Normy międzynarodowe w cyberprzestrzeni
Dziś istnieją cztery główne kategorie cybernetycznych zagrożeń dla bezpieczeństwa narodowego: cyberwojna i szpiegostwo gospodarcze, które przeważnie wiązane są z państwami, oraz cyberprzestępczość i cyberterroryzm, za którymi najczęściej stoją ugrupowania nieoficjalne. Najwyższe koszty wiążą się obecnie ze szpiegostwem i przestępczością, ale pozostałe dwie kategorie w kolejnej dekadzie mogą stać się o wiele groźniejsze niż teraz - pisze w komentarzu dla Project Syndicate Joseph S. Nye, były podsekretarz ds. obrony w resorcie spraw zagranicznych USA i przewodniczący Narodowej Rady Wywiadowczej.
W kwietniu w Holandii odbyła się Globalna Konferencja na temat Cyberprzestrzeni 2015, w której uczestniczyło prawie dwa tysiące przedstawicieli władz, środowisk naukowych, przemysłu i innych branż. Moderowałem panel na temat cyberpokoju i bezpieczeństwa, w którym brali udział wiceprezes Microsoftu i dwóch ministrów spraw zagranicznych. Ta konferencja różnych interesariuszy była jednym z wielu przedsięwzięć, które mają ustalić zasady pozwalające uniknąć cyberkonfliktu.
Wiadomo już, że internet można wykorzystać do siania zniszczenia. Wielu obserwatorów jest przekonanych, że to władze Ameryki i Izraela stoją za atakami, które uszkodziły wirówki w irańskim zakładzie jądrowym.
Niektórzy twierdzą, że to za sprawą rządu Iranu doszło do ataku, w którym zostały uszkodzone tysiące komputerów w saudyjskim koncernie naftowym Saudi Aramco. Rosję obwinia się o zmasowane ataki internetowe na Estonię i Gruzję. A w grudniu zeszłego roku prezydent USA Barack Obama przypisał atak na Sony Pictures władzom Korei Północnej.
Od kilku milionów do trzech miliardów
Do niedawna cyberbezpieczeństwo było raczej domeną niewielkiej społeczności ekspertów komputerowych. Kiedy w latach 70. powstał internet, jego członkowie tworzyli wirtualną wioskę - znali się nawzajem i stworzyli system otwarty, nie zwracając większej uwagi na bezpieczeństwo.
Na początku lat 90. pojawiła się sieć WWW, rosnąc z kilku milionów użytkowników do ponad trzech miliardów dzisiaj. W ciągu nieco ponad jednego pokolenia internet stał się składnikiem globalnej gospodarki i światowego systemu zarządzania. W następnej dekadzie zacznie z niego korzystać kolejne kilka miliardów osób oraz dziesiątki miliardów urządzeń, od termostatów po przemysłowe systemy nadzoru (to tak zwany "internet rzeczy").
Oglądaj też: Groźne aplikacje pustoszą tablety i telefony
Ta rosnąca współzależność niesie ze sobą zagrożenia, które mogą wykorzystać zarówno władze, jak i grupy nieoficjalne. Dopiero zaczynamy się oswajać z konsekwencjami, jakie niesie to wszystko dla bezpieczeństwa narodowego. Strategiczne studia na temat cyberprzestrzeni przypominają strategię nuklearną z lat 50.: analitycy nadal nie są do końca pewni, co oznacza atak, obrona, odstraszanie, eskalacja, standardy i kontrola zbrojeń.
Określenie "cyberwojna" jest używane bardzo luźno wobec szerokiej gamy zachowań, od prostych włamań, usunięć strony, zmasowanych ataków DoS (atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania - przyp. red.) po szpiegostwo i niszczenie. W istocie jest to odzwierciedlenie słownikowych znaczeń "wojny", która stanowi wszelki zorganizowany wysiłek na rzecz "powstrzymania albo pokonania czegoś uważanego za groźne albo złe" (np. "wojna z narkotykami").
Bardziej przydatna definicja cyberwojny to wszelkie wrogie działania w cyberprzestrzeni, które podsycają albo stanowią odpowiednik poważnej przemocy fizycznej. Określenie, czy dane działanie spełnia te kryteria, to decyzja, którą mogą podjąć tylko przywódcy polityczni danego kraju.
Cztery zagrożenia
Istnieją cztery główne kategorie cybernetycznych zagrożeń dla bezpieczeństwa narodowego. Każde ma inny horyzont czasowy i (co do zasady) różne rozwiązania: cyberwojna i szpiegostwo gospodarcze, które przeważnie wiązane są z państwami, oraz cyberprzestępczość i cyberterroryzm, za którymi najczęściej stoją ugrupowania nieoficjalne. Najwyższe koszty wiążą się obecnie ze szpiegostwem i przestępczością, ale pozostałe dwie kategorie w kolejnej dekadzie mogą stać się o wiele groźniejsze niż teraz. Co więcej, w miarę rozwoju sojuszy i taktyki, owe kategorie mogą się coraz częściej nakładać na siebie.
W czasie zimnej wojny ideologiczna konkurencja ograniczała współpracę USA i Związku Radzieckiego, ale obie strony miały świadomość niszczycielskiego potencjału broni jądrowej, więc ustaliły zgrubny kodeks postępowania, pozwalający uniknąć konfrontacji wojskowej. Te podstawowe reguły ostrożnościowe zakładały brak bezpośrednich walk, powstrzymanie się od ataku bronią jądrową i komunikację kryzysową, taką jak gorąca linia między Moskwą i Waszyngtonem oraz porozumienia w sprawie postępowania w sytuacjach awaryjnych i przy incydentach na morzu.
Pierwszy formalny traktat o kontroli zbrojeń zawarto w 1963 r. - był to traktat o ograniczeniu wybuchów próbnych, który można potraktować jako umowę głównie chroniącą środowisko. Drugą ważną umową był traktat o nierozprzestrzenianiu broni jądrowej z 1968 r., który miał ograniczyć powszechność broni nuklearnej. USA i Związek Radziecki uważały oba porozumienia za gry o sumie dodatniej, bo chodziło w nich o środowisko i strony trzecie.
Zabezpieczyć cyberprzestrzeń
Najbardziej obiecującymi obszarami wczesnej współpracy międzynarodowej w dziedzinie zabezpieczenia cyberprzestrzeni również są problemy stwarzane przez strony trzecie, takie jak przestępcy czy terroryści. Rosja i Chiny zabiegają o traktat, który objąłby internet szerokim nadzorem ONZ. Choć ich wizja "bezpieczeństwa informacyjnego" mogłaby legitymizować cenzurę ze strony autorytarnych władz, a więc jest nie do przyjęcia dla rządów demokratycznych, dzięki niej można by określać i brać na cel zachowania nigdzie niedopuszczalne. Ograniczenie wszelkich włamań byłoby niemożliwe, ale można by zacząć od cyberprzestępczości i cyberterroryzmu. Największe państwa byłyby też zainteresowane ograniczeniem szkód poprzez zgodę na współpracę w dziedzinie badań kryminalistycznych i nadzoru.
Oczywiście analogie historyczne nie są doskonałe. Rzecz jasna cybertechnologia różni się bardzo od technologii jądrowej, zwłaszcza że łatwiej mogą z niej korzystać ugrupowania nieoficjalne.
Niemniej część instytucji, zarówno formalnych, jak i nieformalnych, już dziś administruje podstawowym działaniem internetu. USA rozważnie planują wzmocnienie pozarządowej organizacji ICANN (Internet Corporation for Assigned Names and Numbers), która nadzoruje internetową "książkę adresową". Jest też Konwencja Rady Europy o Cyberprzestępczości z 2001 r., dzięki której Interpol i Europol ułatwiają współpracę sił policyjnych z różnych krajów. Z kolei Grupa Ekspertów Rządowych przy ONZ analizuje, jak prawo międzynarodowe ma się do cyberbezpieczeństwa.
Zapewne jeszcze poczekamy na porozumienia w spornych sprawach, takich jak cyberwłamania w celach szpiegowskich czy przygotowywania pola walki. Ale to, że nie jesteśmy w stanie wyobrazić sobie ogólnego porozumienia o kontroli cyberzbrojeń, nie powinno nam przeszkadzać w rozwiązywaniu poszczególnych problemów. Normy międzynarodowe zwykle rozwijają się powoli. W przypadku technologii jądrowej czekaliśmy na to dwie dekady. Najważniejszym przesłaniem niedawnej konferencji w Holandii było to, że masowe cyberzagrożenia przybliżają nas dziś do tego punktu.
Joseph S. Nye - były podsekretarz do spraw obrony w resorcie spraw zagranicznych USA i przewodniczący Narodowej Rady Wywiadowczej. Obecnie profesor na Harvardzie. Jest autorem książek "Przyszłość siły" ("The Future of Power") oraz "Prezydenckie przywództwo i kreacja amerykańskiej ery" ("Presidential Leadership and the Creation of the American Era").
Tytuł i śródtytuły pochodzą od redakcji.