W większości przypadków źródłem cyberzagrożeń w państwach bałtyckich jest Rosja. Odmowa dostępu czy ataki DDoS przeprowadzane przez haktywistów wspierających agresywny reżim Władimira Putina w ostatnim czasie stały się bardziej intensywne.
Wojna rosyjsko-ukraińska boleśnie pokazała, że cyberbezpieczeństwo jest jednym z kluczowych aspektów zapewniania bezpieczeństwa narodowego. Wrogie działania w cyberprzestrzeni ze strony Rosji mają miejsce nie tylko przeciwko Ukrainie, ale także państwom niezaangażowanym w konflikt, choć militarnie, finansowo i humanitarnie wspierającym Ukrainę, w tym przeciwko Litwie, Łotwie i Estonii. Nie bez przyczyny rok 2022 można uznać za jeden z najbardziej intensywnych pod względem cyberataków przeciwko państwom bałtyckim.
Skala zagrożeń w cyberprzestrzeni
Państwa bałtyckie utrzymują wysoki poziom czujności ze względu na liczbę i charakter wykrywanych incydentów, które wykazały ciągłą aktywność i różnorodne środki stosowane w cyberprzestrzeni. W 2022 r. litewskie instytucje odnotowały łącznie 4080 incydentów cybernetycznych, czyli o 8 incydentów mniej niż w roku poprzednim. Z ogólnej liczby zdarzeń zarejestrowanych w 2022 r. 33 należały do kategorii średniej i były związane z atakami DDoS. W porównaniu do 2021 r. liczba zdarzeń średniej kategorii w 2022 r. spadła o 35 proc.
(2021 r. – 93 incydenty). W 2022 r. większość incydentów związana była z rozprzestrzenianiem się złośliwego oprogramowania (phishing, rozprzestrzenianie niechcianych informacji, próby włamań). Pod koniec czerwca 2022 r. litewski CERT zespół powołany do reagowania na zdarzenia naruszające bezpieczeństwo w sieci odnotował ogromną falę ataków DDoS na publiczne strony internetowe i sektor prywatny. Do ataku przyznała się rosyjska grupa hakerska. Ataki nie uszkodziły systemów informatycznych firm, ale paradoksalnie miały pozytywne skutki bowiem administratorzy systemów informatycznych podjęli dodatkowe wysiłki i inwestycje mające na celu poprawę cyberbezpieczeństwa. Z kolei w pierwszym kwartale 2023 r. odnotowano 573 incydenty cybernetyczne, czyli 1,8 razy mniej niż w analogicznym okresie ubiegłego roku. W szczególności, do ataków doszło w pierwszej połowie lipca ze względu na przygotowania do szczytu NATO w Wilnie, i w jego trakcie. Litewskie Narodowe Centrum Bezpieczeństwa Cybernetycznego odnotowało szereg incydentów cybernetycznych w tym czasie. W regionalnej stacji radiowej i w centrum handlowym wyemitowano propagandowe hasła po włamaniu do usługi strumieniowego przesyłania muzyki. Ich treść miała na celu zdyskredytowanie NATO i zaprzestanie dostaw broni na Ukrainę. Oba zdarzenia zostały szybko wykryte, a nielegalne transmisje przerwano. Ataki DDoS dotknęły także niektóre strony internetowe i aplikację transportową w Wilnie (m.Ticket i GoVilnius.lt) z których korzystali goście przybyli na szczyt NATO w Wilnie. Tego typu ataki zdarzały się już wcześniej, m.in. w 2022 r. do serii rozproszonych ataków typu DDoS przyznała się rosyjska grupa hakerska Killnet. Dodatkowo, już po zakończeniu szczytu doszło do cyberataku, w którym hakerzy podający się za grupę „Z pozdrowieniami z Rosji”, uzyskali dostęp do danych uczestników szczytu NATO. Dokumenty zawierające wrażliwe informacje na temat organizacji szczytu, w tym nazwisk osób odpowiedzialnych za utrzymanie bezpieczeństwa, tras przemieszczania się delegacji, a także protokoły posiedzeń grup bezpieczeństwa w okresie poprzedzającym szczyt, wyciekły do mediów społecznościowych Telegramu. Służby litewskie informowały, że wyciek nie miał dużego znaczenia dla bezpieczeństwa. Do kilku cyberataków doszło także, kiedy włamano się na konta w mediach społecznościowych litewskich ekspertów wojskowych oraz urzędników komentujących wojnę na Ukrainie. Hakerzy opublikowali tam zdjęcia terrorystów i dziecięcą pornografię. Tego typu próby przejęcia kont mają prawdopodobnie związek z komentowaną przez ich właścicieli wojną na Ukrainie, a atak ten był przeprowadzony przez rosyjskie służby specjalne, mające na celu osłabienie litewskich instytucji publicznych.
Na Łotwie, całkowita liczba cyberataków w 2022 r. wzrosła o 40%, przy czym sama liczba ataków na organy publiczne wzrosła czterokrotnie. W badaniach Microsoftu na temat cyberataków związanych z rosyjską inwazją na Ukrainę Litwa i Łotwa uplasowane zostały odpowiednio na 4. i 5. miejscu za Stanami Zjednoczonymi, Polską, Wielką Brytanią. Z kolei łotewski CERT podał, że instytucje łotewskie znalazły się na drugim miejscu za Polską pod względem ataków na różne podmioty w UE. Najczęstszymi atakami były te o charakterze DDoS, polegające na zalewaniu witryn internetowych niepotrzebnymi informacjami lub zamieszczaniu wiadomości z groźbami na stronach głównych witryn internetowych w ramach tak zwanych ataków polegających na zniekształceniu danych. Odmowa dostępu do konkretnej witryny internetowej zajmowała średnio 10 godzin, ale zdarzały się również przypadki długotrwałej odmowy dostępu, trwające siedem dni lub nawet dwa miesiące. Tak wysoka liczba statystyk ataków na Łotwie nie wynika ze słabej infrastruktury bezpieczeństwa IT bowiem dzięki monitoringom i odpowiednim systemom oraz zasobom ludzkim wiele ataków pozostało niezauważonych przez opinię publiczną. Większość incydentów należy wiązać z wydarzeniami politycznymi w kontekście wojny rosyjsko-ukraińskiej – z dużą pomocą, jaką wysyła Łotwa Ukrainie. Ataki w cyberprzestrzeni były mocno powiązane m.in. z decyzją łotewskiej Saeimy o uznaniu Rosji za państwo wspierające terroryzm czy zaprzestaniu wydawania wiz wjazdowych obywatelom Rosji. Bowiem, podczas gdy przed pełnoskalową inwazją Rosji na Ukrainę większość cyberataków wymierzonych w podmioty łotewskie miała motywy finansowe, obecnie celem prorosyjskich haktywistów są instytucje państwowe, infrastruktura krytyczna i przedsiębiorstwa prywatne. Często jednak ataki te nie były dobrze zorganizowane, a cele wybierane przypadkowo. Na przykład jeden z ataków w 2022 r. dotyczył nieaktywnego lotniska, gdzie obecnie pozostało tylko muzeum. Inny tego typu miał miejsce, kiedy włamano się do łotewskiej agencji odpowiedzialnej za parki i rekreację, myląc ją zapewne z Ministerstwem Spraw Wewnętrznych. Dodatkowo, grupa FuckNet twierdziła, że włamała się na stronę internetową prezydenta Egilsa Levitsa i ukradła poufne dane, podczas gdy były to publicznie dostępne informacje dotyczące zamówień. W sierpniu 2022 r. prorosyjscy hakerzy z grupy Killnet przeprowadzili atak DDoS na stronę internetową łotewskiego parlamentu wyłączając witrynę na kilka godzin, ale ostatecznie nie zakłóciło to pracy decydentów. Ponadto, w lipcu fala ataków została wywołana decyzją łotewskiego rządu o zburzeniu prawie 300 sowieckich pomników. Działania hakerów zakłóciły działanie niektórych usług sprzedaży biletów transportu publicznego oraz organizacji charytatywnej Ziedot.lv, która zbierała środki na rozbiórkę pomnika w parku Zwycięstwa w Rydze oraz dla Ukrainy. Tego rodzaju cyberataki zwykle nie mają poważnych konsekwencji. Istnieją jednak bardziej wyrafinowane operacje cybernetyczne przeprowadzane przez zorganizowane grupy rosyjskich hakerów, powodujące tzw. zaawansowane trwałe zagrożenia (APT), których działalność może być powodem do niepokoju ze strony państwa łotewskiego. Do najczęstszych celów APT należą usługi państwowe, obiekty infrastruktury krytycznej i przedsiębiorstwa współpracujące z rządem.
Także Estonia doświadczyła gwałtownego wzrostu intensywności cyberataków w ostatnich miesiącach. W 2022 r. miały tam miejsce 2672 incydenty cybernetyczne (o około jedną piątą więcej niż w 2021 r.), które dotknęły obywateli, przedsiębiorstwa i sektor usług publicznych. Najczęściej identyfikowane i zgłaszane były działania phishingowe gromadzące dane (1206), przerwy w świadczeniu usług (344) i przejęcia kont (236). Oszustwa zgłoszono 224 razy, a naruszenie bezpieczeństwa danych 164 razy. W wielu przypadkach stanowiły one narzędzie polityki zagranicznej Rosji przeciwko Estonii. Podobnie jak na Łotwie, ataki mające na celu zakłócenie usług zostały zintensyfikowane po decyzji rządu o usunięciu sowieckich pomników z przestrzeni publicznej. W sierpniu 2022 r., kiedy z przedmieścia Narwy przeniesiono pomnik czołgu, przeciwko Estonii przeprowadzono rekordową liczbę 66 ataków typu „odmowa usługi”. Sytuacja taka miała również miejsce, gdy estoński parlament uznał Rosję za państwo terrorystyczne i gdy ukraiński prezydent przemawiał do parlamentarzystów za pośrednictwem platformy wideo. Do kolejnej dużej fali ataków doszło 23 stycznia 2023 r., a ich celem były sektory finansowy i ubezpieczeniowy. Wpływ ataków na organizacje, instytucje i przedsiębiorstwa był jednak marginalny.
Działania na rzecz poprawy bezpieczeństwa w cyberprzestrzeni
- Współpraca międzynarodowa. Państwa bałtyckie posiadają duże doświadczenie w kierowaniu unijnymi zespołami szybkiego reagowania na incydenty w cyberprzestrzeni. W celu wzmocnienia bezpieczeństwa w cyberprzestrzeni litewskie Narodowe Centrum Cyberbezpieczeństwa współpracuje z organami wywiadu i policją, a także partnerami zagranicznymi. Stała współpraca z Ukrainą, Gruzją i Polską odbywa się za pośrednictwem litewskiego Regionalnego Centrum Obrony Cybernetycznej utworzonego w 2021 r. Ponadto, co najmniej kilka razy w tym roku amerykańskie siły cybernetyczne wsparły Litwę w związku z utrzymującymi się obawami dotyczącymi potencjalnych cyberataków ze strony Rosji. W ramach dwumiesięcznej operacji wraz z litewskimi zespołami cybernetycznymi monitorowały sieć w poszukiwaniu szkodliwej aktywności i potencjalnych luk w zabezpieczeniach sieci litewskiego Ministerstwa Spraw Wewnętrznych. Obawy dotyczące możliwej rosyjskiej aktywności cybernetycznej zintensyfikowały również współpracę między łotewskimi, amerykańskimi i kanadyjskimi instytucjami cybernetycznymi.
- Wzmacnianie systemu krajowego. Cyberbezpieczeństwo jest integralną częścią kompleksowej obronności narodowej, a wojna na Ukrainie pokazuje, że aby państwo mogło funkcjonować nawet w najbardziej krytycznych sytuacjach, należy chronić istotne systemy informatyczne, które zapewniają m.in. zaopatrzenie w wodę, zasięg telefonii komórkowej lub ogrzewanie. By przeciwdziałać tym zagrożeniom, na Łotwie działają dwa zespoły CERT – jeden odpowiedzialny za cyberprzestrzeń Łotwy ze szczególnym uwzględnieniem rządowych systemów komputerowych i infrastruktury krytycznej, a drugi za ochronę sieci wojskowych. Obydwa podlegają Ministerstwu Obrony Łotwy. Bezpieczeństwo zasobów teleinformatycznym infrastruktury państwowej i krytycznej jest zapewnione dzięki współpracy szeregu instytucji krajowych. Ponadto, w niektórych przypadkach ataki były możliwe ze względu na luki w zabezpieczeniach instytucji. Dlatego wzmocniono działania na rzecz kontroli istniejących systemów oraz wymaganych inwestycji w tym zakresie. W rezultacie wzrasta znaczenie różnorodnych systemów monitorowania, co w połączeniu ze skoordynowaną polityką bezpieczeństwa IT pozwala stawić czoła nowym wyzwaniom cyberbezpieczeństwa.
- Współpraca z sektorem prywatnym. Zdolność współpracy przedsiębiorstw i władz do budowy scentralizowanej infrastruktury komunikacji internetowej odgrywa ważną rolę w zabezpieczaniu cyberprzestrzeni. Według szacunków Banku Litwy, od rozpoczęcia przez Rosję wojny z Ukrainą liczba incydentów cybernetycznych znacząco wzrosła, a celem ich ataków w coraz większym stopniu staje się sektor finansowy. W 2022 r. uczestnicy rynku finansowego zgłosili do Banku Litwy 23 incydenty cybernetyczne (ataki DDoS i ransomware oraz inne szkodliwe działania). Za część z nich odpowiadały ugrupowania prorosyjskie. Prawdopodobieństwo ataków pozostaje wysokie, a z badań wynika, że instytucje finansowe przywiązują coraz większą wagę do tego ryzyka. Co piąty respondent twierdzi ponadto, że w 2022 r. spotkał się z cyberatakami. Dlatego, aby zwiększyć odporność litewskiego sektora bankowego, Bank Litwy, Narodowe Centrum Cyberbezpieczeństwa oraz Litewskie Stowarzyszenie Banków rozpoczęły współpracę w celu wzmocnienia bezpieczeństwa w cyberprzetrzeni. Na pilotażowej platformie utworzonej przez Narodowe Centrum Cyberbezpieczeństwa uczestnicy rynku finansowego mogą wymieniać informacje na temat różnych aspektów cyberbezpieczeństwa, w tym procedur, ostrzeżeń, narzędzi konfiguracyjnych i danych technicznych dotyczących cyberataków. Informacje te mają być analizowane i wykorzystywane w celu zapobiegania zagrożeniom. Podobnie, w styczniu 2023 r. na Łotwie utworzono Centrum Cyberbezpieczeństwa Operatorów Infrastruktury Energetycznej, które jest ważnym krokiem w kontekście rosnącej liczby incydentów związanych z bezpieczeństwem infrastruktury krytycznej. Jego celem jest wymiana informacji związanych z bezpieczeństwem energetycznym.
- Edukacja. Ważnym kierunkiem działań instytucji państwowych w dziedzinie bezpieczeństawa cybernetycznego w państwach bałtyckich pozostają szkolenia z zakresu cyberbezpieczeństwa dla pracowników sektora publicznego, personelu wojskowego, przedstawicieli firm infrastruktury krytycznej. M.in. w szkoleniu Cyber Shield przeprowadzonym w tym roku przez litewskie Narodowe Centrum Cyberbezpieczeństwa wzięło udział 300 organizacji.
Wnioski
W większości przypadków źródłem cyberzagrożeń w państwach bałtyckich jest Rosja. Odmowa dostępu czy ataki DDoS przeprowadzane przez haktywistów wspierających agresywny reżim Władimira Putina w ostatnim czasie stały się bardziej intensywne. Podczas gdy wiele z nich nie miało widocznych konsekwencji i nie były zauważalne dla społeczeństwa, ataki na państwowe systemy informacyjne i infrastrukturę krytyczną są bardziej znaczące i mogą mieć skutki długoterminowe. Ich celem jest pozyskanie informacji mogących zapewnić korzyści polityczne, militarne czy gospodarcze, a także przygotowanie środowiska do realizacji w przyszłości destrukcyjnych operacji cybernetycznych. Rosja w swojej agresywnej wojnie z Ukrainą wyraźnie pokazała próby wykorzystania operacji cybernetycznych nie tylko do gromadzenia informacji, ale także do wspierania operacji wojskowych.
Kontynuowane przez Rosję ataki w cyberprzestrzeni potwierdzają, że nie zrezygnowała ona z wrogich działań wobec państw NATO i UE, niemniej świadomość wyzwań hybrydowych powoduje, że państwa członkowskie są coraz bardziej przygotowane i odporne na tego rodzaju zagrożenia. W obliczu zwiększonych zagrożeń w cyberprzestrzeni UE podjęła działania obejmujące zarówno wsparcie Ukrainy dostarczając jej niezbędny sprzęt i oprogramowanie, ale również prace legislacyjne w obszarze cyberbezpieczeństwa. Ponadto, Litwa, Holandia, Polska, Estonia, Rumunia i Chorwacja aktywowały tzw. zespoły szybkiego reagowania UE w odpowiedzi na wniosek Ministra Spraw Zagranicznych Ukrainy Dmytro Kuleby dotyczący wsparcia w dziedzinie cyberbezpieczeństwa. Opracowano także pilotażowy program szkolenia Sił Zbrojnych Ukrainy, który pozwoli żołnierzom zdobyć cenną wiedzę z dziedziny cyberbezpieczeństwa i wykorzystać ją w praktyce.
Wojna w bliskim sąsiedztwie państw bałtyckich ma także konsekwencje ich bezpieczeństwa w cyberprzestrzeni. Pomimo licznych ataków, wyciągnęły one cenne lekcje, wzmacniając własne systemy i stając się bardziej odpornymi na zagrożenia. Instytucje publiczne monitorują sytuację w cyberprzestrzeni, reagują na ataki oraz wspólnie z sektorem prywatnym i społeczeństwem zapobiegają zagrożeniom.
Aleksandra Kuczyńska-Zonik
Instytut Europy Środkowej
Artykuł powstał w ramach projektu StopFake PL. Więcej TUTAJ.
