Cyberbezpieczeństwo Polski w obliczu aktualnych i przyszłych wyzwań – Joanna Świątkowska dla “Bezpieczeństwo i Obronność”

Dr Joanna Świątkowska, dyrektor programowy CYBERSEC PL, autorem artykułu “Cyberbezpieczeństwo Polski w obliczu aktualnych i przyszłych wyzwań”, który ukazał się na łamach najnowszego wydania magazynu Bezpieczeństwo i Obronność. Poniżej część publikacji. Polecamy!

cyberbezpieczeństwo

Cyberbezpieczeństwo jest strategicznym wyzwaniem oraz kluczowym elementem bezpieczeństwa narodowego – to twierdzenie powoli staje się niemal oczywiste. Najważniejsi gracze globalnej sceny politycznej stawiają kwestie związane z cyberprzestrzenią w centrum swoich działań. Co więcej, rozumieją, że aby bezpiecznie funkcjonować w obszarze cyfrowym nie wystarczą odpowiednie działania techniczne – potrzeba także zdecydowanych i efektywnych decyzji politycznych.

W ostatnich latach dyskusja na temat roli i znaczenia cyberbezpieczeństwa zaczęła być częściej podejmowana także na gruncie polskim. Wydaje się, że powinno iść to w parze z zaawansowanymi działaniami podnoszącymi poziom cyberbezpieczeństwa kraju. Tymczasem w rzeczywistości Polska jest dalece nieprzygotowana na tę nową formę zagrożeń, a przez długi czas polskie władze zdawały się nie dostrzegać powagi wyzwań. Warto zatem dokonać analizy stanu systemu, który powinien zapewnić wysoki poziom bezpiecznego funkcjonowania Polski w cyberprzestrzeni. W celu zmaksymalizowania użyteczności wniosków, analizie powinno towarzyszyć przedstawienie kontekstu i czynników, które mogą wpływać na to, na jakie zagrożenia płynące z cyberprzestrzeni trzeba być przygotowanym.

Cyberbezpieczeństwo wymaga nie tylko stosowania najlepszych i najbardziej skutecznych rozwiązań na poziomie technicznym. Konieczne jest także między innymi wdrożenie odpowiednich procedur, rozwiązań organizacyjnych, zaplanowanie skutecznej współpracy oraz przede wszystkim wzmacnianie wiedzy i świadomości. O efektywne regulacje prawne oraz odpowiednie rozwiązania instytucjonalne zadbać należy również na poziomie państwa. Aby odpowiednio podejść do problemu musimy dokonać strategicznej analizy zagadnienia, odpowiedzieć na pytanie co i jak chronić oraz określić odpowiednie role i odpowiedzialności.

Skuteczna realizacja zadań z zakresu zapewniania bezpiecznego funkcjonowania w cyberprzestrzeni możliwa będzie tylko wtedy, gdy w pierwszej kolejności uświadomimy sobie wielowymiarowość oraz złożoność samego problemu. Cyberbezpieczeństwo jest bardzo pojemnym znaczeniowo słowem i odnosi się do możliwego przeciwdziałania zagrożeniom płynących z cyberprzestrzeni, reagowania na zaistniałe incydenty oraz minimalizowania ich skutków. Istnieje wiele kategorii owych zagrożeń. Dla pewnego uproszczenia można identyfikować je wskazując główne grupy aktorów, które prowadzą wrogie działania przeciwko lub za pomocą narzędzi teleinformatycznych. Dla dokonania analizy środowiska bezpieczeństwa cyberprzestrzeni, pomocne jest także określenie motywacji działań poszczególnych graczy.

Wrogie działania innych państw i rozwój cyberzdolności militarnych

Pierwszą grupę podmiotów prowadzących aktywne działania w cyberprzestrzeni stanowią państwa i powiązane z nimi agencje i podmioty. Instytut ONZ ds. Badań nad Rozbrojeniem w swojej publikacji The Cyber Index z 2013 roku, opierając się wyłącznie na jawnych źródłach, wskazuje, że przynajmniej 47 państw posiada programy cyberbezpieczeństwa, w ramach których przynajmniej część zadań jest przypisana siłom zbrojnym. Fakt ten świadczy o tym, że coraz więcej państw rozwija zdolności ofensywne.

Należy pamiętać, że w chwili obecnej, i najpewniej w nadchodzącej przyszłości, rolą działań prowadzonych w cyberprzestrzeni jest i będzie głównie wspieranie działań konwencjonalnych. Środki cyfrowe, w głównej mierze, spełniają funkcję umożliwiającą odnoszenie lepszych rezultatów w realnym świecie. W przypadku konfliktów zbrojnych, stosowane są najczęściej w pierwszej fazie konfliktu celem osłabienia reakcji rywala i zwiększeniu oddziaływania zastosowanych środków konwencjonalnych. Jednym z przykładów tego typu działań był głośny cyberatak z 2007 roku. Jak podają eksperci, to właśnie wtedy dzięki użyciu narzędzi cyfrowych Izraelczycy zmanipulowali i zneutralizowali działanie systemu obrony powietrznej Syrii. Dzięki atakowi przeprowadzonemu na sieci syryjskie udało się oszukać działanie radarów, które nie wykryły izraelskich samolotów. W konsekwencji Izraelczycy, byli w stanie dokonać ataku i zbombardować określone wcześniej cele praktycznie bez żadnej reakcji strony przeciwnej.

Poza prowadzeniem działań ofensywnych, każde państwo, w pierwszej kolejności, musi dbać także o elementy obrony. Ponieważ coraz większa ilość procesów militarnych zależy od stabilnego funkcjonowania systemów informatycznych, ich bezpieczeństwo staje się priorytetem. Nie ma mowy o prowadzeniu skutecznych działań w cyberprzestrzeni, bez uprzedniego zadbania o bezpieczeństwo własnych sieci i systemów teleinformatycznych. Najbardziej zaawansowani gracze powołują zarówno do celów ofensywnych jak i defensywnych, specjalne jednostki wojskowe z najlepiej wyszkolonym personelem, inwestują w rozwój narodowych narzędzi niezbędnych do prowadzenia działań, w końcu decydują się na przeznaczenie na ten cel, znacznych środków finansowych.

Poza otwartymi konfliktami zbrojnymi, państwa mogą także coraz częściej wykorzystywać cyberprzestrzeń, jako element prowadzenia konfliktu hybrydowego. Przewiduje się, że ataki poniżej poziomu, który można określić mianem wojny będą coraz intensywniej aplikowane, a ich konsekwencje mogą mieć bardzo różny charakter i mniej lub bardziej poważne konsekwencje. Działania prowadzone w cyberprzestrzeni mogą być dokonywane w celu destabilizacji politycznej danego kraju, czy inicjowania napięć społecznych. Może temu służyć zarówno prowadzenie klasycznej walki informacyjnej w nowej cyfrowej przestrzeni, jak i podkopywanie zaufania do władzy poprzez atakowanie systemów „ważnych społecznie”, na przykład obsługujących obszar podatkowy lub ubezpieczeniowy. Odziaływanie na psychikę zarówno społeczeństwa jak i decydentów politycznych może wpływać na realne wybory i decyzje.

Innym, jeszcze poważniejszym w skutkach działaniem prowadzonym przez państwa może być cyfrowy atak na infrastrukturę krytyczną, co może doprowadzić do paraliżu funkcjonowania zaatakowanego podmiotu (np. związanego z przerwami w dostawach prądu), a nawet do zniszczeń materialnych, czy też strat ludzkich. Wystarczy wyobrazić sobie skuteczny atak na sektor transportu, bądź sektor ochrony zdrowia. Awaria w funkcjonowaniu systemu kontroli ruchu lotniczego, lub zakłócenie pracy szpitali może mieć katastrofalne konsekwencje. Działania w cyberprzestrzeni można łatwo maskować. Z uwagi na trudności w stuprocentowym udowodnieniu odpowiedzialności za atak konkretnego podmiotu, państwa mogą prowadzić ataki unikając politycznej odpowiedzialności. Dodatkowo, mogą nie tyle bezpośrednio angażować się w prowadzenie tego typu działań, ale używać do tego zewnętrznych podmiotów, które atak przeprowadzą na zlecenie.

Podsumowując, państwa muszą angażować się w rozwijanie swoich cyberzdolności. Zarówno tych defensywnych, pozwalających na obronę interesów narodowych, jak i ofensywnych, umożliwiających lepsze realizowanie działań militarnych i spełniających funkcje odstraszające. To absolutny wymóg funkcjonowania we współczesnym świecie. Polska znajduje się na początku drogi w tym zakresie i wiele jeszcze przed nami.

Z punktu widzenia obrony narodowej, strategicznym dokumentem określającym wizję funkcjonowania państwa i sektora obrony w świecie cyfrowym jest „Doktryna cyberbezpieczeństwa Polski” przygotowana przez Biuro Bezpieczeństwa Narodowego. Jest w niej jasno napisane, że Polska będzie rozwijała zarówno zdolności defensywne, jak i ofensywne. Ważnym elementem dokumentu jest również potwierdzenie konieczności budowy narodowych rozwiązań w strategicznych obszarach i uniezależnianie się tym samym od polegania wyłącznie na zagranicznych technologiach (które mogą mieć na przykład ukryte funkcjonalności). W ostatnich latach resort obrony podjął wiele działań organizacyjnych i decyzji instytucjonalnych w odniesieniu do funkcjonowania w cyberprzestrzeni. Powołano do życia, Narodowe Centrum Kryptologii, rozpoczęto tworzenie Centrum Operacji Cybernetycznych, które miało umożliwić na działania polskiej armii w cyberprzestrzeni. Polskie podmioty odnosiły sukcesy na arenie międzynarodowej – zespół MIL-CERT, pełniący funkcję zespołu reagowania na incydenty komputerowe w resorcie obrony we współpracy z innymi jednostkami, zwyciężył w międzynarodowych cyberćwiczeniach znanych jako Locked Shields 2014.

Jednakże od jakiegoś czasu pojawia się wiele opinii ekspertów, którzy podkreślają, że działania podejmowane przez resort obrony są niewystarczające lub nawet nieudolne. Wśród głównych problemów wskazuje się między innymi: spory kompetencyjne, rozproszenie działań, brak determinacji politycznej w realizowaniu zadań wzmacniających bezpieczeństwo cyberprzestrzeni, brak wykwalifikowanej kadry, niewystarczające zdolności narodowe pozwalające na prowadzenie suwerennych działań[1]. Ujawnione zostają także informacje o tym, że sieci i systemy teleinformatyczne resortu przez bardzo długi okres czasu z powodzeniem były atakowane przez cyberprzestępców. Informacje te pozwalają poddać pod dyskusję to na ile wojsko polskie jest w stanie skutecznie prowadzić działania defensywne i ofensywne w cyberprzestrzeni.

Niezależnie od realnych możliwości do prowadzenia przez polskie siły zbrojne działań w cyberprzestrzeni, należy zwrócić uwagę na potrzebę podjęcia szerszego namysłu strategicznego przy budowaniu polskiego potencjału. Szczególnie w kwestii budowania zdolności ofensywnych należy przede wszystkim zwrócić uwagę na jeden związany z tym aspekt. Decyzja o prowadzeniu tego typu działań musi być zawsze podjęta świadomie i po głębokiej analizie możliwych konsekwencji. Możliwość eskalacji konfliktów w wyniku działania w cyberprzestrzeni jest jednym z największych niebezpieczeństw związanych z funkcjonowaniem współczesnych państw. Wystarczy uświadomić sobie fakt, że coraz więcej państw otwarcie przyznaje, że będzie stosować kinetyczną odpowiedź na poważne incydenty cybernetyczne. Działania, których konsekwencje mają potencjał do łatwego wymknięcia się spod kontroli, mogą relatywnie szybko doprowadzić do konsekwencji, które ciężko będzie opanować. Działania ofensywne są zatem potrzebne, lecz decyzja o ich użyciu, lub groźbie użycia musi być podejmowana z najwyższą ostrożnością. Polska nie tylko musi mieć możliwości działania w cyberprzestrzeni, musi także mieć świadomość tego jak i kiedy takie działania stosować.

[1] Więcej: K. Bondaryk, MON bezbronne w cyberprzestrzeni, Raport. Wojsko, Technika, Obronność, 11/15.

 

Więcej w pierwszym numerze:

LOGOTYP BiO 4