Współpraca nad międzynarodową reakcją na incydenty

NotPetya zaszkodził dużym firmom na całym świecie, Sony Pictures zostało zhakowane w ramach odwetu za wydanie filmu, a ostatnio ransomware zaatakowało organizację Colonial Pipeline. O wydarzeniach tych nie tylko trudno jest mówić — są one również problematyczne dla firm, organów ścigania i decydentów politycznych na całym świecie. Internet nie uznaje granic: ataki, które pochodzą z jednego kraju, mogą dokuczać ofiarom znajdującym się w zupełnie innych zakątkach świata, co utrudnia wymierzanie sprawiedliwości.

Do rozwiązania tego problemu konieczna jest komunikacja i współpraca. To jednak nie takie proste.

Podczas konferencji RSA 2021 zagadnienie to omawiał Craig Jones — dyrektor ds. cyberprzestępczości, INTERPOL, specjalny wysłannik ds. cyberbezpieczeństwa i polityki zagranicznej, Jon A. Fanzun, Federalny Departament Spraw Zagranicznych (FDFA), Szwajcaria, a także Serge Droz — przewodniczący w firmie FIRST (Forum for Incident Response and Security Teams). Poprowadzili oni panel poświęcony problemowi „tykającej cyberbomby” oraz wypracowania globalnej polityki reagowania na incydenty. W roli moderatora wystąpiła starsza menedżer ds. spraw publicznych w firmie Kaspersky, Anastazja Kazakowa. Grupa ekspertów omówiła szczególne wyzwania i możliwe do wprowadzenia w życie elementy globalnego reagowania.

Ogólny konsensus sprzyja lepszej międzynarodowej współpracy, czyli dzieleniu się wiedzą dotyczącą zagrożeń i zagadnieniami związanymi z bezpieczeństwem. Jednak jurysdykcje zależą od granic terytorialnych, których organy ścigania muszą przestrzegać; niestety tego samego nie możemy powiedzieć o przestępcach.

„Cyberprzestępcy kochają frazę dziel i rządź — jeśli my jesteśmy podzieleni, aktywność przestępców rozkwita. Dlatego naszym największym wyzwaniem, znacznie większym niż problem techniczny, jest to, abyśmy mogli wszyscy lepiej współpracować” — wyjaśnił Droz.

Chociaż sytuacja wydaje się beznadziejna, w rzeczywistości współpraca transgraniczna w ostatnich latach wzrosła. Podmioty prywatne, zespoły CERT, grupy organów ścigania i rządy zaczynają współpracować na rzecz pomocy ofiarom. Na przykład projekt nazwany „No More Ransom” pomaga ofiarom ransomware w odszyfrowywaniu zajętych plików bez konieczności płacenia komukolwiek. A ostatnio Europol, federalna policyjna agencja śledcza w Niemczech, policja w Holandii i Szwecji, Australijskie Centrum Przeciwdziałania Wykorzystywaniu Dzieci, Australijska Policja Federalna i organy ścigania w Queensland, FBI i ICE (Stany Zjednoczone), jak również Kanadyjska Królewska Policja Konna wspólnie doprowadziły do zamknięcia w wielu krajach platform służących do wykorzystywania seksualnego dzieci, które zlokalizowane były w dark webie.

Te przykłady są obiecujące, ale musimy pracować nad tym zagadnieniem dalej. W szczególności organizacje muszą zacząć współpracować i usystematyzować sposób, w jaki postrzegamy cyberprzestępczość. Musimy również zbudować jeszcze większe wzajemne zaufanie, aby możliwa była większa wymiana informacji między wszystkimi zainteresowanymi stronami.

Firma Kaspersky postrzega tę współpracę jako proces trzyetapowy, w którym każdy krok będzie pomocny w zapobieganiu ataków na infrastrukturę krytyczną oraz reagowaniu na nie:

1. Krajowe punkty kontaktowe (POC) ułatwią dalszą koordynację z kolejnymi odpowiednimi organami w państwie, zorganizują regularne cyberćwiczenia i opracują transgraniczne procedury, narzędzia i szablony (służące na przykład do oceny incydentów, zgłaszania próśb o pomoc czy odpowiedzialnej wymiany informacji na temat luk w zabezpieczeniach).
2. W przypadku ataku POC łączy infrastrukturę krytyczną zaatakowanej organizacji z odpowiednim producentem oprogramowania, firmą z branży cyberbezpieczeństwa i organami CERT w konkretnym kraju.
3. Następnie punkty POC niezwłocznie wymieniają się informacjami na temat zagrożenia, analizują je i porównują próbki kryminalistyczne, aby skutecznie przeciwdziałać incydentowi.

Głęboko wierzymy, że taka współpraca będzie się rozwijać i zapewni nam lepszą przyszłość.