Krzysztof Liedel: do czterech płaszczyzn prowadzenia wojny doszła piąta - cyberprzestrzeń

"Polska Zbrojna": Coraz więcej kupujemy uzbrojenia, które ma zapewnić nam bezpieczeństwo, tymczasem myśliwce i pociski JASSM niewiele pomogą, gdy atak nastąpi w cyberprzestrzeni.

Krzysztof Liedel: Obecnie do dotychczasowych czterech płaszczyzn prowadzenia wojny doszła piąta - cyberprzestrzeń. Jest to związane z postępem technologicznym oraz z coraz większym uzależnieniem od informacji. Dziś trudno sobie wyobrazić, aby zasoby informacyjne wykorzystywać z pominięciem internetu i sieci komputerowych, dlatego rywalizacja między różnymi podmiotami przenosi się do cyberprzestrzeni.

Kto nam zagraża?

Nie mamy do czynienia z jednym wrogiem. W rywalizacji między państwami główną rolę odgrywają służby specjalne. Przeciętnemu Kowalskiemu najbardziej doskwiera jednak nie cyberszpiegostwo, lecz cyberprzestępczość. A tego typu zagrożeń jest wiele. Można przyjąć, że to, co się dzieje w realnym świecie, znajduje odzwierciedlenie także w wirtualnym. Skoro zatem dochodzi do zbrojnych starć konwencjonalnych, nic dziwnego, że mają miejsce również konflikty w cyberprzestrzeni. Szczególną uwagę musimy poświęcić jednak organizacjom przestępczym działającym transgranicznie oraz terrorystom, którzy intensywnie wykorzystują cyberprzestrzeń do swoich celów.

Czasem trudno dociec, kto nas atakuje, bo uderzenie wyprowadzone na przykład z serwerów chińskich nie oznacza, że stoją za nim Chiny.

Cyberatak zapewnia względną anonimowość - w pierwszej fazie trudno ustalić, kto nas atakował: przestępca, terrorysta czy może wrogie państwo. Tym bardziej że wiele osób może w ten sposób uderzyć. Koszty takich działań są niewielkie - wystarczą grupa dobrze wyszkolonych ludzi, sprzęt komputerowy i dostęp do sieci. To nieporównywalnie mniejsze nakłady niż wyposażenie armii w czołgi czy samoloty.

Instytut Kościuszki, wspólnie z Rządowym Centrum Bezpieczeństwa oraz firmą doradczą EY, opracował raport "Bezpieczeństwo infrastruktury krytycznej - wymiar teleinformatyczny". Jego główna konkluzja brzmi: państwo powinno bardziej angażować się w zabezpieczenie infrastruktury krytycznej. Czy rzeczywiście?

Tym problemem zajmowaliśmy się w Biurze Bezpieczeństwa Narodowego, gdy wspólnie z międzyresortowym zespołem pracowaliśmy nad doktryną dotyczącą cyberbezpieczeństwa. Chodzi o jednolitą politykę, o to, aby nie poszczególne jednostki czy firmy dbały o bezpieczeństwo w tej dziedzinie, lecz państwo miało odpowiednią koncepcję działania. Poza tym, ponieważ niektóre ważne elementy, na przykład banki, znajdują się w rękach prywatnych, konieczne jest wypracowanie mechanizmów współpracy publiczno-prywatnej. Podczas prac nad doktryną doszliśmy właśnie do wniosku, że trzeba udoskonalić mechanizm partnerstwa publiczno-prywatnego. Dziś kojarzy się ono głównie z przepływem pieniędzy między dwoma sektorami, a należy między innymi określić zakres odpowiedzialności obu partnerów, ich prawa i obowiązki.

Kto w takim razie powinien być odpowiedzialny za skoordynowane działania wymierzone w cyberprzestępców?

W naszym systemie za bezpieczeństwo odpowiada wiele różnych służb. Podobnie jest z cyberbezpieczeństwem, za które odpowiedzialność musi spoczywać na barkach różnych instytucji - od Ministerstwa Administracji i Cyfryzacji, przez Ministerstwo Spraw Wewnętrznych, Ministerstwo Obrony Narodowej, Agencję Bezpieczeństwa Wewnętrznego, do sektora prywatnego. Taki wielopodmiotowy system wymaga koordynacji. Najważniejsze jest jednak nie wskazanie instytucji odpowiedzialnej za koordynację, lecz wypracowanie mechanizmów współdziałania. Dziś, zgodnie z polityką bezpieczeństwa w cyberprzestrzeni, rolę takiego koordynatora odgrywa Ministerstwo Administracji i Cyfryzacji. Podczas prac nad doktryną zastanawialiśmy się jednak, czy jest to najlepsze rozwiązanie. Może należałoby powołać ponadresortową komórkę przy Radzie Ministrów, która zajmowałaby się przygotowywaniem strategicznych rozwiązań.

Jakie ataki uważa Pan za najbardziej niebezpieczne?

Te, których celem jest infrastruktura krytyczna państwa. Takie uderzenie może bowiem sparaliżować jakiś segment, na przykład system bankowy czy energetyczny. Groźne są także innego rodzaju działania. Konflikt na Ukrainie wyraźnie pokazał, jak za pomocą internetu można manipulować opinią publiczną, tworzyć nieprawdziwy obraz rzeczywistości. Obserwowana w sieci obecność swego rodzaju "trolli", wpływających na ton i wydźwięk publicznych dyskusji, jest tego najlepszym przykładem. Te dwa rodzaje zagrożeń - choć tak inne, mogą być równie niebezpieczne z punktu widzenia państwa. W Centralnym Biurze Śledczym powstała specjalna komórka zajmująca się cyberprzestępczością, co świadczy o skali problemu. Dużym zagrożeniem jest też cyberszpiegostwo.

Zna Pan zapewne raport Najwyższej Izby Kontroli, w którym skrytykowano między innymi polityków za to, że nie doceniają nowych zagrożeń. Wyjątkiem jest BBN, które przygotowuje doktrynę cyberbezpieczeństwa, a także MON, pochwalone za aktywny udział w budowie systemu ochrony cyberprzestrzeni oraz rozwój Narodowego Centrum Kryptologii. Tyle że ciągle nie ma doktryny. Na jakim etapie są prace nad tym dokumentem?

Już je zakończyliśmy. W styczniu temu zagadnieniu poświęcono posiedzenie Rady Bezpieczeństwa Narodowego. Doktryna jest dokumentem przejściowym między "Strategią bezpieczeństwa narodowego", która zawiera wiele zapisów odnoszących się do cyberbezpieczeństwa, a przepisami wykonawczymi dotyczącymi tej sfery. Pokazuje, w którą stronę idziemy w tej dziedzinie, ale przede wszystkim określa, jak powinien w naszym kraju wyglądać system zapewniający bezpieczeństwo w cyberprzestrzeni.

A jak powinien wyglądać?

Przede wszystkim musimy stworzyć, jak już wcześniej wspomniałem, spójne standardy cyberbezpieczeństwa, zarówno dla sektora prywatnego, jak i publicznego. Oprócz tego do systemu prawnego należy wprowadzić definicje takich pojęć, jak "cyberbezpieczeństwo" czy "cyberprzestępczość". Pojęcie cyberprzestrzeni, na przykład, z inicjatywy prezydenta RP zostało wprowadzone do ustawy o stanie wojennym oraz o kompetencjach naczelnego dowódcy sił zbrojnych i zasadach jego podległości konstytucyjnym organom RP oraz do ustawy o stanie wyjątkowym i o stanie klęski żywiołowej.

Jak brzmi ta definicja?

Jest to przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, określone w artykule 3 punkt 3 ustawy z 17 lutego 2005 roku o informatyzacji działalności podmiotów realizujących działania publiczne wraz z powiązaniami między nimi oraz relacjami z użytkownikami. Warto zwrócić uwagę, że polska definicja cyberprzestrzeni uwzględnia nie tylko jej cyfrowy wymiar, lecz także fizyczne komponenty, takie jak systemy teleinformatyczne, co sprawia, że pozwala na szeroko zakrojone definiowanie działań dla bezpieczeństwa cyberprzestrzeni RP.

Czego jeszcze możemy dowiedzieć się z doktryny cyberbezpieczeństwa?

Musimy przyjąć, że nie można w stu procentach zabezpieczyć się przed atakiem w cyberprzestrzeni. Dlatego należy stworzyć rozwiązanie, które pozwoli zarządzać stratami i je niwelować. Konieczne też są systemy rezerwowe, które w razie cyberataku zapewnią możliwość komunikacji. Doktryna wskazuje też na profilaktykę: kształcenie specjalistów i kadry urzędniczej, prowadzenie kampanii edukacyjno-prewencyjnych, podjęcie współpracy z producentami systemów teleinformatycznych. Powinniśmy dokonać przeglądu programów kształcenia na różnych poziomach. Wstępne analizy wskazują bowiem, że chociaż mamy świetnych informatyków, to brakuje ludzi zajmujących się edukacją czy tworzeniem programów. Godne pochwały są zatem działania podjęte przez generała Krzysztofa Bondaryka, który stworzył Narodowe Centrum Kryptologii. Kiedy był jego szefem, zawarł porozumienie z Wojskową Akademią Techniczną dotyczące kształcenia specjalistów.

Mamy doktrynę, a co ze strategią? Inne kraje przyjęły podobne dokumenty już dekadę temu.

Zalążki systemu zapewniającego bezpieczeństwo przed cyberatakami zaczęły powstawać z inicjatyw oddolnych - na przykład w firmach. Tymczasem, aby stworzyć system, trzeba zacząć od rozwiązań strategicznych. Doktryna wskazuje kierunki. Teraz należy ocenić, które rozwiązania są dobre, a które trzeba odrzucić. Temu służył między innymi raport NIK-u, który był formą audytu. Okazało się, że jesteśmy na początku drogi. Paradoksalnie może to być jednak naszym atutem. Możemy to opóźnienie przekuć w sukces w ten sposób, że skorzystamy ze sprawdzonych rozwiązań. Tym bardziej że zapewnienie bezpieczeństwa w sieci nie jest możliwe bez międzynarodowej współpracy.

NATO ma strategię walki z atakami w cyberprzestrzeni. Na czym ona polega?

Sojusz jest bardzo zaangażowany w walkę z cyberzagrożeniami. Jego członkowie tworzą systemy cyberobrony w swoich krajach, a ich funkcjonowanie przekłada się na bezpieczeństwo całej organizacji. W NATO otwarcie mówi się także o możliwości ataków odwetowych w cyberprzestrzeni. Według naszej doktryny my również musimy mieć nie tylko możliwość obrony przed cyberatakami, lecz także zdolności ofensywne, aby móc atakować.

Jak ma działać w cyberprzestrzeni artykuł 5 traktatu waszyngtońskiego, w którym mówi się o przyjściu z pomocą zaatakowanemu państwu?

Trwa dyskusja na ten temat. Mamy problem z tym, jak zdefiniować niektóre pojęcia czy przeciwnika oraz jaką podstawę prawną przyjąć na wypadek ataku cyfrowego. Ścierają się różne poglądy. Jedni twierdzą, że artykuł 5 powinien mieć zastosowanie w razie cyberataków. Inni uważają natomiast, że skoro trudno wskazać, kto stoi za takim atakiem, nie wiadomo w kogo uderzyć. Niestety w tym wypadku prawo nie nadąża za postępem technologicznym.

Tyle że atak w cyberprzestrzeni może być zapowiedzią realnego uderzenia.

Zgadza się. Podczas operacji "Pustynna burza" główne uderzenie zostało poprzedzone atakiem lotnictwa na systemy dowodzenia i łączności, które miały unieruchomić centra informacji. Dziś do takiej akcji wyprzedzającej zapewne nie użyto by wojsk konwencjonalnych, lecz posłużono by się cyberatakiem.

NATO dopuszcza atak kinetyczny w odpowiedzi na atak w cyberprzestrzeni. To realny scenariusz?

Jeżeli zgodzimy się, że artykuł 5 ma zastosowanie w sytuacji cyberataku. Gdy uznamy, że cyberprzestrzeń jest piątą płaszczyzną prowadzenia wojen, to wybór środków, którymi odpowiemy, powinien zależeć od naszej decyzji. Dotychczas taka sytuacja nie miała miejsca.

Jakie zdolności w cyberprzestrzeni są zatem niezbędne z punktu widzenia wojska?

Niektóre kraje rozwijają zdolności ofensywne - tworzą odpowiednie struktury w siłach zbrojnych i prowadzą badania nad nowymi rodzajami cyberbroni, budując w ten sposób własne zasoby odstraszania potencjalnych adwersarzy. Oprócz wydzielonych jednostek, działających w strukturach sił zbrojnych, wybrane państwa korzystają również z usług ekspertów zewnętrznych.

Rzadko dowiadujemy się o atakach na sieci wojskowe. Czy to znaczy, że systemy informatyczne armii są bezpieczne?

Ataki na systemy wrażliwe państwa są analizowane przez służby odpowiedzialne za bezpieczeństwo. Opinia publiczna dowiaduje się tylko o niektórych działaniach cyberprzestępców - kradzieżach tożsamości czy włamaniach do systemów bankowych. Ma to sens - obywatele muszą wiedzieć o podatności systemu na ataki, które mogą dotknąć ich osobiście. Mogą bowiem zachowywać szczególną ostrożność w sieci czy podczas korzystania z kart płatniczych. Ujawnianie podatności systemu bezpieczeństwa państwa na atak, ze szczególnym uwzględnieniem systemu obronności, nie służy jednak nikomu.

Jednak tysiące tajnych depesz amerykańskiej dyplomacji, które opublikowało WikiLeaks, wykradziono z wojskowego komputera.

To dobry przykład na tezę, że najsłabszym ogniwem systemu bezpieczeństwa jest człowiek - może wynieść dane lub zachować się niezgodnie z procedurami. Jak mówiłem, nie da się stworzyć systemu bezpiecznego w stu procentach - w miarę naszych możliwości można jedynie zwiększać jego odporność i dynamicznie reagować na pojawiające się zagrożenia. No i, oczywiście, mieć efektywny system zarządzania kryzysowego na wypadek, gdyby atakowi jednak nie udało się skutecznie zapobiec.

Krzysztof Liedel ma tytuł doktora w specjalności zarządzanie bezpieczeństwem; jest zastępcą dyrektora Departamentu Bezpieczeństwa Pozamilitarnego Biura Bezpieczeństwa Narodowego, specjalistą w dziedzinie terroryzmu międzynarodowego i jego zwalczania oraz bezpieczeństwa informacyjnego, autorem i współautorem wielu publikacji na ten temat.