Obawiam się tak zwanego Internetu Rzeczy - mówi RMF FM ekspertka cyberbezpieczeństwa - Melissa Hathaway, gość konferencji CYBERSEC 2017 w Krakowie. Jej zdaniem, można o nim myśleć, jako o Internecie Zagrożeń. "Musimy zdawać sobie z tego sprawę, że łączymy ludzi, miejsca i urządzenia w niewyobrażalny wcześniej sposób. Od pluszowego misia w kołysce dziecka, przez lodówkę, po klimatyzację i ogrzewanie domu. To wszystko wcale nie miało być tak łączone" - przekonuje Hathaway. "Wpuszczając do domu internet, wpuszczamy też wszelką możliwą, związaną z nim, także nielegalną i zakazaną działalność. Kiedyś myśleliśmy, że skoro okna i drzwi naszego domu są zamknięte, nasza rodzina jest bezpieczna. Teraz nie możemy mieć już tej pewności" - dodaje.
Melissa Hathaway jest prezesem Hathaway Global Strategies LLC, doradcą w Harvard Kennedy School’s Belfer Center, współpracowała z administracjami prezydentów Busha i Obamy. W ubiegłym toku opracowała raport Cyber Readiness Index. W rozmowie z Grzegorzem Jasińskim przestrzega, że mamy co najwyżej 5 lat, by zabezpieczyć się przed zagrożeniami cybernetycznymi. Jej zdaniem najwyższy czas przestać już tylko o tym mówić, ale zakazać rękawy i zacząć rozwiązywać problemy. Jej zdaniem, dość gwałtownie zamyka nam się okno możliwości zmiany ścieżki, którą idziemy. Zarówno władze państwowe, jak i korporacyjne powinny pomyśleć o tym, jako sprawie naprawdę pilnej. Jeśli tego nie zrobią ilość złośliwego oprogramowania będzie rosła. Albo zajmiemy się cyberbezpieczeństwem na poważnie, albo czeka nas jakaś katastrofa, po której będziemy musieli się odbudowywać - mówi Hathaway.
Twoja przeglądarka nie obsługuje standardu HTML5 dla audio
Grzegorz Jasiński, RMF FM: Rozmawialiśmy przed rokiem i przypominam sobie, że wspominała pani na koniec, że w sprawie cyberbezpieczeństwa ciągle zwalczamy zagrożenia z przeszłości, nie myślimy o tych, które dopiero się pojawią. To było przed rokiem, czy dziś jest lepiej?
Melissa Hathaway: Niestety nie, wciąż zajmujemy się tym, co było wczoraj, nie tym, co będzie jutro. Nadal nie rozważamy konsekwencji, które przyniesie "Internet of Things", "Industry 4.0", "Society 5.0", wciąż zachwycamy się tymi wszystkimi nowinkami technologicznymi, ale nie podejmujemy działań na rzecz bezpieczeństwa i odporności tych systemów w przyszłości.
Można powiedzieć, że po tym roku wiemy więcej o zagrożeniach w cyberprzestrzeni. Lepiej zdajemy sobie sprawę, że potrzebujemy więcej działań na rzecz cyberbezpieczeństwa. Czy nasz sposób myślenia przez te miesiące walki choćby z fake newsami się zmienił? Cokolwiek dobrego się w tych sprawach dzieje?
Myślę, że rzeczywiście poziom świadomości zagrożeń się zwiększył. Opinia publiczna zaczyna sobie zdawać sprawę z istnienia czegoś takiego, jak "fake newsy", obawia się, że tak rozumiana era informacyjna może zaszkodzić naszej demokracji, wartościom, które są nam drogie. Obywatele faktycznie są teraz bardziej świadomi. Co jednak moim zdaniem jeszcze ważniejsze, świadomość tych zagrożeń dociera też do władz korporacji. Mieliśmy w tym roku do czynienia z dwoma dotkliwymi atakami o światowym zasięgu. Pierwszy z tych wirusów "WannaCry" był w maju narzędziem ataku typu ransomware, zablokował dane między innymi szpitali, uniwersytetów. Kolejny, niszczący atak przeprowadzono pod koniec czerwca z pomocą wirusa "NotPetya", który zaatakował wiele przedsiębiorstw. Straty spowodowane tymi atakami sprawiły, że korporacje zaczęły się tym przejmować na serio. Ataki dosłownie zablokowały FedEx we wschodniej Europie, firmę spedycyjną Maersk, nagle problemem stało się dostarczanie różnych towarów, od psiego jedzenia po części samochodowe. Skutki ataku odczuły firmy prawnicze, koncerny żywnościowe i farmaceutyczne, znacząca część ich aktywności została zablokowana, komputery zniszczone. Poniosły konkretne straty sięgające setek milionów dolarów w ciągu kwartału. Zaczęliśmy się zastanawiać nad tym, jaki może być wpływ tych ataków na całą światową gospodarkę. Korporacje z listy Fortune 100 i Fortune 1000 nagle zaczęły same działać na rzecz upowszechnienia świadomości tych zagrożeń, od poziomu rządowego, bo poziom zwykłych obywateli. Zaczęły się zastanawiać, jak temu przeciwdziałać, jak zapobiegać, czy zawiniło tylko niezaktualizowane oprogramowanie, czy może stał za tym jakiś bardziej złowrogi plan, czy stajemy się pionkami w jakiejś rządowej wojnie?
Lekkomyślność, którą dało się zauważyć przez wiele lat można uznać za niespodziankę po tym, jak wielką mobilizację spowodowały ostrzeżenia przed tak zwaną pluskwą milenijną. To była chwila, w której niemal wszyscy zdawaliśmy sobie sprawę z konsekwencji możliwych kłopotów. Na szczęście praktycznie nic się nie wydarzyło, ale można uznać, że po tym powinniśmy być mądrzejsi. Dlaczego nie byliśmy?
Ostrzeżenia przed Y2K doprowadziły do gigantycznej fali inwestycji, dokonywanych zarówno przez rządy, jak i prywatne przedsiębiorstwa. Nikt nie wiedział, co z chwilą wybicia północy się wydarzy. Kiedy kalendarz wskazał 1 stycznia 2000 roku i nie było globalnych kataklizmów, zaczęliśmy myśleć, że zagrożenie było wydumane. Ja jednak myślę, że w sumie przyniosło to wiele dobrego, byliśmy przygotowani i systemy informatyczne były znacznie bardziej odporne. Tyle, że przez kolejnych 17 lat po Y2K byliśmy tak zadowoleni z siebie i coraz bardziej przytłoczeni nowa technologią, że choć rozumieliśmy zagrożenie, nie byliśmy skłonni znów inwestować w zabezpieczenia na przyszłość.
Przed rokiem wspomniała pani, że w sprawach cyberbezpieczeństwa administracja prezydenta Obamy być może nie sprostała wyzwaniom. Czy w tej sprawie w Waszyngtonie nastąpiła dobra zmiana?
Ekipa prezydenta Donalda Trumpa postanowiła dokonać bilansu otwarcia, w maju prezydent wydał dekret zarządzający przeprowadzenie analiz sytuacji na różnych szczeblach władzy. Chodzi o to, by ocenić najpoważniejsze zagrożenia, przekonać się na ile przygotowane są władze federalne, jakie jest bezpieczeństwo i odporność krytycznej infrastruktury, jaka wreszcie jest nasza strategia na arenie międzynarodowej i stanowisko dotyczące norm postępowania. Wszystkie te analizy są wciąż prowadzone i na ich podstawie administracja prezydenta Trumpa powinna sformułować swoje priorytety w tych sprawach. W międzyczasie nowy rząd kontynuuje wiele działań, które rozpoczęła jeszcze administracja prezydenta Georga W. Busha i prowadziła administracja prezydenta Baracka Obamy. Nie ma przy tym pewności, że niektóre z działań rozpoczętych za rządów prezydenta Obamy, takimi priorytetami pozostaną.
Czy polityczne zawirowania związane z wątkiem tak zwanych rosyjskich wpływów na wybory prezydenckie 2016 roku mogą być istotnym krokiem na drodze do większego bezpieczeństwa w sieci? W tym wypadku dotyczącym możliwości wpływu na opinię publiczną?
Wojna informacyjna, czy sprawa zewnętrznego wpływu na opinię publiczną mogą być dla naszego rządu powodem do zakłopotania. Tak naprawdę nasze społeczeństwo dawno nie stanęło w obliczu zagrożenia propagandowego. Obecne próby wpływania na opinię publiczną mogą doprowadzić do tego, że na powrót stanie się ich świadome i bardziej się na nie uodporni. Musimy przypomnieć sobie, co działo się choćby podczas II wojny światowej. Musimy też przyłożyć się do tworzenia narracji przeciwnej, która bazuje na tym, co nas wzmacnia, a nie na tym, co nas osłabia. W USA i innych krajach obserwowaliśmy próby szerzenia propagandy strachu i zagrożenia, w kontrze do przekonania, że jesteśmy silną demokracją, która szanuje różne punkty widzenia, ceni wolność słowa i stowarzyszania się. A przecież to właśnie jest źródłem naszej siły, czy siły innych krajów, źródłem siły demokracji. Musimy zdecydowanie podkreślić, jakie są nasze obywatelskie obowiązki w obronie wartości, które cenimy w kontrze dla kogoś, kto próbuje narzucić nam strach, sprawić, że będziemy słabsi.
Twoja przeglądarka nie obsługuje standardu HTML5 dla audio
Ameryka wciąż ma największe instrumenty wywierania wpływu: Facebook, Twitter, Google. Okazuje się jednak, że... kto inny ich używa. Czy to nie paradoks?
Nie możemy zapominać, że Facebook, Twitter, Google to firmy prywatne, które prócz tego, że są narzędziami komunikacji, przede wszystkim zajmują się zarabianiem pieniędzy. Prawdopodobnie nie zdawały sobie sprawy, że niektóre reklamy są wykupywane bezpośrednio przez Rosję czy agencje, które rosyjskie państwo reprezentują. Chodziło im tylko o pieniądze, o zysk. Jeśli te firmy uznają, że to zagraża ich marce, ich dobremu imieniu, być może zdecydują się ograniczyć wolność ekspresji na swoich stronach, być może zrezygnują z części pieniędzy i z tych ogłoszeń. To pytanie do władz tych korporacji, do ich udziałowców, o to jaki obraz swojej marki chcą światu prezentować. Czy są po prostu narzędziem komunikacji, które każdy może za pieniądze używać, czy jednak muszą nieco to swoje kapitalistyczne podejście zmienić.
Czy amerykański rząd może chcieć mieć na to jakiś wpływ? Czy powinien mieć?
Sytuacja, w której rząd decydowałby o tym, co jest jeszcze wolnością wypowiedzi, a co nie jest, co jest dobrą wypowiedzią, a co złą, zawsze napawa mnie obawą. Jeśli otworzylibyśmy te drzwi, moglibyśmy doprowadzić do niebezpiecznej sytuacji. My, w USA silnie wierzymy w wolność wypowiedzi i choć czasem możemy się z tymi wypowiedziami nie zgadzać, uznajemy, że inni mają je prawo wygłaszać. Jeśli zaczniemy myśleć, że skoro nie zgadzamy się z czyimś punktem widzenia, on nie ma prawa go wyrażać, to odbierze nam to wolność, którą w naszym kraju bardzo szanujemy.
Wiemy już, że bezpieczeństwu naszego domu mogą zagrozić już nie tylko podłączone do internetu komputery, ale też telewizory typu Smart TV, które mogą nas "podglądać". W niedalekiej przyszłości będziemy mieli jednak w domu coraz więcej robotów, oferujących najrozmaitsze usługi. Czy to będzie kolejne zagrożenie, już nie tylko w cyberprzestrzeni, ale bezpośrednio w naszym domu? Choćby w postaci robota, który zostanie zdalnie "przechwycony", by działać na nasza niekorzyść?
Absolutnie tak, bardzo obawiam się tego całego Internetu Rzeczy, który połączy ludzi, miejsca i urządzenia w niewyobrażalny wcześniej sposób. Od pluszowego misia w kołysce dziecka, przez lodówkę, po klimatyzację i ogrzewanie domu. To wszystko wcale nie miało być podłączane do internetu. I napędzają to firmy, które nie są w stanie wciąż dostarczyć bezpiecznego oprogramowania swoich produktów. Coraz częściej o idei "Internet of Things" IInternet Rzeczy) myślę jako Insecurity of Things (Niebezpieczeństwo Rzeczy), albo wręcz Internet od Threats (Internet Zagrożeń). Otwieramy drzwi czemuś, co będzie nas wykorzystywać, tracimy prywatność. Sprawiamy, że nasze domy będą mniej bezpieczne. Kiedyś, dzięki zamkowi w drzwiach, w domu czuliśmy się bezpieczni. Teraz wpuściliśmy do domu internet i wszelką możliwą, związaną z nim, także zakazaną, działalność. Kiedyś myśleliśmy, że skoro okna i drzwi są zamknięte nasza rodzina jest bezpieczna. Teraz nie możemy mieć już tej pewności.
Czy istotną częścią układanki w sprawie cyberbezpieczeństwa może być sztuczna inteligencja, która może - jak niektórzy przestrzegają - wystąpić przeciwko nam?
Oczywiście sztuczna inteligencja ma swoje dobre strony, pozwala na zautomatyzowanie wielu czynności, pozwala choćby tworzyć komputery, które same się uczą i same się naprawiają. Ale sztuczna inteligencja jest dobra tylko na tyle, na ile dobry był matematyk, który ją stworzył. I oczywiście zdolny matematyk może stworzyć algorytmy, które będą się uczyć w negatywnym tego słowa znaczeniu. Musimy tę ciemną stronę sztucznej inteligencji przewidywać, bo może nauczyć się czegoś, co przyniesie nam szkodę. Kiedyś, w latach 60., 70. były te świetne kreskówki z serii "George Jetson" pokazujące świat przyszłości. Mieliśmy tam roboty, latające samochody, wszystkie te wspaniałe urządzenia, które pokazywały jasną stronę innowacji. W latach 80. pojawił się jednak film "Terminator", który pokazał, jak autonomiczne maszyny mogą wyrwać się spod kontroli. Wygląda więc na to, że już od pewnego czasu zdawaliśmy sobie sprawę, że innowacja może mieć i jasną i ciemną stronę.
Chciałbym, żeby nasza rozmowa była w jakimś stopniu optymistyczna. To jednak niełatwe. Czy więc mamy duży problem?
Myślę, że dość gwałtownie zamyka nam się okno możliwości zmiany ścieżki, którą idziemy. Zarówno władze państwowe, jak i korporacyjne powinny pomyśleć o tym, jako sprawie naprawdę pilnej. Jeśli tego nie zrobią, ilość złośliwego oprogramowania, które może choćby zablokować gigantyczną firmę w parę minut, będzie rosła. Widzieliśmy to w czerwcu. Wzrośnie też ryzyko choćby wyłączeń sieci energetycznych. Albo zajmiemy się cyberbezpieczeństwem na poważnie, albo czeka nas jakaś katastrofa, po której będziemy musieli się odbudowywać.
Jak dużo mamy czasu?
Czas kończy nam się dość gwałtownie. Internet Rzeczy jest już właściwie rzeczywistością, tworzymy coraz więcej inteligentnych miast, inteligentnych sieci, inteligentnych domów, łączymy wszystko ze wszystkim. Moim zdaniem mamy mniej, niż 5 lat, może nawet mniej, niż 3 lata. Dlatego nie przestaję o tym mówić. To bardzo pilne. Powinniśmy jednak w zasadzie przestać już mówić tylko zakasać rękawy i zacząć te problemy rozwiązywać.
Wirusy komputerowe mogły kraść nasze pieniądze, wykradać nasze dane, ale teraz zagrożenia mogą być jeszcze większe. Czy nie sądzi pani, że największym zagrożeniem może być sytuacja, w której z pomocą złośliwego oprogramowania ktoś będzie w stanie wpłynąć na nasz sposób myślenia, zmienić nasze rozumowanie?
Aż tak nie. Jestem przekonana, że ludzie w swej istocie, jeśli tylko będą pamiętać o krytycznym myśleniu, o kwestionowaniu wszystkiego, co słyszą, o poszukiwaniu alternatywnych źródeł informacji, będą ze sobą rozmawiać i dyskutować, pamiętać o przeszłości, by przewidywać przyszłość, nie dadzą się zmanipulować. Myślę, że po prostu musimy wrócić do podstaw, do tego co uznajemy za wartość, do wzajemnej komunikacji, debaty i krytycznie analizować to, co się dzieje, zamiast przyjmować wprost, co przynoszą newsy.
Świetnie. Na koniec mamy coś optymistycznego.