Mikko Hyppönen (53 l.) z Helsinek od roku dzień po dniu śledzi globalne cyberataki związane z wojną na Ukrainie. Wygląda poważnie, gdy mówi do kamery podczas wywiadu – ale jego wiadomość na pierwszy rzut oka brzmi jak dobra wiadomość: „To był szalony rok, ale nie tak szalony, jak myśleliśmy” — mówi.
Hyppönen jest dyrektorem ds. badań w fińskiej firmie WithSecure zajmującej się cyberbezpieczeństwem, która pomaga innym firmom chronić się przed atakami w cyberprzestrzeni. Sam Hyppönen uchodzi za eksperta, którego organy ścigania chętnie proszą o pomoc. Wcześniej pomagał w dochodzeniach w sprawie cyberprzestępczości w Europie, Azji i Stanach Zjednoczonych, a obecnie jest członkiem Komitetu Doradczego w Europolu .
Na początku wojny na Ukrainie wielu ekspertów ds. bezpieczeństwa spodziewało się poważnych ataków cyfrowych zarówno między Rosją a Ukrainą, jak i na całym świecie. Ale według oceny Hyppönena było mniej i mniej poważnych ataków, niż się obawiano – i jest ku temu wiele powodów.
Jak mówi Marcus Willett , do tej pory było „więcej cybersyku niż wielkiego wybuchu” . Przez dziesięciolecia pracował w brytyjskich tajnych służbach GCHQ, a obecnie doradza w kwestiach wojskowych i strategicznych jako starszy doradca ds. spraw cybernetycznych w brytyjskim instytucie badawczym International Institute for Strategic Studies (IISS).
Zdaniem Willetta jednym z powodów, dla których ataki na Ukrainę nie przybrały rozmiarów, których się obawiano, było niedoszacowanie długości wojny przez rosyjskie władze. „Dlaczego chciałeś zniszczyć ukraińskie sieci, skoro sam będziesz ich potrzebować trochę później?” Inny powód widzi w tym, że „Ukraińcy dobrze bronili swoich sieci”.
W tym kontekście Willett szczególnie podkreśla pomoc zachodnich prywatnych firm technologicznych, takich jak Microsoft czy Amazon – na przykład w przenoszeniu ważnych danych do chmury. Microsoft ogłosił w zeszłym roku, że będzie nadal wspierał Ukrainę bezpłatnym wsparciem technologicznym w 2023 roku. Według ich własnych wypowiedzi będzie to kosztować firmę około 100 milionów dolarów .
Według Willetta, jeśli chodzi o obronę ukraińskich sieci, szczególnie ważną rolę odgrywają Microsoft , spółka zależna Google Mandiant i słowacka firma zajmująca się bezpieczeństwem ESET . Jednocześnie prywatne firmy staną się ważnymi graczami w wojnie na Ukrainie, mówi Willet. „Posiadanie obrony państwa tak zależnej od prywatnych firm, które są również zobowiązane do swoich inwestorów i akcjonariuszy, może powodować potencjalne napięcia”.
Był również początkowo zaskoczony, że nie widział żadnego bezpośredniego udziału cyberataków na wojskowym polu bitwy. Jednak: „Jest tu luka w wiedzy – Ukraińcy są bardzo wycofani, jeśli chodzi o uszkodzenia na polu bitwy”. Były agent tajnych służb podkreśla też: „Wciąż za mało wiemy o tym, co dzieje się w cybersferze. Moglibyśmy też źle zrozumieć wykorzystanie rosyjskich cyberoperacji”.
Nawet jeśli do tej pory wielkiego wybuchu nie było, wojna ukraińska toczy się oczywiście także w cyberprzestrzeni. Ekspert Willet mówi o dużym i rozwijającym się cyber wymiarze konfliktu. Na Ukrainie szczególnie ucierpiała infrastruktura krytyczna. Według Cyber Peace Institute sektor finansowy był w szczególności celem ataków od października do grudnia 2022 r. W sumie organizacja pozarządowa z siedzibą w Genewie naliczyła 1175 cyberataków i operacji na całym świecie do końca lutego 2023 r. w kontekście wojny na Ukrainie .
Globalne ataki są wyraźnie w mniejszości, mówi fiński ekspert od cyberbezpieczeństwa, Hyppönen. „Z moich analiz wynika, że rosyjskie władze nie próbują przeprowadzać destrukcyjnych cyberataków poza Ukrainą, ponieważ nie chcą wywołać bezpośredniego konfliktu z NATO lub Zachodem. Ale na Ukrainie robią to bardzo dobrze”.
Badacz Willett z IISS rozróżnia zatem wojnę cybernetyczną między dwoma aktorami, Ukrainą i Rosją, oraz ataki cybernetyczne na inne kraje, które znajdują się w kontekście konfliktu. Tutaj obserwuje obecnie albo ataki szpiegowskie, albo „cyberwandalizm”, taki jak tymczasowe zakłócenia w działaniu stron internetowych.
Kto stoi za cyberatakami i kto je zleca? Według organizacji pozarządowej Cyber Peace Institute zaangażowanych jest około 81 aktorów. Ale często trudno jest precyzyjnie przypisać ataki. Do aktorów niepaństwowych zaliczają się również cyberprzestępcy oraz tzw. grupy haktywistyczne, czyli aktywiści opowiadający się po jednej ze stron i zwracający na siebie uwagę głośnymi akcjami.
Przede wszystkim pojawienie się zupełnie nowych grup określa eksperta ds. bezpieczeństwa Hyppönena jako „historyczne”. Widzi tu rozwój wydarzeń: „Na początku wojny ukraińskiej widzieliśmy wiele grup, które wspierały Ukrainę. Teraz jest dokładnie na odwrót”. Do proukraińskich haktywistów należą kolektyw Anonymous i IT Army of Ukraine, a do grupy prorosyjskiej grupa Killnet. Mówi się, że Killnet ma powiązania z rządem rosyjskim, a armia IT z rządem ukraińskim.
Oprócz firm obronnych i sektora publicznego większość cyberataków w Europie uderza w firmy z sektora infrastruktury krytycznej. „Ostatnio głównymi celami były lotniska, szpitale i medyczne instytuty badawcze” – mówi Finn Hyppönen. „Hakerzy chcą zaszkodzić Zachodowi i robią to, atakując cele, których używają do wywoływania bólu. A atakowanie szpitali to łatwy sposób na wywoływanie bólu”. Ostatnio zauważył, że szczególnie dotknięte są Szwecja i Dania, ale Polska , kraje bałtyckie i Finlandia również są coraz częściej celem cyberataków.
Według Federalnego Urzędu Bezpieczeństwa Informacji poziom zagrożeń w cyberprzestrzeni w Niemczech jest wyższy niż kiedykolwiek. Według Cyber Peace Institute Niemcy miały już 55 cyberataków (stan na 9 marca 2023 r.) w związku z wojną na Ukrainie. Jednak na prośbę magazynu manager BSI nie przedstawiło żadnych danych liczbowych ani szczegółów dotyczących odnośnych firm.
BSI opisuje atak na dostawcę usług satelitarnych z 24 lutego 2022 r. jako pierwszą znaną „cyberkolateralną szkodę”, czyli dzień, w którym rozpoczęła się rosyjska wojna agresywna. Najwyraźniej oznacza to cyberatak na sieć satelitarną Viasat. Atak doprowadził również do awarii modemów w niemieckich turbinach wiatrowych, a zakłócenia dotknęły także inne kraje, takie jak Francja i Irlandia .
Według raportu zarządczego BSI zaobserwowano również pojedyncze działania cybernetyczne przeciwko infrastrukturze krytycznej, na przykład wobec niemieckiego handlarza olejami mineralnymi z rosyjską spółką macierzystą. Opis pasuje do cyberataku grupy hakerskiej „Anonymous” na koncern energetyczny Rosneft Germany . Grupie udało się wniknąć głęboko w systemy firmy i przechwycić dużą ilość danych.
Ostatnio liczba rozproszonych ataków typu „odmowa usługi” nasiliła się w Niemczech pod koniec stycznia. Podczas tych ataków serwer jest przeciążony tak dużą liczbą żądań, że system nie jest w stanie obsłużyć tych zadań, aw najgorszym przypadku załamuje się. Ataki zostały ogłoszone przez rosyjską grupę hakerską Killnet pod koniec stycznia po tym, jak niemiecki rząd obiecał dostarczyć Ukrainie czołgi Leopard. Głównymi celami były lotniska, ale były też pojedyncze cele w sektorze finansowym, a także zaatakowane zostały strony internetowe administracji federalnej i stanowej, które tymczasowo przestały być dostępne. BSI nie był jednak w stanie określić żadnych bezpośrednich skutków dla danej usługi.
Często nie chodzi też o zniszczenie lub dezaktywację czegoś, mówi Marcus Willett z think tanku IISS. „To dużo o zbieraniu informacji i wpływie psychologicznym”. Przewiduje, że rosyjskie kampanie dezinformacyjne będą się nasilać w przyszłości, zwłaszcza przed wyborami w USA czy państwach członkowskich UE. „Rosyjskie cyberataki będą wykorzystywane przede wszystkim w tym celu” – mówi.
Potwierdzić to może również fiński ekspert ds. bezpieczeństwa Mikko Hyppönen. W kwietniu w jego kraju odbędą się wybory parlamentarne: „Obecnie obserwujemy wiele rosyjskojęzycznych trolli próbujących wpłynąć na ludzi w mediach społecznościowych”.
