Mapa cyberwojny. Jakie jest jej znaczenie?

Analityka przestrzenna pomaga przekazać informacje decydentom w celu uzyskania przejrzystej wizualizacji danych i zwiększenia świadomości działań przeciwnika. Co więcej, eksperci ds. bezpieczeństwa wykorzystują cyfrowe mapy do geograficznego rozpoznania wzorców ataków hakerskich. Śledzenie złośliwego oprogramowania i ransomware umożliwia ekspertom wywiadu zrozumienie powiązań między grupami hakerów.

Wielowarstwowy obraz danych

Dzisiejsze konflikty zbrojne rzadko rozgrywają się tylko na fizycznych polach bitew. Równie prawdopodobne jest, że obejmują one cyberataki, ataki na infrastrukturę krytyczną oraz różne formy wykorzystania informacji jako broni, mającej na celu sianie zamętu i niepewności w społeczeństwie.

W przypadku rosyjskiej inwazji na Krym w styczniu 2014 roku, eksperci zauważyli, że Rosja instaluje coś, co wyglądało jak podmorski kabel przez Cieśninę Kerczeńską, wąską drogę wodną między Morzem Czarnym a Morzem Azowskim. Gdy monitorowali postępy w budowie 46-kilometrowego kabla, stało się jasne, że jego punktem końcowym jest półwysep Krym.

Jest obecnie całkowicie jasne, że cyberataki stanowią zagrożenie nie tylko dla systemów komputerowych. Bezpieczeństwo cybernetyczne musi teraz obejmować infrastrukturę krytyczną - w tym systemy użyteczności publicznej, takie jak dostawa mediów - która stanowi podstawę funkcjonowanie każdej społeczności.

Gdzie wywiad lokalizacyjny spotyka wywiad cybernetyczny

Analiza danych przybiera wiele form. Może być tak podstawowa, jak wizualizacja ataku terrorystycznego na tle podziemnej infrastruktury miasta lub tak złożona, jak tworzenie planów rozprzestrzeniania się propagandy przy użyciu AI, która przesiewa media społecznościowe.

W ostatnich latach doszło do fali cyberataków, wymierzonych w niemieckie interesy. Wydaje się, że wiele z nich pochodziło od Winnti (APT41), grupy hakerów z siedzibą w Chinach. Dodając do powiązanych danych element lokalizacji, przedstawiciele niemieckich sił zbrojnych mogli łatwiej ocenić problem i podjąć działania.

„Jeśli pokażę generałowi jakiś kod źródłowy, nie zrozumie on, co robię. Ale jeśli mogę pokazać mu na mapie, że narzędzie Winnti atakowało pewne części Europy, może zobaczyć czy był to głównie obszar Unii Europejskiej, czy może atak na NATO, co prawdopodobnie oznacza konieczność zaangażowania wojska. Dzięki innej warstwie mapy mogę mu np. pokazać, ile z ataków jest skierowanych przeciwko firmom chemicznym” – mówi Volker Kozok, podpułkownik i ekspert ds. cyberbezpieczeństwa w niemieckich siłach zbrojnych.

Kozok stwierdził, że wywiad lokalizacyjny dostarcza wspólny język do zrozumienia wywiadu cybernetycznego. „Generałowie rozumieją, że świat należy do map”, powiedział. „W ten sposób pokazujemy im założenia łączące każdą naszą analizę”.

Bezpieczeństwo można zlokalizować

Tym, co sprawia, że cyberataki są tak groźne, jest trudność w określeniu ich wymiaru geograficznego. Wydaje się, że przychodzą one znikąd i mogą zdarzyć się wszędzie. A jednak w cyberbezpieczeństwie istnieje element lokalizacji. Chociaż trudno jest zapobiec atakom ransomware, które były wymierzone np. w serwery rządowe, geograficzne systemy informacyjne mogą pomóc ekspertom zarówno w zarządzaniu atakami w momencie ich wystąpienia, jak i w analizie po ich zakończeniu.

Aby odwzorować cyberatak, ekspert może przestudiować warstwy cyfrowych map przedstawiające osoby korzystające z sieci, urządzenia, których używają, logiczne połączenia, które tworzą sieć oraz geograficzną lokalizację serwerów.

Jasność w ciemności

Przełomowa praca w dziedzinie cybernetycznego wywiadu wykonywana m.in. przez takie osoby, jak Volker Kozok powinna być wzorem dla ekspertów ds. cyberbezpieczeństwa. Wykorzystanie systemów informacji geoprzestrzennej pozwala poznać niezwykłą ilość szczegółów dotyczących cyberataków, które w tym przypadku wstrząsnęły Niemcami.

Mapując cyberataki Winnti i obserwując subtelne różnice w ich kodzie, specjaliści ds. bezpieczeństwa mogą wyciągnąć wnioski dotyczące ich pochodzenia. W ten sposób mogą też stwierdzić, w którym kraju ktoś prawdopodobnie uczył się programowania. Dane mogą również ujawnić, czy źródłem jest oryginalna grupa Winnti, czy luźniejsze powiązanie hakerów, co sugerowałoby, że Winnti sprzedaje swój kod w darknecie. Co najważniejsze, dzięki mapowaniu tych wariantów jakiekolwiek siły zbrojne mogą zyskać wgląd w to, jak zapobiegać przyszłym atakom.

Autor: Bogdan Zawiśliński, dyrektor sprzedaży w Esri Polska

Bogdan Zawiśliński z polskim oddziałem Esri związany jest od 18 lat. Od października 2021 roku zajmuje stanowisko dyrektora sprzedaży. Jest majorem rezerwy, który swoją karierę wojskową zakończył w 2004 roku. Przez wiele lat służył w strukturach obecnego Szefostwa Rozpoznania Geoprzestrzennego. Absolwent i były wykładowca Wojskowej Akademii Technicznej. Jego specjalizacja to wykorzystanie GIS w analizach wywiadowczych, rozpoznawczych, kryminalnych i zarządzaniu kryzysowym.