70 lat tradycji. Inspirujemy Prowokujemy Dyskutujemy

Piąty wymiar bezpieczeństwa

Samo pojęcie już funkcjonuje, istnieją też międzynarodowe akty prawne dotyczące cyberterroryzmu, ale tak naprawdę w doktrynie przyjmuje się, że nikt nie stwierdził jeszcze ataku cyberterrorystycznego w ścisłym sensie.

Biuro Bezpieczeństwa Narodowego (BBN) wybrało 10 zdarzeń z 2014 r. mających największy wpływ na bezpieczeństwo Polski. Większość związana jest z kryzysem na Ukrainie; analitrcy wskazują również na powstanie Państwa Islamskiego oraz wycofanie polskich oddziałów bojowych z Afganistanu. Na 10. miejscu – last but not least – znajduje się rosnące znaczenie cyberbezpieczeństwa. Jakie wydarzenia z ostatniego czasu zdecydowały o włączeniu tego zagadnienia na listę zagrożeń?

Już od kilku lat BBN prowadziło prace analityczne w zakresie cyberbezpieczeństwa, a ich finalnym efektem jest – ogłoszona w styczniu – Doktryna cyberbezpieczeństwa RP. Pomysł na jej stworzenie nie wynika z reakcji ad hoc na konkretne wydarzenia, lecz przede wszystkim z analiz na poziomie strategicznym. Zagrożenia w cyberprzestrzeni spędzają dziś sen z powiek ludziom odpowiedzialnym za bezpieczeństwo na całym świecie. Z całą pewnością pojawiła się współcześnie piąta płaszczyzna konfliktów; obok ziemi, powietrza, morza i kosmosu walka może toczyć się również poprzez systemy i sieci teleinformatyczne. Udział w niej mogą brać rozmaici aktorzy: państwa, ale i podmioty pozapaństwowe – wielkie koncerny, organizacje hakerskie i grupy terrorystyczne. Rangę tych konfliktów pokazuje aktywność wielkich mocarstw, Stanów Zjednoczonych, Chin czy Rosji, które tworzą odpowiednie struktury do walki z zagrożeniem w sieci i wprowadzają nowe rozwiązania w systemach prawnych.

Oczywiście na nasze przygotowania wpływa również bieżąca sytuacja geopolityczna. Istotnym elementem tzw. wojny hybrydowej na Ukrainie jest rosyjsko-ukraińska walka propagandowa w Internecie oraz działania o charakterze hakerskim. Analizowaliśmy również wcześniejsze ataki przypisywane Rosjanom: atak cybernetyczny na Estonię (2007 r.), w wyniku którego zablokowane zostały strony estońskiego parlamentu, agend rządowych, banków i mediów, oraz zmasowane działania hakerskie w czasie konfliktu rosyjsko-gruzińskiego (2008 r.), które sparaliżowały strony internetowe m.in. prezydenta Saakaszwilego. Przypomnę, że wówczas prezydent Lech Kaczyński udostępnił gruzińskim władzom polskie serwery. Przykładem znanym z Polski są protesty przeciwko ratyfikacji ACTA (2012 r.), w czasie których doszło do paraliżu witryn internetowych polskiej administracji publicznej.

W ostatnich latach miał też miejsce szereg bardziej zaawansowanych technologicznie ataków, niepolegających wyłącznie na blokowaniu stron rządowych. Warto przypomnieć choćby – przypisywane Amerykanom – wprowadzenie wirusa komputerowego tzw. robaka Stuxnet do elektrowni atomowej w Iranie (2010 r.), który miał pozwolić na szpiegowanie i przeprogramowanie instalacji przemysłowych. Z kradzieżą danych na dużą skalę mieliśmy też do czynienia przy okazji głośnego ataku na firmę Sony (2014 r.), który miał być inspirowany przez Koreę Północną i stanowić odwet za dystrybucję filmu pokazującego w karykaturalnym świetle władze tego kraju.

Nieco odmienną, ale bardzo istotną, sferą pozostaje również cyberprzestępczość. Wiemy, że rozmaite systemy bankowe atakowane są niemal codziennie na całym świecie, także w Polsce. Chodzi o kwestie dotykające zwykłych obywateli, np. kradzież danych osobowych czy kradzież danych z kart płatniczych. Dane statystyczne oraz wydarzenia z Polski i ze świata pokazują zatem jasno, że pojawiła się piąta płaszczyzna zagrożeń i że musimy się do niej odpowiednio przygotować.

Uderzająca jest różnorodność cyberataków. Angażują one zarówno rozmaite podmioty – od pojedynczego hakera po światowe mocarstwa – jak i zróżnicowane środki techniczne. Można do nich zaliczyć zwykłe pisanie propagandowych komentarzy, ale też wyrafinowane technicznie szpiegostwo gospodarcze.

Działania w Internecie z punktu widzenia prowadzenia konfliktu można podzielić na trzy typy. Pierwszy to działalność aktywistyczna, polegająca na akcjach propagandowych z wykorzystaniem sieci. Klasycznym przykładem jest trollowanie czy trolling wykorzystywany w dużym stopniu w obecnym konflikcie na Ukrainie. Rosyjski rząd wynajmuje firmy i konkretnych ludzi (tzw. trolli), którzy mają „właściwie” reagować na aktualne wydarzenia. Gdy dzieje się coś ważnego w regionie, od razu pojawia się zmasowana i dobrze zorganizowana akcja: artykuły i komentarze propagandowe oraz działania dezinformacyjne.

Druga sfera to działania haktywistyczne (ang. hacktivism), czyli takie, jakie mają na celu propagowanie treści ideowych i propagandowych, ale wykorzystują również podstawowe techniki hakerskie. Polegają np. na włamaniu się na czyjąś stronę i zamieszczeniu na niej własnych haseł. Często są to tzw. ataki DDoS (ang. Distributed Denial of Service) paraliżujące daną stronę przez masowe wysyłanie zapytań, na które system nie jest w stanie odpowiedzieć. Tę metodę wykorzystano podczas protestów w sprawie ACTA. Są to podstawowe ataki, mające bardziej wydźwięk psychologiczny niż przynoszące realne szkody. Protestującym w sprawie ACTA nie udało się przecież dostać na serwery administracji publicznej zawierające chronione bazy danych.

Trzecia sfera to aktywność stricte hakerska, która ma na celu trwały paraliż serwerów, włamanie się do bazy danych oraz zmianę lub kradzież tych danych. Tu wykorzystywane jest często złośliwe oprogramowanie: skomplikowane wirusy i robaki komputerowe.

Rozważmy dla przykładu casus słynnej grupy Anonymous. To międzynarodowa sieć internautów, która walczy różnymi metodami – przekraczając często granice prawa – o wolności obywatelskie w Internecie. Jednocześnie atakuje strony grup, które uważa za swoich ideowych przeciwników. Blokowała już portale m.in. scjentologów, reżimów w krajach arabskich podczas Arabskiej Wiosny czy FBI, NATO i Watykanu. Do której kategorii należałoby ją zatem zaklasyfikować?

Sądzę, że działania członków Anonymous to dobry przykład aktywizmu i haktywizmu, choć zdarzały się również bardziej zaawansowane akcje np. kradzież rządowych baz danych. Istotny dla ich klasyfikacji jako haktywistów, a nie zwyczajnych cyberprzestępców jest jednak fakt, że wykorzystują oni metody hakerskie do propagowania pewnej ideologii; do wpływania na rzeczywistość polityczną, społeczną i kulturową.

Po zamachu terrorystycznym na redakcję „Charlie Hebdo” Anonymous opublikował w Internecie film, w którym wypowiedział wojnę dżihadystom i zapowiedział, że będzie na nich „polować”, blokując ich strony internetowe, konta w mediach społecznościowych i e-maile. Interesujące wydało mi się zarówno przekonanie wielu internautów w znaczenie takiej cyberwojny, jak i wiara w to, że anonimowi hakerzy okażą się w niej skuteczniejsi niż oficjalne służby państwowe. Ma ona uzasadnienie w rzeczywistości?

Wydaje mi się, że to przede wszystkim sukces organizacji, która potrafiła wykreować swój pożądany wizerunek. Anonymous wykorzystuje skutecznie dwa elementy: po pierwsze, ponadprzeciętne umiejętności poruszania się w Internecie, które dla wielu ludzi są czymś nieosiągalnym; a po drugie, nimb tajemniczości i oryginalną symbolikę – członkowie grupy występują na swoich filmach w charakterystycznych maskach – budzące powszechne zainteresowanie. Trzeba jednak pamiętać, że w przypadku zagrożeń terrorystycznych media koncentrują się – co zrozumiałe – na udanych zamachach i ich sprawcach. Dużo rzadziej natomiast przypominamy, co jest sukcesem służb w walce z terrorystami. Dane statystyczne Europolu pokazują, że w Europie udaremnia się rocznie prawie 800 różnego rodzaju incydentów o charakterze terrorystycznym. Często te działania mają charakter niejawny albo oficjele sądzą, że nie ma potrzeby informowania o nich. W ten sposób jednak terroryści zdobywają przewagę w walce o rząd dusz.

Państwa rzadko przyznają się też do odpowiedzialności za cyberataki, w związku z czym nie jesteśmy w stanie ze stuprocentową pewnością przypisać odpowiedzialności za dany atak konkretnemu podmiotowi (np. Korea Północna nie przyznała się do inicjowania ostatnich ataków na firmę Sony; a Rosjanie do wspomnianych ataków na Estonię). Pozostaje to raczej tajemnicą poliszynela. Ta anonimowość decyduje z jednej strony o atrakcyjności ataków informatycznych, ale z drugiej – może tworzyć wrażenie słabości służb państwowych.

Ian West, szef służb zajmujących się cyberbezpieczeństwem w NATO, napisał w „Guardianie”, że ponad 95% cyberataków, z którymi musiał się mierzyć, miało charakter przestępczy, a nie ideowy. Krótko mówiąc, chodziło raczej o to, aby ukraść pieniądze, niż aby strącić w akcie terrorystycznym samolot. Czy ma Pan podobne doświadczenia?

Rzeczywiście w mojej ocenie istotniejsze w środowisku bezpieczeństwa są inne sfery niż cyberterroryzm. Skupiamy się przede wszystkim na cyberprzestępczości, czyli tym, co jest najbardziej uciążliwe dla zwykłego obywatela, oraz na rywalizacji między państwami – cyberszpiegostwie i wojnie informacyjnej.

Ciekawe w tym kontekście wydają mi się losy samego określenia „cyberterroryzm”. To pojęcie już funkcjonuje, istnieją międzynarodowe akty prawne dotyczące cyberterroryzmu, ale tak naprawdę w doktrynie przyjmuje się, że nikt nie stwierdził jeszcze ataku cyberterrorystycznego w ścisłym sensie. Owszem, grupy terrorystyczne korzystają z Internetu jako nośnika propagandowego, komunikacyjnego czy dezinformującego; mają miejsce działania aktywistyczne i haktywistyczne. Centra analityczne mówią jednak wprost: bardziej prawdopodobne jest uderzenie konwencjonalne (choćby atak bombowy) uzupełnione o potęgujący chaos atak informatyczny na linię telefoniczną „112” niż samodzielny akt hakerski wymierzony np. w system kierowania lotami, w wyniku którego samoloty spadałyby na lotnisko.

Dlaczego konwencjonalne ataki terrorystyczne są dziś bardziej prawdopodobne?

Przykładowo: przeprowadzenie ataku na systemy lotnicze byłoby bardzo trudne, ponieważ są one doskonale zabezpieczone. Dodatkowo część ataków na systemy informatyczne może być ukrywana przez zaatakowane instytucje – bardziej opłaca się im utrzymywać, że doszło do awarii, niż że padły ofiarą terrorystów. Podobnie już dziś jest z bankami, które nie informują o tym, że zmagają się z tysiącami ataków i w ukryciu pokrywają niektóre straty przez nie wywołane. Z punktu widzenia terrorystów zaś najważniejszy jest efekt psychologiczny i propagandowy, który w przypadku negowania samego faktu cyberataku może być znacznie zniwelowany. Jak pisał Brian Jenkins, amerykański klasyk badań nad terroryzmem: „Terroryzm jest teatrem. Nie jest skierowany do tych, którzy giną, ale do tych, którzy patrzą”. Ataki konwencjonalne są łatwiejsze do przeprowadzenia i wywołują bezpośrednią reakcję opinii publicznej.

Przed tymi nowymi zagrożeniami też jednak trzeba się bronić. Jakie powinny być główne elementy budowy cyberbezpieczeństwa w państwie?

Proponuję patrzeć na te zagadnienia dwutorowo. Po pierwsze, konieczna jest budowa systemu chroniącego w przypadku ataku tzw. infrastrukturę krytyczną państwa, czyli jego najistotniejsze elementy. Chodzi tu m.in. o system energetyczny i bankowy, system administracji państwowej i służb ratunkowych. Po drugie, konieczna jest troska o infrastrukturę społeczną, czyli przygotowanie do wojny informacyjnej; gotowość do odpierania propagandy, socjotechniki i manipulacji.

Jak wyglądają zatem polskie zdolności obronne w zakresie cyberbezpieczeństwa? Na czym koncentruje się przywołana przez Pana Doktryna cyberbezpieczeństwa RP? We wspomnianym już artykule z „Guardiana” znalazły się pesymistyczne słowa estońskiego przedstawiciela przy NATO, który twierdzi, że służby państwowe wobec innowacyjnej działalności cyberprzestępców są zawsze „nie dwa, ale 20 kroków za nimi”.

Polska pozostaje wciąż na początku drogi do budowy całościowych rozwiązań o charakterze systemowym. Jak dotąd istniały jedynie poszczególne elementy systemu: działają CERT (Computer Emergency Response Team, Zespół ds. reagowania na przypadki naruszenia bezpieczeństwa teleinformatycznego) i NASK (Naukowa i Akademicka Sieć Komputerowa), czyli ośrodki zajmujące się monitorowaniem działalności hakerskiej w Internecie, powstały jednostki w Agencji Bezpieczeństwa Wewnętrznego i w Centralnym Biurze Śledczym nakierowane na walkę z cyberprzestępczością. Strategiczny Przegląd Bezpieczeństwa Narodowego prowadzony pod auspicjami prezydenta Komorowskiego oraz audyt Najwyższej Izby Kontroli wykazały jednak fragmentaryczność istniejących rozwiązań.

Doktryna zakłada zatem tworzenie spójnego systemu związanego np. z wypracowaniem wspólnej polityki bezpieczeństwa dla sektora publicznego i prywatnego. Istotnym elementem są także działalność z zakresu komunikacji społecznej i akcje edukacyjne. Dziś wiemy, że większość zagrożeń wynika z błędów ludzkich, którym można zapobiegać przez wzrost świadomości informatycznej. Chodzi często o naprawdę podstawową ostrożność: nieotwieranie załączników wysyłanych z nieznanych nam adresów czy nieużywanie tego samego hasła do poczty elektronicznej i wszystkich kont bankowych.

Oczywiście działania obronne nigdy w pełni nie nadążają za zmieniającą się błyskawicznie technologią. Dlatego też musimy stworzyć przede wszystkim system minimalizacji strat na wypadek bardzo poważnego ataku.

Interesujące jest wskazanie w Doktrynie… na dążenie do lepszego wykorzystania zasobów naukowych polskich ośrodków matematycznych i informatycznych. Wracamy więc do tradycji polskiej kryptologii i kryptografii, którą znamy choćby z działania międzywojennego Biura Szyfrów i łamania kodu niemieckiej „Enigmy”?

Kształcimy dziś bardzo dobrych programistów, matematyków i informatyków, którzy są konieczni, żebyśmy korzystając z programów powstałych za granicą, mogli stworzyć własne zabezpieczenia do tych systemów. Stąd chęć powrotu do tych tradycji. MON pozostaje jednym z liderów w zakresie cyberbezpieczeństwa; w 2013 r. powołano tam specjalną jednostkę – Narodowe Centrum Kryptologii. Myśli się tam nie tylko o możliwościach obronnych, ale również o zdolnościach ofensywnych. Jeśli chcemy się skutecznie bronić, musimy umieć także atakować. Koncepcję aktywnej obrony i prewencji należy stosować także w cyberprzestrzeni: musimy posiadać zdolności nie tylko aktywnego rozpoznania i wychwytywania sygnałów o zbliżającym się ataku, ale także możliwości blokowania go, zanim się wydarzy.

W jaki sposób opisane zagrożenia informatyczne zmieniają nasze myślenie o bezpieczeństwie? Czy zmierzamy w kierunku zapoczątkowanym przez reakcje na konwencjonalny terroryzm? Walczymy z przeciwnikiem, który jest rozproszony, nieuchwytny, niedający się często przyporządkować konkretnemu państwu i konkretnemu terytorium. To też rodzi pokusę – jak pokazują ujawnione przez Edwarda Snowdena działania NSA – nieuzasadnionej inwigilacji internetowej aktywności tysięcy zwykłych obywateli.

To jest problem tzw. sieciowości. Mówimy m.in. o organizacjach terrorystycznych o charakterze sieciowym, czyli mających pewną wspólną ideologię, ale bez jednolitej hierarchii. Planowanie, przygotowywanie i realizowanie ataków terrorystycznych staje się wówczas samodzielną działalnością większych i mniejszych ugrupowań czy wręcz pojedynczych ludzi. Badacze wspominają o „taktyce samotnego wilka”. Chodzi o osoby, które podlegają radykalizacji przez Internet; nie mając bezpośrednich powiązań z organizacjami terrorystycznymi, wykorzystują jednak ich materiały szkoleniowe, aby przeprowadzić samodzielny atak. Przykładem wydają się zamachowcy na redakcję „Charlie Hebdo”. Al-Kaida i Państwo Islamskie od kilkunastu miesięcy zapowiadają, że skupią się na tej taktyce, ponieważ efekty są spektakularne, a potrzebne środki finansowe – niewielkie.

Sieciowość rodzi oczywiście fundamentalny problem dla bezpieczeństwa: jak złapać osoby, które mają bardzo luźny kontakt bądź nie mają żadnego z obserwowaną grupą terrorystyczną czy organizacją przestępczą? Ten nowy rodzaj zagrożeń może skutkować niepokojącym rozszerzaniem się „imperium” służb specjalnych. Osobiście jestem za otwartą dyskusją na temat tego, na ile jako społeczeństwo jesteśmy w stanie zrezygnować z naszych swobód obywatelskich na rzecz bezpieczeństwa. Z pewnością też wraz z poszerzaniem uprawnień służb specjalnych konieczne jest zwiększenie nadzoru nad nimi. Niestety, odnoszę wrażenie, że nie do końca mamy pomysł w społeczeństwach demokratycznych, jak taką kontrolę możemy egzekwować.

Czy Internet potęguje zatem klasyczny dylemat filozofii polityki, pytanie o to, co ważniejsze: wolność czy bezpieczeństwo?

Na to pytanie trudno udzielić „dobrej” czy też „prawidłowej” odpowiedzi. W cyberprzestrzeni, podobnie jak w starciu z terroryzmem, sztuka polega na ciągłym szukaniu równowagi pomiędzy wartościami, które stanowią o tożsamości demokratycznych państw zachodnich, a środkami służącymi bezpieczeństwu ich obywateli i interesów. Warto pamiętać, że nie da się mówić o wolności bez poczucia bezpieczeństwa: życie w strachu przed atakiem, przed oszustem, przestępcą i terrorystą w sieci trudno określić jako ideał cieszenia się wolnością. Starając się zatem zwiększyć poczucie bezpieczeństwa obywateli choćby przez podnoszenie ich świadomości i wiedzy – aby skutecznie mogli bronić się sami, unikając poczucia bezradności – musimy jednocześnie podnosić poziom zrozumienia dla działań państwa. Bez pomocy i wsparcia społeczeństwa nie sposób bowiem efektywnie dbać o wspólne dobro, jakim jest bezpieczeństwo.

.

KRZYSZTOF LIEDEL – dr nauk wojskowych, dyrektor Departamentu Prawa i Bezpieczeństwa Pozamilitarnego w BBN, kierownik Centrum Badań nad Terroryzmem w Collegium Civitas. Autor licznych publikacji naukowych poświęconych tematyce terroryzmu i bezpieczeństwa narodowego. Współautor książki Gliniarz (2013)

 
 

Zapisz się do newslettera!

Otrzymasz 35% kod rabatowy na dowolny numer miesięcznika oraz informacje o promocjach, wydarzeniach i spotkaniach autorskich

email marketing zapewnia MailPlanner

Newsletter