text_structure.xml 87.4 KB
<?xml version="1.0" encoding="UTF-8"?>
<teiCorpus xmlns="http://www.tei-c.org/ns/1.0" xmlns:xi="http://www.w3.org/2001/XInclude">
  <xi:include href="PPC_header.xml"/>
  <TEI>
    <xi:include href="header.xml"/>
    <text>
      <body>
        <div xml:id="div-1">
          <u xml:id="u-1.0" who="#PrzewodniczącyposełMieczysławGolba">Witam państwa bardzo serdecznie na 91. posiedzeniu Komisji Innowacyjności i Nowoczesnych Technologii. Witam państwa posłów i zaproszonych gości. Tematem dzisiejszego posiedzenia będzie bezpieczeństwo. Chcę zaznaczyć, że nasze posiedzenie jest zorganizowane podczas międzynarodowej konferencji poświęconej bezpieczeństwu teleinformatycznemu SECURE w Centrum Nauki Kopernik. Posiedzenie organizowane jest na zaproszenie dyrektora Naukowej i Akademickiej Sieci Komputerowej – organizatora konferencji – w celu wymiany doświadczeń w zakresie teleinformatyki i zagrożeń w cyberprzestrzeni. Bardzo serdecznie dziękuję w imieniu całej Komisji za zaproszenie na to właśnie posiedzenie, które możemy odbyć. Dlatego witam jeszcze raz. Stwierdzam kworum naszej Komisji.</u>
          <u xml:id="u-1.1" who="#PrzewodniczącyposełMieczysławGolba">W porządku dzisiejszego posiedzenia mamy dwa punkty. Pierwszym jest rozpatrzenie informacji o internetowych zagrożeniach dużej skali. W punkcie drugim zaplanowana jest dyskusja na temat „Bezpieczny Internet – rola podmiotów publicznych i prywatnych”. Powyższy porządek posłowie otrzymali. Chciałem zapytać, czy są może jakieś pytania lub propozycje zmian porządku? Nie słyszę. Stwierdzam, że Komisja przyjęła porządek posiedzenia.</u>
          <u xml:id="u-1.2" who="#PrzewodniczącyposełMieczysławGolba">Przystępujemy do jego realizacji. Bardzo będę prosił przedstawiciela NASK, pana dyrektora Michała Chrzanowskiego, o zabranie głosu i prowadzenie dalszej części prezentacji. Bardzo proszę, panie dyrektorze.</u>
        </div>
        <div xml:id="div-2">
          <u xml:id="u-2.0" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Panie przewodniczący, szanowni państwo, drodzy goście, mam niezwykłą przyjemność po raz kolejny występować przed Komisją, uczestniczyć w pracach Komisji. Poprzednim razem było to wyjazdowe posiedzenie Komisji w Szczecinie, które dotyczyło rynku domen internetowych, na którym rola NASK jest istotna.</u>
          <u xml:id="u-2.1" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Przede wszystkim bardzo serdecznie dziękuję za przyjęcie zaproszenia. Jak pan przewodniczący wspomniał, posiedzenie odbywa się w trakcie trwania konferencji SECURE 2013. To już je 17. edycja. Konferencja ma wymiar międzynarodowy i charakter wyjątkowy, bo stricte merytoryczny. Zarządy zarządami, rady nadzorcze radami nadzorczymi, a my koncentrujemy się na sprawach stricte merytorycznych, co nas bardzo cieszy. Konferencji towarzyszą warsztaty i wystawa. Po zakończeniu prac Komisji serdecznie państwa zapraszam na ostatnie piętro, gdzie pracownicy NASK będą mogli państwa oprowadzić po stoiskach. Mamy kilka podmiotów międzynarodowych – tych, które funkcjonują biznesowo w obszarze bezpieczeństwa. Bardzo serdecznie państwa zapraszam i jeszcze raz bardzo dziękuję za przyjęcie zaproszenia.</u>
          <u xml:id="u-2.2" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Ponieważ miałem przyjemność dosyć szeroko opowiadać o NASK w trakcie posiedzenia, które odbywało się w Szczecinie, na dzisiejszym posiedzeniu na ten temat tylko w skrócie, w szczególności dla gości. NASK to instytut badawczy. Działamy zgodnie z ustawą o instytutach badawczych z 2010 r. Zanim staliśmy się instytutem badawczym, NASK funkcjonował jako jednostka badawczo-rozwojowa. Zgodnie z ustawą, ministrem nadzorującym pracę instytutu jest minister właściwy do spraw nauki. Ten minister jest również protoplastą instytutu – tą osobą, która posiada wszelkie prerogatywy do wykonywania kontroli i nadzoru bezpośredniego nad funkcjonowaniem instytutu. Częścią zasadniczą funkcjonowania NASK jest – zgodnie z ustawą – ten wątek, który jest związany z pracami w obszarze badawczym i rozwojowym. Nauka jest czymś, co stanowi naszą podstawę. W ramach NASK funkcjonują trzy pracownie i jeden zakład. Tak naprawdę, 100% pracy ma związek pośrednio lub celowo z szeroko rozumianym bezpieczeństwem teleinformatycznym.</u>
          <u xml:id="u-2.3" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Instytuty badawcze mają jednak jeszcze jeden dodatkowy aspekt, szczególnie ważny dla państwa, a w szczególności dla gospodarki państwa. Zgodnie z ustawą mogą prowadzić działalność gospodarczą i taką działalność nasz instytut prowadzi. Jesteśmy przedsiębiorstwem zarejestrowanym w Krajowym Rejestrze Sądowym. Działamy na rynku normalnym, zwykłym, komercyjnym – trudnym rynku komercyjnym w obszarze IT, a w szczególności w obszarze bezpieczeństwa. Miałem przyjemność opowiadać o wszelkich ramach formalnych w trakcie poprzedniego posiedzenia Komisji, jak również o wątkach związanych ze stroną ekonomiczną. Wydaje mi się, że jest ona dosyć istotna. Pozwolę sobie ją przypomnieć, bo jest istotna dla tego, co będzie stanowiło treść mojej prezentacji, ale w szczególności mojego następcy, pana Piotra Kijewskiego, kierownika CERT, funkcjonującego w ramach NASK. Za chwileczkę opowiem, co to takiego.</u>
          <u xml:id="u-2.4" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Wątek istotny dla funkcjonowania NASK to wątek ekonomiczny. Mam przyjemność pełnić funkcję dyrektora od 2009 r. W tym czasie NASK jeszcze przynosiła straty w wysokości około 1,5 mln zł rocznie. Dzisiaj sytuacja NASK jest zgoła inna. Dlaczego o tym mówię? Nie dlatego, żeby się chwalić, ale dlatego, że ten wątek zarządczy jest dosyć istotny dla realizacji podstawowych celów funkcjonowania instytutu. Dzisiaj mamy sytuację, w której NASK przynosi rocznie ponad 100 mln zł. Wypracowujemy powyżej 30 mln zł zysku rocznie.</u>
          <u xml:id="u-2.5" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Dlaczego to jest takie istotne? Dlatego, że możemy funkcjonować sprawnie jako instytut badawczy z własnych pieniędzy – z tych pieniędzy, które wypracowujemy jako podmiot działający na rynku komercyjnym. Rozumiemy, proszę państwa, słowo „innowacyjność”. Jak je rozumiemy? W sposób zasadniczy, podstawowy, jak to jest napisane w słowniku języka polskiego. Wszystko to, co udaje nam się przekuć na pieniądz, skomercjalizować, oddać gospodarce, nie tylko w wymiarze naszym, krajowym, ale również międzynarodowym, ponieważ NASK sprzedaje też swoje produkty za granicą. Mówiłem o tym w trakcie prezentacji w Szczecinie. Mamy klientów zarówno w Kanadzie, jak i w Irlandii. To nasi najwięksi klienci, ale sprzedajemy produkty również innym podmiotom na świecie, przez które – na całe szczęście – jesteśmy uważani za autorytet w dziedzinie bezpieczeństwa.</u>
          <u xml:id="u-2.6" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Dlaczego ten wynik jest tak istotny? Bo finansujemy naukę. Znajdujemy własne środki. Nie musimy nikogo prosić. Sami finansujemy w dużej części badania, które przekuwamy na produkty, a jednocześnie funkcjonujemy w bezpieczeństwie rozumianym troszeczkę inaczej, co stanowi dla nas absolutny powód do dumy.</u>
          <u xml:id="u-2.7" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Realizujemy wiele inicjatyw o charakterze czysto społecznym. W szczególności wspomnę o Dyżurnecie i Akademii NASK. Siedzą tutaj przedstawiciele tych jednostek NASK, które zajmują się szeroko rozumianą edukacją. Edukacyjna działalność Akademii NASK kierowana jest w szczególności do dzieci, ale nie tylko, bo również i do pedagogów, do tego środowiska, które kształtuje przyszłych użytkowników. W edukacji koncentrujemy się na tych obszarach, które mogą wydawać się zapomniane. Rozmawiamy z prokuratorami, rozmawiamy z policjantami, rozmawiamy z sędziami. Opowiadamy im o tym, co oznacza przestępczość w Internecie. Mówimy o szczególnym charakterze tej przestępczości, o szczególnym, skodyfikowanym jej rodzaju. Mówimy o czymś, co jest związane z bezpieczeństwem dzieci. W skali wspomnianego Dyżurnetu, czyli jednostki NASK, która przyjmuje anonimowe zgłoszenia od wszystkich użytkowników Internetu o treściach zabronionych w Internecie, około 80% zgłoszeń dotyczy rzeczy związanych z pornografią dziecięcą. Już państwo rozumieją, skąd ta motywacja. To jest motywacja wewnętrzna, nasza, NASK-owa, którą realizujemy każdego dnia, co nas bardzo cieszy.</u>
          <u xml:id="u-2.8" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Oprócz animacji w obszarze społecznym, bardzo istotny jest obszar merytoryczny, o którym nie miałem przyjemności opowiadać w Szczecinie, a który związany jest z czymś, co stanowi treść dzisiejszego spotkania Komisji, czyli z bezpieczeństwem w sieci, w szczególności w Internecie. W ramach NASK realizuje to głównie jednostka CERT. Computer Emergency Response Team to jednostka reagująca na zdarzenia w Internecie. Jest jedną z dwóch takich jednostek w Polsce. CERT Polska – NASK-owy CERT – jest najdłużej funkcjonującym w Polsce, najstarszym tego rodzaju zespołem.</u>
          <u xml:id="u-2.9" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Oprócz niego w wymiarze państwa funkcjonuje jeszcze jednostka CERT GOV PL. Działa ona w ramach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. W swoich działaniach operacyjnych koncentruje się ona w szczególności na bezpieczeństwie tego, co jest związane z działalnością rządu. Natomiast my uzurpujemy sobie prawo i obowiązek do tego, aby funkcjonować we wszystkim, co pozostaje poza tym obszarem. Jak to robimy? Czy robimy to z sukcesem? Mam nadzieję, że przekona państwa o tym kolejna prezentacja.</u>
          <u xml:id="u-2.10" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Co do kwestii głównych wątków funkcjonowania CERT, to tylko pokażę państwu, co stanowi treść funkcjonowania i pracy tego zespołu. To jest coś, co jest podstawowym obszarem działań każdej jednostki typu CERT. Oprócz tych dwóch, które wymieniłem, w Polsce funkcjonuje mnóstwo innych zespołów CERT, związanych wprost z komercją, od operatorów telekomunikacyjnych po konkretne działy biznesu i organizacje o charakterze komercyjnym, które wpierają ten obszar.</u>
          <u xml:id="u-2.11" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Jesteśmy dość szczególnym zespołem CERT. Słowa „szczególny” mogę użyć śmiało, ponieważ nasz CERT funkcjonuje w ramach instytutu, w którym jest zarówno pion naukowy, jak i działalność czysto biznesowa, skierowana do odbiorców usług związanych z bezpieczeństwem. Mamy również dział rozwoju oprogramowania, czy software house, gdzie piszemy oprogramowanie. To są nasze własne produkty, które mają wspierać polską administrację i polskich przedsiębiorców w ochronie przed tym wszystkim, co jest niebezpieczeństwem pochodzącym ze świata.</u>
          <u xml:id="u-2.12" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Drodzy państwo, te zdarzenia, które dotyczą sieci, nie są ograniczone tylko i wyłącznie do obszaru naszego kraju. Wszystko, co dotyczy sieci, jest wolne od granic, jak również – uwaga – wolne od kompetencji i od wieku. Jak to należy rozumieć? Jeśli chodzi o zagrożenia dla sieci teleinformatycznych, dla informacji, które są tak istotne dla państwa, dla infrastruktury, która jest tak istotna dla państwa, a która to coraz bardziej opiera się na rozwiązaniach IT, to mogą one pochodzić od dowolnego użytkownika sieci. Są groźne nie tylko dla tych, którzy mieszkają w naszym kraju, którzy są obywatelami Polski, ale dla dowolnego obywatela świata. Dlaczego jest to oderwane od kompetencji? Jest tak, ponieważ wiele usług związanych z prowadzeniem ataków można kupić, o czym będzie mowa w kolejnej prezentacji. Dlaczego są oderwane od kwalifikacji profesjonalnych? Bo bardzo często są prowadzone przez amatorów, samouków, ludzi sfrustrowanych, organizacje państwowe, które wydają na to ogromne pieniądze. Za chwileczkę wymiar tego zobaczą państwo w prezentacji.</u>
          <u xml:id="u-2.13" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Podsumowując, z dumą mogę powiedzieć, że jesteśmy awangardą, jeżeli chodzi o kwestię treści merytorycznych. My wiemy, o czym mówimy. Staramy się pomagać każdemu, kto nas o to prosi. Pomagamy nie tylko podmiotom w Polsce, ale również na świecie. Jak to wygląda? Szczegółowo opowie o tym Piotr Kijewski, kierownik CERT Polska działającego w ramach NASK.</u>
          <u xml:id="u-2.14" who="#DyrektorNaukowejiAkademickiejSieciKomputerowejMichałChrzanowski">Dziękuję państwu bardzo serdecznie i przekazuję głos Piotrowi.</u>
        </div>
        <div xml:id="div-3">
          <u xml:id="u-3.0" who="#KierownikCERTPolskaPiotrKijewski">Dzień dobry. Dziękuję za możliwość zaprezentowania naszych osiągnięć. Nazywam się Piotr Kijewski. Jestem kierownikiem zespołu CERT Polska. Tematem mojej prezentacji są zagrożenia internetowe dużej skali. To jest temat dosyć szeroki. Skupię się na jego istotnym aspekcie, który jest sednem całego problemu w chwili obecnej, czyli na botnetach. Będę używał terminów technicznych, o których postaram się powiedzieć więcej na początku, żeby były to tematy dosyć jasno postawione. Ogólnie rzecz biorąc, będę mówił o botnetach w Polsce i o tym, co robimy, żeby je zwalczać. Będę starał się państwa przekonać, że jesteśmy w tym całkiem skuteczni. Natomiast, oczywiście, można być w tym, również z państwa pomocą, znacznie bardziej skutecznym.</u>
          <u xml:id="u-3.1" who="#KierownikCERTPolskaPiotrKijewski">Na początku zauważę, że wiele rzeczy, o których będę mówił, jest opisanych w naszym raporcie. To jest raport roczny, który wydajemy od wielu lat. W ostatnich latach stał się on – mam nadzieję – jeszcze bardziej profesjonalny. Najnowszy raport mają państwo załączony w swoich materiałach. Opisuje on to, co się dzieje w Polsce pod względem cyberbezpieczeństwa, nie na bazie faktów medialnych czy też raportów zagranicznych firm komercyjnych, ale na bazie tego, co my obserwujemy i informacji, które otrzymujemy. Wszystko to jest bezpośrednim wynikiem naszych działań. To jest coś, co jest oparte tylko i wyłącznie na faktach. Jesteśmy w stanie dyskutować na ten temat i bronić różnych tez, dlatego że mamy dowody na wszystko, co publikujemy.</u>
          <u xml:id="u-3.2" who="#KierownikCERTPolskaPiotrKijewski">Jak wyglądała sytuacja w Polsce w zeszłym roku. Otrzymaliśmy ponad 10 mln zgłoszeń naruszeń bezpieczeństwa teleinformatycznego. Dotyczy to tylko i wyłącznie Polski, czyli skala jest olbrzymia. Oczywiście, w skali światowej jest tego znacznie więcej. Można mówić wręcz o miliardach przypadków. Jednak z punktu widzenia Polski i tak jest to prawdopodobnie tylko wierzchołek góry lodowej, dlatego że często widzimy rzeczy, które już zostały zidentyfikowane. Nie widzimy nowych rzeczy, które właśnie nadchodzą i o których dowiemy się jutro. W tym raporcie jest więc tak naprawdę zapisana przeszłość – to, co było w 2012 r. Dzisiejszy obraz wygląda już inaczej. Niestety, często gorzej. Czy 10 mln zgłoszeń to jest dużo czy mało? Trudno powiedzieć, sami mogą państwo wyciągnąć wnioski z dalszej mojej prezentacji.</u>
          <u xml:id="u-3.3" who="#KierownikCERTPolskaPiotrKijewski">Zdarzenia z zakresu bezpieczeństwa często dotykają nas bardzo bezpośrednio, np. spam, który otrzymujemy, zalegający w naszych skrzynkach. Być może uważają państwo, że jest on zupełnie nieszkodliwy. Chciałbym jednak państwu przedstawić, dlaczego w ogóle spam się pojawia, jakie są modele biznesowe i grupy cyberprzestępcze, które stoją za tym całym zjawiskiem, dlaczego staje się ono tak opłacalne, że ląduje – koniec końców – w państwa skrzynkach. W Polsce w zeszłym roku ponad 5 mln komputerów uczestniczyło w rozsyłaniu spamu. Komputerów, do których wcześniej nastąpiło włamanie, czyli to nie były komputery specjalnie ustanowione w tym celu, ale dość często państwa komputery, te używane w domu. Za tym wszystkim stoją „boty”, co będzie sednem mojej prezentacji. W 2012 r. było ponad 3 mln zgłoszeń botów w polskich sieciach, czyli zarażonych komputerów polskich internautów. Wszędzie – w firmach, w jednostkach rządowych, w domach, także urządzenia mobilne. Skala tego zjawiska jest ogromna. Natomiast nasze różne działania, na szczęście, przynajmniej w jakimś stopniu niwelują to zagrożenie.</u>
          <u xml:id="u-3.4" who="#KierownikCERTPolskaPiotrKijewski">Skąd bierze się problem? Prawda jest taka, że w dzisiejszym świecie przeciętny internauta nie ma żadnych szans w starciu z cyberprzestępcami. Bardzo łatwo jest zainfekować się złośliwym oprogramowaniem. Często bezradni są też specjaliści. Myślę, że mnie równie skutecznie można zaatakować, jeżeli będzie się wiedzieć, do czego mam zaufanie. Żeby państwa przekonać, mam informację sprzed paru dni. Ilu z państwa czyta pliki PDF? Zapewne większość. Większość ma na komputerze oprogramowanie do czytania tych plików. Prawdopodobnie większość dokumentów, które państwo wymieniają, poza dokumentami pakietu Office, jest dokumentami w formacie PDF. Parę dni temu świat obiegła informacja o tym, że Adobe, producent najpopularniejszego czytnika PDF, został skutecznie spenetrowany przez grupę hakerów. Poza tym, że wyciągnięto dane 3 mln różnych klientów, wykradziono cały kod czytnika PDF. Wobec tego w chwili obecnej i cyberprzestępcy, i rządy państw, i różni inni amatorzy, intensywnie pracują nad tym, żeby znaleźć, jakie są luki w tym oprogramowaniu, które umożliwią skuteczny atak za pomocą czytnika. Jeżeli państwo korzystają z Acrobat Readera do plików PDF, zalecam jak najszybszą zmianę na alternatywne przeglądarki typu Foxit, dlatego że będą państwo przez najbliższe kilka lat jeszcze bardziej intensywnym celem. Jeżeli otworzą państwo plik PDF tym właśnie Acrobat Readerem, mogą państwo dołączyć do botnetu.</u>
          <u xml:id="u-3.5" who="#KierownikCERTPolskaPiotrKijewski">Zagrożenia dużej skali, które są tematem referatu, dzielą się tak naprawdę z grubsza na trzy kategorie. To botnety, złośliwe oprogramowanie, ataki DDoS – myślę, że wszyscy pamiętają zeszłoroczne hasło ACTA – ataki ukierunkowane, za którymi często stoją państwa bądź też grupy szpiegowskie, mające na celu wykradnięcie jakichś istotnych tajemnic państwowych czy służbowych. Każdy temat jest bardzo rozległy i wiele z nich jest poruszanych na konferencji, natomiast źródłem – rdzennym problemem, który też kończy się atakami typu DDoS czy atakami ukierunkowanymi – są właśnie botnety.</u>
          <u xml:id="u-3.6" who="#KierownikCERTPolskaPiotrKijewski">Co to jest botnet? Jest to zbudowana sieć zarażonych komputerów. Często używa się też w prasie terminu „zombie”. Komputer będzie wykonywał rozkazy włamywacza, nazywanego w naszym światku botmasterem. Zarządza on grupami maszyn przez centra zarządzające, które nazywają się z angielskiego Command &amp; Control (C&amp;C). Służą one do zarządzania oraz wydawania rozkazów i poleceń.</u>
          <u xml:id="u-3.7" who="#KierownikCERTPolskaPiotrKijewski">Jeśli chodzi o ważny aspekt zarządzania botnetami, który tutaj poruszę, to są różne jego odmiany. Nie jest tak, że jest jeden sposób zarządzania. Tych odmian jest dużo. Przedstawię je wkrótce. Są one integralnym elementem każdego botnetu, oprócz – jak się, niestety, okazuje – najnowszych zagrożeń, z którymi mamy do czynienia. Centra zarządzające mają to do siebie, że jeżeli ktoś je przejmie bądź zniszczy, to wtedy unieszkodliwia botnet. Oczywiście, przestępcy cały czas myślą o tym, jak udoskonalić swoje działania, żeby takie przejęcie było niemożliwe. Jednym z pomysłów jest likwidacja takiego centrum i sprawienie, że centrum zostaje rozproszone na wszystkie węzły takiego botnetu. Wtedy, tak naprawdę, trzeba usunąć wszystkie boty z sieci.</u>
          <u xml:id="u-3.8" who="#KierownikCERTPolskaPiotrKijewski">Z punktu widzenia zarządzania, jak i NASK, co jest dosyć istotne, takie centra zarządzające działają najczęściej pod nazwą domenową, co pozwala w łatwy sposób określić, gdzie mają się łączyć komputery. Natomiast nazwy internetowe, które mówią nam co parę chwil o jakimś zasobie w Internecie, zmieniają się cały czas, czyli są przekierowywane na zupełnie inne komputery, które mogą znajdować się w różnych częściach świata. Np. co godzinę nasze centrum zarządzające, które działa pod tą domeną, może skakać z Polski do Rosji, do Chin, do Stanów Zjednoczonych, do Nowej Zelandii, do Argentyny, gdziekolwiek. Takich centrów, działających równocześnie, może być bardzo wiele, co ma na celu utrudnienie zarządzania takim botnetem.</u>
          <u xml:id="u-3.9" who="#KierownikCERTPolskaPiotrKijewski">Najprostsza struktura, właściwie sprzed 20 lat, kiedy po raz pierwszy pojawiły się takie boty, wyglądała tak: jedno centrum zarządzające – jeden komputer, który można było zaatakować, żeby zlikwidować zagrożenie. Sytuacja dzisiejsza, to wiele takich centrów. To jest coś, z czym spotykamy się na co dzień. Tu widać jeszcze bardziej skomplikowane struktury – całe hierarchie, które mają na celu ukrycie tego, gdzie naprawdę znajduje się centrum zarządzające. Centrum z pozoru może znajdować się np. we Włoszech, a w istocie być po drugiej stronie ulicy, w domu jakiegoś użytkownika w Warszawie. Może być cała hierarchia miejsc, w których ukrywają się prawdziwe adresy. W dzisiejszych czasach jest gorzej, spotykamy takie botnety, w których nie ma centrum zarządzającego. Konieczne są zupełnie nowe techniki ich przejmowania i likwidacji. O tym też za chwilę opowiem, skupiając się jednak na tych centrach zarządzających, które w tym roku dosyć skutecznie zaatakowaliśmy, likwidując ich bardzo wiele.</u>
          <u xml:id="u-3.10" who="#KierownikCERTPolskaPiotrKijewski">Teraz parę słów o tym, do czego to wszystko służy z punktu widzenia cyberprzestępczości. Nie będę mówił o państwach, o działalności szpiegowskiej i o takich celach, natomiast powiem o tym, dlaczego to jest robione. Co się okazuje? Tak naprawdę chodzi, oczywiście, o pieniądze, o zarobki, które mogą być całkiem duże, jeżeli weźmie się pod uwagę efekt skali. W takich botnetach możemy mieć od kilkudziesięciu tysięcy botów po setki tysięcy, a nawet miliony. Największe miał kilkanaście milionów botów. Był tak duży, że przestępcy mieli problem z zarządzaniem. Po prostu, nie mogli zbudować centrów zarządzających, które by sobie z nim poradziły. Co ciekawe, tę armię współczesnych wojowników może kupić każdy z nas. Nie jest to absolutnie żaden problem. Można wyszukać informacje w Internecie, które w łatwy sposób umożliwią, za niewielkie pieniądze kupno części takiego botnetu i przeprowadzenie dowolnego ataku.</u>
          <u xml:id="u-3.11" who="#KierownikCERTPolskaPiotrKijewski">Na czym polegają te ataki? Często są to ataki DDoS. Używałem tego skrótu, nie wprowadzając pełnego terminu. Chodzi o zablokowanie dostępu do usług w sieci poprzez generowanie sztucznego ruchu. Jeżeli mamy przejętych kilka milionów takich węzłów, możemy jednym prostym poleceniem kazać wszystkim np. zablokować jakąś witrynę. Zazwyczaj zostanie to osiągnięte bez żadnych problemów. Rozsyłanie niechcianej poczty – spam – to jest inna czynność. Głównie chodzi o cele zarobkowe cyberprzestępców. Groźniejszym celem jest kradzież poufnych danych. Podam przykłady botnetów, które korzystały z infrastruktury polskiej i były zarządzane przez Polaków. Wykorzystywano je do atakowania polskich internautów i okradania ich kont bankowych. Celem może być każdy z nas. Inną metodą zarobkowania może być np. wstrzykiwanie podstawionych reklam na strony, które odwiedzamy. Reklamy te są zarządzane przez cyberprzestępców, którzy dzięki kliknięciom tej reklamy będą mogli więcej zarobić. Celów może być więc bardzo, bardzo wiele.</u>
          <u xml:id="u-3.12" who="#KierownikCERTPolskaPiotrKijewski">Dla przykładu podam, jakie są zyski z działalności, a są one zaskakująco duże. Weźmy przykładów dwóch botnetów. To są przypadki dosyć dobrze opisane, również w pracach akademickich. Mamy botnet, który nazywa się DNS Changer. Od wielu lat jesteśmy na takim etapie, że botnety po prostu mają nazwy. Botnet DNS Changer, rozbity przez FBI w zeszłym roku, w ciągu 5 lat działalności zajmował się wstrzykiwaniem reklam zainfekowanym internautom. Miał sieć mniej więcej 4 mln botów, czyli zarażonych komputerów. Przyniósł dochód rzędu 14 mln dolarów amerykańskich. Z kolei botnet Storm specjalizował się w rozsyłaniu spamu. Szacuje się, że w każdym roku jego działalności dochód wyniósł 3,5 mln dolarów. Jego stałą wielkość określano na 5 mln botów.</u>
          <u xml:id="u-3.13" who="#KierownikCERTPolskaPiotrKijewski">Zarobki są – wydawać by się mogło – bardzo przyzwoite. Tak naprawdę całość takiej infrastruktury może w chwili obecnej sam zbudować średnio zdolny 16-latek. Nie jest to duży problem. Natomiast prawda jest taka, że w tej chwili stoją za tym duże grupy przestępcze, które się specjalizują i wzajemnie wynajmują sobie usługi, żeby wspólnie szybciej osiągnąć cel, a następnie przerzucić się na innego rodzaju ataki.</u>
          <u xml:id="u-3.14" who="#KierownikCERTPolskaPiotrKijewski">Jak wspominałem, bardzo łatwo można dołączyć do takiego procederu. Nie trzeba się na tym specjalnie znać. Można za niewielką cenę zamówić dowolny atak, łatwy do wykonywania. Nie wiem, czy państwo słyszeli, że w tym roku doszło do największego ataku DDoS na świecie, czyli zalania witryny, w tym przypadku firmy, która walczy z przestępcami. Stworzono największy atak na świecie – 300 Gbps. To jest niewyobrażalna przepustowość. Społeczność internetowa ledwo się przed tym atakiem wybroniła. Za atakiem stał 16-latek, aresztowany niedawno w Londynie, czyli nie jest to żaden problem. Każdy z nas może przeprowadzić tego typu ataki, ale są też grupy dobrze zorganizowane, które w każdej chwili mogą osiągnąć dokładnie to, czego chcą, stosując te metody.</u>
          <u xml:id="u-3.15" who="#KierownikCERTPolskaPiotrKijewski">Jak wygląda sytuacja w Polsce, jeśli chodzi o 2013 r.? W pierwszych 8 miesiącach, czyli od stycznia do sierpnia, otrzymaliśmy ponad 10 mln unikalnych zgłoszeń botów w Polsce. Jest to liczba większa niż w zeszłym roku. Nie wynika to z tego, że nagle pojawiło się tego więcej, ale wynika z tego, że uczymy się monitorować nowe rzeczy. Dowiadujemy się o istnieniu tego zjawiska bądź też inni się dowiadują o tym na świecie i informują nas o tym. Dlatego liczby mogą się wahać.</u>
          <u xml:id="u-3.16" who="#KierownikCERTPolskaPiotrKijewski">To są najpopularniejsze boty, które korzystały właśnie z polskich sieci. Część z nich jest prowadzona przez Polaków. Wykorzystywano do zarządzania polskie zasoby internetowe. Najpopularniejsze zagrożenie stanowi Conficker. To jest tak naprawdę 50% zgłoszeń, czyli ponad 5 mln zgłoszeń. Botnet został parę lat temu zlikwidowany. Jego centra zarządzające zostały rozbite, ale on dalej istnieje w sieci. Nic nie robi poza byciem uciążliwym, bo zajmuje się generowaniem sztucznego ruchu. Natomiast okazuje się, że pozbycie się takiego bytu, który teoretycznie został zniszczony, jest szalenie trudne. Ten botnet będzie żył z nami chyba do końca naszego życia. Będzie obecny w sieci. Być może nawet nigdy nie zniknie. Trzeba to sobie uzmysłowić. Warstwy śmieci, jakie narastają, są coraz większe. W przyszłości może się to stać rzeczywistym problemem.</u>
          <u xml:id="u-3.17" who="#KierownikCERTPolskaPiotrKijewski">Boty, które korzystają z infrastruktury zarządzającej w Polsce, są obiektem naszego szczególnego zainteresowania. Nie jesteśmy w stanie samodzielnie zdezynfekować dziesiątków milionów komputerów użytkowników. Natomiast jesteśmy w stanie skutecznie działać, żeby rozbijać centra zarządzające. Niepokojącym zjawiskiem – Polska jest niechlubnym liderem – jest to, że różne grupy cyberprzestępcze, polskie czy rosyjskie, wybrały sobie Polskę jako miejsce dobre dla biznesu, dlatego że dotychczas skuteczność reagowania na ich działania nie była u nas zbyt wielka. Co ciekawe, kiedyś w dużej mierze bazowano na zasobach rosyjskich, ale Rosjanie w ostatnich latach wprowadzili różne działania profilaktyczne, które sprawiły, że Polska stała się bardziej atrakcyjnym miejscem. W 2012 r. zaczęliśmy obserwować wysyp tej działalności, co nas mocno pchnęło do działania.</u>
          <u xml:id="u-3.18" who="#KierownikCERTPolskaPiotrKijewski">Te botnety, które nazywają się ZeuS, Citadel, ZeuS ICE IX, to są botnety, które atakują konta bankowe użytkowników. Po zarażeniu komputera użytkownika przejmują kontrolę nad jego kontem bankowym i mogą wyświetlać dowolne komunikaty, które będą wyglądać, jakby przychodziły z banku. Mogą wyglądać dokładnie tak samo, jakby były od banku, ale w rzeczywistości przychodzą od cyberprzestępców, którzy w ten sposób są w stanie sterować naszym zachowaniem, de facto hakując również nasz umysł. Często użytkownicy będą ślepo wierzyć w komunikaty, które się wyświetlają i przez to tracić pieniądze. Podam konkretny przykład. To są przykładowe botnety tego typu – tak naprawdę instancje botnetów, bo część tych botnetów można sobie po prostu kupić. Można wejść np. na fora rosyjskie i za 1 tys. dolarów kupić sobie oprogramowanie ZeuS do atakowania internautów. Nie jest to żaden problem.</u>
          <u xml:id="u-3.19" who="#KierownikCERTPolskaPiotrKijewski">Wobec narastającego zagrożenia zdecydowaliśmy się na bardzo konkretne, agresywne działania, które zaczęliśmy przeprowadzać w 2013 r. Doprowadziliśmy do przejęcia i rozbicia ponad 20 takich botnetów, które korzystały z polskiej infrastruktury do zarządzania. Myślę, że jest to nasz duży sukces, który tak naprawdę nie ma precedensu, nawet w Europie. Jest niewiele podmiotów, które podjęły tak agresywne działania, jak nasz. Większość takich działań jest w chwili obecnej przeprowadzana w Stanach Zjednoczonych przez duże korporacje typu Microsoft. My jesteśmy jedynym bytem w naszym regionie i jednym z pojedynczych w Europie, który doprowadził do skutecznego działania.</u>
          <u xml:id="u-3.20" who="#KierownikCERTPolskaPiotrKijewski">Poza rozbijaniem takich botnetów, które mają centra zarządzające, monitorujemy również botnety bez centrów zarządzających. W tej chwili obmyślamy sposoby, żeby również je unieszkodliwić, współpracując z różnymi zachodnimi firmami, które specjalizują się w analizie złośliwego oprogramowania i w rozbijaniu botnetów. Poza tym – wszystkie te informacje, które państwo widzą w raporcie – ostrzegamy użytkowników. Za pomocą providerów internetowych czy też np. banków, staramy się dotrzeć do użytkowników końcowych, żeby ich poinformować o tym, że są zarażeni. Niestety, skuteczność tych działań nie zależy od nas. Jesteśmy w stanie dostarczyć tę informację, natomiast kto inny musi zacząć działać.</u>
          <u xml:id="u-3.21" who="#KierownikCERTPolskaPiotrKijewski">Teraz konkretne przypadki naszych działań. Jednym z nich jest Virut. To jest dosyć słynny botnet, zarządzany z Polski i działający, niestety, od wielu lat. Podstawowym mechanizmem było zarażanie plików wykonywalnych komputerów użytkowników. Virut działał w modelu biznesowym, bo każdy botnet tak naprawdę specjalizuje się w modelu biznesowym – wynajem botnetu innym grupom przestępczym. Atakujemy 5 mln komputerów. Następnie odsprzedajemy elementy, części tych komputerów po to, żeby zarabiać pieniądze. Inna grupa będzie wykorzystywać je do tego, do czego sama zapragnie. To jest dosyć popularny model, w którym można wynajmować botnet czasowo, np. na godzinę, na 24 godziny, na tydzień, miesiąc albo z 1 mln komputerów wynająć 100 tys. do konkretnej czynności na dłuższy okres.</u>
          <u xml:id="u-3.22" who="#KierownikCERTPolskaPiotrKijewski">Virut był dosyć słynny. Zajmował się, dzięki podwynajmowaniu innym grupom, właściwie wszystkim – od kradzieży danych dostępowych po rozsyłanie spamu, ataki DDoS, otwieranie płatnych reklam, kradzież kont bankowych internautów. Był słynny do tego stopnia, że w statystykach pod koniec 2012 r. – to są dane Kaspersky’ego, czyli jednej z firm antywirusowych – widać, że był piątym wirusem najczęściej znajdowanym w skali światowej na komputerach internautów. To nie było dla nas specjalnym powodem do dumy. Stąd nasze konkretne działania. W tym czasie zaczęliśmy otrzymywać informacje o tym, że botnet virutowy jest najczęściej widzianym botem w polskich sieciach. Zanim przejdę do działań, nawiążę do tego, jaki naprawdę mógł przynieść dochód. Naszym zdaniem, do czasu likwidacji Viruta przez NASK, prawdopodobnie przychody z jego działania wyniosły 5–10 mln dolarów amerykańskich. Całkiem dobry biznes, jak się okazuje.</u>
          <u xml:id="u-3.23" who="#KierownikCERTPolskaPiotrKijewski">Co zrobiliśmy? Na początku roku, we współpracy z kilkoma podmiotami na świecie, w tym CERT i rejestrem rosyjskim, CERT i rejestrem austriackim oraz Amerykanami, udało nam się przejąć kontrolę nad wszystkimi centrami zarządzającymi, znajdującymi się przede wszystkim w Polsce, w Rosji i w Austrii, a także w Stanach Zjednoczonych. Odbyło się to przez równoczesne, a czasem etapowe przejęcie domen zarządzających i przekierowanie ich z komputerów przestępców na nasze komputery. Po tym działaniu komputery zarażone myślały i dalej myślą, że rozmawiają z centrum zarządzającym, a jest to centrum zarządzające znajdujące się pod naszą kontrolą. My nie wydajemy już żadnych instrukcji. Te komputery są unieszkodliwione i nie służą do żadnej działalności cyberprzestępczej.</u>
          <u xml:id="u-3.24" who="#KierownikCERTPolskaPiotrKijewski">Ogółem przejęliśmy 82 domeny. Grupa przestępcza, która za tym botnetem stała, usiłowała się nam wymknąć różnymi metodami. Niemniej jednak, przy międzynarodowej współpracy, udało się jednocześnie odebrać grupie wszystkie centra, które starała się ustanowić. Efekt był taki, że pod koniec lutego botnet dosłownie stracił głowę i nie mógł już dalej służyć do ataków na polskich i światowych internautów.</u>
          <u xml:id="u-3.25" who="#KierownikCERTPolskaPiotrKijewski">Tak wyglądał rozkład geograficzny zarażonych komputerów należących do botnetu Virut. To właściwie cały świat. Na ostatnim etapie swojego działania, czyli w momencie, kiedy go likwidowaliśmy, cyberprzestępcy przerzucili się na południowo-wschodnią Azję i na niej zaczęli się skupiać, ale także na Egipcie, Iranie, Pakistanie i Indiach. Przypuszczalnie starali się odwrócić od siebie uwagę – skoro trochę mniej atakują cele np. w Polsce, Europie czy Stanach, to może nie należy na nich skupiać swojej uwagi, tylko skupić się na czymś innym, a wtedy oni będą działać w miejscach, do których trudniej dotrzeć. Tak wyglądał Virut w momencie przejęcia, zasięg był globalny.</u>
          <u xml:id="u-3.26" who="#KierownikCERTPolskaPiotrKijewski">Drugie nasze, dosyć istotne działanie, to przejęcie botnetu Citadel, który specjalizował się – w skrócie – w okradaniu kont bankowych. Korzystał do tego z domen polskich. Zidentyfikowaliśmy ten botnet, zrozumieliśmy zasady jego działania, sprawdziliśmy go. Miał to nieszczęście, że wszystkie jego domeny backupowe, których miał użyć w przypadku przejęcia głównego centrum, również znajdowały się w Polsce. W związku z tym mogliśmy równocześnie przejąć i centra zarządzające, i backupowe centra zarządzające, żeby go zupełnie unieszkodliwić. Botnetów typu Citadel jest wiele w sieci. Tak naprawdę są ich tysiące, są one małe, specjalizują się w bardzo spersonalizowanej kradzieży środków bankowych. Ten botnet specjalizował się w Polakach. Są botnety, które specjalizują się w okradaniu Niemców, Szwedów, Francuzów, ale nas głównie interesują te, które okradają Polaków.</u>
          <u xml:id="u-3.27" who="#KierownikCERTPolskaPiotrKijewski">Jak wygląda taki atak? Do zarażenia dochodzi w przeróżny sposób. Opisywałem jeden. Może do tego dojść np. przez pliki PDF. Natomiast bardzo istotne jest to, że instalując Citadela tracimy tak naprawdę pełną kontrolę nad komputerem, oczywiście, nie będąc tego zupełnie świadomymi. Co się dzieje? Odwiedzamy swoje konto bankowe, swoją witrynę, a oprogramowanie Citadel, które jest u nas zainstalowane, rozpoznaje, jaką stronę odwiedzamy. Jeżeli wykryje, że odwiedzamy stronę naszego banku, może nam wstrzyknąć kod, który będzie dodatkiem do strony bankowej i będzie przysłaniał np. elementy tej strony lub wyświetlał dowolne informacje.</u>
          <u xml:id="u-3.28" who="#KierownikCERTPolskaPiotrKijewski">Jedną z metod ataku jest to, że klient nagle otrzymuje komunikat od banku: „Drogi użytkowniku, przepraszamy. Doszło do mylnego przelewu na Twoje konto”. Informuje cię, że przelano jakąś kwotę, np. prawie 30 tys. zł. „To był błąd. To pomyłka naszego banku. Prosimy Cię o zwrot tych pieniędzy”. Okazuje się, że użytkownik, który padł ofiarą takiego ataku, często już wcześniej był monitorowany przez przestępców. Przestępca wie, że użytkownik taką kwotą dysponuje. Użytkownik sprawdzi stan swojego konta przez własny komputer. Zobaczy, że rzeczywiście doszło do takiego przelewu. Przestępcy mogą wyśledzić, co chcą. Podwyższą saldo rachunku o tę kwotę. Wszystko się zgadza. Co się okazuje? Że zawsze znajdzie się jakiś użytkownik, który grzecznie wykona przelew na konto wskazane w komunikacie, które jest kontem cyberprzestępców. W ten sposób traci środki.</u>
          <u xml:id="u-3.29" who="#KierownikCERTPolskaPiotrKijewski">Jakiekolwiek mechanizmy techniczne są tutaj zupełnie bezradne. To, że potwierdzamy transakcję przez SMS, nie ma znaczenia, dlatego że sami inicjujemy transakcję z własnej woli. Okazuje się, że zawsze można w ten sposób kogoś okraść. Gorzej, jest tak, że można obejść różne techniczne mechanizmy. W Polsce już od kilku lat funkcjonują odmiany tego botnetu, które po zalogowaniu się do komputera oświadczą, że bank wprowadza np. nowe zabezpieczenia techniczne i trzeba zainstalować nowy certyfikat na swoim telefonie komórkowym, żeby być jeszcze lepiej zabezpieczonym niż dotychczas. Przestępcy proszą o podanie numeru telefonu komórkowego. Użytkownik często grzecznie podaje swój numer telefonu i wciska enter. Przestępcy znają już nasz numer telefonu i jest on skojarzony z naszym kontem. Na nasz telefon przychodzi komunikat z informacją, skąd ściągnąć certyfikat. Grzecznie na swój smartfon ściągamy aplikację wskazaną rzekomo przez bank – oczywiście, przez przestępców – i infekujemy swoją komórkę. W tym momencie jest otwarta droga do zupełnego wyczyszczenia naszego konta, już bez naszego dalszego udziału. Wystarczy, że przestępca zaloguje się na nasze konto i zainicjuje dowolną transakcję. SMS potwierdzający przyjdzie do nas. Aplikacja, którą zainstalowaliśmy na naszej komórce, ukryje ten fakt. Nie zobaczymy tego zupełnie. SMS zostanie przekazany na komórkę pod kontrolą przestępcy. Przestępca wpisze kod jednorazowy. Transakcja dokonana zupełnie bez naszej wiedzy. To się dzieje. To zagrożenie rzeczywiście jest obecne w naszych sieciach.</u>
          <u xml:id="u-3.30" who="#KierownikCERTPolskaPiotrKijewski">Inny przypadek, w którym nawet nie mówimy już o botnecie jako takim, tylko o spółce, która została ustanowiona prawdopodobnie tylko i wyłącznie w tym celu, żeby rejestrować domeny, które służą do tego, żeby zarządzać botnetem. W zeszłym roku taka spółka zgłosiła się i została partnerem NASK. Mogła rejestrować domeny za swoim pośrednictwem. Obserwowaliśmy jej działalność, która nas mocno zaniepokoiła, bo okazywało się, że domeny, które są tam zarejestrowane, nie służą żadnym legalnym celom, że zawsze kryje się za nimi jakieś złośliwe oprogramowanie. Okazywało się, że następował lawinowy wzrost złośliwych domen, które prawdopodobnie były promowane na różnych forach podziemnych, znajdujących się w Rosji. Ślady spółki również prowadzą do grup rosyjskich.</u>
          <u xml:id="u-3.31" who="#KierownikCERTPolskaPiotrKijewski">Jeśli chodzi o podmioty, specjalnie ustanawiane po to, żeby ułatwić cały proceder, zasada ich działania jest następująca. Pozwalają one na rejestrację domen na całym świecie za pośrednictwem takich rejestratorów, jak NASK. Wszyscy, gdy widzą jakiś problem, zgłaszają się właśnie do nich, żeby go zlikwidowali. Natomiast oni specjalizują się w pozornie nieskutecznej reakcji na zgłoszenia. Bardzo wolno reagują na to, że ktoś im zgłasza jakiś kłopot, często po to, żeby dać szansę przestępcom na przeskoczenie w inne miejsce. Właśnie w tym się specjalizował Domain Silver.</u>
          <u xml:id="u-3.32" who="#KierownikCERTPolskaPiotrKijewski">Rozpoznając to zagrożenie w I półroczu, zaczęliśmy przejmować setki złośliwych domen, które firma rejestrowała. Pomimo formalnych próśb ze strony NASK, spółka nie zaprzestała dalszych rejestracji. Na skutek różnych naszych działań, po przedstawieniu całej historii i dowodów, 30 lipca NASK wypowiedział umowę firmie Domain Silver. Dzięki temu dosyć szybko zlikwidowano około 20 różnych botnetów, które korzystały z usług tej spółki, często do atakowania polskich internautów.</u>
          <u xml:id="u-3.33" who="#KierownikCERTPolskaPiotrKijewski">Nie wiem, jak często państwo spotykali się z takim komunikatem, rzekomo od Komendy Głównej Policji. W zeszłym roku setki tysięcy polskich internautów, włączając komputer, zobaczyły podobny ekran. Jest to nowy rodzaj zagrożenia, który częściowo również opiera się na botnetach. Był też obecny w działalności poprzednio omówionej spółki. Tak naprawdę polega on na szantażu. Wyświetla się komunikat, rzekomo pochodzący od KGP, że użytkownik, przeglądając strony naruszył w jakiś sposób prawo. Jeżeli użytkownik nie zapłaci jakiejś kwoty, np. 100 zł, 500 zł czy 100 euro – są różne warianty – to jego komputer do tego czasu będzie zablokowany i użytkownik nie będzie mógł nic zrobić – rzeczywiście, nic nie może – lub też będą podjęte jakieś inne sankcje karne. Co ciekawe, dużo osób w takiej sytuacji płaci. Co gorsza, najnowsze warianty ściągają na komputery internautów pornografię dziecięcą po to, żeby absolutnie wystraszyć użytkownika i zmusić go do zapłaty okupu.</u>
          <u xml:id="u-3.34" who="#KierownikCERTPolskaPiotrKijewski">W zeszłym roku, gdy opublikowaliśmy informację o tym, jak się tego zjawiska pozbyć, mieliśmy z Polski w ciągu trzech miesięcy ponad 150 tys. unikalnych odwiedzin, czyli skala tego zjawiska jest ogromna. Myślę, że jak państwo wrzucicie do wyszukiwarki jakieś zapytanie z tym związane, to będziecie mogli poczytać w blogach o różnych osobach w Polsce, które zostały w ten sposób skutecznie zaatakowane. Całe rodziny deliberowały, czy płacić, czy nie płacić i o co właściwie chodzi. Skala zjawiska jest ogromna. Straty finansowe polskich obywateli również.</u>
          <u xml:id="u-3.35" who="#KierownikCERTPolskaPiotrKijewski">Tu jest rozkład botnetów rozbitych przy okazji działań przeciwko Domain Silver i przejęcia różnych centrów zarządzania, które znajdowały się pod ich egidą. Widzimy trochę inny rozkład niż był w przypadku Viruta. Oni przede wszystkim skupiali się na obywatelach niemieckich, polskich i francuskich.</u>
          <u xml:id="u-3.36" who="#KierownikCERTPolskaPiotrKijewski">Nasze działania, które podjęliśmy w tym roku, nie są tylko i wyłącznie naszym widzimisię. Jest to ogólna tendencja do rozpoznawania botnetów jako bardzo poważnego zagrożenia. W tym roku, 12 sierpnia Parlament Europejski uchwalił dyrektywę, która identyfikuje botnety jako źródło bardzo poważnego zagrożenia. Ta dyrektywa ma na celu wprowadzenie sankcji karnych za ich tworzenie i wykorzystywanie. Miejmy nadzieję, że to pozwoli na działania w innych obszarach, które wzmocnią naszą skuteczność, bo nasze możliwości są jedynie techniczne, a nie prawne. Dziękuję za uwagę.</u>
        </div>
        <div xml:id="div-4">
          <u xml:id="u-4.0" who="#DyrektorNASKMichałChrzanowski">Szanowni państwo, pozwolę sobie dodać jeszcze jedno słowo do tej prezentacji. Bardzo istotne. Dlaczego ta prezentacja? Po pierwsze dlatego, żeby państwu pokazać, jak wygląda to w praktyce. Mówimy o czymś, co się faktycznie stało. Nie mówimy o czymś, co ma wymiar wyłącznie wirtualny. Mówimy o faktycznych działaniach, które podejmujemy.</u>
          <u xml:id="u-4.1" who="#DyrektorNASKMichałChrzanowski">Dlaczego jesteśmy jednostką, która efektywnie i skutecznie działa w obszarze naukowym? Bo przy udziale państwa, przy udziale parlamentu, pojawiła się w obszarze nauki nowa jakość. Przyszła reforma nauki, mamy mechanizmy finansowania, mamy jednostki, jest Narodowe Centrum Badań i Rozwoju, jest Narodowe Centrum Nauki. Jest realizowana pewna polityka, która skutecznie przekłada się na coś, co my odczuwamy, jako instytut badawczy.</u>
          <u xml:id="u-4.2" who="#DyrektorNASKMichałChrzanowski">W obszarze cyberbezpieczeństwa chcielibyśmy mieć takie otwarcie. Chcielibyśmy mieć coś, co będzie stanowiło otwarcie nowej jakości w tym, co zrealizowaliśmy w sposób faktyczny. Proszę państwa, my działamy agresywnie na rynku, który jest rynkiem komercyjnym, podejmując 100% ryzyka, które skupiały się na nas. Działaliśmy przeciwko podmiotom, które działają na świecie, za którymi stoją potężne podmioty, czy to w Moskwie, czy gdziekolwiek indziej, za którymi stoją duże pieniądze, duże grupy prawników. Ryzykujemy majątkiem – bądź co bądź – Skarbu Państwa, ale przede wszystkim Instytutu, którego jestem dyrektorem. Podejmujemy to, proszę państwa, wyłącznie w ramach własnego działania. Nie mamy pomocy, brak jest norm, które wspierałyby nas w tym obszarze.</u>
          <u xml:id="u-4.3" who="#DyrektorNASKMichałChrzanowski">Dlaczego było to możliwe? To jest chyba otwarcie dyskusji, która ma się toczyć o partnerstwie publiczno-prywatnym. Mogliśmy skutecznie działać nie tylko dlatego, że jesteśmy instytutem badawczym, ale również dlatego, że jako przedsiębiorca funkcjonujemy na rynku biznesowym. Mamy tę szczególną cechę, że stoimy na dwóch nogach, z których jedna tkwi w państwowości, bo jesteśmy instytutem badawczym należącym do państwa. Z drugiej strony jesteśmy przedsiębiorcą. Ważne są wszystkie te rzeczy, które jako dobre praktyki zyskujemy z obszaru biznesowego, gdzie musimy konkurować. Taka jest prawda, że tylko drzewo, które nie jest targane wiatrem, nie karłowacieje. Konkurując nabieramy kompetencji, uczymy się, bo musimy żyć. Te kompetencje przekładamy na coś, co staje się dorobkiem państwa. Troszczymy się o obywateli, robimy to we własnym zakresie. Nie mam żadnych wątpliwości, że jest wiele do zrobienia. Mam nadzieję, że ta dyskusja, która będzie się toczyła, będzie temu służyła. To wszystko, co chciałem dodać. Jeszcze raz dziękuję bardzo.</u>
        </div>
        <div xml:id="div-5">
          <u xml:id="u-5.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo panu dyrektorowi Chrzanowskiemu, jak również dziękuję bardzo serdecznie panu kierownikowi Kijewskiemu za tak szczegółową i dobrą prezentację. Rzeczywiście, dzisiaj jest ogromne zagrożenie w Internecie. Chcemy podziękować za bezpieczeństwo, które niejednokrotnie jest wynikiem działania instytucji, którą zarządzacie. Dlatego jest to bardzo ważne i istotne. Nie tylko w komputerze dużo tego mamy, ale również w bankach możemy z dnia na dzień poczuć się zagrożeni tym, że ktoś się tam wkrada. A takich przypadków było bardzo wiele. Nie ukrywam, że jeśli chodzi o ostatnią prezentację KGP, to naprawdę było wiele osób, które zgłaszały właśnie problemy. Mówiły, że miały z tym do czynienia. Wobec powyższego, rzeczywiście, dzięki takie wam możemy czuć się bezpieczniej. Dlatego, szanowni państwo, dziękuję za tę prezentację.</u>
          <u xml:id="u-5.1" who="#PrzewodniczącyposełMieczysławGolba">Przechodzimy do dalszej części naszego posiedzenia. Zgodnie z programem punkt kolejny to dyskusja, którą otwieram. Zapraszam państwa bardzo serdecznie do zabierania głosu. Chciałem spytać, czy ktoś z państwa chce zabrać głos, zadać pytanie panu dyrektorowi czy panu kierownikowi Kijewskiemu. Wiem, że prezentacja była bardzo dobra. Prezentacja była bardzo szczegółowa i bardzo przejrzysta, dlatego na pewno każdy z nas to, co chciał usłyszeć, pewnie usłyszał.</u>
          <u xml:id="u-5.2" who="#PrzewodniczącyposełMieczysławGolba">Pan przewodniczący Suski. Bardzo proszę, panie przewodniczący.</u>
        </div>
        <div xml:id="div-6">
          <u xml:id="u-6.0" who="#PosełMarekSuski">Dziękuję, panie przewodniczący. Chciałem zapytać o akcję informacyjną, dotyczącą ataków w cyberprzestrzeni na komputery użytkowników indywidualnych czy instytucjonalnych, bo jest to forma przestępczości dość… To pytanie do pana dyrektora, ale być może odpowie ktoś inny, ale to jest pytanie dotyczące poinformowania, kiedy ma się do czynienia z występowaniem botów. W jaki sposób wyprzedzająco rozpoznać takie zagrożenie? Bo skutki już po fakcie często bywają niezwykle bolesne, jak chociażby utrata środków z konta czy też używanie komputerów bez wiedzy użytkowników, którzy są w jakiś sposób narzędziami czyjejś działalności przestępczej. Komputer zainfekowany wysyła różne rzeczy, czyli uczestniczy w sieci, której celem jest osiągnięcie korzyści z ataku itd. Myślę, że ta nowatorska dziedzina przestępczości, która pojawiła się niedawno, bo sam Internet mamy od dość niedawna, jest chyba jeszcze mało znana i rozpoznana. Nie wiem np., czy reklama na moim komputerze jest umieszczona przez właściciela strony, jakiejś tam witryny – powiedzmy, że Wirtualnej Polski – czy też jest to wrzucona jakaś reklama, która jest narzucona przez nieuczciwego przestępcę internetowego. Czy macie możliwość promocji wiedzy na ten temat? Dziękuję.</u>
        </div>
        <div xml:id="div-7">
          <u xml:id="u-7.0" who="#PrzewodniczącyposełMieczysławGolba">Dobrze. Bardzo proszę, pan poseł Kazimierz Gołojuch.</u>
        </div>
        <div xml:id="div-8">
          <u xml:id="u-8.0" who="#PosełKazimierzGołojuch">Panie przewodniczący, Wysoka Komisjo, chciałem zapytać pana dyrektora o pewną rzecz. Dziękuję za tę ciekawą prezentację, ale chciałbym wiedzieć, czy istnieje możliwość, żeby z takich informacji skorzystały szerokie rzesze np. przedsiębiorców, samorządowców, nauczycieli. Czy jest możliwość zamówienia u was szkolenia? Czy byłaby możliwość zaproszenia państwa z taką prezentacją do środowisk mniejszych, do powiatów, do miast? Bo te informacje są bardzo ciekawe. Myślę, że jeszcze dużo osób nie wie, że mogą być atakowani praktycznie każdego dnia, czy już zostali zaatakowani. Czy jest możliwość skorzystania ze szkoleń i z tych informacji bezpośrednio u was? Jak już powiedziałem, zaproszenia was do środowisk mniejszych – gmin, powiatów i miast. Dziękuję.</u>
        </div>
        <div xml:id="div-9">
          <u xml:id="u-9.0" who="#PrzewodniczącyposełMieczysławGolba">Tak, to prawda. Zagrożenia są, ale w sieci można też kupić żołnierzy. Pan profesor Kaźmierczak. Bardzo proszę, panie przewodniczący.</u>
        </div>
        <div xml:id="div-10">
          <u xml:id="u-10.0" who="#PosełJanKaźmierczak">Jeśli można, mam bardzo szczegółowe pytanie, dotyczące swego rodzaju kooperacji. Na szczęście, nie przyszło mi jeszcze – a przynajmniej nie wiem o tym – zmierzyć się samemu z tym problemem. Jednak nie tak dawno miałem w biurze poselskim wizytę człowieka, który raportował to, co było tutaj pokazywane odnośnie do strony blokowanej przez Policję, ale miał pozytywny przekaz. Podobno jest jakiś sposób płacenia tego haraczu przez Internet. Nie wiem, na czym to polega. Wykupuje się coś. On mówił, że jak spróbował to wykupić przez polską stronę, to na tej stronie był komunikat, że jeżeli zakup tego czegoś jest uwarunkowany takim a takim komunikatem, to nie należy tego płacić, tylko należy wykonać pewne działania. Było przekierowanie na stronę, gdzie podobno było dostępne jakieś oprogramowanie, które umożliwiało wyjście z tego impasu.</u>
          <u xml:id="u-10.1" who="#PosełJanKaźmierczak">Jeżeli tak jest – powtarzam, że relacjonuję raport jednostkowy – to chciałbym zapytać, jak się udało spowodować, że działa taka współpraca. Chyba może być ona skuteczna, jako że problem polega na tym, że człowiek, indywidualny użytkownik, styka się z tego typu zagrożeniem. Nie wiem, czy to należy traktować w kategoriach podatności na szantaż, czy wręcz – o czym tutaj przedstawiciel CERT mówił – jakiegoś poczucia zagrożenia prywatności. Czy można się spodziewać tego, że jak spróbuję ten haracz zapłacić, to ktoś mnie ostrzeże: „Uważaj, być może jest to próba wyłudzenia. Zamiast płacić, rób to a to” – to jest bardziej OK. Dziękuję.</u>
        </div>
        <div xml:id="div-11">
          <u xml:id="u-11.0" who="#PrzewodniczącyposełMieczysławGolba">Bardzo proszę, nasz stały doradca pan Radosław Nielek.</u>
        </div>
        <div xml:id="div-12">
          <u xml:id="u-12.0" who="#StałydoradcaKomisjiRadosławNielek">Pan dyrektor zwrócił uwagę na to, że te działania wobec botnetów, które podejmował NASK wspólnie z CERT, czyli jakby ze swoją częścią, były – nie chciałbym użyć określenia „na granicy prawa” – jakby poza formalnymi rozwiązaniami prawnymi, które w tej chwili funkcjonują. Nie było to oparte na przepisach ustawy, ale bardziej na polityce albo wewnętrznych regulaminach NASK. Zwraca uwagę także na to, że są to trudne decyzje biznesowe pod względem ryzyka, jakie niosą ze sobą – potencjalnie – ze względu na pozwy i konsekwencje prawne. Oczywiście, rozumiem, że są to decyzje, które są trudne do podejmowania, zwłaszcza wtedy, kiedy się trzeba pod nimi podpisać, ale mam szczegółowe pytanie. Czy któraś z tych akcji przeciwko botnetowi spotkała się z jakimiś konsekwencjami na poziomie prawnym, czyli z pozwami, z wnioskami lub innym działaniem w ramach systemu prawnego, które miałoby chronić te botnety? Dziękuję.</u>
        </div>
        <div xml:id="div-13">
          <u xml:id="u-13.0" who="#PrzewodniczącyposełMieczysławGolba">Czy ktoś jeszcze z państwa posłów? Nie słyszę. Dodam do tego jeszcze coś, jeśli chodzi o KGP, bo rzeczywiście było – jak pan Kijewski przedstawił – bardzo dużo zgłoszeń. Jeden z kolegów zadzwonił do mnie i powiedział: „Słuchaj. No, miałem taki przypadek. Kiedyś zadzwoniłem do KGP i powiedziałem: «O co wam chodzi? Za co ja mam płacić?»”. Drugi znajomy zgłosił się do najbliższego posterunku Policji i miał sprawę wyjaśnioną. Bardzo szybko zorientowali się, że to nie jest prawda. Po części można to nazwać piractwem. Widzę na sali panią z Policji, dlatego ten temat poruszyłem. Panie dyrektorze, bardzo prosimy o odpowiedzi na zadane pytania.</u>
        </div>
        <div xml:id="div-14">
          <u xml:id="u-14.0" who="#DyrektorNASKMichałChrzanowski">Odpowiadam na ostatnie pytanie. Nie, nie mieliśmy żadnej kontrakcji. Mimo tego, że podjęliśmy wiele takich działań, bo dotyczyło to kilkudziesięciu konkretnych nazw domenowych i konkretnego jednego partnera z Seszeli, z finansami zapinającymi się gdzieś za naszą wschodnią granicą. Nikt nie wykonał żadnej operacji przeciwko nam.</u>
          <u xml:id="u-14.1" who="#DyrektorNASKMichałChrzanowski">Przy czym ta operacja, proszę państwa, trwała z przygotowaniem nie przez tydzień, nie miesiąc, ale była rozciągnięta przynajmniej na 2 lata. To była operacja, do której przygotowywaliśmy się zarówno od strony technicznej, jak również od strony formalnoprawnej. Pracowali nad nią nie tylko inżynierowie, ale i prawnicy. Nie korzystaliśmy z rozwiązań prawnych, które dotyczą dedykowanego obszaru bezpieczeństwa, bo ani nie jesteśmy takim podmiotem, ani nie ma takich regulacji. Szliśmy ścieżką biznesową, korzystając z Kodeksu cywilnego.</u>
          <u xml:id="u-14.2" who="#DyrektorNASKMichałChrzanowski">Dlaczego nie zostaliśmy uderzeni finansowo i prawnie? Dlatego, że udało się nam to dobrze przygotować. Właśnie dlatego, że CERT przez kolejne miesiące gromadził dokumentację techniczną, byliśmy pewni, że wykonując tę operację trafimy w to, w co trzeba. Oczywiście, jakiś współczynnik błędu zawsze pozostaje. Błąd w tym obszarze byłby dla nas niezwykle kosztowny, gdybyśmy niesłusznie zabili domenę, która kosztuje ileś tam milionów złotych. Co mówię, odpowiadając panu na to pytanie.</u>
          <u xml:id="u-14.3" who="#DyrektorNASKMichałChrzanowski">Jeżeli chodzi o kwestie związane z komunikatami przy płatności, to poproszę pana Piotra Kijewskiego o odpowiedź na szczegółowe pytania.</u>
          <u xml:id="u-14.4" who="#DyrektorNASKMichałChrzanowski">Jeżeli chodzi o te rzeczy, które są związane z edukacją, informowaniem, szerokim wachlarzem komunikatów, które powinny się pojawić, poczynając jakby od kanałów komunikacyjnych, to – po pierwsze – mamy swój portal, na którym publikujemy raporty. Staramy się w sposób profesjonalny dotrzeć z informacją do tych, którzy państwa informacjami zarządzają. Mówię tutaj chociażby o instytucjach finansowych. Stworzyliśmy platformę komunikacyjną N6. To jest nasza platforma, którą zarządzamy. Z tej platformy zaczęły korzystać praktycznie wszystkie banki i część przemysłu. Nie pobieramy z tego tytułu żadnych opłat, chyba że wchodzimy we wsparcie szczegółowe, gdy angażujemy NASK bezpośrednio w rozwiązanie problemu, ale to jest nasza działalność. Tę działalność traktujemy jako działalność w obszarze informacyjnym. Komunikować, komunikować, jeszcze raz komunikować.</u>
          <u xml:id="u-14.5" who="#DyrektorNASKMichałChrzanowski">Oprócz własnych platform, przekazujemy informacje podmiotom, które stoją na straży bezpieczeństwa. Naszym głównym partnerem jest CERT GOV PL, czyli ABW otrzymuje od nas informacje w tym obszarze. To są dwa podmioty, które bardzo blisko ze sobą współpracują. Jeżeli możemy się dzielić naszą wiedzą, to się dzielimy i dajemy rzeczywiste wsparcie. Mam nadzieję, że tak ona jest traktowana. Współpracujemy też bezpośrednio z przemysłem. Wiele mógłby powiedzieć o tym prezes Izby, która zrzesza branżę IT i branżę telekomunikacyjną, bo działamy bardzo blisko z operatorami telekomunikacyjnymi i to nie tylko z dużymi, ale również z małymi.</u>
          <u xml:id="u-14.6" who="#DyrektorNASKMichałChrzanowski">Proszę państwa, ta współpraca, o której mówię i kanały komunikacji, to nie są rzeczy, które kierujemy wyłącznie do obywateli polskich. Informacje, które zdobywamy – te informacje, które według nas mają istotne znacznie dla bezpieczeństwa czy wspierający bezpieczeństwo – dystrybuujemy wszędzie tam, gdzie tylko się da, poczynając od korporacji, które wytwarzają oprogramowanie i systemy operacyjne, po użytkowników końcowych. Publikując raporty, publikujemy je nie tylko w języku polskim, ale również w języku angielskim. To jest nasz wkład w bezpieczeństwo międzynarodowe, ale przede wszystkim robimy to, faktycznie, działając w sieci.</u>
          <u xml:id="u-14.7" who="#DyrektorNASKMichałChrzanowski">Co do kwestii dzielenia się wiedzą i edukowania, to myślę, że jednym z istotnych fragmentów naszej działalności – tym, który służyć ma bezpieczeństwu – jest szeroko rozumiana edukacja. Edukujemy, zarówno w Akademii NASK, jak i osoby, które funkcjonują w ramach naszej działalności, edukujemy najmłodszych i osoby nazywane 50+, czyli trochę wykluczone informacyjnie. Robimy kierunkowe szkolenia. Jeździmy po Polsce. Szkolimy – przepraszam za słowo – hurtem nie tylko tych, którzy profesjonalnie mają za zadanie wspierać bezpieczeństwo. Mówię tutaj o policjantach. Mieliśmy takie spotkanie w Wyższej Szkole Policji, które dedykowaliśmy nie tylko policjantom, prokuratorom i sędziom, ale przede wszystkim pedagogom i dzieciom. W tym szkoleniu wzięło udział, jeśli się nie mylę, ponad 850 dzieci ze Szczytna i okolicznych wsi. Wszyscy ci, którzy biegają z telefonami. Byliśmy w Łomży. Byliśmy w Gdańsku. Nie wymienię wszystkich miast, w których byliśmy z naszej inicjatywy i nie tylko z naszej, bo bardzo często odpowiadamy na zapytania konkretnych pedagogów, ale również i posłów, bo mieliśmy i takie prośby. Te prośby staramy się realizować, oczywiście, w ramach naszych możliwości.</u>
          <u xml:id="u-14.8" who="#DyrektorNASKMichałChrzanowski">Co do kwestii komunikatów, to przekazuję głos Piotrowi.</u>
        </div>
        <div xml:id="div-15">
          <u xml:id="u-15.0" who="#KierownikCERTPolskaPiotrKijewski">Dziękuję. To są komunikaty, które są często wyświetlane przez przeglądarkę, czyli przez producenta przeglądarki, który monitoruje sytuację i do którego są zgłaszane adresy, które mogą służyć do tego typu wyłudzeń. Oczywiście, współpracujemy ze wszystkimi wiodącymi producentami przeglądarek, od Microsoftu po Mozillę i Google’a. My również przekazujemy i zgłaszamy tego typu adresy, dzięki temu zwiększając poziom ochrony. Zdecydowanie, jest to ten obszar działań, które wykonujemy. Staramy się działać aktywnie w bardzo wielu kierunkach.</u>
        </div>
        <div xml:id="div-16">
          <u xml:id="u-16.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo panom. Czy ktoś z państwa chciał jeszcze o coś dopytać? Bardzo proszę, pan przewodniczący Suski.</u>
        </div>
        <div xml:id="div-17">
          <u xml:id="u-17.0" who="#PosełMarekSuski">W trakcie prezentacji pan dyrektor dość enigmatycznie wypowiedział się o pewnych słabościach. Dotyczyło to możliwości funkcjonowania ze względu na ograniczenia prawne. W związku z tym mam pytanie – czy widzą panowie potrzebę jakiegoś uzupełnienia ustawy? Nie mówię, której ustawy, ale jednej z ustaw, która mogłaby wam dać większe uprawnienia. Jak zrozumiałem z części wstępnej pana dyrektora, to jest pewna działalność uzupełniająca w części, która nie dotyczy ochrony rządu, tylko ochrony obywateli. Tam, gdzie jest agencja, która ma za zadanie chronić rząd, jest dotycząca tego specustawa. Wy wykonujecie tę część, która jest bardzo istotna dla obywateli i nie macie pewnych uprawnień, o czym mówił nasz ekspert. Jest to działanie na polu nieopisanym prawnie, co może rodzić pewne zagrożenia również dla was, stąd moje pytanie. Czy widzicie potrzebę jakiegoś uregulowania prawnego dla was, które by wam dało pewne możliwości? Dziękuję.</u>
        </div>
        <div xml:id="div-18">
          <u xml:id="u-18.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo. Czy ktoś jeszcze? Bardzo proszę.</u>
        </div>
        <div xml:id="div-19">
          <u xml:id="u-19.0" who="#PosełPiotrCieśliński">Mam takie krótkie pytanie. Czy podany przykład metody ataku rzeczywiście jest wzięty z życia, czy skądś tam zaczerpnięty? Czy taka forma została gdzieś użyta? Czy to jest tylko przykład przez państwa przytoczony na szybko? Jeśli rzeczywiście ktoś dał się nabrać na taką treść, to jestem zdziwiony, bo dla mnie jest ona mocno prymitywna. Nie wspomnę o pewnych zwrotach, sformułowaniach, na które żaden profesjonalny bank by sobie nie pozwolił, na błędach zawartych w treści skończywszy. Mam takie pytanie – czy to jest rzeczywiście próba ataku, czy tylko przez państwa przygotowany na szybko przykład? Dziękuję.</u>
        </div>
        <div xml:id="div-20">
          <u xml:id="u-20.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo panu posłowi Cieślińskiemu. Nie widzę zgłoszeń. Panie dyrektorze, bardzo proszę o odpowiedź.</u>
        </div>
        <div xml:id="div-21">
          <u xml:id="u-21.0" who="#DyrektorNASKMichałChrzanowski">Pozwolę sobie odpowiedzieć na pytanie dotyczące komunikatu. Pokazujemy konkretne przykłady, konkretne treści. To nie jest nic wymyślonego, zainscenizowanego przez nas. Pokazujemy to, co naprawdę funkcjonuje.</u>
          <u xml:id="u-21.1" who="#DyrektorNASKMichałChrzanowski">Co do kwestii prymitywności przekazu, to często pojawiają się błędy językowe w niektórych rzeczach i łatwo można by było je zidentyfikować. Dokładnie tak. Natomiast proszę zauważyć, że mamy do czynienia z efektem skali. Masowość tego zdarzenia jest tak duża, że jednak jakiś odsetek użytkowników na to odpowiada.</u>
          <u xml:id="u-21.2" who="#DyrektorNASKMichałChrzanowski">Poza tym jest jeszcze coś, co gra na podstawowych instynktach ludzkich. Mówię konkretnie o strachu. Proszę sobie wyobrazić swój pulpit, a na nim pornografię dziecięcą. Tutaj Piotr mówił o oprogramowaniu, które potrafi takie rzeczy przeprowadzić. Proszę sobie wyobrazić komputery polityka, który nagle odkrywa, że ma na swoim komputerze pornografię dziecięcą. Jeżeli mogłem to bardziej obrazowo przedstawić, to właśnie to zrobiłem. W tym przypadku przestaje działać zdrowy rozsądek, ludzie chcą się, najzwyczajniej w świecie ratować. Mówimy o osobach, które są wykształcone, ale proszę zauważyć, że wielu użytkowników sieci korzysta z komputerów jako z narzędzia. Do niczego więcej, niż np. do zabawy ten komputer nie jest im potrzebny.</u>
          <u xml:id="u-21.3" who="#DyrektorNASKMichałChrzanowski">Co do kwestii działania, to rzeczywiście, często rzecz jest przede wszystkim w niedoinformowaniu, w braku wiedzy, ale często i w strachu.</u>
          <u xml:id="u-21.4" who="#DyrektorNASKMichałChrzanowski">Nie jestem prawnikiem. Trudno jest mi się w tym obszarze sprawnie poruszać. Natomiast te obszary, które identyfikujemy, że na pewno wymagałyby skupienia – ale nie ośmielę się tutaj nawet wypowiadać – to na pewno rzeczy związane z funkcjonowaniem ustawy o ochronie danych osobowych i z kompetencjami, które ma główny inspektor ochrony danych osobowych. Chodzi o to wszystko, co się w tym obszarze bardzo dynamicznie dzieje i zmienia. Proszę zauważyć, jaki jest potok zmian, jaka jest intensywność, jaka jest dynamika i skala zmian w tym obszarze.</u>
          <u xml:id="u-21.5" who="#DyrektorNASKMichałChrzanowski">Ustawa o ochronie danych osobowych i te treści, które są chronione, to nie wszystko. Jest ogromny obszar funkcjonowania prawa telekomunikacyjnego i tego, co jest związane z działaniem regulatora, który dostaje do realizowania zadania z poziomu europejskiego. Przytoczyliśmy dyrektywę. Czy to jest obszar, który wymaga troski? Zapewne tak. Myślę, że skala zmian, które przyjdą wraz ze zmianami na poziomie europejskim, a generalnie globalnym, zapewne będzie pokazywała to, co tam się będzie działo.</u>
          <u xml:id="u-21.6" who="#DyrektorNASKMichałChrzanowski">Co do kwestii penalizacji, to wiele rzeczy się dzieje w tym obszarze. Jak skuteczne może to być? Jak się to przekłada na bezpieczeństwo w sieci? Z tym różnie bywa, ale na ten temat raczej powinni się wypowiadać prawnicy. Pozostaje jeszcze ogromny obszar, który dotyczy gospodarki i funkcjonowania podmiotów, chociażby dostarczających rozwiązań dla rynku.</u>
        </div>
        <div xml:id="div-22">
          <u xml:id="u-22.0" who="#PrzewodniczącyposełMieczysławGolba">Bardzo proszę, pan minister Wiewiórowski.</u>
        </div>
        <div xml:id="div-23">
          <u xml:id="u-23.0" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Dziękuję bardzo, panie przewodniczący. Troszkę jako gość, ale przypominając i wołając o rzeczy, o które wołam przed Komisją Spraw Wewnętrznych oraz Komisją Sprawiedliwości i Praw Człowieka. Jest to powrót do dyskusji dotyczącej brzmienia Kodeksu karnego w zakresie przepisów mówiących o przestępstwach przeciwko informacji. Dokonaliśmy dwóch tzw. cybernowelizacji – jednej w 2004 r., drugiej w 2008 r. Te wszystkie uwagi, które w 2004 r. były uwagami negatywnymi, do dzisiaj są aktualne. Te przepisy po prostu są nieskuteczne i niemożliwe do wykorzystania. Część z nich jest sprzeczna ze sobą. Zostały lekko poprawione w 2008 r. To prawda, że m.in. w sposób umożliwiający karanie niektórych zdarzeń, jakimi w tej chwili zajmuje się CERT.</u>
          <u xml:id="u-23.1" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Natomiast podstawowe pytanie, na które Polska nie odpowiedziała od 12 lat, to jest pytanie o to, czy chcemy ratyfikować Konwencję o cyberprzestępczności, czy też nie chcemy jej ratyfikować. W 2001 r. w Budapeszcie Polska podpisała Konwencję o cyberprzestępczności. Tę konwencję ratyfikowała już większość krajów Unii Europejskiej i Stany Zjednoczone. To jest bardzo rzadki przypadek, żeby Stany Zjednoczone ratyfikowały akt prawny, nad którym nie pracowały. Konwencję stworzyła Rada Europy. Nie twierdzę, że musimy ją ratyfikować, natomiast musimy odpowiedzieć na pytanie – czy ją ratyfikujemy? Czy wprowadzimy zasady, które są tam przewidziane, szczególnie jeżeli chodzi o współpracę międzynarodową przy ściganiu tego typu przestępstw? Czy też podejmujemy decyzję, że jej nie ratyfikujemy, bo mamy jakiś ważny powód, dla którego uznajemy, że jest to niepotrzebne?</u>
          <u xml:id="u-23.2" who="#GeneralnyinspektorochronydanychosobowychWojciechWiewiórowski">Niezależnie od tego, jak postąpimy, musimy przy implementacji dyrektywy, o której tutaj już kilkakrotnie mówiono, ponownie przejrzeć przepisy k.k. od art. 267 do art. 269b. Ten ostatni artykuł musimy napisać w końcu tak, żeby dało się go zastosować. On jest w tej chwili niestosowalny, a to jest rozwiązanie, które pomogłoby przy ściganiu przestępstw polegających na tworzeniu złośliwego oprogramowania, tworzeniu różnego rodzaju rozwiązań technicznych, które przy botnetach są stosowane. Dziękuję.</u>
        </div>
        <div xml:id="div-24">
          <u xml:id="u-24.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo. W związku z tym, że czas nas bardzo goni, za chwileczkę przejdziemy do drugiego punktu. Będziemy dalej poruszać te tematy, w szczególności, jeśli chodzi o bezpieczny Internet oraz rolę podmiotów publicznych i prywatnych.</u>
          <u xml:id="u-24.1" who="#PrzewodniczącyposełMieczysławGolba">Przede wszystkim, panie dyrektorze, w imieniu Komisji chciałem podziękować przedstawicielom NASK i CERT za waszą dobrą działalność, w szczególności za bezpieczeństwo w sieci i za to, co dla niego robicie. Chciałabym również pogratulować dobrych wyników finansowych, bo – jak to pan na wstępie przedstawił – rzeczywiście są imponujące. Dlatego gratulujemy i życzymy, aby stan konta waszej firmy się poprawiał w dalszym ciągu. Tak będzie, bo świetnie sobie radzicie. W imieniu Komisji jeszcze raz gratulujemy i dziękujemy za prezentację.</u>
          <u xml:id="u-24.2" who="#PrzewodniczącyposełMieczysławGolba">Zamykam dyskusję w pierwszym punkcie. Przechodzimy do drugiego. Jak wspomniałem, jest to temat, który przedstawi nam pan Wiesław Paluszyński, wiceprezes Polskiej Izby Informatyki i Telekomunikacji. Bardzo proszę, panie prezesie.</u>
        </div>
        <div xml:id="div-25">
          <u xml:id="u-25.0" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Dziękuję bardzo. Szanując czas Komisji, pozwoliłem sobie przedstawić prezentację wydrukowaną. Ten materiał tylko pokrótce omówię, dlatego że jest to – o tym mówili koledzy z NASK – jeden z przykładów tego, na ile skomplikowany jest problem bezpieczeństwa w Internecie, na ile jest to zadanie, którego nie da się rozwiązać siłami zarówno samej administracji publicznej, już nie mówiąc o administracji rządowej, jak i samego sektora komercyjnego. Zwiększenie bezpieczeństwa czy zapewnienie tego bezpieczeństwa, które nazywamy bezpieczeństwem Internetu, jest procesem. W związku z tym, jak każdy proces, musi się to praktycznie ciągle rozwijać. To nie jest jakiś stan stabilny, do którego możemy dojść. Ciągle będziemy mieli nowe problemy. Ciągle będziemy rozwiązywali problemy. Bieżąca interakcja pomiędzy tymi, którzy budują rozwiązania, administrują rozwiązaniami, korzystają z tych rozwiązań, jest niezbędna, żeby zapewnić bezpieczeństwo w sieci.</u>
          <u xml:id="u-25.1" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Może krótko, żebyśmy sobie zdali sprawę z tego, co to znaczy „bezpieczeństwo Internetu”. Omawialiśmy przed chwilą bardzo skomplikowane problemy związane z bezpieczeństwem sieci czy bezpieczeństwem usług świadczonych poprzez sieć. W tym przypadku pewne mechanizmy funkcjonujące w sieci umożliwiały wykonanie ataków, które w efekcie narażały użytkowników korzystających z usług bankowych czy innych, na dysponowanie swoim mieniem czy swoimi zasobami posiadanymi w bankach w sposób zupełnie odmienny niż planowali.</u>
          <u xml:id="u-25.2" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">W Internecie też mamy do czynienia z niebezpieczeństwami innego rodzaju, przede wszystkim z niebezpieczeństwem związanym z niedostępnością usługi, z której chcemy skorzystać. Dam przykład. Jeżeli chcemy budować w Internecie systemy ratownictwa czy zaopatrzyć Internet w systemy powiadamiania ratunkowego, to ten element zaczyna być elementem bezpieczeństwa. To nie jest tylko to, że nie mogę wejść na jakąś stronę, ale też to, że nie mogę uzyskać informacji, od której może zależeć życie osoby, którą chcę ratować. Tak jest, jeżeli z tej sieci skorzystam np. w momencie wypadku czy czegoś, co się dzieje, a my wszystkie sieci połączymy w jeden mechanizm i będziemy chcieli z tego dalej korzystać.</u>
          <u xml:id="u-25.3" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Mamy kwestię kradzieży tożsamości, to jest rzecz najważniejsza, którą możemy stracić. W przypadku banku to jest tożsamość w jednym banku, ale wiele elementów w Internecie polega na tym, że jestem rozpoznawany w tym internetowym świecie i do tego są przypisane określone atrybuty, czyli mogę nie popełnić przestępstwa, ale poprzez przejęcie mojej tożsamości mogę być w Internecie wykazany jako ten, kto to przestępstwo popełnił. Przykład z pornografią dziecięcą jest klasycznym przykładem, że można komuś przedłożyć sfabrykowane dowody jego winy, a on praktycznie nie ma tego świadomości. Jeśli nie ma wymiany informacji pomiędzy wszystkimi funkcjonującymi w tej sieci, to możliwości obrony mogą być bardzo ograniczone.</u>
          <u xml:id="u-25.4" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Czy to znaczy, że Internet stwarza inne niebezpieczeństwa niż świat rzeczywisty? Chcę powiedzieć, że to nie jest prawda. Internet nie stwarza żadnych nowych ryzyk, ale wymaga stosowania innych metod, innej organizacji, innej wiedzy, innego instrumentarium prawnego do likwidacji dokładnie takich samych patologii, jakie mamy w świecie rzeczywistym. Przecież w świecie rzeczywistym napada się na banki, kradnie się pieniądze, przejmuje się tożsamość ludzi, żeby się pod nich podszyć, blokuje się możliwości działania, przejmuje się informacje, tylko stosuje się inne środki. Ze względu na szybkość Internetu mamy inną skalę, inną szybkość działania, inne możliwości. Jeżeli mielibyśmy zbudować w świecie realnym taką złodziejską sieć, która składałaby się z 5 mln użytkowników, to tego typu próby też były podejmowane, tylko trwały bardzo długo i były bardzo trudne do zorganizowania. Internet to ułatwia, ale pewna skala zjawisk, pewna skala zagrożeń jest, oczywiście, taka sama, jak w świecie rzeczywistym.</u>
          <u xml:id="u-25.5" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Co z tego wynika? To, że mamy organy, mamy instytucje państwa, które powinny się zajmować – każda w swoim zakresie – działaniami związanymi z bezpieczeństwem Internetu. Muszą tylko kompletnie zmienić swój sposób działania, sposób wymiany informacji między sobą i profilaktykę, która z tym wszystkim jest związana. Muszą w inny sposób współpracować z tym środowiskiem, w którym te wszystkie zagrożenia powstają, dzięki któremu powstają.</u>
          <u xml:id="u-25.6" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Zapominamy o dwóch kolejnych rzeczach, które się dzieją. W tej chwili cyberprzestępczość w dużej części przygotowuje się do przeprowadzania różnego rodzaju ataków terrorystycznych z wykorzystaniem sieci. Nie mówię o kwestiach czysto militarnych, gdzie sieć jest rozważana, w bardzo poważny sposób, jako jeden z elementów ataku na państwo, na jego systemy ekonomiczne oraz inne elementy, ale to jest ta sama sieć. Jeżeli np. nie będzie wymiany informacji, jeżeli takie informacje, jak z CERT, nie będą analizowane przez inne organy państwa, to może się okazać w którymś momencie, że mamy ukrytą sieć takich botnetów, które w ogóle nie działają, ale zostaną uruchomione w odpowiednim momencie. Dzisiaj są one tak naprawdę niewidoczne. To, co zrobili koledzy z NASK, pokazuje, że zagrożenie w zupełnie innych obszarach, dużo bardziej dla państwa newralgicznych, może w każdej chwili nastąpić, bo nie wiemy, ile już gdzieś mamy osadzonego oprogramowania, które umożliwia przeprowadzenie ataku. Ono będzie aktywowane w odpowiednim momencie, gdy ten atak będzie możliwy. Analizowanie tych przypadków i ciągła interakcja z sektorem komercyjnym są niezbędne dla zapewnienia bezpieczeństwa nie na wczoraj, tylko zabezpieczenia się na przyszłość przed tym wszystkim, co nas spotyka.</u>
          <u xml:id="u-25.7" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Pytanie zasadnicze. Czy mamy odpowiedni system prawny? To, o czym mówił pan minister Wiewiórowski, to jest próba odpowiedzenia na pytanie, czy mamy takie regulacje kodeksowe, że gdy już złapiemy tego, kto popełnił przestępstwo, to możemy zaprowadzić go przed wymiar sprawiedliwości i skutecznie ukarać. Chodzi też o to, czy sektor komercyjny ma stosowne umocowania prawne do tego, żeby móc działać przy wykryciu tego typu przestępstw, żeby nie stać przed komisariatem Policji, do którego się zgłasza. Czy ten funkcjonariusz do końca wie, o czym w ogóle rozmawia z nim ten, kto się zgłosił? To zupełnie inaczej musi być zorganizowane, odmiejscowione. To wymaga czegoś zupełnie innego i dzieje się tak, ale pomału.</u>
          <u xml:id="u-25.8" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Czy wymiana informacji musi się sprowadzać do takich pomysłów, jakie mamy? Wrócę do ostatnich przykładów, jeśli chodzi o treści niedozwolone. Najprostszą metodą jest: „Wprowadźmy cenzurę”. Kto ma tę cenzurę wprowadzić? Państwo nie zbuduje głównego urzędu kontroli informacji w Internecie, bo to by się źle kojarzyło. „Nałóżmy ten obowiązek na operatorów telekomunikacyjnych. Niech oni odcedzają te treści, które są niepożądane albo które naruszają prawo”. Tu stajemy przed problemem – kto ma decydować o tym, co narusza prawo? Kto ma decydować o tym w czasie rzeczywistym? Komercyjny operator telekomunikacyjny ma o tym decydować? Kto poniesie koszty? Bezpieczeństwo kosztuje.</u>
          <u xml:id="u-25.9" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">To wszystko są rozwiązania incydentalne, które nie pozwalają na zbudowanie takiego systemu, w którym będzie powiedziane – operator komercyjny ponosi takie koszty i ma takie obowiązki, zaś państwo potrzebuje informacji, w związku z czym ponosi takie koszty. Na końcu jest obywatel z komputerem, który w ogóle nie chce, żeby się tym interesować. Najchętniej chciałby kupić komputer, o którym ktoś mu powie, że ten komputer zabezpiecza go przed wszelkiego rodzaju niebezpieczeństwami. Chce go używać. Nie mówię o tych, którzy chcą kombinować, bo to jest inna kategoria. Przeciętny człowiek chciałby go używać i to jest to, o czym mówił NASK.</u>
          <u xml:id="u-25.10" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Czy jesteśmy w stanie dogadać się z sektorem komercyjnym, żeby tworzyć czy dofinansować, czy zbudować program, może przy pomocy środków unijnych, które mamy. Chodzi o tworzenie oprogramowania, które pełniłoby tę rolę np. w edukacji rodziców, aby to rodzic mógł zaprogramować komputer, z którego korzysta w domu, żeby nie można było realizować dostępu do takich treści, do których – jak uważa – jego dziecko nie powinno mieć dostępu. Jest problem, dlatego że dziecko jest lepsze w dziedzinie komputerowej od rodzica. W związku z tym najczęściej to rodzic musiałby poprosić dziecko, żeby to ono wyłączyło te funkcje, co do których chciałby, żeby w danym komputerze ich nie oglądało. Mamy może jeszcze 5 lat, bo już to pokolenie, które jest lepsze w komputerach, zaczyna wchodzić w dojrzałość i zaczyna mieć własne dzieci. Oni już wiedzą, jak korzystać z tego komputera.</u>
          <u xml:id="u-25.11" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Element edukacyjny, wsparty w rozsądny sposób przez państwo, ze stworzeniem jakiegoś programu budowy osłony obywatelskiej przed tymi rzeczami, które są najbardziej niebezpieczne, może jest lepszym rozwiązaniem niż myślenie tylko o tym, że operatorzy telekomunikacyjni powinni założyć filtry na swoje oprogramowanie. Zresztą wiemy wszyscy, że byłyby one nieskuteczne i tak naprawdę byłaby to iluzja bezpieczeństwa.</u>
          <u xml:id="u-25.12" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Zarysowałem pewną skalę problemów, które są, ale wydaje się, że są one do rozwiązania tylko i wyłącznie przy wyraźnym określeniu oczekiwań partnerstwa publiczno-prywatnego w zakresie bezpieczeństwa korzystania z Internetu. Oczywiście, zostawiając państwu te obszary, które są jego, czyli cyberterroryzm, wojny i te wszystkie rzeczy, do których organy państwa są powołane. Jak powiedziałem, przede wszystkim można wykorzystać do tych działań wiedzę sektora komercyjnego, który tę wiedzę posiada, bo dziś to on w Internecie funkcjonuje i to analizuje. Sektor wyłapuje te zagrożenia, w związku z czym jego wiedza np. dla jednostek byłaby bezcenna w sensie uzyskania informacji. On potrafiłby lepiej prognozować pewne zagrożenia z ich punktu widzenia, czyli z punktu widzenia bezpieczeństwa państwa byłoby to istotne.</u>
          <u xml:id="u-25.13" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">Zbyt często patrzymy na bezpieczeństwo w Internecie tylko i wyłącznie z punktu widzenia bezpieczeństwa państwa. Zbyt mało patrzymy na bezpieczeństwo w Internecie z punktu widzenia zadowolenia obywatela. Dziś obywatel chce mieć komfort korzystania z narzędzi, komfort korzystania z nowoczesnych technologii i oczekuje stworzenia takiego systemu, który mu ten komfort zapewni. To jest to, co się dzieje na co dzień. Obywatel oczekuje komfortowej usługi publicznej, małego absorbowania go kwestiami chodzenia do urzędu czy załatwiania spraw urzędowych. To są elementy, które są przez obywatela oceniane, jeśli chodzi o skuteczność tworzenia środowiska jego funkcjonowania w Internecie. Sieć i jej bezpieczeństwo, to jest ten element, z którym kolejne pokolenie, w tej chwili wchodzące – nie tylko te 50+ – zaczyna mieć problem.</u>
          <u xml:id="u-25.14" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">W zależności od tego, jak skutecznie się ten problem rozwiąże, może to pokazać skuteczność funkcjonowania państwa w kolejnej perspektywie. Z tego punktu widzenia bezpieczeństwo Internetu, które wydaje się takie proste, tak naprawdę zahacza o bardzo wiele elementów i to nie tylko czysto technicznych, ale również organizacyjnych, politycznych i socjologicznych.</u>
          <u xml:id="u-25.15" who="#WiceprezesPolskiejIzbyInformatykiiTelekomunikacjiWiesławPaluszyński">To tyle tytułem krótkiego wstępu. Przepraszam za zbytnie skomplikowanie problemu.</u>
        </div>
        <div xml:id="div-26">
          <u xml:id="u-26.0" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo panu prezesowi za przedstawienie informacji. Otwieram dyskusję, ale widzę, że nikt się nie zgłasza.</u>
        </div>
        <div xml:id="div-27">
          <u xml:id="u-27.0" who="#PosełGrzegorzNapieralski">Mogę? Panie prezesie, za drzwiami w takim razie. Na spokojnie.</u>
        </div>
        <div xml:id="div-28">
          <u xml:id="u-28.0" who="#PrzewodniczącyposełMieczysławGolba">Cieszę się bardzo. Szanowni państwo, na pewno do tych zagadnień będziemy jeszcze powracać. Internet to jest tak szeroki temat, że jeszcze niejednokrotnie będziemy go na posiedzeniach naszej Komisji omawiać. Teraz czas się nam kończy. Przepraszam za nieobecnych, ale w tej chwili jest w Sejmie omawiany budżet i koledzy są na posiedzeniach innych komisji.</u>
          <u xml:id="u-28.1" who="#PrzewodniczącyposełMieczysławGolba">Dziękuję bardzo serdecznie panu dyrektorowi i panu kierownikowi w ogóle za zaproszenie i za to, że mogliśmy tutaj odbyć posiedzenie naszej Komisji. Myślę, że będziemy równie zadowoleni, kiedy będziemy mogli zaprosić panów do nas, do Sejmu, na posiedzenie, gdy będziemy podobną tematykę omawiać.</u>
          <u xml:id="u-28.2" who="#PrzewodniczącyposełMieczysławGolba">Szanowni państwo, dziękuję za obecność. Protokół z posiedzenia z załączonym zapisem jego przebiegu będzie do wglądu w sekretariacie Komisji. Dziękuję bardzo.</u>
          <u xml:id="u-28.3" who="#PrzewodniczącyposełMieczysławGolba">Zamykam posiedzenie Komisji.</u>
        </div>
      </body>
    </text>
  </TEI>
</teiCorpus>