Świątkowska: Wpadka MON ws cyberwirusa to nie przypadek

18 listopada 2013, 15:12 Bezpieczeństwo

KOMENTARZ

Joanna Świątkowska

Instytut Kościuszki

W następstwie publikacji portalu niebezpiecznik.pl, dotyczącej zamówienia przez MON wirusa wojskowego zdolnego do obrony teleinformatycznych systemów krajowych, ale przede wszystkim do ataku na systemy zagranicznych podmiotów, przetoczyła się absolutnie zasłużona fala krytyki dotycząca publicznego ujawniania informacji o tak newralgicznych działaniach państwa.

Celem niniejszego tekstu jest jednak potraktowanie „wpadki” MON jako punktu wyjścia do głębszej analizy dotyczącej działań ofensywnych w cyberprzestrzeni. Ujawnienie informacji o zakupie wirusa jest tylko jednym z problemów jakie zauważyć można w polskim myśleniu o cyberbezpieczeństwie.

Dyskusja na temat militaryzacji cyberprzestrzeni odbywa się na dwóch płaszczyznach, mniej i bardziej kontrowersyjnej. Pierwsza dotyczy działań defensywnych związanych z ochroną własnych systemów teleinformatycznych. W tym przypadku panuje zgoda co do konieczności podejmowania przez państwa działań służących budowaniu bezpieczeństwa.  Różnica poglądów występuje w kontekście działań ofensywnych. Na tym tle pojawiają się wątpliwości m.in. co do prawomocności prowadzenia takich działań, czy też istnienia możliwych konfliktów na linii bezpieczeństwo – prawa i wolności obywateli. Z uwagi na powyższe oraz inne ograniczenia (głównie natury technicznej), nie wszystkie państwa decydują się na rozwijanie ofensywnych zdolności.

Informacja o polskich działaniach związanych z budowaniem potencjału umożliwiającego przeprowadzenie ataku, jest jednoznacznym sygnałem, że nasz kraj decyduje się dołączyć do tych podmiotów, które nie będą myślały wyłącznie o biernej obronie. Z punktu widzenia zapewniania bezpieczeństwa decyzję tę należy ocenić jednoznacznie pozytywnie. Współcześnie nie ma bowiem mowy o budowaniu efektywnej obrony bez zdolności ofensywnych. Niestety informacje ujawnione przez portal niebezpiecznik.pl każą zastanowić się nad sposobem realizacji tych działań.

Przede wszystkim, samo stworzenie lub pozyskanie „cyberbroni” winno być traktowane jako ukoronowanie całego procesu budowania potencjału ofensywnego. Zanim pozyskamy narzędzia, musimy mieć koncepcję tego jak i kiedy go użyć oraz kto powinien być wykonawcą ataku. Polska powinna zatem zacząć od zbudowania solidnej doktryny dla działań w cyberprzestrzeni.

Powinno zostać bardzo jasno określone kto podejmuje decyzje o rozpoczęciu ataku, oraz kto będzie go realizował. Czy w Polsce istnieją odpowiednie procedury oraz kompetentne podmioty? Wiemy, że od 2010 r. działalność prowadzi Centrum Bezpieczeństwa Cybernetycznego w Białobrzegach. Zakres działań tego podmiotu jest tajny, jednak według słów podsekretarza stanu w MON organizacja ta nie prowadzi aktywnych działań obronnych w sieciach resortu. Tym bardziej należy wątpić aby to ten podmiot realizował zadania ofensywne. Prawdą jest, że dokument  Wizja Sił Zbrojnych 2030 mówi o utworzeniu wojsk informacyjnych zdolnych do przeprowadzania ataku, ale utworzenie owych wojsk to kwestia przyszłości.

Kolejną kwestią jest podjęcie decyzji czy broń cybernetyczna winna być stosowana w ramach osiągania celów strategicznych czy też taktycznych lub operacyjnych. To determinuje wybór o większej centralizacji lub decentralizacji podejmowania decyzji związanych z przeprowadzaniem ataku, ale przede wszystkim wpływa na dobór narzędzi. Kwestie te należy zatem rozstrzygnąć przed kompletowaniem fragmentów uzbrojenia.

Zdolności ofensywne pełnią bardzo ważną funkcję odstraszającą. Potencjalni przeciwnicy winni mieć świadomość, na temat możliwości państwa do przeprowadzania ataku. Jest jednak rzeczą absolutnie kluczową, aby nie pozyskiwali oni owej wiedzy w wyniku niedopatrzenia czy błędu (jak to miało miejsce w omawianym przypadku), lecz w wyniku oficjalnej deklaracji możliwie najwyższych państwowych decydentów. Wtedy to informacja taka nabiera należytej powagi i ma szansę przynieść zamierzony skutek. Wiąże się to także z transparentnością działań. Nawet jeśli podniesione we wcześniejszym akapicie problemy są rozwiązane na gruncie Polskich Sił Zbrojnych, to pewne ogólne, systemowe decyzje powinny być podane do publicznej wiadomości. Przykładowo, jeśli istnieje podmiot, który jest dedykowany do pełnienia misji ofensywnych w cyberprzestrzeni, lub jeśli istnieje odpowiednia doktryna, to nasi przeciwnicy powinni mieć tego świadomość. To dodatkowa szansa na możliwość zadziałania mechanizmu odstraszania.

Zamiar budowania potencjału ofensywnego, musi iść w parze z decyzją dotyczącą tego, kto rozwijał będzie potencjał technologiczny w tym tworzenie potrzebnych narzędzi. W tym przypadku zdecydowano się na zakup wirusa od podmiotów komercyjnych. Jest to jedna z możliwych opcji, jednak dalece mocniej rekomendować należy stworzenie specjalnego podmiotu dedykowanego do stałego rozwijania naszych krajowych zdolności. Przykładem może być tutaj amerykańska Agencja Zaawansowanych Obronnych Projektów Badawczych (DARPA) – podmiot, którego zadaniem jest rozwijanie szeroko rozumianych technologii wojskowych. Jedno z sześciu istniejących w ramach Agencji biur programowych dedykowane jest działaniom związanym głównie z cyberprzestrzenią. Warto rozważyć powołanie do życia podobnego zespołu ekspertów i specjalistów w Polsce. Jego istnienie, poza tworzeniem odpowiednich technologii, mogłoby umożliwić także przeprowadzanie bardzo pożądanych działań związanych z eksperymentowaniem oraz symulacjami. Użycie broni ofensywnej wiąże się z wieloma trudnościami. Należą do nich m.in. umiejętność przewidzenia efektów cyberataków, planowanie ich skutecznego przeprowadzenia w obliczu dynamiki środowiska w jakim mają miejsce. Jednym z zadań omawianego podmiotu mogłoby być stworzenie platformy, która pozwalałby na testowanie różnych działań.

Kolejnym obszarem jaki implikuje podjęcie decyzji o budowaniu ofensywnych zdolności, to konieczność przeanalizowania wszystkich politycznych aspektów i konsekwencji takich działań. Czy Polska jest przygotowana na fakt, że ewentualne podjecie decyzji o ataku może spotkać się z politycznymi ryzykami, a przede wszystkim eskalacją konfliktu? Czy jeśli działania ofensywne mają pełnić funkcje odwetowe, to czy jesteśmy gotowi na rozwiązanie problemu atrybucji (ustalenia rzeczywistego autora ataku), co wiąże się nie tylko wyłącznie z zadaniami technicznym? Czy mamy ustalone „progi”, które uruchomią odpowiedź ofensywną? Decydenci muszą liczyć się z tymi i innymi wyzwaniami, a brak jest w Polsce publicznej dyskusji w tym temacie.

Niestety, błąd MON w postaci lekkomyślnego upublicznienia specyfikacji dotyczących zakupu wirusa, to nie jedyny problem. W Polsce brakuje systemowego podejścia do militarnych działań w cyberprzestrzeni. Nie można traktować ich wyrywkowo, chaotycznie i bez podejmowania dużo bardziej kompleksowych decyzji i działań. Wyżej zasygnalizowane problemy, to wyłącznie początek całego spektrum kwestii, którymi należy w Polsce się zająć.

Źródło: Salon24.pl