Co to jest CROPT?
Maciej Siciarek: To system do wymiany danych między określonymi instytucjami zajmującymi się cyberprzestępczością. Pomysł na projekt wyszedł z naturalnej potrzeby pogłębienia współpracy między określonymi instytucjami, wyposażenia ich w narzędzia, które pomogą osiągnąć dwa cele: szybciej rozpoznawać problem oraz ułatwić identyfikację sprawcy. Jeżeli będziemy w stanie precyzyjnie wskazać przyczyny incydentu, czyli pozostając w naszej terminologii —„określić wektor ataku”, to będziemy mogli ostrzegać inne podmioty. Jest jeszcze trzeci cel — to łączenie wszystkich danych i wymiana informacji między wszystkimi uczestnikami procesu obsługi incydentu.
Kogo ta współpraca obejmie?
Zacznijmy od skali i rodzaju tych wyzwań, a wtedy automatycznie poznamy aktorów zaangażowanych w walkę z cyberzagrożeniami w Polsce. W 2024 r. CSIRT NASK zarejestrował około 100 tys. incydentów, wśród których były zaawansowane i najgroźniejsze zarówno dla instytucji publicznych, jak też sektora komercyjnego, czyli ataki ransomware. Są to działania nakierowane na przejęcie infrastruktury — zainfekowanie systemów komputerowych złośliwym oprogramowaniem i zaszyfrowanie danych w celu wymuszenia okupu. Dla nas są to oczywiście sytuacje pełne wyzwań. Chcemy pomóc zaatakowanemu podmiotowi odzyskać infrastrukturę, ale jednocześnie wesprzeć organy ścigania w ujęciu sprawcy. Projekt CROPT jest pomysłem na usprawnienie walki z cyberprzestępczością dzięki pogłębieniu współpracy. W tym wypadku mówimy głównie o współpracy NASK z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC).
Już obecnie współpracujecie. Co zmieni CROPT?
Między innymi to, że będzie jeden wspólny system agregujący informacje o incydentach umożliwiający przekazanie ich dalej. Materiał będzie zbieramy w zunifikowany sposób, co ułatwi analizę, ale zbuduje też wiarygodność tych danych jako materiału dowodowego. Te informacje są bardzo ulotne, muszą powstać procedury, które pozwolą nam je skutecznie zebrać i odpowiednio przekazać. W ramach tego projektu oczywiście dokupimy też niezbędny sprzęt i będziemy dzielić się wiedzą podczas szkoleń.
Jakiego rzędu nakłady są potrzebne do zbudowania takiego systemu?
Wartość projektu wynosi 37,5 mln zł. Zakończenie przewidziane jest w połowie 2026 r.
Podział na obsługę incydentów i ściganie sprawców rysuje się dość wyraźnie...
Dokładnie tak. Organy takie jak Policja, Prokuratura, CBZC są od ścigania sprawców i pociągania ich do odpowiedzialności. CSIRT NASK zajmuje się obsługą incydentu, wpiera zaatakowaną instytucję. Działamy w tym samym obszarze i nasz główny cel jest wspólny — poprawa cyberbezpieczeństwa, ale te pomniejsze mogą się różnić. Podczas obsługi cyberincydentu potrzeba wielu umiejętności technicznych, wiedzy o zabezpieczaniu cyfrowych śladów, a finalnie również odpowiednich uprawnień, by te ślady przekuć w akt oskarżenia i doprowadzić do skazania sprawców. Międzyinstytucjonalna współpraca to rdzeń projektu CROPT. Potrzebujemy jej, bo te poważne incydenty to dla nas wciąż wyzwanie.
Ile jest takich poważnych spraw?
Wśród incydentów dominują oszustwa socjotechniczne — phishing, fałszywe inwestycje. One są wymierzone w obywateli — skala tych ataków i cel są inne. Te oszustwa realizują też przeważnie inne grupy. Patrząc natomiast wyłącznie na podmioty publiczne, to w latach 2022-24 raportowały one do CSIRT NASK ataki ransomware na swoje środowiska przetwarzania danych blisko 100 razy. Na tle tych wcześniejszych liczb niewiele. Ale za tymi atakami stoją wyspecjalizowane grupy przestępcze, w tle są wielomilionowe okupy za odzyskanie danych lub zaniechanie ich publikacji i potencjalne wycieki danych tysięcy osób. Mówimy tu o jednostkach takich jak szpitale czy np. spółki samorządowe odpowiedzialne za różnego rodzaju usługi miejskie.
Poza tym wiele firm nie zgłasza przestępstwa i płaci okup. Czy w przypadku ataków ransomware jest to działalność wyłącznie przestępcza, nastawiona na zysk, czy łączy się z sytuacją za naszą wschodnią granicą i można ją uznać za element wojny hybrydowej?
Co do zasady mamy do czynienia z działalnością przestępczą, niemniej za częścią tych incydentów z pewnością stoją atakujący powiązani ze służbami obcych państw. Nie stawiałbym tezy, że każdy atak to efekt naszego zaangażowania w wojnę ukraińsko-rosyjską, bo znamy grupy motywowane wyłącznie finansowo, ale jeśli pomyślimy o podmiotach tworzących infrastrukturę krytyczną czy takich, które są dostawcami usług kluczowych, to tu zaangażowanie obcych służb jest bardziej prawdopodobne.
Niedawno Sam Altman powiedział, że jest przerażony tym, co się dzieje w związku z rozwojem sztucznej inteligencji. Czy widzicie ten trend w atakach?
My wykorzystujemy nowoczesne technologie do budowy cyberbezpieczeństwa, ale oszuści też korzystają z tych narzędzi. Widać to np. w reklamach fałszywych inwestycji, w których często używana jest metoda deepfake. Reklamy takich inwestycji są publikowane w mediach społecznościowych, wiele osób wierzy w ofertę i traci oszczędności. Zaczyna się od wiarygodnie wyglądającego materiału z idolem, sportowcem, który przekonuje do inwestycji. Naszym zdaniem konieczne jest stworzenie na poziomie operatorów platform systemu zapobiegania, publikowaniu reklam stanowiących oszustwa. Taka reklama to metoda okradania Polaków i wyprowadzania ich pieniędzy. Te złotówki zamiast budować PKB czy naturalną konsumpcję, budują budżet cyberprzestępców. Dla oszustów jest to gigantyczny biznes. I tu też widzimy potrzebę współpracy i zdecydowanych działań po stronie platform.
Na koniec wróciliśmy więc do tematu współpracy. Modelowy układ wypracowano w Australii - w walkę z cyberoszustwami zaangażowane są wszystkie służby, wszyscy interesariusze łącznie z nadzorem finansowym. Wszystko jest pod auspicjami politycznymi, czyli ma pełną ochronę regulacyjną. Co pan sądzi o takim pomyśle? Mam wrażenie, że w Polsce jest bardzo dużo ośrodków, które zajmują się walką z cyberprzestępstwami, ale trochę brakuje koordynacji...
To trochę spojrzenie z boku, spojrzenie ze środka jest takie, że krajowy system cyberbezpieczeństwa działa i w wielu sytuacjach opiera się właśnie na współpracy. Z oszustwami zaczynającymi się od fałszywych reklam walczymy wspólnie z ekspertami z CSIRT KNF, poważne incydenty ransomware chcemy dzięki projektowi CROPT skuteczniej obsługiwać z Policją, a na co dzień wymieniamy się informacjami z pozostałymi CSIRT-ami krajowymi, a nawet z kolegami z innych państw. Ale zgadzam się, że powinniśmy dążyć do ściślejszej współpracy i większej koordynacji. Właśnie po to, by skuteczniej walczyć z przestępcami, którzy generują straty w szerokiej skali, ale uderzają też w obywateli. Ich ochrona to nasz priorytet.
