Jak walczyć z dezinformacją? „Najlepszym antywirusem jest to, co mamy w głowie”

Czwartkowy szturm na stacje paliwowe pokazuje, jak groźna może być dezinformacja. Rozmawiamy z ekspertem ds. cyberbezpieczeństwa o tym, co robić, by w czasach wojny hybrydowej nie dać się złapać na fake newsy.

Bartosz Skonieczny: W czwartek mieliśmy namacalny dla mieszkańca Polski przykład tego, jak może zadziałać dezinformacja. W sieci zaczynają krążyć informacje, że wkrótce zabraknie paliwa, ludzie masowo rzucają się na stacje benzynowe, tworzą się korki. Bez powiązania z sytuacją rzeczywistą, bo przecież nie było zagrożenia braków paliwa. To pokazuje jak działania dezinformacyjne mogą realnie wpłynąć na nasze życie i bezpieczeństwo.

Sebastian Strzech: Pojawiły się zupełnie nowe realia. Wywróciło się życie do góry nogami. Pierwszą zmianą był lockdown. Dzisiaj mamy nowe wyzwanie w postaci wojny na Ukrainie. Mimo, że pan Putin twierdzi, że to nie jest wojna.

Co też jest dezinformacją i działaniem propagandowym.

Konsekwencją tych wydarzeń jest decyzja rządu o wprowadzeniu pierwszy raz w historii alertu poziomu trzeciego: CHARLIE-CRP. Jest to powiązanie z ustawą antyterrorystyczną z 2016 roku. Ona mówi m.in. o tym, żebyśmy byli naprawdę ostrożni jeżeli chodzi o cyberbezpieczeństwo. Pewnie wszyscy oglądali jakieś filmy katastroficzne, co by się stało, gdyby zabrakło Internetu lub prądu. Dlatego są kluczowe łańcuchy dostaw: paliwa, banki, telefonia komórkowa, Internet. Ustawa nakłada na instytucje, urzędy oraz organizacje mające wpływ na bezpieczeństwo państwa (np. banki, branża energetyczna) pewne wymogi, by szczególnie dbać o cyberbezpieczeństwo.

Dezinformacja to jedna z nowych wojen hybrydowych. W czwartek widzieliśmy, jakie są konsekwencje, gdy ktoś puszcza dezinformację dot. braku paliwa. Ja już w piątek, jako przedsiębiorca, to odczułem. Mamy klientów na terenie całej Polski, poumawiane wizyty, a raptem się dowiadujemy, że ktoś nie może zatankować samochodu.

Jesteście unieruchomieni.

Pytanie, kto umieścił tę informację. CERT bardzo mocno zwracała uwagę na fake newsy ze strony wschodniej. Głównym celem pana Putina i Łukaszenki w ostatnim czasie było spolaryzowanie Polaków, Unii Europejskiej, innych sojuszników, np. USA. To są proste mechanizmy. Hakerzy skopiowali np. stronę internetową vatesi.lt (Litewski Narodowy Inspektorat Bezpieczeństwa Energii Jądrowej - VATESI) i umieścili na fałszywej stronie vatesl.lt. Różniła się tylko jedna litera. Na tej fałszywej stronie umieścili wpis, że „informuje o katastrofie ekologicznej na składowisku odpadów atomowych”. To samo umieścili na Państwowej Agencji Atomistyki oraz stronie Ministerstwa Zdrowia. Włamali się na konta FB osób wpływowych np. Starosty Powiatu Garwolińskiego czy Marka Budzisza (ekspert ds. Rosji i postsowieckiego Wschodu). To spowodowało dużo komentarzy np. Litwa skończy jak Czarnobyl? Czy niepochlebne informacje o Litwinach. Ludzie z klapkami na oczach wierzą w to, co widzą i udostępniają dalej oraz komentują.

Efekt? Ojciec z synem, sąsiad z sąsiadem, Bruksela z Polską, Węgry z Niemcami, Unia z USA, wszyscy się kłócą, a Putin z Łukaszenką opracowują swój plan, bo mają trochę przestrzeni. Kreują wrogów, rzucają mięso, by ludzie się kłócili.

Swego czasu w Polsce część mediów lokalnych podała informacje uderzające w stacjonujące u nas wojska amerykańskie. Potem okazało się, że te materiały zamieszczone zostały po włamaniach hakerskich.

Te włamania miały wtedy również miejsce na dużą liczbę stron urzędów. To urzędy opublikowały informację, że nie życzą sobie obecności obcych wojsk na terenie Polski. Włodarze samorządów mają ciężkie zadanie, bo w gminach i miastach się nie przelewa. A gdy przychodzą wybory to radni prędzej zgodzą się na kilka metrów chodnika, a nie zakup serwera, czy nowych zabezpieczeń. Na urzędach spoczywa jednak duża odpowiedzialność. Środki rządowe w ramach programu Cyfrowa Gmina powinny być przeznaczone na bezpieczeństwo. A mnie urzędy pytają, czy mogą sobie monitoring miasta zamontować z tych pieniędzy. Świadomość jest nikła.

W każdej minucie jest 416 prób włamania się na strony internetowe. Średnio dwanaście z nich się udaje. Udaje się, bo mają luki w systemach.

Mamy więc media społecznościowe z fake newsami, włamania do mediów. Jak przeciętny użytkownik Internetu może rozróżnić prawdę od kłamstwa?

Moje wnioski są takie, żebyśmy ślepo, w pierwszym odruchu, nie reagowali na te działania. Wszyscy mamy umysł składający się z trzech części. Pierwszą ma każdy ssak: jeść, pić, spać. Druga to gadzi móżdżek. Jest akcja i reakcja. On powoduje, że albo walczysz, albo uciekasz, albo jesteś jak królik – leżysz i udajesz, że nie żyjesz. Wszystkie działania socjotechniczne, działania hakerów, uderzają w gadzi móżdżek. Ci, którzy rzucili wszystko i jechali na stacje paliw, działali w panice. A powinniśmy korzystać z trzeciej części mózgu która odróżnia nas od innych ssaków.

Jak to działa? Otrzymujesz sms z informacją, że wylądowałeś na kwarantannie. „Szczegóły pod linkiem z aplikacją mObywatel. Kliknij!”. Inny przykład treści: „Tutaj kancelaria komornicza przy Sądzie Rejonowym w Koninie. Informujemy, że właśnie rozpoczynamy przejmowanie twoich ruchomości i nieruchomości. Szczegóły w załączniku. Otwórz!”. Akcja – reakcja. Gdy jedziesz samochodem i wyskoczy ci jeleń, to się nie zastanawiasz, czy może trochę w lewo, może w prawo. Jest akcja i reakcja. Hakerzy w ten sposób uderzają.

Krótko mówiąc: uczyć się odpowiednich odruchów. Wyrabianie nawyków. Praca nad tym, by panować nad odruchami, że jak coś się pojawi to nie trzeba tego od razu klikać. Problemy z oszustwami rozwiąże tylko głowa. Świadomość, świadomość, świadomość. Na to nie ma innego wyjścia. Zawsze znajdą się jakieś technologie, by nas oszukiwać. Dlatego pracodawca powinien zapewnić szkolenia z cyberbezpieczeństwa, a my powinniśmy czytać chociaż ostrzeżenia na stronach banku.

Czyli musimy uczyć się tego, że gdy dociera do nas jakiś komunikat, czy to z Facebooka, czy sms od żony albo brata, nie reagować od razu, tylko poczekać chwilę i się zastanowić.

Uczestniczka szkolenia powiedziała mi niedawno, że szwagier do niej napisał na Messengerze, żeby szybko przelała mu blikiem dwa tysiące złotych. Mówiła, że tylko szwagier mówi do niej takim językiem, jakoś zdrobniale. Ale jeżeli ktoś włamał się na konto szwagra to ma całą historię rozmowy. To nie jest filozofia, wie, jak z tobą rozmawiać.

Najlepszym antywirusem jest to, co mamy w głowie. No i oczywiście długie hasło najlepiej dwunastoznakowe (duża i mała litera, znak specjalny i cyfra). Bo jeżeli masz słabe hasło to może „Ty” nieświadomie będziesz szerzył fake newsy lub wyłudzał od „szwagra”, czy „koleżanki” pieniądze.

Materiał powstał przy współpracy z partnerem – firmą CompNet Sp. z o.o. Sebastian Strzech jest również członkiem Rady Konińskiej Izby Gospodarczej.