Polskie programy zbrojeniowe przed II wojną światową realizowano w pospiechu i chyba bez świadomości nieuchronnej klęski. Z jednej strony niektórzy widzieli ogromną dysproporcję nie tylko samych sił, ale i poziomu technicznego, z drugiej jednak przygotowano plany budowy nowych fabryk uzbrojenia (kwestią sporów historyków jest to czy nie lepiej było kupić gotowy sprzęt) i inwestowano w wybrane technologie. Jak zawsze – łatwiej jest inwestować w to co duże, głośne i metalowe, z tego też powodu przegrano przede wszystkim w dziedzinie… informacji. Na wszystko pieniędzy nie starczyło, aparaty radiowe zawsze były mało spektakularne na pokazach w porównaniu z końmi i lśniącymi czołgami, i wydawało się, że lepiej płacić oficerom i dowódcom niż jakimś naukowcom i inżynierom. W rezultacie łączność w przedwojennych polskich siłach zbrojnych pozostawała piętą achillesową – zwłaszcza ta na poziomie najwyższym – komunikacja z Naczelnym Dowództwem.
O ile teraz szczycimy się spektakularnym złamaniem kodów Enigmy w podręcznikach i czasami (zależy kto nakręci) dokumentalnych i fabularnych filmach, to jednak końcowy rezultat ówczesnego informacyjnego starcia był dla nas katastrofalny. Niemiecka maszyna szyfrująca była ówczesnym absolutnym szczytem techniki i pierwsze koncepcyjne możliwości odczytania zaszyfrowanych wiadomości przez polskich naukowców było czymś w rodzaju komercyjno-wojskowego zastosowania geniuszu i tego z czego wówczas Polska słynęła – polskiej szkoły matematyki. Natomiast rzadko wspominamy druga stronę – czyli całkowita porażkę własnych szyfrów i maszyn kryptograficznych, które były znacznie słabsze od niemieckich i zostały od razu, całkowicie rozpracowane przez niemiecki wywiad. Ówczesne Dowództwo liczyło z jednej strony na konwencjonalną komunikację (sieć telefoniczna) – natychmiast zniszczoną przez nowoczesną wojnę lotniczą, a następnie więc złamane szyfry radiowe – praktycznie odcięły połączenia sztab centralny – lokalne grupy wojsk. Naczelne Dowództwo było zasypywane fałszywymi depeszami, w rodzaju nonsensownych pilnych szyfrogramów „Zgoda na wyścigowca” – to autentyczne teksty niemieckich służb podszywających się pod polskie wojska. Zdane wobec tego na łączników w powolnych samolotach z każdym dniem wobec absolutnego niemieckiego panowania w powietrzu, nie widziały już nic i nie mogły koordynować działań. Podejmowano wiec desperackie akty na pograniczu pure-nonsensu i polskiej improwizacji. Do jednego ze zgrupowań wojsk na pytanie- co mają dalej robić, wobec pewności przechwycenia informacji przez Niemców, wysłano depesze „Spotkajmy się u Jabłonowskiego” – co po pewnej konsternacji zostało przytomnie rozszyfrowane przez jednego z oficerów jako rozkaz marszu na Radom (radomska knajpa Jabłonowskiego byłą wówczas dobrze znana w kręgach oficerskich). Niestety w globalnym nawale działań nawet słynna polska improwizacja nie mogła pomóc i jak wiadomo, wbrew propagandowym zapowiedziom oddaliśmy nie tylko guzik od munduru, ale i cały mundur razem z słynnym pistoletem VIS i szablą.
Historia lubi się powtarzać – choć mamy nadzieję, że akurat to nie nastąpi, ale też widać, że narodowe przyzwyczajenia bardzo trudno jest zmienić. Wczorajszą informację, telefony i radia zastąpiło dziś cyberbezpieczeństwo – czyli konieczność obrony przed profesjonalnymi, militarnymi atakami informatycznymi. Przy naszym całkowitym uzależnieniu od informatyki, to cyberbezpieczenstwo jest właśnie awangardą nowych wojen i konfliktów zbrojnych, a najważniejsza staje się ochrona własnej infrastruktury, tak jak kiedyś przed samolotami i bombami, dziś przez malware, czy specjalizowanymi wynalazkami wojskowych laboratoriów. Niestety wydaje się, że dalej łatwo jest wydawać i inwestować w krajowe fabryki, holdingi czy też zakupy głośnego i błyszczącego, latającego i strzelającego sprzętu niż w wiedzę i umiejętności chłopaków w grubych okularach za biurkiem. Znów paradoksalnie tak jak kiedyś – będąc krajem o własnej wręcz „szkole informatycznej” mamy stosunkowo słabe i raczkujące zabezpieczenia krytycznej infrastruktury – telekomunikacji, systemów przekazu informacji, a także energetyki – elektrowni i sieci dystrybucyjnych. Po pewnym zainteresowaniu tematem, zaraz po aneksji Krymu i wzroście napięcia międzynarodowego , wszystko powoli ucichło i przeszło w tryb przekładania papierków oraz napompowanych megainwestycji w żelazo na gąsienicach i żelazo latające. Niestety plan wydawania ponad 30 mld złotych (systemy obrony przeciwlotniczej i helikoptery) nie idzie w parze z jakimkolwiek milionami na informatykę i cyberbezpieczeństwo. Nie jestem specjalistą wojskowym w zakresie cyberataku, jedynie trochę w zakresie obrony infrastruktury cywilnej i wnioski z ostatnich miesięcy nie napawają optymizmem. Powtarzamy wciąż te same błędy i przyzwyczajenia, czasami nawet nie ostatnich lat, ale i ostatniego stulecia.
1. Brak spójnej strategii i procedur.
Warto popatrzeć choćby tutaj – amerykańskie podejście do ochrony infrastruktury krytycznej i procedury NERC CIP. W USA krytykowane czasami za zbytnią ogólnikowość i niekiedy brak precyzyjnej definicji i ścieżek postępowania, a tak naprawdę lata świetlne od polskich dokumentów, które nawet trudno nazwać strategicznymi. U nas zbiór generalnych ogólników, w dużej części nawet nie informatyczna ochrona infrastruktury tylko zwrócenie uwagi na facetów przeskakujących płoty i konieczność zwrócenia uwagi na kontrolę personelu. Dwa światy i dwa różne podejścia – tam (do bólu praktycznie) identyfikacja jakie obiekty, kiedy i w jaki sposób maja być zabezpieczane, u nas rozmyte i niejasne.
2. Brak „best practices” i rozwiązań pilotowych, a raczej papier i audyt.
Jak wiadomo u nas problem zawsze musi być rozwiązany holistycznie. Odpowiedzią na niepokój o nasze cyber- bezpieczeństwo (tu obszar samej energetyki) było przede wszystkim…. wykonywanie audytów i opracowań. Wszystkie poważne firmy rozpoczęły skomplikowane procedury, analizy i przeglądy, a w tej chwili czekamy na opasłe tomy raportów, które przedstawią przewidywane problemy. Na razie problemy, ponieważ nie widać rozwiązania – to będzie pewnie przedmiotem kolejnego audytu lub badania. Zawsze byłem może trochę ograniczony w podejściu, próbując zrobić małe, działające rozwiązanie w jednym miejscu, które można przetestować i zobaczyć czy działa , ale w obecnym europejsko-nowoczesnym otoczeniu to za mało bo trzeba bardziej na okrągło. Oczywiście można powiedzieć, że wiodące firmy inwestują mocno z zabezpieczenia w IT, ale są to zabezpieczenia na poziom czysto hackerski i grup przestępczych, w przypadku realnego konfliktu i zagrożeń militarnych, przynajmniej w przypadku przemysłu i energetyki, prawie całkowicie bezużyteczne.
3.Brak budżetów i realnych zasobów.
Jak zawsze na coś małego, nieświecącego i mocno opartego o rzeczy mało materialne – to już nie mamy pieniędzy. W wielkich programach inwestycyjnych energetyki, budujemy nowe elektrownie, w wielkich zamierzeniach wojskowych, huczące maszyny i lecące pociski. Tymczasem sami amerykanie są zaniepokojeni ogromnymi inwestycjami swoich obecnych chińskich przyjaciół w wielkie zespoły informatyczne i odpowiadają tym samym. Na każdego dolara wydawanego obecnie na stal i aluminium zaczyna przypadać taki sam pieniądz inwestowany w ludzi i informatykę. U nas tez do bólu klasycznie, podejrzewam, że płace dla specjalistów IT są w służbach mundurowych i specjalnych ograniczane z rozdzielnika, a jednocześnie wiadomo ile tacy ludzie zarabiają na wolnym rynku. Mamy wiec ogromny sektor IT i morze specjalistów tylko nie potrafimy przekuć tego w produkt, bo wszystko wydaliśmy na inne „metalowe” fabryki.
Generalnie – nic się nie zmieniło i w stosunku do roku 2014 jesteśmy na tym samym etapie. Utalentowani informatycy i kraj nie radzący sobie z zagadnieniami informatycznymi. Każdy może powiedzieć, że właściwie dlaczego go to nie dziwi czytając codzienne wiadomości. Otóż wrocławska komórka policji do walki z cyberprzestępcami w Internecie, z dumą ogłosiła, że zebrała dowody na naruszenie ciszy wyborczej. Zidentyfikowano bowiem wpisy z portali społecznościach podających przedwcześnie cenę za budyń i bigos (chyba wszyscy wiedza, że były to internetowe niki kandydatów na prezydenta, a ceny to prognozowane rezultaty wyborów). Trochę „i śmiesznie i strasznie” cytując rosyjskiego klasyka, bo można właściwie podpowiedzieć, że należałoby także zidentyfikować także wpisy z kiełbasa krakowską i myśliwską (też wykorzystywane w tym celu), ale jednocześnie przerażające bo w ciągu kilkunastu minut widać jak na dłoni, prawdopodobne próby internetowych wyłudzeń (warto kliknąć na wszechobecne ogłoszenia o cudownych kuracjach na zmarszczki odchudzanie czy naukę języka), celowe ataki malware – każdy z nas ma co chwilę fałszywe zawiadomienia o trasach przesyłek kurierskich, próby wyłudzania haseł dostępowych, nieprawdziwe faktury czy też firmy działające daleko poza granicą legalnych usług (w dostawach towarów) czy też legalnych sposobów podpisywania umów. Dodałbym też codzienne SMS-y w telefonii, które prowadzą do wyłudzania pieniędzy i kolejne tysiące prób naruszania naszych praw. Tu każdy pozostawiony jest samemu sobie i tylko samodzielnie stawia czoło wrogom. Jeśli nie umiemy zadbać o obywateli na podstawowym poziomie, trudno się dziwić, że nie ma żadnej możliwości w przypadku realnych, nowoczesnych konfliktów zbrojnych.
Mam nadzieje, że konfliktów tylko hipotetycznych, bo przy realnym zagrożeniu, na dziś oddalibyśmy nie tylko guziki, ale i nasze elektroniczne pieniądze, telekomunikację, a także prąd w gniazdku. Mam nadzieję, że akumulatory w czołgach i helikopterach są cały czas naładowane.
W naszym przypadku jedyna możliwość ochrony krytycznych instalacji to całkowita ich izolacja od sieci zewnętrznej – normalnie „udziabać” druta czy innego światłowoda we studzience tuż za bramą zakładu….. i zaprzestanie korzystania w przemyśle kluczowym z dostępu zdalnego – tylko po wewnętrznej sieci materialnej. Że przestarzałe i nie „trendi” – no wiem …. Ale albo „trendi” albo bezpiecznie- innej alternatywy nie ma. Praktycznie cała elektronika przemysłowa jest tak dziurawa że włączanie tego do sieci to proszenie sie o kłopoty. Tak zwana „chmura” nie istnieje- tworzą ja realne urządzenia stojące gdzieś na gruncie , nawet nie wiemy gdzie i kto nimi zarządza i jakie ma intencje . Obecne algorytmy szyfrujące sa tak dobre jak marna jest zdolność obliczeniowa „wrogich” komputerów , a na ich „marność” nie mamy co liczyć.