Czy systemy państwowe są gotowe na epokę AI-oszustw? Phishing, deepfake i „fałszywy szef” – o atakach, które uderzają w obywateli i firmy, rozmawiamy z Romanem Łożyńskim, dyrektorem CIRF. Podpowiadamy też proste sposoby, które mogą nas chronić przed cyberprzestępcami.
Anna Bichta, Fundacja Think!: CIRF odpowiada za kluczowe systemy finansowe państwa. Jakie są główne mechanizmy zabezpieczające dane podatników w systemach takich jak e-Urząd Skarbowy, e-PIT czy login.gov.pl?
Co jest najważniejsze, te systemy objęte są tajemnicą. Mogę jedynie powiedzieć, że ze względów bezpieczeństwa wprowadzamy wiele mechanizmów chroniących nasze dane.
Podam przykład: pan Jan, właściciel firmy, loguje się do KSeF przez Profil Zaufany. Węzeł Krajowy jako pierwsze narzędzie bezpieczeństwa weryfikuje jego tożsamość, więc wiemy, że to rzeczywiście pan Jan. W systemie KSeF do uwierzytelniania służy certyfikat jako kolejny element bezpieczeństwa. Pan Jan może udzielić upoważnień kolejnym osobom, które następnie – po uzyskaniu odpowiednich uprawnień oraz po „podwójnym” uwierzytelnieniu – mogą wykonywać określone czynności w systemie KSEF. W ten sposób powstaje całe „drzewo” osób uprawnionych do pracy w systemie, ale każdy musi pozyskać określone uprawnienia. Certyfikaty KSEF będą dostępne do pobrania z naszego centrum certyfikacji po dopełnieniu formalności – od 1 listopada.
Systemy bezpieczeństwa wyposażone są także w mechanizmy rozpoznające próby ataków DDoS, które będziemy automatycznie blokować. Te mechanizmy testowaliśmy już w innych systemach np. w trakcie akcji E-PIT.
Obserwujemy coraz więcej prób podszywania się pod instytucje publiczne – fałszywe wiadomości, SMS-y, linki do „urzędowych” stron. Czy CIRF ma systemy, które potrafią wykrywać i blokować takie próby, zanim dotrą do obywateli i firm?
Owszem. Na przykład e-PIT posiada dwuwarstwowy system cyberbezpieczeństwa, dzięki któremu wychwytywaliśmy wszystkie ataki – nawet bardzo duże – bez obciążania naszych łącz, bo zabezpieczenia działały na osobnej warstwie. W ostatnich miesiącach widzimy coraz więcej prób podszywania się pod instytucje publiczne. Oznacza to, że oprócz systemów bezpieczeństwa musimy też podnosić świadomość naszych pracowników. Muszę powiedzieć, że prawdziwie skuteczny system bezpieczeństwa, oprócz zaawansowanych narzędzi, musi być oparty o połączenie świadomych użytkowników, czujnych administratorów i rozbudowanych mechanizmów uwierzytelniania oraz certyfikacji.
A co z atakami wykorzystującymi sztuczną inteligencję?
Aby zabezpieczać się przed nowoczesnymi formami ataku, ponownie musimy porozmawiać o świadomym użytkowaniu internetu. Publikowanie zdjęć z własnym wizerunkiem, próbek głosu znacznie ułatwia wykorzystanie AI do ataków. Należy zmieniać swoje przyzwyczajenia w tym zakresie i nie publikować takich danych. Pomaga też zwykła asertywność i weryfikowanie u źródeł informacji jakie do nas docierają. Po drugie narzędzia wykorzystujące AI służą nie tylko do atakowania, ale także do obrony naszych danych. Coraz częściej wykorzystujemy takie narzędzie np. do prowadzenia zaawansowanej analizy zdarzeń w czasie rzeczywistym. To znacznie podnosi poprzeczkę wszystkim atakującym.
Czy spotkał się Pan z podszywaniem się „na szefa” (prośba o dane lub przelew), wspartym AI? Co wtedy?
Oczywiście. Mieliśmy takie przypadki. Zasada jest prosta: zawsze dodatkowo potwierdzamy. Jeśli ktoś wysyła polecenie przelewu – dzwonimy do tej osoby i potwierdzamy. Zasada podwójnego potwierdzania dotyczy zarówno logowania do systemów, jak i dyspozycji finansowych. Wystarczy zadzwonić do osoby wydającej dyspozycję i upewnić się, że to naprawdę ona dzwoniła albo pisała do nas.
Odnotowaliśmy także przypadki wysyłania SMS-ów do naszych pracowników w stylu: „Zrób mi na BLIKa 500 zł, bo pilnie potrzebuję”. W takim przypadku także polecamy weryfikację – to zamyka próbę wyłudzenia. Nie podajemy też danych wrażliwych (np. PESEL) przez telefon ani e-mail. W naszych systemach działają rozwiązania DLP, które uniemożliwiają wysyłkę danych wrażliwych e-mailem.
Czy CIRF współpracuje z innymi instytucjami (NASK, CSIRT, ABW) w zakresie reagowania na ataki i wycieki danych? Kto odpowiada za pierwszą reakcję w razie zagrożenia?
Oczywiście. Współpracujemy z NASK, CSIRT-ami poziomu krajowego oraz ABW. Rozpoczynamy też projekt utworzenia sektorowego CSIRT-u dla resortu finansów – skala resortu jest ogromna (urzędy skarbowe w całym kraju, instytucje celne itp.), a specyfika działania wymaga dedykowanego wsparcia.
Już dziś utrzymujemy własny SOC (Security Operation Center) – centrum operacji bezpieczeństwa, gdzie nasi pracownicy, przez cały czas obserwują zdarzenia w naszej infrastrukturze pod katem bezpieczeństwa. Wszelkie wykryte incydenty są zgłaszane do właściwego CSIRTu poziomu krajowego. Utrzymujemy całodobowe dyżury, aby wykrywać incydenty i odróżniać atak od intensywnej, lecz niegroźnej automatycznej aktywności. Współpraca z ABW obejmuje też wymianę informacji o zagrożeniach.
Wielu przedsiębiorców mówi otwarcie, że boi się „cyfrowego państwa” i totalnej inwigilacji. Niepokój budzi również świadomość złożoności systemów, częstych zmian i braku jasnych informacji. W jaki sposób instytucje nadzorujące bezpieczeństwo dbają o zaufanie obywateli?
To prawda. Proszę jednak zauważyć, że zagrożenia, choć istotne nie zatrzymują procesów cyfryzacji. Jest ona niezbędna w świecie, który ciągle przyśpiesza i ciągle generuje coraz większy strumień informacji. Nie ma możliwości przetworzenia tych danych metodami analogowymi. Cyfryzacja, którą wprowadzamy prowadzona jest równolegle z wdrażaniem systemów poprawiających bezpieczeństwo przepływu informacji. Przechodzimy z dokumentacji papierowej na cyfrową – szyfrowaną, chronioną certyfikatami i systemami cyberbezpieczeństwa. Ta papierowa nie była tak chroniona, więc per saldo poziom bezpieczeństwa rośnie. W naszym kraju powszechnie wykorzystujemy Węzeł Krajowy, Profil Zaufany, bankowość elektroniczną, BLIK – wyobraża sobie Pani funkcjonowanie dziś bez tych narzędzi w telefonie? W krajach, gdzie wciąż dominuje „papier” (przelewy, czeki), oszustw bywa więcej.
Warto pamiętać, że ustawę o podpisie elektronicznym wdrażaliśmy już ćwierć wieku temu. To czas, w którym zbudowano zaufanie do tych rozwiązań cyfrowych.
Jak oceniacie skuteczność swoich działań w obszarze cyberbezpieczeństwa?
Cyberbezpieczeństwo to proces – ciągły wyścig między atakującym a atakowanym: kto ma więcej wiedzy i potrafi przewidzieć więcej ten osiąga sukces. Kluczowe są systemy oceny ryzyka, wykrywania, monitorowania i predykcji.
Na koniec – poprosimy o kilka „złotych zasad” dla Kowalskiej i Kowalskiego. Kiedy powinny nam się zapalać czerwone lampki? Gdzie zgłaszać podejrzane wiadomości „z urzędu”?
Warto stosować na co dzień takie proste zasady, które mogą ochronić nas przed poważnymi problemami:
- Czytaj uważnie otrzymywany w Internecie komunikat. Sprawdzaj kto jest nadawcą. Jeśli mail rzekomo jest z banku, a adres nadawcy lub linki wskazują na coś innego – to sygnał ostrzegawczy.
- Bank nie prosi SMS-em o „dopłatę 1 zł”. Wiadomości z linkami do „dopłaty za przesyłkę” są typową próbą wyłudzenia.
- Nie wysyłaj skanów dokumentów i danych wrażliwych. Nie udostępniaj numeru PESEL przez telefon ani e-mail;
- Zasada podwójnego potwierdzenia. Zanim wykonasz przelew na „pilną prośbę szefa”, zadzwoń do niego. Dotyczy to wszelkich dyspozycji otrzymanych online lub na telefon – także „BLIK na już”.
- Zgłaszaj podejrzane treści. SMS-y wysyłaj na numer 8080 (CERT NASK); podejrzane e-maile również do CERT NASK.
Bądź asertywny. Masz prawo zakończyć rozmowę i odłożyć słuchawkę, gdy ktoś wywiera presję lub próbuje wyłudzić dane/pieniądze. Kilka pytań kontrolnych i chwila weryfikacji często wystarczy, by uniknąć kłopotów.
O rozmówcy: Roman Łożyński – dyrektor Centrum Informatyki Resortu Finansów (CIRF) – jednostki podległej Ministrowi Finansów i Gospodarki, odpowiedzialnej za utrzymanie systemów informatycznych resortu.
