Sytuacja była tak poważna, że szóstka operatorów uruchomiła sztab kryzysowy. Musieli się zmierzyć z atakiem na ich infrastrukturę.
Ten artykuł czytasz w ramach bezpłatnego limitu

Cyfrowy Polsat, Exatel, Multimedia, Orange, Polkomtel, TK Telekom oraz T-Mobile nie mogli dopuścić do ataku na swoich użytkowników. Złośliwe oprogramowanie zainstalowane przez hakerów w ich systemach mogło wyrządzić zbyt wielkie szkody. Pierwsza i najważniejsza: gigantyczny wyciek wrażliwych danych osobowych.

Fałszywy atak, prawdziwe zagrożenie

Tak wyglądały ćwiczenia zorganizowane przez fundację Bezpieczna Cyberprzestrzeń we współpracy z Rządowym Centrum Bezpieczeństwa i firmą Deloitte, które polscy operatorzy przechodzili w 2014 r.

– Sprawdzaliśmy koordynację działań operatorów telekomunikacyjnych, regulatorów tego rynku i innych podmiotów administracji państwowej – tłumaczył po ćwiczeniach Michał Grzybowski z Rządowego Centrum Bezpieczeństwa. Wniosek z ćwiczeń: polscy operatorzy są przygotowani na cyberataki, ale konieczna jest lepsza współpraca między instytucjami, które odpowiadają za bezpieczeństwo infrastruktury teleinformatycznej. – Organizacje, które mają zgrane i przeszkolone zespoły w odpowiedzi na incydent bezpieczeństwa radziły sobie znacznie lepiej z reakcją na zagrożenia i ich analizą – mówi Cezary Piekarski, starszy kierownik w dziale zarządzania ryzykiem Deloitte.

Od wspólnych ćwiczeń operatorów minęło 5 lat. Mirosław Maj, prezes fundacji Bezpieczna Cyberprzestrzeń ocenia, że od tamtej pory wszystkie firmy z sektora telekomunikacji poczyniły postępy. – Niektórzy uruchomili swoje centra cyberbezpieczeństwa, a ci którzy już je mieli, rozwinęli kompetencje. Myślę jednak, że nad współpracą sektorową wciąż trzeba popracować. Poszczególni specjaliści z firm telekomunikacyjnych znają się dość dobrze i wymieniają informacjami. Nie ma jednak nadal usystematyzowanego sektorowego podejścia. Pozostaje oczywiście pytanie, czy ono w ogóle jest możliwe. W końcu mówimy o spółkach, które ze sobą konkurują.

Według Roberta Grabowskiego, kierownika CERT Orange, większość operatorów już w 2014 r. miała wewnętrzne procedury działania na wypadek sytuacji kryzysowej. – Symulowany atak wymagał od nas dużego zaangażowania i szybkich reakcji, a przede wszystkim współpracy z innymi operatorami. CERT (Computer Emergency Response Team) to zespół szybkiego reagowania na zagrożenia w sieci. W Polsce tylko Orange i Exatel zdecydowali się na uruchomienie takiego zespołu w swoich strukturach. Pozostali operatorzy współpracują z CERT Polska i prowadzą własne centra zarządzania bezpieczeństwem. Administratorzy sieci mogą korzystać z platformy n6, w której CERT Polska gromadzi i udostępnia dane o incydentach lub podatności na ataki.

Jak oszukać oszusta

„Wirusom i hakerom wstęp wzbroniony” – czytam na drzwiach prowadzących do CERT Orange. – W zespole mamy bardzo dobrych specjalistów, w tym również byłych hakerów, którzy teraz pomagają wykrywać niebezpieczeństwa w sieci – mówi Robert Grabowski.

Również takie firmy jak Google, Apple czy Microsoft zatrudniają w swoich szeregach byłych hakerów. Często są to osoby, które najpierw złamały zabezpieczenia firm, a później dostały w tych firmach pracę.

Teraz dbają o to, żeby klienci operatora nie padali ofiarą oszustw. – Dzwoniła do nas pani, która skarżyła się, że nasza usługa, która blokuje zagrożenia, CyberTarcza, uniemożliwia jej zrobienie przelewu – opowiada Grabowski. – Wiedzieliśmy, że jest to podrobiona strona banku i była przez nas słusznie zablokowana. Kolega tłumaczył, że pani musi przejść na oryginalną stronę banku, ale pani podkreślała, że przelewy są pilne, faktury są po terminie, i upierała się, że opóźnienie to nasza wina. Dopiero po kilkunastu minutach przekonaliśmy ją, że wiemy, co robimy.

Zespoły szybkiego reagowania nie tylko reagują, czasem same zastawiają pułapki (tzw. honeypots) na oszustów. Monitorują nie tylko ataki na użytkowników, ale także na urządzenia i wykrywają ataki typu 0-day, wykorzystujące luki, na które nie ma jeszcze łatki bezpieczeństwa.

Tak było w przypadku podejrzanej aktywności związanej z routerami D-Link z kartą SIM, którą zaobserwował CERT Orange. Przestępcy wykorzystywali lukę w tych urządzeniach i uzyskiwali m.in. hasło administratora. Logowali się do routera i wysyłali SMS-y. Grabowski przyznaje, że mechanizm był sprytny, bo wiadomości trafiały głównie na litewskie numery telefonów. A za SMS-y przychodzące operator oddawał 20 proc. kwoty, którą Orange płacił za przekierowanie ruchu. – Z D-Linkiem było dość prosto – tłumaczy Grabowski. – Widzieliśmy te nadużycia i sprawdziliśmy, jakich modeli dotyczą. Znając modele zagrożonych routerów, dotarliśmy do informacji o podatności. A potem założyliśmy pułapkę i czekaliśmy, aż ktoś będzie próbował przejąć kontrolę nad podstawionymi urządzeniami. Wszystkich, którzy wpisywali komendę przejęcia, blokowaliśmy w sieci.

SOC, NOC i CERT

Pozostali operatorzy współpracują z CERT Polska i korzystają z własnych centrów NOC (network operations center) albo SOC (security operations center), w których analizują własne sieci i monitorują potencjalne zagrożenia. – Nasz SOC działa zarówno wewnętrznie, czyli sami monitorujemy bezpieczeństwo w naszej sieci, jak i u naszych klientów – mówi Krzysztof Bronarski, kierownik sekcji operacyjnego zarządzania cyberbezpieczeństwem z T-Mobile Polska. – Niedawno dostaliśmy zgłoszenie o witrynie podszywającej się pod T-Mobile, to była doskonale przygotowana kampania. Wszystko po to, by wykraść dane klientów. Jak tylko to wykryliśmy, zablokowaliśmy stronę dla naszych klientów. Podzieliliśmy się też tą informacją z innymi SOC-ami i CERT-ami.

Informacje, którymi dzielą się ze sobą operatorzy, to np. fałszywe SMS-y w danej sieci lub dane o bramce, która je rozsyła. Wszyscy operatorzy podkreślają konieczność współpracy między sobą, ale wystarczy zapytać o szczegóły i okazuje się, że nie jest ona najłatwiejsza. Czasem informacje nie są dość szczegółowe, a czasem nie są przekazywane dość szybko.

Piotr Borkowski, specjalista ds. cyberbezpieczeństwa z firmy doradczej Deloitte, zauważa, że poza standardową wymianą informacji przydałaby się większa otwartość firm telekomunikacyjnych na tzw. ofensywne testy infrastruktury. To symulowane ataki, które znienacka prowadzą niezależne, specjalnie wynajęte do tego zespoły. One najlepiej pomagają zidentyfikować luki w zabezpieczeniach, których nawet najlepszy zespół bezpieczeństwa wewnętrznego w firmie nie dostrzeże. – Bo traci perspektywę przez codzienne funkcjonowanie w systemie – tłumaczy Borkowski.

icon/Bell Czytaj ten tekst i setki innych dzięki prenumeracie
Wybierz prenumeratę, by czytać to, co Cię ciekawi
Wyborcza.pl to zawsze sprawdzone informacje, szczere wywiady, zaskakujące reportaże i porady ekspertów w sprawach, którymi żyjemy na co dzień. Do tego magazyny o książkach, historii i teksty z mediów europejskich.
Więcej
    Komentarze
    Zaloguj się
    Chcesz dołączyć do dyskusji? Zostań naszym prenumeratorem