Cyberwojna już trwa

Zastępca sekretarza obrony USA, William J. Lynn III, w artykule "Defending a New Domain", opublikowanym jakiś czas temu na łamach "Foreign Affairs", pisze, że ponad sto agencji wywiadowczych nieustannie próbuje włamać się do sieci teleinformatycznych Stanów Zjednoczonych.

Obecnie wszystkie państwa NATO traktują kwestię cyberobrony bardzo poważnie, czego dowodem jest chociażby odniesienie się do niej w nowej koncepcji strategicznej Sojuszu Północnoatlantyckiego ogłoszonej w Lizbonie.

Również w Polsce rośnie świadomość zagrożenia wojną w cyberprzestrzeni. Nieżyjący już szef Sztabu Generalnego WP generał Franciszek Gągor wielokrotnie odnosił się w swoich wystąpieniach do wyzwań, jakie niesie ze sobą nowy wymiar przestrzeni konfliktu - wymiar cybernetyczny. Po raz ostatni mówił o tym zaledwie kilka tygodni przed swoją tragiczną śmiercią w wywiadzie dla portalu Stosunki.pl. Stwierdził wtedy, że "zagrożenia w przestrzeni teleinformatycznej i tak zwana cyberwojna stają się zagrożeniem dla wszystkich krajów i armii sojuszu".

Zastanówmy się więc nad istotą problemu, czyli nad tym, jakie niebezpieczeństwa niesie za sobą ten nowy wymiar konfliktów? Przyjrzyjmy się również działaniom sojuszu w tej kwestii.

Co odróżnia cyberwojny od typowych działań wojennych?

Po pierwsze, nie są one działaniami zbrojnymi sensu stricto, choć ich rezultaty mogą być równie niszczące jak w klasycznej wojnie. W czasach, kiedy informacja, jej obieg i analiza stały się kluczowym aspektem działania struktur narodowych i międzynarodowych, a internet jest wręcz środowiskiem, w którym zarówno państwa, jak i organizacje w coraz większym stopniu i w coraz bardziej złożony sposób funkcjonują i współdziałają ze sobą, atak w sieci niesie za sobą realne zagrożenie dla fizycznie istniejących struktur i obiektów, takich jak infrastruktura obronna, przemysłowa czy energetyczna. Innymi słowy - wojna w przestrzeni cybernetycznej może prowadzić do zniszczeń rzeczywistych.

W przypadku cyberwojny często wymyka się on narzędziom określającym jego tożsamość - może być to zarówno komórka jakiejś organizacji (i w strukturach narodowych, i międzynarodowych), jak i grupka osób znajdujących się poza wszelkimi tego typu strukturami, które są ze sobą luźno powiązane i współpracują w różnych konfiguracjach, a ich celem jest atak.

Dodatkowym czynnikiem komplikującym identyfikację jest internet sam w sobie. Atakujący mogą prowadzić działania nie bezpośrednio ze swoich komputerów, ale poprzez sieć "maszyn zombie", czyli urządzeń zainfekowanych uprzednio programami czyniącymi z nich narzędzia ataku bez wiedzy ich użytkowników. Zlokalizowanie takiej maszyny przestaje tu mieć znaczenie z punktu widzenia obrońcy - prawdziwy przeciwnik często kryje się za siecią połączeń pomiędzy maszynami i dotarcie do źródła ataku staje się niezwykle trudne, a nawet niemożliwe.

Cyberzagrożenie również wymaga osobnego określenia, choć jest w jakimś stopniu pochodną przedstawionej już definicji cyberwojny. Może zakłócić funkcjonowanie systemów informatycznych państwa, organizacji narodowej lub międzynarodowej. Bezpośrednio ma na celu właśnie zakłócenie ich działania, pośrednio natomiast powoduje zakłócenia lub paraliż samego systemu informatycznego. Warto dodać, że przez zakłócenie działania rozumie się nie tylko spowodowanie problemów w systemie, lecz także jego wykorzystanie niezgodnie z intencją użytkownika, w tym wykradanie lub fałszowanie informacji i danych.

W przedstawionej niedawno w Lizbonie nowej koncepcji strategicznej sojuszu stwierdzono, że "ataki w cyberprzestrzeni stają się coraz częstsze, lepiej zorganizowane i przy noszą coraz więcej szkód administracji rządowej, przemysłowi, gospodarce oraz potencjalnie również sieci transportowej, logistycznej i innym ważnym elementom infrastruktury. Mogą one również stanowić zagrożenie dla dobrobytu, bezpieczeństwa i stabilności poszczególnych państw oraz całego obszaru euroatlantyckiego.

Siły zbrojne innych państw, organizacje kryminalne, grupy terrorystyczne lub ekstremistyczne mogą być źródłem tych ataków. NATO musi więc w dalszym ciągu rozwijać możliwości przeciwdziałania, wykrywania, obrony i zwalczania skutków cyberataków, w tym poprzez lepszą integrację sojuszników w ramach procesów planowania NATO, rozwój zdolności operacyjnych w odniesieniu do cyberprzestrzeni, współpracę międzysojuszniczą na rzecz poprawy narodowych zdolności obrony przed zagrożeniami w cyberprzestrzeni oraz większej świadomości zagrożeń cybernetycznych w NATO, systemów ostrzegania i reagowania państw sojuszniczych". Nowa koncepcja pośrednio dotyka również obszaru cyberobrony, wskazując nie tylko na konieczność rozwoju technologii, lecz także na utrzymanie przewagi technologicznej i informacyjnej nad potencjalnymi przeciwnikami.

Już dziś funkcjonuje, akredytowane przez NATO w 2008 roku w Tallinie, Centrum Doskonalenia Cyberobrony (Cooperative Cyber Defense Centre of Excellence, CCD CoE). Instytucja ta analizuje bieżące tendencje, kwestie prawne oraz wyzwania związane z szeroko pojętymi zagrożeniami i obroną w cyberprzestrzeni. Organizuje też ćwiczenia oraz prowadzi prace koncepcyjne, konferencje i kursy specjalistyczne, poprawiające zdolności sojuszu do przeciwdziałania cyberzagrożeniom. W pracach centrum, oprócz Estonii jako państwa ramowego, biorą również udział przedstawiciele Hiszpanii, Litwy, Łotwy, Niemiec, Słowacji, Włoch i USA.

Wiele państw członkowskich NATO rozwija i wdraża własne rozwiązania jeśli chodzi o zwalczanie cyberzagrożeń. Szczególne miejsce zajmują tu USA. Funkcjonują tam między innymi centra ich zwalczania na szczeblu rodzajów sił zbrojnych. Ostatnio utworzono na przykład US Cyber Command (CYBERCOM), które ma za zadanie koordynować działania na szczeblu narodowym. Szef centrum, a jednocześnie dyrektor Narodowej Agencji Obrony (National Security Agency, NSA) określił trzy podstawowe funkcje nowej struktury: ochronę informacji związanych z obronnością, wykonywanie całego spektrum operacji obronnych oraz gotowość do obrony swobodnego działania w cyberprzestrzeni.

Dowództwo ma również za zadanie prowadzić rutynowe działania obronne, obejmujące wojskowe sieci teleinformatyczne, wsparcie misji bojowych i antyterrorystycznych, a także pomoc administracjom rządowym oraz władzom cywilnym i ich partnerom przemysłowym.

Amerykański Departament Obrony zwrócił się do NATO oraz Wielkiej Brytanii, Kanady i Australii z propozycją współpracy w obronie przed cyberzagrożeniami, w tym ze strony tak zwanych państw zbójeckich (rogue states), grup terrorystycznych, przestępczych i zwykłych hakerów.

Przeprowadzone przez USA w sierpniu 2010 roku ćwiczenia "Cyber Storm 3", mające na celu przetestowanie systemu reagowania na cyberzagrożenia, dotyczyły również możliwej współpracy między rządem USA a przedstawicielami przemysłu w obliczu tego typu problemów. W ćwiczeniach wzięły udział komórki władz federalnych i stanowych, przedstawiciele przemysłu oraz partnerzy międzynarodowi.

Cyberprzestrzeń to gwałtownie rozwijający się nowy obszar obronności, w którym mogą decydować się przyszłe konflikty międzynarodowe. Jego asymetryczność sprawia, że nawet niewielka, dobrze zorganizowana, choć niekoniecznie mająca sformalizowane struktury grupa hakerów, terrorystów czy przestępców będzie w stanie stworzyć realne zagrożenie nie tylko dla pojedynczego państwa, lecz także dla organizacji międzynarodowych.

Clausewitzowska "mgła wojny" jest wyjątkowo gęsta w cyberprzestrzeni. Samotnie nie są w stanie jej rozwiać żadne siły zbrojne któregokolwiek z państw. Tym większego znaczenia nabiera więc współpraca międzynarodowa, już nie tyle pomiędzy siłami zbrojnymi, ile głównie na styku szeroko rozumianych środowisk zajmujących się obronnością i bezpieczeństwem na poziomie administracji państwowych, przemysłu, świata nauki i globalnej gospodarki.

Na początku lat dziewięćdziesiątych ubiegłego stulecia mogliśmy mówić o efekcie CNN, czyli o wpływie mediów na przebieg konfliktu zbrojnego. Tak zwany strategiczny żołnierz, pokazany we "właściwym czasie" przez globalne media mógł zdecydować o poparciu społecznym dla danej operacji, a przez to o jej wyniku. Dziś można pokusić się o stwierdzenie, że "strategiczny komputer", który zaatakuje we "właściwym czasie" "właściwym programem", może przesądzić o wyniku ewentualnej wojny w cyberprzestrzeni, a przez to - również w tak zwanym realu. Dlatego już teraz trzeba przedsięwziąć działania, aby takiej niekorzystnej z punktu widzenia światowego bezpieczeństwa sytuacji zapobiec.

4 lipca 2009 - ataki skierowane przeciwko serwerom Korei Południowej i Stanów Zjednoczonych (między innymi strony Departamentu Skarbu USA, Departamentu Transportu USA oraz Federalnej Komisji Handlu) mające na celu ich zablokowanie, zostawiły ślady prowadzące do 16 krajów;

21 kwietnia 2009 - szpieg komputerowy włamywał się przez ponad dwa lata do projektu samolotu F-35 Joint Strike Fighter - skopiował i wyprowadził kilka terabajtów danych związanych z projektem i systemami elektronicznymi;

lipiec-sierpień 2009 i w jego trakcie - przed konfliktem gruzińsko-rosyjskim zmasowane i skoordynowane ataki przeprowadzone przez Rosyjskich Nacjonalistów powodowały przeładowanie gruzińskich serwerów i blokowały je;

kwiecień-maj 2007 - hakerzy użyli botnetów, czyli sieci komputerów zombi, aby zablokować dostęp do stron rządowych i bankowych Estonii podczas dyskusji na temat przesunięcia rosyjskiego pomnika ofiar Związku Radzieckiego w czasie II wojny światowej w Tallinie.

Wojskowe systemy teleinformatyczne są podzielone w zależności od tego, jaką klauzulą są oznaczone przetwarzane czy przesyłane informacje. Aby zapewnić należyty poziom ochrony, część z nich wydzielono z sieci publicznej, czyli odseparowano od internetu, dostęp do niego chroni zaś stosunkowo bezpieczna sieć INTERMON, która nie przechowuje żadnych informacji o strategicznym znaczeniu i jako potencjalny cel ataku lub źródło wycieku nie jest zagrożeniem. Niemniej jednak ona także stanowi szczególny obszar zainteresowania służb odpowiedzialnych za bezpieczeństwo teleinformatyczne sił zbrojnych.

Odnotowano wiele prób włamania się do zasobów znajdujących się w sieci INTERMON. Ze stosunkowo dużym prawdopodobieństwem można ustalić kierunki, z których nastąpił atak, ale jak dotąd nie można zidentyfikować źródła, choć jest to kwestią czasu.

W systemach zarządzających bazami danych zdarzają się incydenty, ale są związane głównie ze złośliwym oprogramowaniem. Dzięki zastosowaniu centralnych systemów ochrony antywirusowej zostają one jednak wykryte, poddane szczegółowej analizie i wyeliminowane.

Dyplomatyczni listonosze działają od wieków. W latach sześćdziesiątych ich status oraz prawa zostały zdefiniowane w konwencji wiedeńskiej o stosunkach dyplomatycznych. Dokument ten określa, że kurier podczas wykonywania misji ma immunitet i korzysta z nietykalności osobistej oraz nie może być aresztowany lub zatrzymany. Kurier dyplomatyczny powinien być zaopatrzony w urzędowy dokument określający jego funkcję i liczbę przesyłek.

Nietykalna jest również wszelka korespondencja urzędowa oraz bagaż, który taki człowiek przewozi. Przesyłki stanowiące pocztę dyplomatyczną powinny mieć pieczęcie placówki lub rządu odciśnięte w wosku, metalu bądź tworzywie sztucznym. W czasach walki z terrorem na wielu lotniskach nawet przesyłki dyplomatyczne są jednak badane przez wyszkolone psy na obecność narkotyków lub materiałów wybuchowych.

Kurierzy podróżują najczęściej samolotami, wnoszą cenną przesyłkę na pokład jako nierejestrowany podręczny bagaż w niewielkiej walizce przypiętej do przegubu ręki specjalnymi kajdankami. Bywa jednak, że poczta dyplomatyczna jest o wiele większa od walizki. Wówczas można ją przewozić w luku samolotu. W takiej sytuacji kurier musi być cały czas obecny przy załadunku i wyładunku bagażu i odpowiada za jego przewóz.

Generał Mieczysław Bieniek, zastępca dowódcy strategicznego NATO do spraw transformacji w Sojuszniczym Dowództwie Transformacyjnym NATO w Norfolk (USA)