Autor: dr Andrzej Kozłowski

Rok temu zaczęły pojawiać się w przestrzeni publicznej pierwsze e-maile wykradzione z prywatnej skrzynki ministra i szefa Kancelarii Prezesa Rady Ministrów Michała Dworczyka. Od tego czasu praktycznie codziennie pojawiają się nowe maile rzucające światło na polską politykę. Powstaje pytanie jak Polska poradziła sobie z tą najpoważniejszą do tej pory operacją wypływu.

19 lipca br. CERT (Computer Emergency Response Team) Polska opublikował materiał, w którym opisuje rozwój techniki stosowanej przez grupę UNC1151. Hakerzy, poza licznymi atakami phishingowymi, w których podszywano się pod instytucje i próbowano wykraść informacje ze skrzynek pocztowych w domenach popularnych serwisów internetowych, zaczęli również wykorzystywać techniki Browser in the Browser, które polegają na wyświetleniu w ramach odwiedzanej strony pozornie nowego okna przeglądarki, zawierającego fałszywy panel logowania. CERT Polska przypomniał niejako swoją publikację o istnieniu i działaniu grupy UNC1151, której aktywność, jak przypominają eksperci, wcale nie spadła. Jest to również dobry moment do przenalizowana czy Polska poradziła sobie z pierwszą poważną operacją wypływu realizowaną za pomocą środków cyfrowych.

Problemy z atrybucją

Operacja grupy UNC1151 potwierdziła dużą polaryzację na polskiej scenie politycznej, gdzie nawet określenie jej atrybucji do dziś dla wielu polityków i komentatorów nie jest jasne i to pomimo raportów i analiz przeprowadzonych przez najlepszych ekspertów z Google i Mandiant, którzy wskazali na rząd białoruski, nie wykluczając również udziału Rosji. Trudno podejrzewać, że niezależni specjaliści z amerykańskich korporacji będą się w swoich działaniach kierować czymś innymi niż fachowym podejściem analitycznym. Jedyne pytanie, na które wciąż nie znajdujemy odpowiedzi to kwestia udziału Rosji w tej operacji i jej współpracy czy nawet sterowania działaniami Białorusi. Wojna w Ukrainie pokazuje skalę zależności białoruskiego reżimu od Kremla, w tym przede wszystkim w kwestii struktur bezpieczeństwa. Można  więc założyć, że operacja była prowadzona przy bliskiej współpracy Białorusi i Rosji.

Bezpieczeństwo przekazywania informacji i cyberbezpieczeństwo

DworczykGate pokazało, że politycy koalicji rządzącej oraz członkowie administracji łamali podstawowe zasady bezpieczeństwa. Po pierwsze korzystali z komercyjnych, prywatnych skrzynek mailowych do przekazywania informacji, które w żadnym wypadku nie powinny zostać przesłane za pomocą tego środka komunikacji. Po drugie wykazywali oni braki dotyczące podstaw cyberbezpieczeństwa, stosując niezbyt bezpieczne skrzynki pocztowe, a nie zdecydowanie lepiej zabezpieczone skrzynki jak np. gmail. Ponadto nie używali oni weryfikacji dwuetapowej, która stanowi bardzo ważny element bezpieczeństwa. Takie zaniedbania wymagały przeprowadzenia odpowiednich szkoleń z zakresu cyberbezpieczenstwa przez ekspertów i faktycznie zostały one zorganizowane. Początkowo w szkoleniach wzięło udział tylko 70 posłów, potem jednak liczba ta na szczęście wzrosła. Niestety trudno jest zweryfikować wiedzę posłów, czy faktycznie zrozumieli i przyswoili oni podstawowe zasady cyberbezpieczeństwa i czy szkolenia te są cykliczne (a takie powinny być ze względu na zmieniający się dynamicznie krajobraz cyberzagrożeń).  Posłowie i posłanki otrzymali też klucze U2F w celu zapewnienia bezpieczeństwo poczty elektronicznej, które gwarantują wysoki poziom bezpieczeństwa. Pytaniem jednak pozostaje to czy posłowie i posłanki umieją skorzystać z tych narzędzi i czy przede wszystkim czują taką potrzebę oraz czy są świadomi zagrożeń wynikających z korzystania z prywatnych telefonów czy maili.

Jak znaleźć remedium na operacje wypływu?

Należy jednak pamiętać, że włamanie na skrzynkę Michała Dworczyka, nie było celem samym w sobie, ale elementem operacji informacyjnej realizowanej w ramach kampanii Ghostwriter nakierowanej na destabilizację państwa, pogłębienie polaryzacji społecznej i politycznej oraz zwiększenie nieufności do rządzących. Niestety w państwie tak silnie spolaryzowanym, takie operacje trafiają na podatny grunt. Polska nie zdała egzaminu w odpowiedzi na tak realizowaną operację wypływu, oddając całkowicie pole w konfrontacji informacyjnej z przeciwnikiem.  Rząd przyjął strategię nie komentowania wycieków, oficjalnie mówiąc, że „nie uczestniczy w próbie ingerowania w wewnętrzne sprawy państwa przez obce siły”. Po pierwsze strategia ta nie była spójna, część członków partii się z niej wyłamała i stwierdziła w trakcie różnych wywiadów, że maila są autentyczne. Po drugie dawało to pełne pole swobody przeciwnikowi, który mógł swobodnie publikować wybrane informacje w wybranym przez siebie czasie, kształtując w dużej mierze dyskurs polityczny w Polsce. W takiej sytuacji opinia publiczna  traktowała też wszystkie pojawiające maile jako autentyczne bez dokładniejszego weryfikowania czy poszczególne z nich rzeczywiście pochodzą ze skrzynki ministra Dworczyka. Przy czym Rosjanie bardzo często w swoich wcześniejszych operacjach wypływu mieszali wiadomości prawdziwe i fałszywe. Na razie w publikowanych mailach ze skrzynki M. Dworczyka nie stwierdzono „fałszywek”, ale takiego scenariusza nie można wykluczyć. Zdecydowanie lepszym pomysłem byłaby publikacja całej wykradzionej zawartości skrzynki pocztowej ministra Dworczyka i udostępnienie jej dziennikarzom oraz obywatelom, wraz z wyjaśnieniami. Minimalizowałoby to ryzyko rozgrywania sceny politycznej poprzez publikacje emalii przez zewnętrzną stronę, dodawanie „fałszywek” oraz doprowadziłoby do sytuacji, że wyciekami maili polska opinia publiczna „żyłaby” maksymalnie kilka tygodni. Niestety obecnie tego scenariusza nie da się praktycznie zrealizować, ale warto o tym pamiętać w przyszłości, ponieważ podobnych operacji należy się spodziewać, w szczególności z w ramach nadchodzących wyborów.