Cyberszpiedzy grasują w MON

Informacje o potężnym ataku na MON gen. Krzysztof Bondaryk podał w listopadowym numerze miesięcznika „Raport". W latach 2008–2013 generał był szefem Agencji Bezpieczeństwa Wewnętrznego, a później, do 2015 r., – doradcą ministra obrony do spraw bezpieczeństwa cybernetycznego. To za czasów jego pracy w MON resort zorientował się, że jest celem ataku.

Hakerzy działali latami

Zdaniem Bondaryka pierwsze ostrzeżenia ówczesny minister Tomasz Siemoniak otrzymał z ABW latem 2013 r. Pełny raport z tzw. analizą powłamaniową trafił na biurko ministra w listopadzie 2014 r. „Rozmiar strat był następujący: kilkaset kont zostało zhakowanych, m.in. pracowników Inspektoratu Uzbrojenia, pionu kadr, sekretariatu ministra obrony narodowej i poszczególnych członków ścisłego kierownictwa resortu. Ponadto kilkaset tysięcy wiadomości zostało skradzionych" – pisze w magazynie „Raport" gen. Bondaryk.

Jego zdaniem skradziono pocztę nieobjętą rygorami niejawności. Jednak i tak zawierała ona m.in. projekty stanowisk w negocjacjach, notatki ze spotkań z partnerami NATO oraz szczegóły przetargów zbrojeniowych.

Gen. Bondaryk relacjonuje, że hakerzy bez zakłóceń działali co najmniej przez cztery lata od 2009 r., bo z tego okresu zachowały się najstarsze tzw. logi systemowe. Jednak można przypuszczać, że do pracy przystąpili już w 2006 r., a ataki ponawiali w 2014 r. Wiadomości pozyskiwali z jawnej sieci resortu obrony INTER-MON. Jednak również w systemie niejawnym MIL-WAN w latach 2013–2014 obserwowano obecność złośliwego oprogramowania.

Kto stał za atakiem? Tego Bondaryk nie podaje. Wiele poszlak wskazuje na Rosję. Już w marcu „Wprost" pisał o możliwym ataku na MON. Zdaniem tygodnika za uderzeniem stali Rosjanie, a zostało ono przeprowadzone z serwerów na Łotwie. Kilka miesięcy wcześniej pisaliśmy w „Rzeczpospolitej" o działalności prokremlowskiej grupy szpiegowskiej APT28, która za cel wzięła m.in. MON.

Zdaniem Mirosława Maja, prezesa Fundacji Bezpieczna Cyberprzestrzeń, możliwe są też inne scenariusze. – Największe prawdopodobieństwo wiąże się z aktywnością za wschodnią granicą. Jednak swoje interesy rozgrywają także sojusznicy. Potrafią się nawzajem szpiegować, co pokazały informacje ujawnione przez Edwarda Snowdena. Nie można też wykluczyć, że MON został zhakowany przypadkowo w ramach masowego ataku na wiele innych sieci – mówi Mirosław Maj.

Chaos kompetencyjny

Więcej niż o źródle ataku Bondaryk pisze o jego przyczynach. Jego zdaniem w niejawnej sieci MIL-WAN złośliwe oprogramowanie znalazło się przez niefrasobliwość wojskowych.

– Te osoby nie przestrzegają fundamentalnych zasad bezpieczeństwa. Używają tych samych pendrive'ów do pracy na komputerach prywatnych i wpiętych do sieci wojskowej – wyjaśnia Wojciech Łuczak, wydawca „Raportu".

Z kolei atak na jawną sieć INTER-MON, zdaniem Bondaryka, jest pokłosiem błędów w zarządzaniu. Teoretycznie nad bezpieczeństwem sieci MON od 2008 r. czuwa specjalna jednostka System Reagowania na Incydenty Komputerowe. W okresie ataku cyberszpiegów działała ona jednak niezależnie od Służby Kontrwywiadu Wojskowego. Chaos kompetencyjny spowodował, że atak wykryła dopiero z zewnątrz ABW.

Wciąż przezroczyści

Po ujawnieniu ataku rozpoczęły się prace nad poprawieniem cyberobrony. W MON powołano Narodowe Centrum Kryptologii. W jego ramach miało powstać cyberwojsko do działań ofensywnych. W styczniu odszedł jednak gen. Bondaryk, a wcześniej zrezygnowano ze zwiększenia obsady cyberarmii. Przeorganizowano System Reagowania na Incydenty Komputerowe, co zdaniem Bondaryka było błędem.

– Wciąż jesteśmy przezroczyści jak kryształ – ostrzega Wojciech Łuczak. – Nie można budować systemu odstraszania, opartego na rakietach Homar albo okrętach podwodnych z pociskami samosterującymi, nie rozwijając kryptografii. Decyzje o wykorzystaniu tego systemu przekazuje się przecież w sieci informatycznej – zauważa.