Naszym gościem był Ryszard Piotrowski, koordynator do spraw cyberbezpieczeństwa w Urzędzie Marszałkowskim Województwa Dolnośląskiego, biegły sądowy z dziedziny cyberprzestępczości, były funkcjonariusz.
DARIUSZ WIECZORKOWSKI: Odkąd wybuchła wojna na Ukrainie za naszą wschodnią granicą, ta wojna hybrydowa, w której Polska jest, umówmy się, ofiarą, tak można to określić, czy też celem, przybiera na sile. Jak to właściwie wygląda z pana perspektywy? Człowieka, który właśnie teraz w Urzędzie Marszałkowskim od wielu, wielu już miesięcy uczula między innymi urzędników, polityków, że należy uważać.
RYSZARD PIOTROWSKI: Jak to wygląda z mojej perspektywy? Tak, to jest ten czas, kiedy należy bardzo mocno naciskać na przede wszystkim cyberbezpieczeństwo, na podnoszenie świadomości użytkowników, co do tego, co otwierać, w co klikać, czy coś, co leży na ziemi podnosić i umieszczać w komputerze, czy wiadomości, które odczytujemy, wchodząc na różnego rodzaju portale, traktować jako taki stuprocentowy pewnik, jeśli chodzi o wiedzę, czy też próbować się za każdą nazwę weryfikować, czy antagonizować się z punktu widzenia właśnie tych doniesień medialnych, które do nas docierają. Jak czytać wiadomości? To wszystko jest rzeczywiście takim elementem prawdopodobnie takiej wojny hybrydowej, gdzie do końca nie jesteśmy w stanie nawet udowodnić, kto jest adwersarzem, kto jest przeciwnikiem tych działań.
Chociaż nie ukrywam, że ja postawiłem tezę już w pytaniu, bo słucham, co mówi m.in. pan premier Gawkowski, że codziennie Polska przyjmuje naprawdę sporo ataków, odpiera te ataki, na szczęście skutecznie, ale kierunek jest jasny, z którego to idzie?
Pan minister Gawkowski przedstawia rzeczywiście faktyczną sytuację związaną z atakami. Te ataki oczywiście to są próby przełamywania zabezpieczeń, ale myślę, że tutaj też trzeba było dodać jedną rzecz, że my mamy coraz lepsze systemy wspomagania naszego bezpieczeństwa, które każdą próbę skanowania sieci, to tak mówiąc potocznie, wykazują jako próbę takiego potencjalnego ataku, czyli próby przełamania zabezpieczeń w systemach. Więc im mamy lepsze systemy, tym mamy więcej odnotowanych, widocznych prób ataków, bo te ataki, te próby ataków będą zdarzały się każdego dnia.
I teraz jak pan na to patrzy, analizuje, rozmawia z ludźmi z perspektywy Dolnego Śląska, to na co pan najczęściej zwraca uwagę?
Przede wszystkim zwracam uwagę na tak zwane cyberbezpieczeństwo takiego sensu largo, to, że każdy urzędnik, niezależnie od tego, czy zajmuje miejsce w hierarchii, że tak powiem decyzyjnej, czy na poziomie wykonawczym, każdy pracownik, każdy urzędnik, niezależnie od ilości, od wielkości struktury, jest tak samo, że tak powiem, cennym, nazwijmy to po imieniu, źródłem informacji dla właśnie tego przeciwnika, który działa z zewnątrz. Nie wszystko, co nazywamy wojną hybrydową, polega na takim bezpośrednim kontakcie, bezpośrednim ataku. Często to są miesiące badania podatności systemów, między innymi właśnie takiej struktury, jak struktura urzędnicza. No i próba albo dyskredytacji, albo próba przełamania, że tak powiem, zabezpieczeń, albo próba zatrzymania funkcjonowania, tak, tego łańcucha dostaw, który działa między innymi w Urzędzie Marszałkowskim, po to, żeby w ten sposób zdestabilizować tę sytuację, powiedzmy, związaną z właściwym poziomem cyberbezpieczeństwa.
Na Dolnym Śląsku doszło już do takiego momentu, kiedy komórki odpowiedzialne za bezpieczeństwo tutaj w regionie musiały mocno interweniować i wydarzyło się coś, co spowodowało, że na pewne rzeczy też zaczęliście patrzeć zupełnie inaczej? Czy powiedzieliście sobie w tamtym momencie, że żarty się skończyły, że macie już bardzo mało czasu, właściwie nie macie tego czasu i teraz wszystkie ręce na pokład, trzeba działać?
Tak, oczywiście. Kilkakrotnie mieliśmy taką sytuację, gdzie po pierwsze informacje na temat tak zwanych dostępności, podatności, nazwę to tak bardzo enigmatycznie, spółek współpracujących z Urzędem Marszałkowskim, znalazły się w tak zwanym darknecie. Mimo tego, że interwencja ze strony Policji, wtedy jeszcze pracowałem w Policji, była właściwa, czyli nastąpiła z wyprzedzeniem około miesiąca, czyli sygnał, że jest wykazana w internecie podatność i ta podatność prawdopodobnie będzie wykorzystana, to niestety, ale po tym okresie odbiorca, czyli osoba odpowiedzialna za bezpieczeństwo IT właśnie w jednej ze spółek, mówiąc bardzo ogólnie nie poradziła sobie z tym problemem, czyli stwierdzono, że jest wszystko w porządku, natomiast po miesiącu okazało się, że sieć tej spółki została tak skutecznie zaatakowana, że w zasadzie ten przeciwnik uniemożliwił dalszą pracę urzędników. Uczulam właśnie przed sytuacją taką, gdzie dochodzą do nas takie wyprzedzające informacje, albo dochodzi do nas potrzeba, że tak powiem działania w zakresie, chociażby modernizacji systemów operacyjnych, modernizacji komputerów, być może wprowadzenia jakichś rozwiązań właśnie technologicznych związanych z odpowiednim softwarem, a niestety organ decyzyjny tego nie robi. To jest moim zdaniem największy problem dzisiejszych czasów.
Dziś ma Pan takie poczucie, że właśnie szeroko pojęty system informatyczny zarówno Urzędu Marszałkowskiego, ale też spółek podległych jest odporny na ewentualne ataki?
Znaczy powiem tak bardzo ogólnie, ponieważ nie chcę zdradzać szczegółów na temat tych technikaliów, które są stosowane akurat w Urzędzie Marszałkowskim we Wrocławiu, ale staramy się być na bieżąco, jeśli chodzi o wszelkie rozwiązania zabezpieczające, maksimum cyberbezpieczeństwa. Na razie i mam nadzieję, że ten obszar pozostanie, że tak powiem, w takim względnym bezpieczeństwie, to jesteśmy dobrze zabezpieczeni, ale nie należy zapominać o tym, że większość ataków, znaczna większość ataków, ja bym tutaj stawiał procentowo ponad 90%, to są ataki bazujące na socjotechnice.
Czyli manipulacji.
Tak. Mówiąc ogólnie, możemy inwestować w technologię, ale jeżeli zapomnimy właśnie o tym czynniku ludzkim, który jest najbardziej podatny i który powinien być np. edukowany, który powinien być weryfikowany z
punktu widzenia właśnie tej wiedzy, która jest mu przekazywana. Pytanie, co z tą wiedzą zrobi, czy tę wiedzę będzie realizował w praktyce, czy odłoży ją, mówiąc kolokwialnie, na półkę i będzie dalej robił swoje, czyli będzie klikał w to, co do niego przychodzi, nie zdając sobie sprawy z tego, że może być konsekwencja dla całej struktury, dla całej firmy, w której pracuje ta osoba i nad tym po prostu pracujemy.
To trochę brzmi jak taki wewnętrzny kontrwywiad, czyli taką komórkę, która jednak siłą rzeczy powinna też patrzeć na to, co się dzieje od środka, nie tylko z zewnątrz, ale w środku.
Tutaj ta, można powiedzieć, kontrola wewnętrzna jest bardziej traktowana w taki miękki sposób. Ta kontrola wewnętrzna polega przede wszystkim na docieraniu z taką aktualną wiedzą w zakresie aktualnych cyberzagrożeń bezpośrednio do pracowników. Oczywiście nie zdradzę tajemnicy wskazując, że wykorzystujemy tutaj obszar naszych takich rozwiązań wewnętrznych, informacji wewnętrznych, które trafiają na każdy komputer, w zasadzie do każdego pracownika. No i mamy też w zanadrzu kilka jeszcze propozycji związanych z takim stałym edukowaniem, że tak powiem, pracownika.
Sztuczna inteligencja wam pomaga, czy przeszkadza?
Sztuczna inteligencja oczywiście jest pomocna, natomiast też należy pamiętać o tym, żeby nie zapominać się z wykorzystywaniem sztucznej inteligencji w sposób naruszający bezpieczeństwo informacji. Dam tutaj taki prosty przykład. Według mnie niedopuszczalną rzeczą jest na przykład wrzucanie skanu, czy wrzucanie w formie PDF-a jakiegoś wielostronicowego dokumentu do sztucznej inteligencji, nie wiedząc tak naprawdę kto z drugiej strony ma dostęp do tego dokumentu, prosząc np. o takie skrócenie tego tekstu np. do najważniejszych rzeczy, tak? A tego typu rzeczy się dzieją. Tutaj m.in. naszą rolą jest uświadamianie pracownikom, że jeżeli chcecie korzystać, oczywiście należy korzystać, ale to jest tak jak z urządzeniem do wskazywania drogi. Jeżeli uruchamiamy takie urządzenie na, czy na naszym telefonie, czy mamy jakieś urządzenie, które jest dedykowane pod wskazanie drogi, no to drodzy Państwo nie patrzymy się ślepo w to urządzenie, tak? Tylko jest to urządzenie, które nas wspomaga w jak gdyby w trakcie kierowania pojazdem. Tu ma być podobna sytuacja. Jeżeli korzystamy z AI-a, no to traktujemy go jako taką bazę, że tak powiem, do tego, co powinniśmy później zweryfikować, rozbudować, wykorzystać w naszej pracy.
A ten Kowalski? Jak on może się odnaleźć w dzisiejszych czasach tak, żeby przejść względnie suchą stopą?
Z Kowalskim zawsze jest problem, bo pytanie jest takie, czy Kowalski nie funkcjonuje w tak zwanej bańce informacyjnej, tak?
Moim zdaniem bez wątpienia funkcjonuje.
Proszę zwrócić uwagę, no każdy się bije w pierś od jakich, że tak powiem rozwiązań informatycznych, które są dostępne w sieci albo od jakich rozwiązań aplikacyjnych, albo od jakich źródeł informacji jesteśmy obecnie uzależnieni, tak? Sam mogę na sobie powiedzieć, czyli będę najlepszym dowodem na to, że człowiek może się łatwo uzależnić od czegoś, co nie niesie za sobą, że tak powiem właściwej wartości, już nie mówiąc o wiarygodności.
No i od czego się pan uzależnił?
No na przykład od rolek. Co prawda rolki ukierunkowałem w kierunku moim takim hobby, to są budowle hydrologiczne, takie perpetuum mobile, jeśli chodzi o wodę, więc tutaj to jest taki mój konik. Trochę powiedziałem o sobie, ale to też jest przykład, że internet się uczy, rozwiązania aplikacyjne się uczą i w momencie, kiedy my będziemy skupieni na jakimś temacie, to będziemy zasypywani tym tematem, można powiedzieć w stały sposób.
To jest o tyle ciekawa puenta, że koordynator do spraw bezpieczeństwa, byłym funkcjonariusz, sam przyznaje, że w pewnym sensie padły ofiarą tego, z czym my się wszyscy mierzymy.
Panie redaktorze, no tym bardziej jestem wiarygodny dla osób, do których skierowana jest właśnie ta informacja, ta rozmowa, którą prowadzimy. Najprościej jest komuś dawać dobre rady, tylko pytanie, czy to będzie wiarygodne i czy to będzie wartościowe, jeżeli sami nie jesteśmy obarczeni, że tak powiem, pewnym problemem.