EurActiv.pl: Cyberatak – współczesny wymiar zagrożenia (ROZMOWA)

28 grudnia 2016, 12:45 Cyberprzestrzeń

Najważniejszym celem, jaki powinien przyświecać naszemu krajowi w dziedzinie cyberbezpieczeństwa, jest konsolidacja aktualnie rozproszonych zdolności cybernetycznych pomiędzy służbami, instytucjami i rodzajami sił zbrojnych – uważa Wiesław Goździewicz, komandor porucznik, radca prawny w NATO Joint Force Training Centre w Bydgoszczy.

Haker Komputer

EurActiv.pl: Jakie są główne źródła cyberprzestępczości?

Wiesław Goździewicz: Zagrożenia w cyberprzestrzeni mogą mieć wiele źródeł: począwszy od indywidualnych hakerów, poprzez tzw. hacktywistów – organizacji typu Anonymous. Mnożą się też przykłady działalności hakerskiej sponsorowanej przez państwa.

W zeszłym roku na przykład zidentyfikowano grupę hakerską o nazwie „the Dukes” i dość skutecznie powiązano ją z najwyższymi urzędnikami na Kremlu. Jest to sztandarowy przykład, nazwijmy to, sponsorowanych przez państwo działań hakerskich. Można także wspomnieć o przypisaniu ataku przeciw Sony do konkretnego państwa.

Jaki kraj zaatakował firmę Sony?

Korea Północna. Korea Północna i Chiny nie kryją się z tym, że stworzyły wyspecjalizowane jednostki wojskowe do prowadzenia działań czy operacji cybernetycznych.

Są też przykłady użycia środków cybernetycznych w celu spowodowania fizycznych szkód, jak w przypadku robaka Stuxnet, użytego w latach 2008-2011 r. przeciwko irańskim wirówkom do wzbogacania uranu w Natanz. W 2013 r. w Niemczech doszło do tzw. ataku typu APT – „advanced persistent threat”. Była to bardzo skomplikowana i długotrwała metoda penetracji sieci, mająca na celu znalezienie wszystkich możliwych luk w zabezpieczeniach i ich wykorzystanie do zbierania informacji, często do szpiegostwa przemysłowego. Luki w zabezpieczeniach wykorzystano, by przejąć kontrolę nad systemami sterującymi pracą jednego z wielkich pieców hutniczych i doprowadzić do jego fizycznego uszkodzenia.

Musimy liczyć się z tym, że narzędzia cybernetyczne będą używane nie tylko jako narzędzia do szpiegostwa przemysłowego, kradzieży własności intelektualnej lub innej działalności przestępczej, ale również jako przedłużenie czy wzmocnienie typowych zdolności militarnych.

Liczymy się z tym już od lat. Dlaczego więc dopiero podczas tegorocznego szczytu NATO w Warszawie cyberprzestrzeń została uznana za kolejną — piątą — sferę prowadzenia działań wojennych – obok lądu, wody, powietrza i przestrzeni kosmicznej?

To nie jest tak, że NATO nagle teraz się obudziło. To było podejście ewolucyjne.

Pierwszy raz wspomniano o zagrożeniach cybernetycznych podczas szczytu NATO w Pradze w 2002 r. W 2006 r. w Rydze zadeklarowano, że Sojusz powinien zbudować zdolności do obrony własnych sieci przed atakami cybernetycznymi. Podczas szczytu w Lizbonie w 2010 r. Sojusz zdecydował o uwzględnieniu aspektów obrony cybernetycznej w procesie planowania operacyjnego, zarówno na potrzeby ćwiczeń, jak i realnych operacji. Przyjęta tam Koncepcja Strategiczna Sojuszu uznała ataki cybernetyczne za zagrożenie na tyle poważne, że może mieć wpływ na globalną stabilizację, bezpieczeństwo i gospodarkę.

Podczas szczytu w Walii w 2014 r. Sojusz potwierdził, że prawo międzynarodowe, w tym prawo konfliktów zbrojnych, znajduje zastosowanie do cyberprzestrzeni, a ataki cybernetyczne mogą przekroczyć próg „ataku zbrojnego” i spowodować odpowiedź w trybie artykułu 5 Traktatu waszyngtońskiego. A teraz cyberprzestrzeń została jeszcze uznana za domenę operacyjną.

Jaki będzie efekt tego ruchu?

Deklaracja o uznaniu cyberprzestrzeni za domenę operacyjną była naturalną konsekwencją decyzji, które zapadły wcześniej, przede wszystkim podczas szczytu w Newport w Walii, gdzie uznano, że w ramach cyberataków może dojść do przekroczenia progu ataku zbrojnego i odpowiedzi z artykułu 5. Sojusz musiał odpowiednio dostosować swoją doktrynę obronną, żeby móc zarówno prowadzić działania w cyberprzestrzeni, jak i za jej pośrednictwem w odpowiedzi na aktualne zagrożenia.

Jak w zakresie walki z cyberatakami prezentuje się Polska?

Bez przesady powiem, że Polska była jednym z pionierów w tej dziedzinie – drugim państwem europejskim po Estonii, które przyjęło własną strategię bezpieczeństwa cybernetycznego.

Kiedy?

W 2008 r. W 2015 r. Biuro Bezpieczeństwa Narodowego wydało Doktrynę Cyberbezpieczeństwa. Poszło w niej o krok dalej niż Sojusz i zadeklarowało, że będzie poszukiwać zdolności w zakresie zwalczania, dezorganizowania, zakłócania i niszczenia źródeł zagrożeń cybernetycznych. Pod tym względem nie mamy się czego wstydzić, przynajmniej jeżeli chodzi o doktrynę.

Czyli mamy teorię działania, a jak jest z rzeczywistą implementacją?

Problem sprowadza się do tego, jak przekuć doktrynę w realne działania. Na Forum Bezpieczeństwa Cybernetycznego w kwietniu br., minister Anna Streżyńska i minister Paweł Soloch poczynili pewne deklaracje, co daje nadzieję na to, że wkrótce zostaną podjęte stosowne kroki. Moim skromnym zdaniem najważniejszym celem, jaki powinien przyświecać naszemu krajowi w dziedzinie cyberbezpieczeństwa, a właściwie jego militarnych aspektów, powinna być konsolidacja aktualnie rozproszonych zdolności cybernetycznych.

Postulowała to Najwyższa Izba Kontroli w swoim raporcie z 2015 r. na temat bezpieczeństwa cybernetycznego państwa (kontrolę przeprowadzono między czerwcem a grudniem 2014 r.). Tam przede wszystkim krytykowano rozproszenie zdolności pomiędzy służbami, różnymi instytucjami, rodzajami sił zbrojnych itd. Jeżeli chodzi o wojsko, to oprócz Służby Kontrwywiadu Wojskowego i Służby Wywiadu Wojskowego, takie zdolności cybernetyczne funkcjonują w Narodowym Centrum Kryptologii oraz w niedawno utworzonym Centrum Operacji Cybernetycznych. W strukturach jednego resortu funkcjonują przynajmniej cztery instytucje, które się tym zajmują.

Czy zna Pan jakieś dobre praktyki w zakresie konsolidacji, które Polska mogłaby wdrożyć?

Najlepszym przykładem konsolidacji jest to, co zrobili Amerykanie, tworząc swoje dowództwo cybernetyczne – Cybercom. Było ono pewnego rodzaju ewenementem, ponieważ Amerykanie co do zasady tworzyli dowództwa ukierunkowane regionalnie: Centcom, Africom itd.

W tym przypadku obszar geograficzny zamieniono na cyberprzestrzeń, dla której postulowane jest dodatkowo utworzenie odrębnego rodzaju sił zbrojnych.

Co Pan sądzi o tym pomyśle? Działania w cyberprzestrzeni stanowią często przedłużenie zupełnie konwencjonalnych działań i sił zbrojnych.

Nawet w konwencjonalnych działaniach zbrojnych mamy dotychczas cztery rodzaje sił zbrojnych: Marynarkę Wojenną, Siły Powietrzne, Wojska Lądowe, Wojska Specjalne.

Wszystkie mają się uzupełniać nawzajem.

Właśnie o to chodzi – mają to być działania komplementarne, nie konkurencyjne.

A myśli Pan że naprawdę jest tak źle, jak mówi się w NATO? Rzekomo brakuje cyber deterrence i cyber offence, czyli możliwości cyberodstraszania, ale też działań cyberofensywnych. A może my, opinia publiczna, po prostu nie znamy szczegółów na temat istnienia czegoś takiego, aby nie ułatwiać zadania obcym służbom wywiadowczym i programistom?

Zacznijmy od tego, że Sojusz nigdy nie rozwijał zdolności ofensywnych – w żadnej z domen. Dotychczasowe wspólne programy zbrojeniowe również dotyczyły „środków nieofensywnych” – rozpoznania, transportu powietrznego, wymiany informacji, ale nigdy nie środków ofensywnych. Nie było wspólnego natowskiego programu budowy nowego czołgu czy armaty. NATO konsekwentnie trzyma się swojej strategii bycia sojuszem obronnym.

Jednocześnie, w Sojuszu nigdy nie było mowy o tym, że państwa członkowskie nie powinny rozwijać swoich własnych zdolności ofensywnych. Sojusz dla skutecznych działań obronnych potrzebuje również narzędzi ofensywnych, ale sięga w tym zakresie do zasobów państw członkowskich.

Rozdział kompetencyjny dobrze ilustruje kampania w Serbii w 1999 r.

Kampania bombardowań Serbii jak najbardziej uwzględniała działania prowadzone przy pomocy środków ofensywnych. Bombowce nie są środkami obronnymi, ale to nie były bombowce sojusznicze, tylko bombowce wydzielone przez państwa członkowskie. Natomiast w operacjach sojuszniczych wykorzystywano sojusznicze samoloty wczesnego wykrywania i ostrzegania AWACS, czy sojusznicze samoloty transportowe stacjonujące w węgierskiej bazie Papa.

Idąc za tą logiką, niektóre państwa członkowskie Sojuszu rozwinęły już ofensywne zdolności także dla cyberprzestrzeni.

Sojusz już w tej chwili nie uważa tego za „tabu” czy „bluźnierstwo”. Jeżeli będzie taka potrzeba, być może zwróci się do państw członkowskich o udostępnienie takich ofensywnych zdolności cybernetycznych na potrzeby operacji sojuszniczych.

Ale czy możemy czuć się bezpieczni? Rosja zamiast najechać na państwa bałtyckie, mogłaby po prostu zdestabilizować działanie systemów energetycznych, co wystarczyłoby do zablokowania ich możliwości nie tyle walki, ale wręcz obrony?

Takie działania Rosja już podjęła w stosunku do Estonii w 2007 r. Potem w Gruzji, w 2008 r.

Czy wiemy na pewno, że była to Rosja?

Niektóre ataki zostały przeprowadzone w sposób, który nie pozwala na łatwą atrybucję ich do Rosji. Jednak w przypadku Gruzji i Estonii nie ma wątpliwości. Źródła ataków znajdowały się w Rosji, bez względu na to, czy mowa o osobach indywidualnych, które były zaangażowane, czy było to zorganizowane przez władze państwowe. Nie ma wątpliwości, że to było w pewnym sensie sponsorowane lub przynajmniej prowokowane przez władze rosyjskie.

Jeżeli chodzi o ataki na obiekty infrastruktury krytycznej, to uważam że najlepiej scharakteryzować to tak: Rosja bardzo dba o ukrywanie śladów swojego oficjalnego zaangażowania czy zaangażowania organów państwa w tego typu operacje, co nie zmienia faktu, że były przypadki stosowania zaawansowanych narzędzi cybernetycznych. Celem było czasowe wyłączenie, bądź wręcz uszkodzenie infrastruktury elektroenergetycznej na Ukrainie, na Krymie. Takie działania już były prowadzone, tym niemniej deklaracja szczytu w Walii i teraz w Warszawie jasno daje do zrozumienia, że może to się skończyć odpowiedzią z Artykułu 5 i być może stanowi to najważniejszy środek odstraszania w tym zakresie.

Skoro jednak mówi Pan, że część ataków można przypisać Rosji, jak można stwierdzić, że są one opłacane czy zamówione przez rząd?

Właśnie nie muszą oni być opłacani czy zamówieni. Prawo międzynarodowe posługuje się tutaj pojęciem tak zwanej „efektywnej kontroli”, utrwalonym w doktrynie prawa międzynarodowego.

O tego typu działaniach można przeczytać w wersji 2.0 Podręcznika Tallińskiego (Tallinn Manual on the International Law Applicable to Cyber Warfare). Są one w dużej mierze oparte na tzw. artykułach dotyczących odpowiedzialności państw za działania stanowiące naruszenie prawa międzynarodowego. Dotyczą one działań, które nie przekroczą progu działań zbrojnych, ale stanowią naruszenie prawa międzynarodowego. Artykuły te przywoływane są w sprawie Nikaragui przeciwko Stanom Zjednoczonym dotyczącej finansowanej przez USA partyzantki Contras w Nikaragui.

Tymczasem my — obywatele — wypuszczamy do sieci coraz więcej informacji na swój temat. Nie chodzi tylko o złote myśli i mnożące się selfie na facebooku, ale też o dane osobowe. Wchodzimy w etap coraz większego usieciowania w ramach „smart cities” czy „internetu rzeczy”. A im więcej danych w cyberprzestrzeni, tym więcej narzędzi do cyberataku.

Każda z tych rzeczy, o których pani wspomniała -„smart cities”, „internet rzeczy”, stanowi jakiś dorobek ewolucyjny, z którego należy korzystać w sposób rozsądny i zrównoważony.

A czy my zachowujemy zdrowy rozsądek?

Jako użytkownicy – niekoniecznie. Przychodząc do instytucji komercyjnych funkcjonujących w świecie rzeczywistym, nie oddaje pani swoich danych osobowych „ot tak”. Zwłaszcza jeżeli chodzi o PESEL itp.

Niestety, tendencja jest taka, że w internecie znikają opory. Ten zdrowy rozsądek działa słabiej jeśli chodzi o używanie naszych danych osobowych w świecie wirtualnym i to jest podstawowym zagrożeniem.

Wiadomo jednak, że aby zdestabilizować działanie całego miasta, wystarczy jedynie zmienić światła na ulicy.

Większość infrastruktury krytycznej znajduje się w rękach podmiotów prywatnych, komercyjnych, które, żeby było ciekawiej, niejednokrotnie o cyberbezpieczeństwo dbają lepiej niż podmioty państwowe. Pod tym względem sądzę, że zagrożenie jest realne, ale nie aż tak poważne.

Gorzej jest z tymi elementami infrastruktury krytycznej, które pozostają w rękach państwowych. Jest to opisywane w raporcie NIK z 2012 r. Na przykład panowie z NASK (Naukowa i Akademicka Sieć Komputerowa) i fundacji Bezpieczna Cyberprzestrzeń udowodnili w prosty sposób, jak można przejąć kontrolę nad systemami sterującymi pracą zaworów rurociągu Przyjaźń, dlatego że tam cyberzabezpieczenia nie odpowiadały wymogom czasów. Zdrowy rozsądek i należyte zabezpieczenia w codziennej działalności, codziennym funkcjonowaniu w cyberprzestrzeni, powinny nam wystarczyć.

Czy rozwiązaniem jest w takim razie konsolidacja nadzoru na poziomie państwa, tak jak w przypadku działań cybernetycznych w aspekcie militarnym?

Daleki jestem od tego, żeby postulować centralizację wszystkich aspektów bezpieczeństwa cybernetycznego w sektorze cywilnym. Owszem, jakiś centralny czy główny organ nadzorujący cyberbezpieczeństwo, zwłaszcza w dziedzinie infrastruktury krytycznej, powinien funkcjonować i funkcjonuje – bo przy Ministerstwie Cyfryzacji taki organ się tworzy.

Daleki jestem również od tego, by postulować nacjonalizację czy bezkrytyczną centralizację tych aspektów w odniesieniu do sektora prywatnego, który, jak wspomniałem, potrafi o siebie zadbać.

A już na koniec, jak w tej chwili Unia Europejska i NATO dbają o nasze cyberbezpieczeństwo?

Obie organizacje i instytucje stworzyły odpowiednie scentralizowane ośrodki reagowania na incydenty komputerowe. Jest CERT-EU, jest natowski NCIRC, ale one dbają o zabezpieczenie sieci komputerowych wykorzystywanych przez te instytucje. Tym niemniej, podczas szczytu w Warszawie podpisano Wspólną Deklarację NATO-EU, która podkreśla potrzebę współpracy w dziedzinie obrony cybernetycznej (w tym cyberrozpoznania). Już w lutym 2016 r. pomiędzy CERT-EU i NCIRC podpisano Memorandum o Porozumieniu w sprawie współpracy i wymiany informacji między tymi instytucjami. Z treści dotychczasowych deklaracji prominentnych decydentów obu organizacji wynika bezsprzecznie, iż stanowią one dla siebie wyjątkowo ważnych partnerów – NATO określa wręcz tę relację mianem partnerstwa strategicznego.

Inną kwestią jest zabezpieczenie sieci narodowych, chociaż w tym zakresie NATO poszło krok do przodu. Już w deklaracji szczytu w Walii zadeklarowało, że zespoły szybkiego reagowania z NCIRC-u w razie potrzeby mogą zostać wysłane do państwa sojuszniczego w celu udzielenia mu pomocy w odzyskaniu kontroli nad narodowymi sieciami.

W zakresie ochrony sieci Sojuszu i Unii Europejskiej, centralizacja jest jak najbardziej wskazana. Nie widzę przy tym ani powodu, ani konieczności do tego, żeby stworzyć jakiś ponadnarodowy organ, który będzie stał na straży cyberbezpieczeństwa wszystkich państw członkowskich Unii Europejskiej czy Sojuszu Północnoatlantyckiego.

Ze względu na duże różnice podejść wśród państw członkowskich i ochronę suwerenności?

Powodów jest wiele, ale te rzeczywiście są przeważające. Różnice w podejściu w doktrynie do polityki cyberbezpieczeństwa w poszczególnych państwach członkowskich byłyby nie do przezwyciężenia. Taka centralizacja mogłaby też stanowić zbyt daleko posuniętą ingerencję w suwerenność państw członkowskich.

EurAcitv.pl