Letnie Igrzyska Olimpijskie i Paraolimpijskie w Paryżu 2024 będą największym wydarzeniem organizowanym we Francji od początku XX wieku. 4 miliardy telewidzów i 12 milionów widzów na arenach zawodów, 30 tys. wolontariuszy i 10 tys. sportowców reprezentujących 206 krajów – znaczna część z nich będzie narażona na liczne cyber niebezpieczeństwa.
Wydarzenia sportowe od lat były celem przestępców. Jak wskazują eksperci ds. bezpieczeństwa IT również cyberprzestępców. W okresie pomiędzy 2016 a 2021 rokiem nastąpił 8-krotny wzrost liczby ataków związanych z IO. W Tokio odnotowano 4 mld takich prób, a jedyną edycją, podczas której wedle dostępnych informacji nie wystąpiły poważne incydenty w tej sferze, były zimowe zawody w 2018 roku, odbywające się w Soczi. Wobec rosnącej skali zagrożenia zapewnienie cyberbezpieczeństwa imprezy, jej uczestnikom i kibicom to jedno z głównych wyzwań dla organizatorów.
Jakie zagrożenia wiążą się z igrzyskami olimpijskimi?
Postępująca cyfryzacja i rozwój technologii smart przedkładają się na wzrost poziomu ryzyka w obszarze cyberbezpieczeństwa. Dotyczy to również Igrzysk Olimpijskich, ich organizatorów, a także kibiców i samych sportowców. IO są potężnym narzędziem do budowy wizerunku, co jednocześnie oznacza, że każdy najdrobniejszy problem jest transmitowany na cały świat, co z kolei rodzi ryzyko nadszarpnięcia reputacji.
W tym kontekście, przed zbliżającą się imprezą w Paryżu jako szczególne okoliczności mogące potęgować ataki, wskazywane są konflikty geopolityczne, w tym wojna w Ukrainie i będące jej konsekwencją ograniczenia MKOl, dotyczące udziału w zawodach sportowców z Rosji i Białorusi.
Grupy z geopolitycznymi motywacjami, dążące na przykład do destabilizacji kraju, to główni sprawcy cyberataków w przypadku igrzysk olimpijskich. Osobną kategorią są cyberprzestępcy, których kuszą finansowe korzyści. Możemy ich określić mianem oportunistów, którzy, aby osiągnąć zakładany cel, przeprowadzają ataki ransomware, chcąc zmusić organizatorów do płatności okupu mającego zagwarantować normalne działanie kluczowej infrastruktury. I wreszcie można w tym gronie wyróżnić „haktywistów”, grupy motywowane ideologicznie, które mogą niszczyć strony internetowe lub przeprowadzać ataki DDoS. – wyjaśnia Aleksander Kostuch, inżynier Stormshield, europejskiego lidera branży bezpieczeństwa IT.
Mnogość wektorów i szerokie pole ataku wymierzonego potencjalnie w każdego uczestnika
Systemy przechwytywania wideo dla telewizji lub sędziów, kamery CCTV i systemy alarmowe, czytniki identyfikatorów i biletów, smartfony… każdy inteligentny sprzęt stanowi potencjalny punkt wejścia dla cyberprzestępców.
Co więcej, w Paryżu niektóre konkurencje odbywać się będą w obiektach otwartych, co dodatkowo podnosi poprzeczkę. Do tego dochodzą kwestie logistyki i podwykonawców, które znacznie zwiększają pola możliwego ataku. Podobnie jest z wektorami ataków – phishing, spoofing, odmowa usługi (DDoS), przechwytywanie przepływów Wifi/4G/5G czy włamania do bankomatów. To jedynie część z nich.
Cyberprzestępcy będą starali się wykorzystywać wydarzenie, organizować fałszywe konkursy tematyczne po to, aby zwiększyć szanse na przekonanie użytkowników do otwierania wiadomości i klikania linków. Z pewnością będą również próbowali zebrać dane osobowe i dane kart płatniczych, które później będą mogły być wykorzystane do dalszej przestępczej działalności. – komentuje Aleksander Kostuch.
Potencjalnymi ofiarami cyberprzestępców mogą stać się widzowie obecni na stadionach. Przykłady ingerencji o takich skutkach miały miejsce w południowo-koreańskim Pjongczang, gdzie część widzów nie mogła wydrukować biletów wstępu na ceremonię otwarcia. Zdaniem specjalistów należy się również spodziewać licznych kampanii phishingowych. Co ciekawe, zagrożenia mogą dotyczyć nie tylko widzów, ale też sportowców-olimpijczyków.
Klucze dostępu do hotelu, klimatyzacja, alarmy przeciwpożarowe, tablice wyników, pomiary czasów są cyfrowe. Wyobraźmy sobie konsekwencje ingerencji w system alarmów przeciwpożarowych w hotelach zamieszkanych przez faworytów określonej konkurencji, przeprowadzony na dzień przed ważnymi zawodami. Cyberprzestępcy potencjalnie mogą mieć realny wpływ na wyniki zmagań sportowców. – ocenia ekspert Stormshield.
Co może czekać organizatorów święta sportu w Paryżu?
Każda edycja Igrzysk Olimpijskich jest zupełnie nowa, w tym sensie, że nie da się jej porównać z poprzednimi: sytuacja się zmienia, a zagrożenia ewoluują; są coraz bardziej zróżnicowane, a ataki są liczniejsze. Możemy uczyć się z wcześniejszych doświadczeń, ale co najważniejsze, musimy być przygotowani na nieznane, ponieważ niektóre zagrożenia 2024 roku jeszcze nie zostały poznane. – deklarują organizatorzy mającej rozpocząć się za ponad siedem miesięcy imprezy w stolicy Francji.
Komitet Organizacyjny w przygotowaniach do imprezy wykorzystuje wnioski wyciągnięte z poprzednich edycji. Francuska Agencja ds. Cyberbezpieczeństwa (ANSSI) m.in. podpisała umowę o współpracy ze swoim japońskim odpowiednikiem NISC (National Center of Incident Readiness and Strategy for Cybersecurity).
Historia cyberataków na Igrzyska Olimpijskie
- 2004, Ateny – główne ryzyko zakłócenia technologii wynikało z lokalnej aktywności sejsmicznej.
- 2008, Pekin – podczas IO utworzono kilka fałszywych stron do sprzedaży fałszywych biletów.
- 2012, Londyn – w dniu ceremonii otwarcia odnotowano ponad 212 milionów cyberataków, m.in. DDoS na infrastrukturę elektroenergetyczną.
- Soczi, 2014 – brak informacji o poważnych incydentach związanych z cyberbezpieczeństwem lub nie została upubliczniona wiedza na ich temat.
- 2016, Rio de Janeiro – liczba zgłoszonych cyberataków przekroczyła pół miliarda, co oznacza 400 ataków na sekundę trwania imprezy. Na kilka miesięcy przed ceremonią otwarcia przeprowadzono masowe ataki DDoS na strony internetowe partnerów olimpijskich. Ataki ze strony botnetu LizardStresser (o którym już mówiono po zablokowaniu platform gier online PSN i Xbox Live) nasiliły się podczas igrzysk. Przeprowadzona została kampania DDoS o przepustowości ponad 500 Gb/s.
- 2018, Pjongczang – szkodliwe oprogramowanie Olympic Destroyer siało spustoszenie na oczach tysięcy widzów i dziennikarzy. Część widzów nie mogła wydrukować biletów wstępu na stadion, wystąpił problem z Wi-Fi, ceremonia nie była transmitowana na ekranach stadionu, a czujniki RFID na drzwiach wejściowych nie działały, podobnie jak oficjalna aplikacja olimpijska. Odbudowanie infrastruktury IT Olympic z kopii zapasowych wymagało 12 godzin ciężkiej pracy zespołów ds. cyberbezpieczeństwa.
- 2021, Tokio – na organizatorów przeprowadzono 4,4 miliarda cyberataków. Wysoki rangą japoński urzędnik stwierdził, że igrzyska padły ofiarą ataku, w wyniku którego doszło do wycieku danych osobowych posiadaczy biletów i wolontariuszy (nazwiska, adresy, numery kont bankowych). Dane te zostały ujawnione online.
- Pekin, 2022 – oficjalna aplikacja anty-Covid-19, My2022, okazała się kontrowersyjna z powodu obaw przed cyberszpiegostwem. Badanie aplikacji metodą inżynierii wstecznej wykazało później, że rozmowy sportowców były gromadzone, analizowane i zapisywane na chińskich serwerach. W odpowiedzi władze wielu krajów wydały swoim delegacjom instrukcje, np. zalecenie dotyczące posiadania telefonu jednorazowego.