Bartosz Dybała, LoveKraków.pl: Kto i w jakim celu zaatakował szpital MSWiA w Krakowie?

Prof. Jerzy Domżał, dyrektor Instytutu Telekomunikacji Akademii Górniczo-Hutniczej w Krakowie: Nie wiemy, kto stoi za atakiem. Na razie pozostają jedynie domysły. Mogą to być „zwykli” złodzieje, którzy próbowali w nielegalny sposób zarobić pieniądze, a konkretnie wyłudzić je za pomocą klasycznego ataku ransomware. W takiej sytuacji przestępcy szyfrują dane, a następnie domagają się okupu za ich odblokowanie. Jednak w moim głębokim przekonaniu w tym przypadku nie chodzi o pospolitych złodziejaszków. To wyglądało na bardziej skoordynowane działanie. W całym kraju tego typu ataków mamy w ostatnim czasie bardzo dużo. Ich liczba rok do roku znacząco wzrasta. Moim zdaniem jesteśmy, jako Polska, mimowolnym uczestnikiem wojny cybernetycznej. Wynika to z faktu, że znajdujemy się bardzo blisko kraju, który wywołał konflikt zbrojny w Ukrainie. To sprawia, że na tego typu działania ze wschodu jesteśmy niestety mocno narażeni.

Czyli mówiąc wprost: za atakiem na szpital mogli stać przestępcy, powiązani z Rosją?

Taki scenariusz moim zdaniem jest prawdopodobny. W każdym razie oczy kierowałbym właśnie w kierunku wschodu.

Gdyby pozyskano dane wrażliwe pacjentów, do czego mogłyby posłużyć przestępcom?

Informacje medyczne są bardzo cenne na czarnym rynku. Wiemy, że szpital MSWiA to placówka, która ma patronat ministerstwa, więc potencjalnie leczą się w niej osoby znane, osoby publiczne. Uzyskanie informacji o stanie zdrowia takich ludzi jest niezwykle istotne dla przestępców, ponieważ mogą one być wykorzystane do wywierania wpływu czy nawet szantażu wobec polityków czy osób rozpoznawalnych. Dane medyczne można sprzedać podmiotom zainteresowanym stanem zdrowia pacjentów, a te mogą je z kolei wykorzystać do walki politycznej czy niszczenia wizerunku.

W sprawie ataku na szpital MSWiA w Krakowie interweniował m.in. minister cyfryzacji Krzysztof Gawkowski. Próbowano do tego dopisywać taką historię, że skoro interweniuje już sam minister, to sprawa musiała być bardzo poważna.

Bo wszystko wskazuje na to, że faktycznie była, niemniej jak wspomniałem, to szpital z patronatem ministerialnym, więc reakcje ministra Gawkowskiego oraz ministra spraw wewnętrznych i administracji Tomasza Siemoniaka nie powinny dziwić. Były one całkowicie słuszne i miały charakter prewencyjny, odstraszający, pokazujący wprost grupom hakerskim, że traktujemy tego typu ataki bardzo poważnie i że nasze ministerstwa stają na wysokości zadania, podejmując intensywne działania w celu m.in. wyszukania sprawców.

Minister Gawkowski zapewniał, że wdrożono procedury awaryjne i że nie było zagrożenia dla życia oraz zdrowia pacjentów. Niemniej szpital działał w trybie analogowym, zakłócona została m.in. praca izby przyjęć. To pokazuje, że atak dość mocno sparaliżował pracę tej placówki.

Bez wątpienia był kłopotliwy. System informatyczny przestał działać. Szczęście w nieszczęściu, że przestał działać akurat ten, dotyczący administracji, a nie ten, wykorzystywany do koordynacji rzeczywistych działań lekarskich. Skutki ataku świadczą o tym, że system szpitala nie był odpowiednio zabezpieczony. Wiem, że łatwo to teraz powiedzieć, kiedy do szkody już doszło, ale tak musiało być. Jakaś luka w dostępie istniała. Nie wiem, czym to było spowodowane. Może niefrasobliwością któregoś z pracowników? A może niedawno zakupiono nowe oprogramowanie, które nie było odpowiednio skonfigurowane pod kątem zabezpieczenia danych? Wszystkie scenariusze są tak naprawdę możliwe. Niewątpliwie jednak system bezpieczeństwa nie zadziałał w stu procentach tak jak powinien i na ten moment nie mamy pewności, czy jakieś dane nie zostały skradzione przez przestępców.

Wspomniał pan, że została zaburzona praca administracyjna szpitala. A czy przestępcy mają takie możliwości, by np. zakłócić przebieg jakiejś operacji? Wiemy przecież, że placówki medyczne inwestują teraz w nowoczesne technologie, choćby w robotykę.

Zaatakować można wszystko to, do czego jest szansa uzyskać dostęp poprzez sieć internetową. Jeżeli są systemy dopięte do Internetu, to zawsze istnieje możliwość znalezienia słabego punktu, poprzez który możemy się do takiej infrastruktury dostać. Są jednak systemy, które działają niezależnie od sieci internetowej. Wówczas przestępcy nie mają możliwości przedostania się do nich.

Cofnijmy się nieco w czasie. W 2021 roku doszło do ataku na urząd marszałkowski w Krakowie. Urzędnicy przekazali, że został dokonany przy użyciu narzędzi, które stworzyła grupa hakerska REvil. Co możemy o niej powiedzieć?

Mówi się, że to jedna z groźniejszych grup cyberprzestępców, która specjalizuje się w atakach ransomware. Dąży do tego, by dostać się do jakiegoś systemu, zaszyfrować dane, a następnie za ich odblokowanie domaga się okupu. Padają wprost oskarżenia, że to grupa powiązana z Federacją Rosyjską.

W zamian za ponowne odszyfrowanie danych przestępcy domagali się kwoty o równowartości 6264,94 XMR. To jakaś wirtualna waluta?

Tak, to jedna z kryptowalut, których na rynku mamy bardzo dużo. Oczywiście najpopularniejszą jest Bitcoin, ale jest ich znacznie więcej. Szyfrowanie danych i żądzanie okupu to ulubiona metoda hakerów. Jeśli zostanie zapłacony, oczywiście nie jest później tak łatwo te pieniądze wypłacić w formie gotówki. Wszystko odbywa się najpierw w tzw. darknecie, w sposób zaszyfrowany. Takie pieniądze przechodzą przez kilka, kilkanaście różnych punktów sieciowych, aż na samym końcu przestępcy wypłacają je z bankomatów. Śledczym, którzy badają takie sprawy, trudno nadążyć za przepływem tych środków.

Prokuratorskie postępowanie w sprawie ataku na urząd marszałkowski zostało umorzone: z powodu niewykrycia sprawcy przestępstwa. Choć śledczy mieli wskazówkę, że użyte narzędzia stworzyli hakerzy z REvil. Wykrycie i schwytanie cyberprzestępcy faktycznie jest takie trudne?

Jeśli do ataku doszłoby z terytorium Polski bądź ogólnie z obszaru Unii Europejskiej, to nasze służby byłyby w stanie wykryć, kto za nim stoi. Niestety, najczęściej ataki są dokonywane z dalekich zakątków, choćby ze wspomnianego wschodu, gdzie tamtejsze kraje nie współpracują ściśle z UE. Stąd wykrywalność sprawców tego typu przestępstw jest niestety niska. Jednak to, że śledztwo zostało umorzone, moim zdaniem nie kończy sprawy. Myślę, że sprawa ataku na urząd marszałkowski jest w centrum zainteresowania służb i może w przyszłości uda się wykryć, a następnie schwytać sprawcę bądź sprawców ataku.

Urzędnicy twierdzili, że ransomware, który dotknął UMWM, był świeżym narzędziem, którego sygnatury nie widniały wówczas w żadnych bazach. To pokazuje, że metody działania cyberprzestępców nieustannie ewoluują.

To niezwykle aktywne środowisko. Codziennie pojawiają się nowe rozwiązania i zagrożenia. Szacuje się, że dziennie tylko w samej Polsce dochodzi do co najmniej kilkuset prób ataków hakerskich. Trzeba sobie powiedzieć wprost, że cyberprzestępcy zawsze są o jeden krok przed nami. Systemy informatyczne są narażone na atak szczególnie w sytuacji, gdy się ich nie aktualizuje. Wówczas najłatwiej znaleźć jakąś lukę, niedociągnięcie, błąd.

Kim w zasadzie są cyberprzestępcy? Co to za ludzie?

Najprościej wyobrazić sobie zakapturzonego człowieka z maską na twarzy z matrycą bitów. Jest to jednak wizerunek medialny, filmowy. W rzeczywistości tak to nie wygląda. Ataki są dokonywane przez programy i systemy, stworzone przez wyspecjalizowanych w tym zakresie programistów. Te programy są tak skonfigurowane, by móc w jednym czasie zaatakować wiele miejsc. To nie jest tak, że ktoś siedzi przed komputerem i próbuje raz po raz gdzieś się dostać. W tle cały czas działa specjalistyczne oprogramowanie, które testuje infrastrukturę i w momencie, kiedy odkryje lukę, raportuje o tym twórcy tego oprogramowania. Wówczas ten człowiek czy też grupa ludzi przechodzi do rzeczywistego ataku.

W ostatnich miesiącach doszło też do ataku na krakowskie MPK. W efekcie nie funkcjonowała aplikacja mKKM oraz elektroniczne konto pasażera. Szefostwo spółki zapewniało, że „atak jest nietypowy oraz należy go uznać w znacznym stopniu za nieudany”. Jak było pana zdaniem?

Miejskie Przedsiębiorstwo Komunikacyjne było wielokrotnie pytane o ten atak, ale przekazywało zdawkowe informacje. Zasłaniało się tajemnicą przedsiębiorstwa. Efekt jest taki, że nadal mało wiemy o tym ataku. Wyglądał bardzo podobnie jak ten ostatni na szpital MSWiA. Cyberprzestępcy uzyskali dostęp do infrastruktury krakowskiego MPK i niestety jest duże ryzyko, że dane pasażerów zostały wykradzione. W efekcie cyberataku nie działały systemy biletowe, rozkłady jazdy. Wszystko to MPK musiało odtwarzać, co pokazuje, że spółka nie była przygotowana na taki atak. Nie były stworzone najnowsze kopie zapasowe tych systemów, odtwarzano je w pośpiechu. Dobitnym przykładem było to, że najpierw internetowe rozkłady jazdy zostały przywrócone do szablonu sprzed wielu lat wstecz, kiedy miały jeszcze zupełnie inną szatę graficzną. To pokazuje, że najpierw zostały przywrócone do bardzo starej kopii zapasowej. Szczęście w nieszczęściu, że skończyło się tylko takimi konsekwencjami.

Mogło być gorzej?

Oczywiście. Mogło dojść do znacznie poważniejszych konsekwencji. Nie trudno sobie wyobrazić, że cyberprzestępcy uzyskują dostęp do infrastruktury krytycznej i zmieniają ścieżkę poruszania się tramwajów, doprowadzając do ich kolizji. To oczywiście najbardziej drastyczny przykład, ale realny.

Radio RMF podało, że szpitale w Polsce będą przeprowadzać crash testy, które sprawdzą, czy wszystkie placówki mają właściwie zabezpieczone systemy informatyczne. To reakcja resortu zdrowia na atak na krakowski szpital MSWiA. Mądry Polak po szkodzie?

Trochę tak, ale dobrze, że działania zostaną podjęte. Niestety jest trochę tak, że gdy przez dłuższy czas nie dochodzi do ataku, usypia to naszą czujność i przestajemy dbać o tzw. higienę cyberprzestrzeni. Kiedy kupujemy jakiś nowy system informatyczny, początkowo bardzo o niego dbamy. Mamy wsparcie ze strony twórcy oprogramowania, obowiązuje gwarancja, wykupujemy aktualizacje. Po jakimś czasie zadajemy sobie jednak pytanie, czy jest sens inwestować w kolejne, skoro dotychczas system nas nie zawiódł? I wtedy dochodzi do ataku. W cyberprzestrzeni nie ma miejsca nawet na najmniejszy błąd. Jeśli odpuścimy, prędzej czy później się to na nas zemści.