Cyberwojna już trwa

Sygnałem decydującym stały się wydarzenia z kwietnia 2007 roku, kiedy to Estonia, państwo, w którym większość spraw - od codziennych wizyt w urzędach, po głosowanie w wyborach - można załatwić on-line, padło ofiarą ataku hakerów. Podobna sytuacja miała miejsce również w Gruzji, w roku 2008, czyli tuż po wybuchu konfliktu z separatystyczną republiką Abchazji, której walka o niezależność była popierana przez Federację Rosyjską.

Choć te dwa wydarzenia, z racji swojej spektakularności, przesądziły o zajęciu się przez NATO kwestią ataków cybernetycznych, to trzeba pamiętać, że nie mniej niebezpieczne ataki zdarzają się w większości zaawansowanych technologicznie państw. Są to akcje wymierzone nie tylko w infrastrukturę obronną czy rządową, lecz także np. w firmy zbrojeniowe.

Zastępca sekretarza obrony USA, William J. Lynn III, w artykule "Defending a New Domain", opublikowanym jakiś czas temu na łamach "Foreign Affairs", pisze, że ponad sto agencji wywiadowczych nieustannie próbuje włamać się do sieci teleinformatycznych Stanów Zjednoczonych.

Obecnie wszystkie państwa NATO traktują kwestię cyberobrony bardzo poważnie, czego dowodem jest chociażby odniesienie się do niej w nowej koncepcji strategicznej Sojuszu Północnoatlantyckiego ogłoszonej w Lizbonie.

Również w Polsce rośnie świadomość zagrożenia wojną w cyberprzestrzeni. Nieżyjący już szef Sztabu Generalnego WP generał Franciszek Gągor wielokrotnie odnosił się w swoich wystąpieniach do wyzwań, jakie niesie ze sobą nowy wymiar przestrzeni konfliktu - wymiar cybernetyczny. Po raz ostatni mówił o tym zaledwie kilka tygodni przed swoją tragiczną śmiercią w wywiadzie dla portalu Stosunki.pl. Stwierdził wtedy, że "zagrożenia w przestrzeni teleinformatycznej i tak zwana cyberwojna stają się zagrożeniem dla wszystkich krajów i armii sojuszu".

Zastanówmy się więc nad istotą problemu, czyli nad tym, jakie niebezpieczeństwa niesie za sobą ten nowy wymiar konfliktów? Przyjrzyjmy się również działaniom sojuszu w tej kwestii.

Wojna w przestrzeni cybernetycznej, czy też cyberwojna, to świadome i celowe działanie ze strony państw lub organizacji, w tym organizacji terrorystycznych, mające na celu zakłócenie działania lub zniszczenie struktur zarządzania innego państwa bądź organizacji i stworzenie sytuacji, w której zdolność obronna przeciwnika zostanie zredukowana w stopniu uniemożliwiającym skuteczne funkcjonowanie i przeciwdziałanie innym formom działań wojennych.

Co odróżnia cyberwojny od typowych działań wojennych?

Po pierwsze, nie są one działaniami zbrojnymi sensu stricto, choć ich rezultaty mogą być równie niszczące jak w klasycznej wojnie. W czasach, kiedy informacja, jej obieg i analiza stały się kluczowym aspektem działania struktur narodowych i międzynarodowych, a internet jest wręcz środowiskiem, w którym zarówno państwa, jak i organizacje w coraz większym stopniu i w coraz bardziej złożony sposób funkcjonują i współdziałają ze sobą, atak w sieci niesie za sobą realne zagrożenie dla fizycznie istniejących struktur i obiektów, takich jak infrastruktura obronna, przemysłowa czy energetyczna. Innymi słowy - wojna w przestrzeni cybernetycznej może prowadzić do zniszczeń rzeczywistych.

Po drugie, cyberzagrożenia redefiniują nasze dotychczasowe myślenie o przeciwniku i jego właściwe określenie. W przypadku klasycznego konfliktu zbrojnego sprawa jest względnie prosta. Przeciwnik ma swoją tożsamość, jest umiejscowiony geograficznie, kulturowo i politycznie. Można powiedzieć, że istnieje fizycznie.

W przypadku cyberwojny często wymyka się on narzędziom określającym jego tożsamość - może być to zarówno komórka jakiejś organizacji (i w strukturach narodowych, i międzynarodowych), jak i grupka osób znajdujących się poza wszelkimi tego typu strukturami, które są ze sobą luźno powiązane i współpracują w różnych konfiguracjach, a ich celem jest atak.

Dodatkowym czynnikiem komplikującym identyfikację jest internet sam w sobie. Atakujący mogą prowadzić działania nie bezpośrednio ze swoich komputerów, ale poprzez sieć "maszyn zombie", czyli urządzeń zainfekowanych uprzednio programami czyniącymi z nich narzędzia ataku bez wiedzy ich użytkowników. Zlokalizowanie takiej maszyny przestaje tu mieć znaczenie z punktu widzenia obrońcy - prawdziwy przeciwnik często kryje się za siecią połączeń pomiędzy maszynami i dotarcie do źródła ataku staje się niezwykle trudne, a nawet niemożliwe.

Zatem, choć przedstawiona definicja cyberwojny wydaje się względnie prosta, to prostota ta jest zwodnicza i musi być przez ewentualnego obrońcę traktowana z najwyższą ostrożnością - cyberwojna to zupełnie nowy wymiar konfliktu zbrojnego, wymagający dużo bardziej elastycznego i złożonego podejścia.

Cyberzagrożenie również wymaga osobnego określenia, choć jest w jakimś stopniu pochodną przedstawionej już definicji cyberwojny. Może zakłócić funkcjonowanie systemów informatycznych państwa, organizacji narodowej lub międzynarodowej. Bezpośrednio ma na celu właśnie zakłócenie ich działania, pośrednio natomiast powoduje zakłócenia lub paraliż samego systemu informatycznego. Warto dodać, że przez zakłócenie działania rozumie się nie tylko spowodowanie problemów w systemie, lecz także jego wykorzystanie niezgodnie z intencją użytkownika, w tym wykradanie lub fałszowanie informacji i danych.

Aspektem zdecydowanie odróżniającym zagrożenie cybernetyczne od innych rodzajów niebezpieczeństw jest jego powszechność - często pojedynczy komputer czy niewielka sieć teleinformatyczna okazują się nie lada problemem dla systemu całego państwa. Tak było prawdopodobnie w przypadku Estonii, gdzie winę za atak przypisano niewielkiej grupie hakerów. Jednocześnie należy pamiętać, że zainfekowanie pojedynczej maszyny funkcjonującej w sieci może być jednoznaczne z atakiem na całą sieć i organizację, w której ta maszyna funkcjonuje.

Dopiero na podstawie tych definicji można pokusić się o sprecyzowanie pojęcia cyberobrona. Jest więc to obrona przed atakami i zagrożeniami w cyberprzestrzeni, obejmującą działania prewencyjne mające na celu minimalizację skutków działań już przeprowadzonych oraz bezpośrednie przeciwdziałanie atakom i zagrożeniom w czasie rzeczywistym. To obszar, na którym skupia się dziś większość prac i działań przedsięwziętych przez NATO oraz państwa sojusznicze.

W przedstawionej niedawno w Lizbonie nowej koncepcji strategicznej sojuszu stwierdzono, że "ataki w cyberprzestrzeni stają się coraz częstsze, lepiej zorganizowane i przy noszą coraz więcej szkód administracji rządowej, przemysłowi, gospodarce oraz potencjalnie również sieci transportowej, logistycznej i innym ważnym elementom infrastruktury. Mogą one również stanowić zagrożenie dla dobrobytu, bezpieczeństwa i stabilności poszczególnych państw oraz całego obszaru euroatlantyckiego.

Siły zbrojne innych państw, organizacje kryminalne, grupy terrorystyczne lub ekstremistyczne mogą być źródłem tych ataków. NATO musi więc w dalszym ciągu rozwijać możliwości przeciwdziałania, wykrywania, obrony i zwalczania skutków cyberataków, w tym poprzez lepszą integrację sojuszników w ramach procesów planowania NATO, rozwój zdolności operacyjnych w odniesieniu do cyberprzestrzeni, współpracę międzysojuszniczą na rzecz poprawy narodowych zdolności obrony przed zagrożeniami w cyberprzestrzeni oraz większej świadomości zagrożeń cybernetycznych w NATO, systemów ostrzegania i reagowania państw sojuszniczych". Nowa koncepcja pośrednio dotyka również obszaru cyberobrony, wskazując nie tylko na konieczność rozwoju technologii, lecz także na utrzymanie przewagi technologicznej i informacyjnej nad potencjalnymi przeciwnikami.

Problematyka cyberobrony zajmuje więc poczesne miejsce w koncepcji, co jest wyraźnym odbiciem wagi, jaką sojusz przywiązuje do tej sprawy. Można śmiało stwierdzić, że również w przyszłości będzie ona nabierała znaczenia, zarówno w procesie planowania, jak i w codziennych działaniach NATO, nie tylko na szczeblu operacyjnym, lecz także w odniesieniu do kwestii technologicznych i proceduralnych.

Już dziś funkcjonuje, akredytowane przez NATO w 2008 roku w Tallinie, Centrum Doskonalenia Cyberobrony (Cooperative Cyber Defense Centre of Excellence, CCD CoE). Instytucja ta analizuje bieżące tendencje, kwestie prawne oraz wyzwania związane z szeroko pojętymi zagrożeniami i obroną w cyberprzestrzeni. Organizuje też ćwiczenia oraz prowadzi prace koncepcyjne, konferencje i kursy specjalistyczne, poprawiające zdolności sojuszu do przeciwdziałania cyberzagrożeniom. W pracach centrum, oprócz Estonii jako państwa ramowego, biorą również udział przedstawiciele Hiszpanii, Litwy, Łotwy, Niemiec, Słowacji, Włoch i USA.

To zupełnie nowa jakość w traktowaniu tej kwestii przez sojusz. Daje ona asumpt do stwierdzenia, że choć NATO i jego państwa członkowskie są dopiero na początku drogi wiodącej do zapewnienia im bezpieczeństwa cybernetycznego, to dynamika działań w tej sprawie w stosunkowo krótkim czasie przyniesie znaczącą poprawę zdolności i możliwości przeciwdziałania, zwalczania oraz usuwania skutków cyberzagrożeń.

Wiele państw członkowskich NATO rozwija i wdraża własne rozwiązania jeśli chodzi o zwalczanie cyberzagrożeń. Szczególne miejsce zajmują tu USA. Funkcjonują tam między innymi centra ich zwalczania na szczeblu rodzajów sił zbrojnych. Ostatnio utworzono na przykład US Cyber Command (CYBERCOM), które ma za zadanie koordynować działania na szczeblu narodowym. Szef centrum, a jednocześnie dyrektor Narodowej Agencji Obrony (National Security Agency, NSA) określił trzy podstawowe funkcje nowej struktury: ochronę informacji związanych z obronnością, wykonywanie całego spektrum operacji obronnych oraz gotowość do obrony swobodnego działania w cyberprzestrzeni.

CYBERCOM ma za zadanie koordynować działania związane z cyberzagrożeniami nie tylko na poziomie sił zbrojnych, lecz także w skali całego kraju. Dlatego też, oprócz wspomnianej wcześniej współpracy ze strukturami odpowiedzialnymi za działalność w cyberprzestrzeni w rodzajach sił zbrojnych, CYBERCOM współpracuje również ze strukturami federalnymi, takimi jak FBI, CIA czy, a może przede wszystkim, Homeland Security Department. Współpraca ta obejmuje nie tylko wymianę informacji, lecz także personelu, tak by stworzyć wspólne i spójne struktury ramowe do walki w cyberprzestrzeni. Ponadto podejmuje on kroki w kierunku zacieśnienia współpracy z przedstawicielami komórek zwalczających cyberzagrożenia, będących elementami struktur międzynarodowych, takich jak UE, lub narodowych, zarówno w krajach NATO, jak i innych państwach partnerskich USA.

Dowództwo ma również za zadanie prowadzić rutynowe działania obronne, obejmujące wojskowe sieci teleinformatyczne, wsparcie misji bojowych i antyterrorystycznych, a także pomoc administracjom rządowym oraz władzom cywilnym i ich partnerom przemysłowym.

Amerykański Departament Obrony zwrócił się do NATO oraz Wielkiej Brytanii, Kanady i Australii z propozycją współpracy w obronie przed cyberzagrożeniami, w tym ze strony tak zwanych państw zbójeckich (rogue states), grup terrorystycznych, przestępczych i zwykłych hakerów.

Przeprowadzone przez USA w sierpniu 2010 roku ćwiczenia "Cyber Storm 3", mające na celu przetestowanie systemu reagowania na cyberzagrożenia, dotyczyły również możliwej współpracy między rządem USA a przedstawicielami przemysłu w obliczu tego typu problemów. W ćwiczeniach wzięły udział komórki władz federalnych i stanowych, przedstawiciele przemysłu oraz partnerzy międzynarodowi.

Najbliższe lata, jeśli nie miesiące, przyniosą kolejne przykłady działań narodowych i międzynarodowych w dziedzinie zwalczania cyberzagrożeń. Choć, na szczęście, nie możemy jeszcze mówić o wybuchu cyberwojny, to z podanych przykładów widać wyraźnie, jak duża jest skala zagrożeń i jak poważnie są one traktowane przez NATO, UE czy państwa sojusznicze. Oczywiście, działania mające na celu zwalczanie cyberzagrożeń są podejmowane również przez inne zaawansowane technologicznie państwa, takie jak na przykład Federacja Rosyjska czy Chińska Republika Ludowa. W artykule, siłą rzeczy, skupiłem się na obszarze euroatlantyckim, który z punktu widzenia Polski jest najistotniejszy.

Cyberprzestrzeń to gwałtownie rozwijający się nowy obszar obronności, w którym mogą decydować się przyszłe konflikty międzynarodowe. Jego asymetryczność sprawia, że nawet niewielka, dobrze zorganizowana, choć niekoniecznie mająca sformalizowane struktury grupa hakerów, terrorystów czy przestępców będzie w stanie stworzyć realne zagrożenie nie tylko dla pojedynczego państwa, lecz także dla organizacji międzynarodowych.

Przeciwdziałanie i zwalczanie cyberzagrożeń wiąże się z koniecznością zupełnie innego podejścia do kwestii obrony, definiowania zagrożeń i opracowania zasad oraz procedur działania. Gwałtownie zmieniające się globalne środowisko obronne, w tym właśnie pojawienie się zupełnie nowego - cybernetycznego wymiaru konfliktu, sprawia, że obrona nabiera nowej dynamiki. W tym środowisku wszystko, począwszy od zdefiniowania przeciwnika, poprzez określenie rodzaju i celu ataku, a na rodzaju koniecznego przeciwdziałania skończywszy, wymaga wypracowania procesów, jakich nie znały do tej pory siły zbrojne żadnego z państw, bowiem szybkość reakcji będzie liczona w minutach, a czasami w sekundach. Dlatego też tak ogromnej wagi nabiera błyskawiczny dostęp do maksymalnie pełnego obrazu sytuacji i zdolność właściwej identyfikacji źródła zagrożenia.

Clausewitzowska "mgła wojny" jest wyjątkowo gęsta w cyberprzestrzeni. Samotnie nie są w stanie jej rozwiać żadne siły zbrojne któregokolwiek z państw. Tym większego znaczenia nabiera więc współpraca międzynarodowa, już nie tyle pomiędzy siłami zbrojnymi, ile głównie na styku szeroko rozumianych środowisk zajmujących się obronnością i bezpieczeństwem na poziomie administracji państwowych, przemysłu, świata nauki i globalnej gospodarki.

Na początku lat dziewięćdziesiątych ubiegłego stulecia mogliśmy mówić o efekcie CNN, czyli o wpływie mediów na przebieg konfliktu zbrojnego. Tak zwany strategiczny żołnierz, pokazany we "właściwym czasie" przez globalne media mógł zdecydować o poparciu społecznym dla danej operacji, a przez to o jej wyniku. Dziś można pokusić się o stwierdzenie, że "strategiczny komputer", który zaatakuje we "właściwym czasie" "właściwym programem", może przesądzić o wyniku ewentualnej wojny w cyberprzestrzeni, a przez to - również w tak zwanym realu. Dlatego już teraz trzeba przedsięwziąć działania, aby takiej niekorzystnej z punktu widzenia światowego bezpieczeństwa sytuacji zapobiec.

12 stycznia 2010 - Google ujawnia, że w połowie grudnia 2009 roku wykryło tajemniczy i ukierunkowany atak cybernetyczny pochodzący z Chin, który dotyczył kradzieży własności intelektualnej;

4 lipca 2009 - ataki skierowane przeciwko serwerom Korei Południowej i Stanów Zjednoczonych (między innymi strony Departamentu Skarbu USA, Departamentu Transportu USA oraz Federalnej Komisji Handlu) mające na celu ich zablokowanie, zostawiły ślady prowadzące do 16 krajów;

21 kwietnia 2009 - szpieg komputerowy włamywał się przez ponad dwa lata do projektu samolotu F-35 Joint Strike Fighter - skopiował i wyprowadził kilka terabajtów danych związanych z projektem i systemami elektronicznymi;

lipiec-sierpień 2009 i w jego trakcie - przed konfliktem gruzińsko-rosyjskim zmasowane i skoordynowane ataki przeprowadzone przez Rosyjskich Nacjonalistów powodowały przeładowanie gruzińskich serwerów i blokowały je;

kwiecień-maj 2007 - hakerzy użyli botnetów, czyli sieci komputerów zombi, aby zablokować dostęp do stron rządowych i bankowych Estonii podczas dyskusji na temat przesunięcia rosyjskiego pomnika ofiar Związku Radzieckiego w czasie II wojny światowej w Tallinie.

W 2010 roku odbyły się pierwsze ćwiczenia "Cyber Europe 2010", w których aktywny udział wzięły 22 państwa członkowskie UE (osiem innych miało status obserwatora) oraz ponad 150 ekspertów reprezentujących ponad 70 instytucji z całego kontynentu. Ćwiczenia zostały zorganizowane przez państwa EU przy współudziale Europe Network Security Agency (ENISA) i Joint Research Centre (JRC) i były symulacją ponad 320 incydentów w cyberprzestrzeni. Ich cel to między innymi poprawa wzajemnego zrozumienia zasad reagowania na zagrożenia przez państwa członkowskie UE, a także przetestowanie kanałów łączności i procedur reagowania między państwami oraz na szczeblu UE. Szczegółowy raport na temat ćwiczeń ukaże się na początku 2011 roku.

Odnotowano wiele prób ataku na zasoby znajdujące się w sieci INTERMON. Zgodnie z obowiązującym podziałem kompetencji w zakresie informatyki i łączności organem właściwym, jeśli chodzi o ochronę resortowych systemów teleinformatycznych, jest Departament Informatyki i Telekomunikacji MON.

Wojskowe systemy teleinformatyczne są podzielone w zależności od tego, jaką klauzulą są oznaczone przetwarzane czy przesyłane informacje. Aby zapewnić należyty poziom ochrony, część z nich wydzielono z sieci publicznej, czyli odseparowano od internetu, dostęp do niego chroni zaś stosunkowo bezpieczna sieć INTERMON, która nie przechowuje żadnych informacji o strategicznym znaczeniu i jako potencjalny cel ataku lub źródło wycieku nie jest zagrożeniem. Niemniej jednak ona także stanowi szczególny obszar zainteresowania służb odpowiedzialnych za bezpieczeństwo teleinformatyczne sił zbrojnych.

W resorcie obrony utworzono system reagowania na incydenty komputerowe, zarządzany przez dyrektora Departamentu Informatyki i Telekomunikacji. Dzięki bezpośredniej współpracy z rządowym centrum reagowania na incydenty komputerowe (CERT) oraz komórkami organizacyjnymi NATO jak do tej pory skutecznie dba on o bezpieczeństwo naszych systemów.

Odnotowano wiele prób włamania się do zasobów znajdujących się w sieci INTERMON. Ze stosunkowo dużym prawdopodobieństwem można ustalić kierunki, z których nastąpił atak, ale jak dotąd nie można zidentyfikować źródła, choć jest to kwestią czasu.

W systemach zarządzających bazami danych zdarzają się incydenty, ale są związane głównie ze złośliwym oprogramowaniem. Dzięki zastosowaniu centralnych systemów ochrony antywirusowej zostają one jednak wykryte, poddane szczegółowej analizie i wyeliminowane.

Gdy zawodzi najnowocześniejsza technika, najlepsze okazują się stare, sprawdzone przez wieki metody. Niewykluczone, że po zdobyciu przez portal Wiki-Leaks tysięcy stron tajnej korespondencji do łask w dyplomacji powróci znacznie powolniejsza, ale za to bezpieczniejsza metoda przesyłania dokumentów - przez kurierów. Wiele państw, w tym Polska, oczywiście do dziś z niej korzysta, internet jednak zrobił swoje.

Dyplomatyczni listonosze działają od wieków. W latach sześćdziesiątych ich status oraz prawa zostały zdefiniowane w konwencji wiedeńskiej o stosunkach dyplomatycznych. Dokument ten określa, że kurier podczas wykonywania misji ma immunitet i korzysta z nietykalności osobistej oraz nie może być aresztowany lub zatrzymany. Kurier dyplomatyczny powinien być zaopatrzony w urzędowy dokument określający jego funkcję i liczbę przesyłek.

Nietykalna jest również wszelka korespondencja urzędowa oraz bagaż, który taki człowiek przewozi. Przesyłki stanowiące pocztę dyplomatyczną powinny mieć pieczęcie placówki lub rządu odciśnięte w wosku, metalu bądź tworzywie sztucznym. W czasach walki z terrorem na wielu lotniskach nawet przesyłki dyplomatyczne są jednak badane przez wyszkolone psy na obecność narkotyków lub materiałów wybuchowych.

Kurierzy podróżują najczęściej samolotami, wnoszą cenną przesyłkę na pokład jako nierejestrowany podręczny bagaż w niewielkiej walizce przypiętej do przegubu ręki specjalnymi kajdankami. Bywa jednak, że poczta dyplomatyczna jest o wiele większa od walizki. Wówczas można ją przewozić w luku samolotu. W takiej sytuacji kurier musi być cały czas obecny przy załadunku i wyładunku bagażu i odpowiada za jego przewóz.

Generał Mieczysław Bieniek, zastępca dowódcy strategicznego NATO do spraw transformacji w Sojuszniczym Dowództwie Transformacyjnym NATO w Norfolk (USA)