Atak DDoS a odpowiedzialność rodzicielska

bezpieczeństwo
cyberataki
DDoS
Krzysztof Surgut
13.10.2015 Krzysztof Surgut

W sierpniu br. holenderski operator internetowy doświadczył dwóch ataków DDoS, które spowodowały niedostępność usług dla wszystkich klientów tego operatora. Atak DDoS pozbawił na klika dni 1.8 miliona klientów holenderskiego operatora Ziggo, dostępu do zakupionych usług.

Straty operatora internetowego Ziggo z tego powodu są ogromne, zarówno finansowe, jak również wizerunkowe.

Atak DDoS – kto to zrobił?


Parę dni temu, holenderska policja ogłosiła sukces i powiadomiła, że ujęła sprawców ataku DDoS na holenderskiego dostawcę Internetu. Okazało się, że sprawcami jest czwórka nastolatków w wieku 14 – 17 lat oraz 21-latek.

Co istotne, nie był to „szczeniacki wybryk” młodych ludzi. Sprawcy w serwisie Youtube przedstawili nagranie z żądaniem okupu i groźbami kolejnych ataków. Odgrażali się, że to nie ostatni atak DDoS na Ziggo, oświadczyli też że mają przygotowany atak DDoS na sieci innych operatorów ISP.

Dowody na winę nastolatków są mocne. Po zarekwirowaniu telefonów, komputerów, twardych dysków i pendrive’ów z domów chłopców – zwolniono ich z aresztu.

A gdzie byli rodzice?


Z uwagi na wiek sprawców, w holenderskich mediach, rozgorzała dyskusja o odpowiedzialności rodziców za czyny swoich dzieci. Skoro w realnym świecie rodzic pokrywa szkody wyrządzone przez swoje pociechy, to dlaczego Internet miałby być tutaj wyjątkiem? Jest tylko „mała różnica” – w realnym świecie trudno jest uprzykrzyć życie blisko 2 milionom obywateli – zwłaszcza przez nastolatków.

O ile trudno w tym wypadku mówić o karze więzienia dla młodocianych przestępców (z wyjątkiem 21-latka), o tyle sprawa odszkodowania za wyrządzone szkody ma jak najbardziej podstawy prawne, nie tylko w Holandii ale w większości krajów Europy.

W Polsce osoby małoletnie do 13-go roku życia nie ponoszą odpowiedzialności za swoje czyny – odszkodowania można dochodzić za to od ich opiekunów. Po ukończeniu 13 lat można przypisać winę tak młodemu sprawcy, jednak nie wyklucza to możliwości dochodzenia odszkodowania od rodziców, za szkody wyrządzone przez ich pociechy.

W Polsce, o czym pisałem we wcześniejszym wpisie, atak DDoS na systemy informatyczne zagrożony jest karą więzienia od 3 miesięcy do 5 lat. Istotne jest, że poszkodowany musi złożyć doniesienie o przestępstwie, ponieważ przestępstwo nie jest ścigane z urzędu.

Brak usług dla 1.8 miliona klientów holenderskiego operatora Ziggo, przełożyło się na realne straty finansowe operatora ISP – nie wspominając o stratach wizerunkowych. Ponadto działania młodzieńców nie były tylko dowcipem czy sprawdzeniem swoich umiejętności.

Dzieciaki publikując wideo z żądaniami i groźbami dla kolejnych operatorów internetu, potwierdzili że działali z pełną premedytacją i sprecyzowanym zamiarem. Tym samym jasnym jest, że to nie była jedynie młodzieńcza fantazja. Wkrótce może się okazać, że najwięcej problemów będą mieli rodzice.

Już pojawiły się pytania:

A gdzie byli rodzice?

Dlaczego nie interesowali się tym, co robią ich pociechy w Internecie?

Skąd dzieciaki miały pieniądze, aby opłacić atak DDoS?

Dlaczego rodzice nie interesowali się z kim i o czym rozmawiają nastolatki?

I jak to możliwe, że rodzice nie mieli pojęcia o szykowanej akcji ataku DDoS na dużego operatora internetowego w Holandii?

Bez względu na to, jakie są odpowiedzi na powyższe pytania, fakt pozostaje faktem:

nawet nastolatki są w stanie zablokować dostęp do usług dużego operatora ISP – atak DDoS to idealne narzędzie do tego.

Atak DDoS dzieciaki mogą zamówić w sieci i to o wielkości zdolnej zablokować usługi dostawcy Internetu – koszty takiego działania są na tyle niskie, że wystarczy kieszkonowe.

Nieprzygotowanie się na atak DDoS ma opłakane skutki finansowe jak i wizerunkowe dla każdej firmy. Nie ma co liczyć na odszkodowanie, ponieważ zdolność finansowa rodziców jest tak skromna, że nie pokryje nawet małej kampanii marketingowej – odbudowującej wizerunek firmy.

Nieprzygotowanie się na atak DDoS może spowodować duże problemy, nawet dużym operatorom ISP, a co dopiero małym i średnim firmom. Dlatego warto o tym pomyśleć zanim atak DDoS zawita na progu łączy internetowych twojej firmy. Im mniejsze łącze internetowe tym łatwiej i taniej sprawić problemy. Kto zapewni, że jutro polscy gimnazjaliści nie wpadną na pomysł podobny do ich holenderskich kolegów i nie zamówią oraz opłacą atak DDoS na twoją firmę czy sklep internetowy? A wszystko po to, aby zaszantażować firmę-ofiarę i spróbować przymusić ją do zapłaty okupu.

I co z tego, że policja jest w stanie ująć sprawców, skoro utrata klientów i przychodu jest nieodwracalna, a straty finansowe realne i łatwo policzalne. Nawet nie ma widoków na rekompensatę, bo rodzice w Polsce nie będą w stanie spłacić szkód jakie wyrządzą ich pociechy. Warto pomyśleć o ochronie DDoS wcześniej i oszczędzić kłopotów swojej firmie, a także nieświadomym rodzicom.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Bezpieczeństwo IT
Ataki DDoS i VoIP, czyli koniec gadania przez Internet
Bezpieczeństwo IT
Ataki DDoS w realnym świecie (ANTYWEB)
   /   Bezpieczeństwo IT   /   Atak DDoS a odpowiedzialność rodzicielska