, a co nie jest infrastrukturą krytyczną (zaskakujący jest wśród niej brak systemu informatycznego do obsługi wyborów). Choć, co oczywiste, nie ma publicznie dostępnych raportów dotyczących podatności infrastruktury krytycznej na ataki, to takie przypadki jak włamanie się na serwery Giełdy Papierów Wartościowych (ona akurat jest na liście) nie nastrajają bardzo optymistycznie.

Decyzja firmy Sony jest bardzo zła nie dlatego, że pozbawi nas możliwości obejrzenia niezbyt wyszukanej komedii (przynajmniej na chwilę bo nie mam wątpliwości, że znajdą się tacy hakerzy, którzy wykradną ten sam film tylko po to aby go upublicznić), ale ze względu na ośmielenie kolejnych atakujących. Będziemy świadkami kolejnych bardziej lub mniej spektakularnych włamań i szantaży.

Czy możemy coś z tym zrobić? Tak. Choć wyścig między dobrymi i złymi trwa od wieków, to postęp technologiczny i innowacje (nie tylko technologiczne ale także procesowe) spowodowały, że powszechne jeszcze 200 lat temu napady na banki przestały być istotnym elementem przestępczej panoramy (choć to oczywiście nie znaczy, że ich w ogóle nie ma). Zamiana fizycznych pieniędzy na ich elektroniczne zapisy spowodowała, że skarbce bankowe pełne złota i pieniędzy zobaczyć można głównie na filmach. Odpowiedzią na ataki hakerów powinny być większe inwestycje w badania nad innowacyjnymi rozwiązaniami zwiększającymi bezpieczeństwo teleinformatyczne. Panie Dyrektorze NCBiRu, to równie ważne jak wydobycie gazu z łupków, więc może warto przeznaczyć na to trochę dedykowanych pieniędzy… To będą rzeczy, które na pewno się sprzedadzą.