Autor: Kamil Gapiński

Włamanie do sieci komputerowej Sony Pictures zostało odkryte 24 listopada 2014 r. Na ekranach służbowych komputerów pojawił się komunikat o przejęciu danych wewnętrznych firmy oraz groźba ich upublicznienia w przypadku nie spełnienia żądań hakerów. Cyberprzestępcy, nazywający siebie „Guardians of Peace”, żądali anulowania premiery filmu „The Interview”, satyry politycznej opisującej zamach na Kim Dzong Una, przywódcę Korei Północnej. W ciągu następnych tygodni system komputerowy Sony Pictures pozostał sparaliżowany, a do sieci wyciekły dane wrażliwe obejmujące m.in. poufne kontrakty, dane osobowe, informacje o wynagrodzeniach czy prywatna korespondencja. W internecie pojawiły się także 4 nieopublikowane skończone produkcje filmowe. W sumie hakerzy przejęli około 100 terabajtów danych. Warto przypomnieć, że to nie pierwszy cyberatak na Sony, jaki miał miejsce w ostatnich latach. W kwietniu 2011 r. hakerzy dokonali kradzieży danych osobowych ok. 77 mln użytkowników serwisu PlayStation Network.

Pełzający cyberkonflikt 

Skala szkód spowodowanych włamaniem, fakt, że studio filmowe po raz kolejny nie potrafiło zabezpieczyć poufnych danych swoich pracowników oraz polityczny kontekst cyberataku zmusiły amerykański rząd do podjęcia działań mających na celu zidentyfikowanie i ukaranie sprawców. Od samego początku o dokonanie włamania podejrzewano hakerów związanych z północnokoreańskim reżimem. Wskazywały na to przede wszystkim krytyczne komentarze koreańskiego rządu pod adresem Sony, jeszcze przed odkryciem włamania i premierą „The Interview”. Za tymi podejrzeniami nie stały jednak twarde dowody – zarówno sami zainteresowani, jak i Federalne Biuro Śledcze (FBI), które włączyło się do dochodzenia, nie przedstawili konkretnych dowodów popierających tę tezę. Jednocześnie 3 grudnia 2014 r. Sony wycofało swoje oskarżenia, twierdząc, że Korea Północna nie była źródłem cyberataku.

Wbrew ogólnej opinii wielu specjalistów, amerykański rząd zdecydował się nie rezygnować ze swojego „antykoreańskiego” stanowiska. Co więcej, 19 grudnia 2014 r. FBI wydało oficjalne oświadczenie, w którym przytacza argumenty mające potwierdzać winę Koreańczyków. Miały o tym świadczyć ślady adresów IP pozostawione w kodzie ataku oraz jego podobieństwo do tego, którego używali hakerzy w atakach na Koreę Południową w marcu 2013 r., za które również oskarżany jest rząd Kim Dzong Una. Wkrótce po publikacji oświadczenia, w amerykańskich mediach pojawił się temat nałożenia kolejnych sankcji na Koreę Północną, w ramach odpowiedzi na cyberatak. Atmosferę podgrzewały także wypowiedzi samego Baracka Obamy. Prezydent USA w wywiadzie dla CNN nie wykluczał możliwości ponownego wpisania Korei Północnej na listę państw wspierających terroryzm. Ponadto, skrytykował uległą postawę Sony Pictures wobec hakerów (kinowa premiera „The Interview” została wstrzymana) twierdząc, że studio „popełniło błąd” godząc się na szantaż.

W tym czasie w Korei Północnej nastąpiły dwie dotkliwe awarie sieci www. Za dysfunkcję sieci reżim Kima natychmiast obwinił Stany Zjednoczone. Zważywszy na niedoskonałość infrastruktury teleinformatycznej, nie ma pewności, że awarie powstały na skutek cyberataku. Z tego samego powodu trudno jest również ustalić jego źródło. Uwzględniając niewielką liczbę adresów IP (nieco ponad tysiąc), jednego dostawcę usług internetowych oraz silne uzależnienie od zewnętrznego operatora (China Unicom), można stwierdzić, iż przygotowanie takiego ataku nie stanowi wyzwania ponad umiejętności doświadczonego hakera lub grupy hakerskiej. Administracja Obamy nie przyznała się do żadnych działań, oceniając awarię jako wewnętrzny problem Koreańczyków. Nie jest jednak wykluczone, że Amerykanie nie mieli nic wspólnego z domniemanym atakiem. Zgodnie z takim założeniem, milczenie działałoby na korzyść Stanów Zjednoczonych, które wolałyby uniknąć krytyki ze strony międzynarodowej opinii publicznej.

Od słów do czynów

W konsekwencji sprawa cyberataku i jego skutki szybko zyskały wymiar geopolityczny – po obu stronach zaangażowała się wysoka administracja państwowa, pojawiła się wojenna retoryka oraz pierwsze oficjalne retorsje.

3 stycznia 2015 r. Barack Obama podpisał dekret nakładający sankcje na 10 osób i 3 podmioty, w tym wojskową agencję wywiadowczą Korei Północnej (Reconnaissance General Bureau) oraz jeden z państwowych koncernów zbrojeniowych (Korea Mining Development Trading Corporation). Grupa 10 osób objętych sankcjami nie ma bezpośrednich powiązań z cyberprzestępczością – są to urzędnicy rezydujący poza granicami kraju, związani ze służbami specjalnymi oraz przemysłem zbrojeniowym. Nie musi to wykluczać ich wpływu na decyzje odnośnie do działań w cyberprzestrzeni. Biorąc jednak pod uwagę tę asymetryczność, można uznać, że zastosowane sankcje wobec Koreańczyków mają działać nie doraźnie, lecz długofalowo, paraliżując strategiczne ruchy autorytarnego rządu i blokując jego interesy.

Stany Zjednoczone po raz pierwszy w historii użyły takiego instrumentu nacisku w odwecie za cyberatak na prywatną firmę. Dodatkowo, co należy podkreślić, wciąż nie mając przekonujących dowodów na winę Koreańczyków. Nowe światło na sprawę rzuciły dopiero informacje o inwigilacji północnokoreańskich systemów informatycznych, którą od 2010 r. miała przeprowadzać amerykańska Agencja Bezpieczeństwa Narodowego (NSA).

Początkowo celem inwigilacji systemów było rozpoznanie w zakresie koreańskiego programu nuklearnego. Następnie, po cyberatakach na sektor finansowy Republiki Korei, zmieniły się priorytety inwigilacji. Zgodnie ze stanowiskiem amerykańskiej administracji, wcześniej formułowane oskarżenia opierały się na informacjach zdobytych podczas trwania operacji NSA. Jeśli jest to zgodne z prawdą, nasuwa się oczywiste pytanie, czy w takim wypadku można było zapobiec cyberwłamaniu do Sony Pictures. Z opinii ekspertów wynika, że grudniowy atak był niezwykle precyzyjnie zaplanowany i nawet NSA, będąc w posiadaniu tajnych informacji oraz specjalnych narzędzi, mogło nie zidentyfikować zagrożenia lub zrobić to zbyt późno. Oczywistym jest, że nie musi to świadczyć o niesolidności amerykańskiego cyberwywiadu, ale raczej o istnieniu luk w systemie obrony cyberprzestrzeni. Może to być związane z przyznawaniem pierwszeństwa działaniom o charakterze ofensywnym – zostały one opisane w tajnych dokumentach NSA opublikowanych w połowie stycznia 2015 r. przez Edwarda Snowdena.

Do dnia dzisiejszego pojawiają się sprzeczne informacje odnośnie do źródła ataku. Amerykanie oficjalnie utrzymują, że za włamaniem stoją hakerzy z Korei Północnej. Z kolei najnowsze doniesienia oparte na raporcie firmy Taia Global Inc. sugerują, że Sony Pictures mogło być zaatakowane przez kilka podmiotów jednocześnie, również cyberprzestępcy z Rosji. Ponadto, z raportu wynika, że studio filmowe wciąż jest zagrożone cyberatakami. Wykradane pliki są przedmiotem handlu w sieci, a część z nich jest w posiadaniu rosyjskich hakerów.

Wnioski i rekomendacje

1. Można zaobserwować zjawisko ideologizacji cyberataków. Jak pokazuje przykład włamania do Sony Pictures, ataki mogą mieć kontekst polityczny, co prowadzi do konsekwencji na poziomie międzynarodowym. W tym wypadku, atak stał się kolejnym elementem mającym negatywny wpływ na stosunki bilateralne między Stanami Zjednoczonymi a Koreą Północną. Ponadto, po raz pierwszy w reakcji na cyberatak uruchomiono mechanizm sankcji.
2. Cyberprzestrzeń jest nową areną gry o wpływy w stosunkach międzynarodowych, nie tylko w wymiarze teoretycznym, ale również w praktyce. Dowodzi temu między innymi casus Sony Pictures oraz ujawnione tajne dokumenty NSA, zawierające projekty konkretnych działań rozpoznawczych i ofensywnych w sferze cyber.
3. Ostatnie wydarzenia powinny stanowić impuls dla państw, w tym Polski, do wzmocnienia zdolności obrony w cyberprzestrzeni. W pierwszym rzędzie należy wzmocnić narodowe zdolności defensywne (cywilne i wojskowe), przy jednoczesnym rozwijaniu możliwości prowadzenia operacji wyprzedzających. Implementacja konkretnych rozwiązań musi także odbywać się na szczeblu międzynarodowym. Wskazane jest zintensyfikowanie wspólnych ćwiczeń cybernetycznych, również w oparciu o struktury organizacji międzynarodowych (ćwiczenia zarządzania kryzysowego NATO CMX; ćwiczenia zarządzania kryzysowego UE Multilayer).
4. Konsekwencje cyberataku na Sony Pictures podkreślają sens zachowania bezpiecznego funkcjonowania państwa w cyberprzestrzeni w oparciu o dialog publiczno-prywatny. Mając na uwadze to, iż cyberprzestrzeń, podobnie jak środowisko naturalne, infrastruktura oraz dziedzictwo kulturowe jest dobrem wspólnym, polskie władze powinny aktywnie włączyć się we współpracę z podmiotami prywatnymi poprzez wymianę opinii i doświadczeń, implementowanie wspólnych rozwiązań i przeprowadzanie ćwiczeń, możliwie szeroką wymianę informacji o zagrożeniach oraz bardziej elastyczną wymianę kadr między sektorem państwowym a prywatnym.
5. W kontekście zagrożeń asymetrycznych dla Polski, istotne są działania Federacji Rosyjskiej, w tym przede wszystkim w ramach trwającego konfliktu z Ukrainą. Konsekwencje prowadzonej przez Rosję wojny hybrydowej, wykorzystującej m.in. manipulowanie informacją i propagandę, są widoczne także w Polsce. Głównym nośnikiem informacji jest internet, a zwłaszcza media społecznościowe, będące nowoczesnymi narzędziami wywiadu i obcej agentury. Zgodnie z tym, monitorowanie podejrzanych działań w sieci powinno stanowić jeden z priorytetów służb kontrwywiadowczych w Polsce.

Autor: Kamil Gapiński, analityk Programu „Cyberbezpieczeństwo” Fundacji im. Kazimierza Pułaskiego