Jaka jest skala wojny hybrydowej we współczesnym świecie?
Tym, co obserwujemy, jako Palo Alto Networks, jest wpływ AI, przede wszystkim na tzw. powierzchnię i skalę ataków. Oznacza to, że większa jest ich szybkość, skala i poziom zaawansowania. Jednak również czas między momentem, gdy jakaś organizacja zostaje zaatakowana – niezależnie od tego, czy to organizacja publiczna, czy prywatna - a momentem rozpoczęcia działań „obronnych”, również uległ redukcji. Trzy lata temu było to 9 dni, teraz schodzimy do jednego dnia, a w wielu przypadkach nawet poniżej 20 minut. Tuż przed Monachijską Konferencją Bezpieczeństwa opublikowaliśmy informację o dużym ataku, mającym na celu wyprowadzenie danych z organizacji publicznych w całej Europie, Ameryce Łacińskiej i Afryce. To pokazuje, że im bardziej jesteśmy cyfrowo połączeni, tym bardziej jesteśmy narażeni i tym większa jest potrzeba tworzenia dobrych systemów cyberbezpieczeństwa. Cyberbezpieczeństwo jest tym komponentem, którego państwa, organizacje i biznes potrzebują, by myśleć poważnie o odporności na ataki hybrydowe. Atakującymi mogą być równie dobrze państwa, jak i zwykli przestępcy, ale mogą to być również wszelkiego rodzaju aktywiści. Na przykład w Ameryce Łacińskiej wiele ataków podejmowanych było przez ekoaktywistów. Zatrzymali oni sieć rurociągów nie dlatego, że domagali się okupu, ale dla idei. Powiedzieli: To co robicie planecie, nie jest dobre i dlatego was zatrzymujemy. To by się nie wydarzyło, gdyby system był chroniony również z poziomu cyberbezpieczeństwa. Obecnie mamy około 9 mln nowych ataków, których wczoraj jeszcze nie było.
Czy to daje się jeszcze obserwować?
Tak. Mamy największe tzw. jezioro danych telemetrycznych. Bo cyberbezpieczeństwo to tak naprawdę problem danych. A powód, dla którego staliśmy się liderem w tej branży jest taki, że działamy w dziedzinie bezpieczeństwa sieci. Nazywamy to Zero Trust Network Security SASE. Jesteśmy zaangażowani w zapewnienie bezpieczeństwa chmury. W tym tygodniu również sfinalizowaliśmy przejęcie lidera w obszarze bezpieczeństwa tożsamości, co w świecie AI będzie bardzo ważne. Jeśli chcemy, aby systemy AI pomagały nam zautomatyzować zadania, trzeba mieć pewność, że asystenci robią to, co im zleciliśmy, a nie, że są monitorowani i sterowani przez kogoś innego, skręcają w prawo, gdy powinni iść w lewo. Właśnie dlatego bezpieczeństwo tożsamości będzie w tej sytuacji kluczowe.
Czytaj więcej
Nowe modele AI, takie jak Claude Mythos i GPT-5.5, potrafią wykrywać setki podatności w kodzie i symulować złożone cyberataki w czasie nieosiągalny...
Podam przykład na to, że cyberbezpieczeństwo jest problemem danych. Mieliśmy tu sesję z bardzo szanowanym generałem Karolem Molendą, który zawiaduje polskim cyberdowództwem. W Polsce – nawiasem mówiąc – jest dobry poziom świadomości w tym zakresie. Zrobię jednak porównanie od strony wojskowej i sytuacji w Ukrainie. Gdy chce pan zdecydować o kolejnym najlepszym ruchu na polu walki, zbiera pan dane z lądu, z morza, z powietrza i cyberdowództwa. Jeśli ma pan sojuszników, ich również pyta się: „Co widzicie?” A kiedy ma się już pełen obraz, można powiedzieć: OK, musimy zrobić to albo tamto. Tak samo jest w cyberbezpieczeństwie. My, jako Palo Alto Networks, mamy dane z sieci, zapór, zasobów chmurowych, punktów końcowych. Punkt końcowy może być w tym przypadku czołgiem, ale może też być maszyną na linii produkcyjnej. Skanujemy internet bez przerwy, szukając anomalii w danych telemetrycznych.
Ile z tych zagrożeń pochodzi z Rosji i jest związane z wojną w Ukrainie?
Nie wskazywałbym konkretnie na jeden kraj. Jasne jest to, że cyberataki są również odzwierciedleniem tego, co dzieje się na scenie geopolitycznej, a w najgorszym przypadku tego, co dzieje się w scenariuszach wojennych. Zakłócanie i destabilizacja ruchu w sieci jest wyraźnie w intencjach niektórych dużych państw. Zwykle jest to też powiązane z wojną. Cyberataki w sferze geopolitycznej bywają czasem szpiegostwem, jak opisaliśmy to w opublikowanym właśnie raporcie, ale w sytuacji wojny są też napędzane chęcią zakłócenia procesu decyzyjnego. Mogą być także napędzane celami politycznymi, jak choćby to, co widzieliśmy w Rumunii podczas pierwszych wyborów prezydenckich. Dlatego właśnie wierzę, że musimy nie tylko chronić nasze zasoby cyfrowe, ale też, oczywiście, demokrację, która na tego typu ataki hybrydowe jest niestety podatna.
Jak bardzo AI jako technologia zmieniła obszar ataków hybrydowych i wojny hybrydowej?
Cóż, jeśli spojrzymy na szybkość, skalę i zaawansowanie, szczególnie w kontekście Europy Wschodniej, to widzimy ataki botów nadających określone przekazy, by wpływać na opinię publiczną. Na przykład na Telegramie celowo prowadzona jest masowa kampania botów, mająca zmienić opinię części ludzi na różne tematy związane z wojną na Ukrainie. AI zmienia sposób uprawiania polityki informacyjnej. Jednocześnie AI w cyberbezpieczeństwie to szybkość, skala i zaawansowanie reakcji. W Palo Alto Networks wykorzystujemy AI, w zakresie, który nazywamy uczeniem maszynowym, od 2014 r. Zaczęliśmy od nadzorowanego uczenia maszynowego i to jest ta dobra strona AI. Bo dzięki niej jesteśmy w stanie zapewnić szybką i adekwatną reakcję, czyli cyberbezpieczeństwo, które musi być dostarczane w czasie rzeczywistym. Obecnie nie wystarczy już wykryć zagrożenia 6 dni po ataku.
Każda technologia dąży do tego by działać „natychmiast” i online.
Trzeba mieć takie możliwości. Odkryliśmy jeden z największych ataków na łańcuch dostaw w ostatnich latach. Słynny, publicznie znany atak na SolarWinds. Bardzo skomplikowany, zaawansowany atak na łańcuch dostaw, podczas którego użyto stron trzecich, aby wejść do atakowanego przedsiębiorstwa. Jak to wykryliśmy? Nie dlatego, że siedziało za biurkiem 100 tys. osób i obserwowało ruch w sieci. Nie. To nasze systemy obserwowały tożsamość użytkownika, tożsamość aplikacji, tożsamość urządzenia oraz ich zachowanie. Analizowane było wszystko, co nazywamy danymi telemetrycznymi. Nagle zachowanie tych podmiotów zmieniło się znacząco i konsekwentnie. Nasza maszyna uruchomiła alarm, dzięki któremu wiedzieliśmy, że coś jest nie tak. Dlatego podkreślamy, że cyberbezpieczeństwo musi być zapewniane w czasie rzeczywistym. Jednak aby tak było, musi być wysoko zautomatyzowane.
Czy w Polsce, w Austrii, w Wielkiej Brytanii, ale i w USA wciąż brakuje kompetencji w dziedzinie cyberbezpieczeństwa?
Tak. Dlatego nadal musimy budować te kompetencje. Ale dzięki automatyzacji jesteśmy w stanie zapewnić znacznie więcej korzyści dla bezpieczeństwa. Skuteczność działania centrum kontroli – nazywamy to Security Operations Center – mierzymy średnim czasem od wykrycia do usunięcia incydentu.
Czytaj więcej
Choć mówi się o boomie na narzędzia sztucznej inteligencji, faktyczna skala wdrożeń tej technologii w naszym kraju jest wciąż marginalna. Biznes bo...
O jakich interwałach czasowych mówimy?
Obecnie udało się zejść z dni do minut. Dlatego, aby bezpieczeństwo mogło być zapewnione w czasie rzeczywistym, musi to być proces wysoko zautomatyzowany. Trzeba wiedzieć, że cyberbezpieczeństwo było do tej pory branżą bardzo rozdrobnioną. Jesteśmy światowym liderem mając około 10–12 proc. udziału w rynku. Oznacza to, że w tej branży jest mnóstwo graczy. Dlatego wyszliśmy z pewną propozycją: skoro jesteśmy liderami w bezpieczeństwie sieci, bezpieczeństwie chmury i tożsamości, to dajemy też korzyść biznesową. Lepsze bezpieczeństwo i zarazem korzyść biznesowa; nazywamy to „platformizacją”.
Jak to łatwiej zrozumieć?
Podam jeden bardzo konkretny przykład. Podpisaliśmy bardzo niedawno umowę z działającą w sektorze motoryzacyjnym w Europie grupą przemysłową. Nie muszę mówić, że motoryzacja jest teraz w trudnym miejscu. To redukcja kosztów, presja konkurencji z Chin, szukanie wzrostu produktywności. W tym przypadku „platformizacja” oznacza, że nasi klienci zamiast 16 narzędzi, które mieli do tej pory do ochrony i cyberbezpieczeństwa, mają jedno – Palo Alto Networks. W większości przypadków klienci jednak nie przechodzą od razu do jednego narzędzia. Robią to krok po kroku, w zależności od kontraktów. Pomagamy im w tej drodze i nazywamy to platformizacją modułową. To ty, drogi kliencie, decydujesz o tempie. Wierzymy, że skoro cyberbezpieczeństwo to problem danych, to im bardziej spójna jest platforma do ich ochrony, z bogatymi danymi telemetrycznymi w tle, tym łatwiej jest zapewnić bezpieczeństwo tym danym. Pamięta pan: 9 mln ataków dziennie.
A co z rywalizacją między atakującymi a obrońcami? Czy to proces równoległy, czy jedna ze stron zawsze wyprzedza drugą? Albo patrząc w przyszłość, może po prostu optymistycznie, czy w ogóle da się zbudować realne instrumenty ochrony?
To nie jest tak, że jedna strona zawsze wyprzedza, a druga jest zawsze z tyłu. To wyścig kota z myszą. Atakujący wykorzystują luki w oprogramowaniu.
Ale wie pan, że w naturze kot zabija 9–10 myszy dziennie?
Tak. Dlatego widzimy 9 mln nowych ataków i chronimy naszych klientów każdego dnia. Więc jesteśmy bardzo wydajnym kotem. Powiedziałbym nawet, że tygrysem. Jednak trzeba być nie tylko tygrysem, trzeba też być gepardem. Trzeba być szybkim. Jest w tym asymetria, którą – nawiasem mówiąc – pogłębia fakt, że przeciętna duża organizacja, czy to w Polsce, czy gdziekolwiek na świecie, według naszych statystyk używa zazwyczaj 36 różnych narzędzi do ochrony. Atakujący szukają właśnie luk między tymi narzędziami. Natomiast asymetria, z którą się mierzymy, polega na tym, że atakujący może mieć rację tylko raz. My musimy mieć rację cały czas. Jeśli duży dostawca oprogramowania ogłasza lukę bezpieczeństwa w swoim produkcie i mówi: „Proszę zrobić patchowanie”, od razu widzimy, że roboty AI używane przez atakujących są wykorzystywane do eksploatowania tych luk.
Przeciętna duża organizacja, czy to w Polsce, czy gdziekolwiek na świecie, według naszych statystyk używa zazwyczaj 36 różnych narzędzi do ochrony. Atakujący szukają właśnie luk między tymi narzędziami
A przy okazji – żeby dać jeszcze jeden fakt, czas tworzenia ransomware też został mocno skrócony właśnie dzięki AI, bo teraz można użyć AI do kodowania. Nowy kod może powstać w ciągu zaledwie kilku minut.
Jakie są najsłabsze punkty systemu, jeśli porównamy, powiedzmy, sferę publiczną — instytucje, państwa — albo firmy? Gdzie z pana punktu widzenia najbardziej brakuje ochrony?
Są słabe punkty – nie różnicowałbym ich między sektorem publicznym a prywatnym.
Kto wydaje więcej pieniędzy?
Wszyscy inwestują i próbują optymalizować swoją sytuację. Dlatego widzimy, że adaptacja platformizacji naprawdę mocno rośnie. Myślę, że wszyscy inwestują w lepszą odporność, bo im bardziej cyfryzuje się nasze otoczenie, im bardziej napędza się dzięki temu wzrosty produktywności, tym bardziej jest się narażonym na niebezpieczeństwa również cyfrowe. Z tego punktu widzenia – nie ma różnicy, czy to jest sektor publiczny, czy prywatny – wszyscy starają się inwestować w bezpieczeństwo. Ryzyka też są… bo pan pytał o najsłabszy punkt. Może istnieć ryzyko cyfrowe, ale również czynnik ludzki.
Bo ludzie nie są wystarczająco przeszkoleni, uważni.
Tak, to jedna strona. Na przykład zbyt łatwo wierzą, że link, który wygląda tak znajomo, jest bezpieczny. Jeden z głośnych ataków na początku wojny rosyjsko-ukraińskiej, to był atak ransomware na ukraińskie służby dyplomatyczne, przez link oferujący bardzo tani, ale wyglądający bardzo porządnie samochód BMW w Kijowie. No i część z osób kliknęła w ten link i w ten sposób zaimportowała ransomware do systemu. Ogólnie, ludzie zbyt łatwo wierzą w to, co do nich przychodzi jako wiadomość od jakiegoś dostawcy, bo wielokrotnie je dostają i myślą: „Och, to zwykła wiadomość, którą zawsze dostaję od tego dostawcy”. Ale może się okazać, że nagle to może nie być ta sama wiadomość. Jest też coś, co nazywamy ryzykiem wewnętrznym, czyli sytuacją, gdy ludzie, którzy odchodzą chcą zabrać wiedzę ze sobą. To jest coś, co nazywamy zapobieganiem utracie danych – data loss prevention – coś, o co naprawdę warto dbać i w naszym rozwiązaniu cyberbezpieczeństwa jest to uwzględnione.
Macie dużo kontraktów i partnerów w Europie Środkowej?
Tak. Nawiasem mówiąc, Polska jest dla nas kluczowym rynkiem w Europie Środkowo-Wschodniej. To, co powiedziałem wcześniej, chcę powtórzyć: myślę, że świadomość cyberbezpieczeństwa w Polsce, czy to w wojsku, czy w infrastrukturze krytycznej, dobrze świadczy o waszym kraju. Polska jest całkiem dobrze przygotowana na zagrożenia związane z cyberbezpieczeństwem.
