Podwójne Standardy w Branży Cyberbezpieczeństwa
Kiedy rozmawiamy o cyberbezpieczeństwie, wyobrażamy sobie firmy i specjalistów, którzy bronią nas przed zagrożeniami. Rzeczywistość jest jednak znacznie bardziej skomplikowana. W ostatnich latach dokumenty i śledztwa dziennikarskie ujawniły, że algumas firmy z branży cybersecurity po cichu pracują dla drugiej strony barykady. Dotyczy to zarówno dużych międzynarodowych korporacji, jak i mniejszych firm specjalizujących się w bezpieczeństwie sieci.
Problem polega na strukturze finansowej współczesnych firm cyberbezpieczeństwa. Przedsiębiorstwa te zarabiają na wiedzy o lukach bezpieczeństwa – zarówno na sprzedawaniu ochrony przed nimi, jak i na znajomości sposobów ich eksploatacji. Ta asymetria stworzyła naturalny konflikt interesów. Kiedy firma wie o luce, może ją ochronić swoich klientów, ale może też ją… wycenić na „czarnym rynku” i zaproponować hakerskim grupom.
Szczególnie podejrzane są transakcje, w których specjaliści z firm cybersecurity odchodzą na umowy z anonimowymi klientami lub „konsultują” problemy techniczne w trybie dyskretnym. Wiele takich rozmów nigdy nie pozostawia śladu papierowego, a ich naturę trudno jest udowodnić. To stwarza idealny wachlarz możliwości dla osób chcących zarabiać po obu stronach.
Narzędzia szpiegowskie sprzedawane jako „Defensive Tools”
Jednym z najjaśniejszych przykładów konfliktu interesów jest fenomen oprogramowania, które oficjalnie służy do testowania bezpieczeństwa, a nieoficjalnie – do atakowania systemów. Firmy sprzedające takie narzędzia argumentują, że są to „penetration testing tools” wymagające licencji i etycznego kodeksu użytkownika. W praktyce jednak – jak wykazały śledztwa – te same aplikacje trafiają na rynek hakerski z pominięciem wszelkich formalności.
Przypadki sięgają kilku lat wstecz. Wielkie firmy jak Hacking Team czy NSO Group oficjalnie sprzedawały swoje produkty rządom i organom ścigania jako narzędzia walki z terroryzmem i przestępczością. Nieformalnie zaś te same narzędzia trafiały do autorytarnych reżimów, przestępców i grup zainteresowanych szpiegostwem korporacyjnym. Granica między „legalnym sprzedawcą rozwiązań bezpieczeństwa” a „dostawcą narzędzi cyberataków” okazała się być bardzo rozmyta.
Jeszcze bardziej zastanawiające są przypadki, w których firmy cyberbezpieczeństwa otwarcie współpracują z zagranicznymi agenturami rządowymi, twierdząc, że jest to wymóg bezpieczeństwa narodowego. W rzeczywistości te agencje korzystają z narzędzi do czegoś zupełnie innego – od monitorowania obrońców praw człowieka po szpiegowanie konkurentów gospodarczych. Polska branża, chociaż mniejsza, nie jest wolna od takich praktyk.
Szczegółowa dokumentacja przypadków, w których narzędzia do badania bezpieczeństwa zostały wykorzystane do nieautoryzowanych włamań, pokazuje rozmach tego problemu. Wiele firm broniło się w ten sposób, że nie kontrolują finalnego użytku swoich produktów – argument, który nie wytrzymuje krytyki w świetle faktów. Jeszcze bardziej podejrzane są umowy „non-disclosure”, które uniemożliwiają ujawnianie, do kogo faktycznie trafiają te narzędzia.
Konsultanci w Szarej Strefie
Osobną kategorię stanowią niezależni konsultanci bezpieczeństwa, którzy pracują dla firm z dnia, a dla hakerskich syndykatów w nocy. Ich wiedza techniczna jest cenna dla obu stron – dla klientów legitymistów jako ochrona, dla przestępców jako przewodnik do jego przełamania. To nie jest hipoteza – wypadki takich osób trafiły do sądów zarówno w Polsce, jak i za granicą.
Struktura tego biznesu jest prosta: konsultant ma dostęp do informacji o lukach w systemach swoich klientów (banki, telekomunikacja, e-commerce). Sprzedaje te informacje hakerom lub oferuje „usługę badań penetracyjnych” dla nieznanego mu podmiotu, który w rzeczywistości planuje atak. Opłaty są dyskretne, a dla konsultanta ryzyko jest minimalne – trudno udowodnić jego zaangażowanie, gdy komunikacja odbywa się przez VPN i enkryptowane kanały.
Problem nasila się w przypadku specjalistów, którzy opuszczają duże firmy obrony. Posiadają oni dokumentację, mapy systemów, procedury bezpieczeństwa konkretnych banków czy instytucji. Dla hakerów taka osoba jest bezcenna. Dla firm, które ją zatrudniały – zagrożeniem, które często pozostaje ukryte. Analiza tego fenomenu w kontekście międzynarodowym pokazuje jak systematycznie te procesy przebiegają i jak trudne są do wykrycia.
Wiele firm ma procedury compliance na papierze, ale kiedy trzeba coś „szybko zrobić”, konsultant zewnętrzny okazuje się być dużo bardziej elastyczny niż pracownik etatowy. Brak formalnego zatrudnienia oznacza również brak papierów – a papier to jedyna rzecz, którą mogą przeanalizować audytorzy i śledczy.
Kto kontroluje kontrolerów?
Polska branża cyberbezpieczeństwa to względnie mały ekosystem, gdzie wszyscy się znają. To stwarza sytuację, w której osoby o znaczących dostępach – w firmach obrony, organach ścigania, instytucjach finansowych – mogą dokonywać wymiany informacji bez obawy przed ujawnieniem. Sieć relacji biznesowych, osobistych i zawodowych jest tak zagęszczona, że praktycznie niemożliwe jest śledzenie, kto komu co sprzedaje.
Kto ma nadzorować firmy cyberbezpieczeństwa? Teoretycznie – regulatorzy, organy ścigania, samorządy branżowe. W praktyce żaden z tych podmiotów nie ma wystarczających zasobów ani chęci do wglądu w to, co naprawdę robi dana firma. Widzimy to szczególnie w Polsce, gdzie liczba specjalistów w organach ścigania zajmujących się cyberprzestępczością jest nierealna w stosunku do skali problemu.
Szara Strefa jako Norma Biznesowa
Najgorzej jest to, że dla wielu firm cybersecurity działanie w szarej strefie stało się normą biznesową, a nie wyjątkiem. Zarabianie na obu stronach – na paniu (ochronie) i na strach (wiedza o lukach) – jest po prostu bardziej opłacalne niż uczciwa działalność. Model biznesu „natnij i sprzedaj wiedzę” okazał się być bardziej rentowny niż model „ochrony systemów”.
Specjaliści w branży wiedzą o tym doskonale. Raport dokumentujący rozmiary tego problemu w kontekście międzynarodowym pokazuje, że Polska nie jest tu wyjątkiem – jest raczej normą. Międzynarodowe standardy etyczne (jak SANS Institute Code of Ethics) są fajne na papierze, ale egzekucja? Nieistniejąca. Firma łamiąca je straciłaby tylko reputację – a zaraz pojawią się nowe karty biznesowe, nowa nazwa, ten sam personel, ta sama działalność.
Pytanie, które powinien zadać sobie każdy dziennikarz śledczy: jeśli duże firmy cyberbezpieczeństwa mogą działać w szarej strefie bez konsekwencji, jakie są szanse na to, że mniejsze firmy, początkujące hackerzy i wewnętrzni pracownicy instytucji będą działać inaczej? Odpowiedź jest bolęsna: żadne.
Rzeczywistość branży cyberbezpieczeństwa jest taka, że zawsze będzie istnieć możliwość konfliktu interesów i szarej strefy. Dopóki system nie zostanie głęboko przebudowany – z lepszymi regulacjami, niezależnym nadzorem i rzeczywistymi konsekwencjami – sieć ochrony będzie jednocześnie siecią przemieszczeń. Problem jest strukturalny i wymaga nie tylko działań organów ścigania, ale fundamentalnej zmiany podejścia do bezpieczeństwa i etyki w branży.
O autorze
