Czy sześć godzin bez Instagrama to tylko „dramat influencerów”, którzy nie mogli opublikować zdjęć, czy może awaria miała wpływ na wszystkich? O tym, co właściwie wydarzyło się 4 października w wirtualnej rzeczywistości i jakie mogą być tego skutki w „realu”, opowiada ekspert do spraw cyberbezpieczeństwa kmdr por. rez. Wiesław Goździewicz.

Kilkanaście dni temu świat wirtualny stanął w miejscu z powodu awarii Facebooka, Instagrama i WhatsApp.

Kmdr por. rez. Wiesław Goździewicz: Serwisy te są uzależnione, w mniejszym lub większym stopniu, od tej samej farmy serwerów stanowiącej własność Facebooka. Na oficjalne informacje o przyczynach awarii zapewne trochę poczekamy. Nieoficjalnie wiadomo, że na około pięć minut przed awarią zanotowano znaczące spadki ruchu sieciowego przez zewnętrzny protokół routingu (BGP) Facebooka, co może wskazywać na stopniowe odłączanie się serwerów serwisu, ograniczające dostępność z zewnątrz do zawartości serwisu. Z wyjaśnień przedstawicieli FB wynika, że w czasie rutynowych prac konserwacyjnych doszło do przypadkowego skasowania części kodu odpowiadającej za kierowanie ruchu sieciowego na serwery DNS Facebooka, czyli niejako wszystkie „zapytania” sieciowe, próby dostępu do treści FB kierowane były w próżnię, ponieważ nie trafiały na odpowiednie adresy IP. Rodzą się pytania o brak rozwiązań zastępczych, back-upów, stosowania zdwojonych czy nawet zwielokrotnionych systemów. Tak jak we współczesnych samolotach, a nawet samochodach, kluczowe instalacje powinny być co najmniej zdublowane i w miarę możliwości odseparowane, aby uszkodzenie jednego obwodu nie oznaczało całkowitego wyłączenia danej instalacji. Dzięki temu zminimalizowane jest prawdopodobieństwo jednoczesnego uszkodzenia obu lub wszystkich obwodów. Druga sprawa, też bardzo istotna, to to, że systemy kontroli dostępu do farmy serwerów FB były oparte na jego algorytmach i tych samych danych logowania. A to bardzo utrudniło dotarcie ekip, które mogły usunąć awarię. To tak, jakby zapasowy klucz do pomieszczenia, do którego w razie problemów musimy się dostać, umieścić wewnątrz tego pomieszczenia.

A krążące w sieci teorie spiskowe o scenariuszu rodem z filmów akcji o grupie hakerów próbującej wprowadzić chaos w świecie?

Oczywiście możliwy jest scenariusz, w którym taka awaria jest spowodowana przez hakerów, ale w tym konkretnym wypadku uważam, że to mało prawdopodobne. Po pierwsze FB, Instagram i WhatsApp nie są usługami krytycznymi, od których zależy funkcjonowanie kluczowych systemów, takich jak chociażby energetyka. Po drugie, brak dostępu do FB, Instagrama czy WA nie spowoduje raczej globalnego chaosu, choć pomijam tu oczywiście dramat wszelkiej maści influencerów, którzy nie mogli publikować swoich treści, a co za tym idzie – na jakiś czas utracili możliwość zarabiania. Po trzecie, takie powszechne, nieselektywne odcięcie właściwie wszystkich użytkowników nikomu nie daje przewagi, a więc i nie przynosi korzyści. Co innego, gdyby doszło do odcięcia określonych grup przy utrzymaniu dostępności dla siebie. Tu nie miało to miejsca.

Chciałam zapytać o wpływ awarii na sprawy związane z obronnością, ale wygląda na to, że te kwestie, na szczęście, się nie łączą.

Żadne szanujące się siły zbrojne nie opierają swojego działania na serwisach społecznościowych, choć informacje tam zamieszczane mogą być cenne z perspektywy białego wywiadu, czyli działań wywiadowczych polegających na korzystaniu z otwartych źródeł. Jeśli więc kwestie awarii i wojska gdzieś przeniknęły, to mam nadzieję, że tylko w takim zakresie, w jakim wojsko wykorzystuje serwisy społecznościowe do komunikacji społecznej. W takim wypadku oczywiście działania informacyjne wojska mogą zostać utrudnione, choć znowu: w razie globalnej awarii serwisów nikt nie zyska na tym przewagi informacyjnej.

Ale moglibyśmy pomyśleć o scenariuszu, gdy dostęp do serwisów społecznościowych byłby selektywny, otwarty dla wybranych…

Gdyby potencjalny przeciwnik zablokował dostęp do serwisów społecznościowych tylko stronie przeciwnej, samemu mając swobodę publikowania treści, zyskałby znaczącą przewagę w domenie informacyjnej i mógłby ją wykorzystać do zbudowania korzystnych dla siebie narracji i percepcji. Ale to wydaje się mało prawdopodobne, gdyż wymagałoby olbrzymich nakładów pracy przy blokowaniu kolejnych kanałów dostępu w czasie rzeczywistym, na które przeciwnik wciąż przekierowywałby ruch sieciowy. Zamiast snuć scenariusze, skupiłbym się na szukaniu przyczyn awarii, bo z perspektywy bezpieczeństwa narodowego wydaje się to ważniejszą sprawą. Jeśli za awarią FB stało działanie hakerów, powinno to budzić niepokój, ponieważ w wielu krajach administracja publiczna korzysta ze słabszych zabezpieczeń niż te używane przez FB. Z kolei wyciek haseł użytkowników może otworzyć dostęp do kont użytkowników na innych serwisach, do których użytkownicy ci logują się za pośrednictwem FB. Pozostaje mieć nadzieję, że kluczowe osoby w państwie nie wykorzystują swoich prywatnych kont na FB jako „menedżera haseł”.

Temat wałkowany jest od bardzo dawna, ale jeszcze raz: jak powinno zatem wyglądać bezpieczne komunikowanie się?

Wymiana informacji wrażliwych z punktu widzenia bezpieczeństwa państwa powinna odbywać się wyłącznie sprawdzonymi, oficjalnymi kanałami łączności, i to nie tylko w świetle ostatniej awarii. Za wykorzystywanie komercyjnych, prywatnych kanałów łączności urzędnicy państwowi i funkcjonariusze publiczni, w tym żołnierze, powinni ponosić konsekwencje dyscyplinarne, a w razie naruszenia przepisów o ochronie informacji niejawnych – wręcz karne.
Zakaz używania prywatnych urządzeń multimedialnych przez żołnierzy stosują nie tylko Rosja czy Chiny. Nawet USA zakazały żołnierzom w rejonach operacji używania prywatnych urządzeń. Stało się tak po kilku skandalach związanych z wyciekiem wrażliwych informacji bądź publikacją materiałów dokumentujących bulwersujące czy wręcz kryminalne praktyki żołnierzy.

Działania zbrojne na wschodzie Ukrainy w szczególnie jaskrawy sposób obnażyły niebezpieczeństwa związane z używaniem prywatnych smartfonów czy komunikatorów. Bardzo ważne jest korzystanie z oficjalnych, służbowych, bezpiecznych środków łączności. Komercyjne komunikatory, mimo że oferują czasem silne szyfrowanie, zazwyczaj bazują na rozwiązaniach tzw. open-source, przez co mogą zawierać luki i podatności, nierzadko celowo pozostawione przez producenta, jak to miało miejsce np. w wypadku systemu RCS zakupionego przez służby specjalne wielu państw, w tym przez polskie Centralne Biuro Antykorupcyjne. Poza tym część z tych komunikatorów wymaga gromadzenia danych na serwerach dostawcy usługi, co powoduje ryzyko wycieku danych. Bezpieczne środki łączności nie powinny zatem bazować na rozwiązaniach komercyjnych, ale być opracowywane na potrzeby konkretnego użytkownika, najlepiej z zagwarantowaną licencją, umożliwiającą użytkownikowi dokonywanie ulepszeń bądź aktualizacji bez konieczności uciekania się do usług dostawców komercyjnych.

Ale kto ma takie aplikacje? A Facebooka ma każdy, do każdego można napisać, z każdym się skontaktować.

Mówimy o czymś niezwykle ważnym, o bezpieczeństwie państwa! O ile w stosunku do urzędników państwowych, funkcjonariuszy publicznych, w tym żołnierzy, można w trybie dyscyplinarnym egzekwować zakaz używania prywatnych urządzeń, środków czy kanałów łączności, o tyle takie ograniczenia w stosunku do zwykłych obywateli nałożyć można wyłącznie w razie wprowadzenia jednego ze stanów nadzwyczajnych, ze względu na gwarantowane prawa i swobody obywatelskie. Pozostaje edukować i zwracać uwagę na ciemne strony mediów społecznościowych.

Kmdr por. rez. Wiesław Goździewicz, były szef Biura Prawnego JFTC w Bydgoszczy. Ekspert ds. międzynarodowego prawa humanitarnego konfliktów zbrojnych, prawnych aspektów operacji wojskowych i cyberbezpieczeństwa.