Cyberbezpieczeństwo, konwencje, umowy pomiędzy państwami powoli stają się nam coraz lepiej znane. Od niedawna mówi się także o cyberwojnie. To jedynie teoria czy już praktyka?
Niestety, praktyka. Słysząc to słowo, wydaje się nam, że to temat z filmów sensacyjnych czy kryminalnych. A one toczą się tu i teraz. Narażeni jesteśmy wszyscy: organy publiczne, ale także obywatele, firmy, przedsiębiorstwa itd. Uczestniczymy w niej bez względu na to, czy tego chcemy czy nie. I nie jest to taka wojna, jaką znamy z historii: atak artylerii, ostrzał wioski czy desant na plaży. To całkiem nowa wojna prowadzona w systemach informatycznych, w cyberprzestrzeni. A ataki, jakie niesie, to ataki cyfrowe, często zupełnie niewidoczne dla ofiar, przynajmniej początkowo.
To czym jest cyberwojna?
Wiemy, że pojawiła się wraz z rozwojem technologii informatycznych. Gdy biznesy zaczęły się przenosić do świata cyfrowego to ten obszar stał się nowym polem walki. Atak cyfrowy jest narzędziem uderzenia w przeciwnika. Nie każdy jednak będzie miał znamiona cyberwojny.
Więc który będzie je miał?
Żeby atak zakwalifikować jako działanie w cyberwojnie, muszą zostać spełnione określone warunki. Najważniejsze to: poważne konsekwencje, skala ataku, osób poszkodowanych, w tym cywilów, rozmiar wyrządzonych szkód i – co najważniejsze – intencje, które za tym stoją, będące przyczynami politycznymi.
A na czym polega ta wojna w cyberprzestrzeni?
To najtrudniejsze pytanie, bo jej definicji nie mamy ani w przepisach prawa krajowego, ani w traktatach międzynarodowych. Próbują ją stworzyć specjaliści zajmujący się tą dziedziną. Bardzo ważne, byśmy mogli stwierdzić, czy dany incydent, atak cyfrowy, do którego doszło, jest cyberwojną, bo tylko niektóre z nich mają taki charakter. Przykładem inicjatywy mającej na celu zdefiniowanie i opisanie zjawiska cyberwojny jest opracowany parę lat temu „Podręcznik talliński" przedstawiający wyniki analizy obecnego prawa międzynarodowego, która odnosi się do działań w cyberprzestrzeni. Analiza ta została przygotowana przez grupę międzynarodowych ekspertów prawa pod egidą NATO i jest jednym z ciekawszych dokumentów w tym temacie. Autorzy opracowania wskazują na przykład, że choć nie zdarzyło się dotąd, aby cyberatak rozpętał konwencjonalną wojnę, z łatwością można sobie wyobrazić atak cyfrowy, który przeobrazi się w konflikt zbrojny. Pruski generał Carl von Clausewitz w swoim słynnym traktacie „O naturze wojny" z 1832 r. powiedział, że wojna jest jedynie kontynuacją polityki, ale innymi środkami. Definicja ta jak najbardziej pasuje również do cyberwojny. Już teraz wiele krajów korzysta na co dzień z cyberprzestrzeni, w ten właśnie sposób prowadząc zarówno ofensywne, jak i defensywne działania. Niemniej zdefiniowanie cyberwojny to ciągle duże wyzwanie.
Dlaczego to takie trudne?
Wiemy, czym jest wojna konwencjonalna i rozumiemy, na czym tradycyjne działania wojenne polegają. Prawda jest taka, że obecne rozgrywki polityczne, w tym konflikty polityczne, coraz rzadziej wyglądają jak standardowe działania wojenne. To coraz częściej zachowania, których my, zwykli obywatele, nie widzimy. Dzieje się to w cyberprzestrzeni. Atakowane są instytucje państwowe, ale nie tylko. Coraz częściej atakiem takim są zagrożone podmioty prywatne, przedsiębiorstwa, firmy nie zawsze z sektora publicznego.
W jakim celu?
Często w celu zachwiania równowagi, podkopania pozycji, wpędzenia w kłopoty, a co za tym idzie, zachwiania sytuacją gospodarczą lub społeczną. Czasami jest to działanie testowe. Takie sprawdzenie, jak potoczą się wypadki, żeby jeszcze lepiej się przygotować na realny atak. Jednym z głównych celów są firmy energetyczne. Uderzenie w nie może zachwiać dostawami energii, a potem spowodować poważne zakłócenie funkcjonowania społeczeństwa. Awaria energetyczna, a taki właśnie może być skutek ataku cyfrowego, błyskawicznie może przerodzić się w blackout. Stanie transport, komunikacja, lotniska, dworce, ale także telefonia, internet i dalej szpitale, pogotowie, dostawa wody itp. Można tak wymieniać bez końca. Efekt porównywalny z prawdziwym atakiem zbrojnym. Mniej oczywisty na pierwszy rzut oka jest z kolei atak na firmę farmaceutyczną. Teoretycznie niemającą tak błyskawicznego przełożenia na codzienne życie obywateli. Kiedy jednak atak spowoduje zatrzymanie produkcji określonego leku, zdarzenie takie może mieć bardzo poważne konsekwencje dla społeczeństwa.
A dezinformacja, popularnie nazywana fake newsami?
Dezinformacja to już właściwie codzienność gry politycznej. Wszyscy słyszeliśmy o wpływie Cambridge Analytica na wybory w Stanach Zjednoczonych. Dowiadujemy się też coraz więcej, jak bardzo fake newsy i manipulacja informacjami wpłynęły na referendum brexitowe. Dosłownie parę dni temu biuro prasowe torysów w trakcie debaty Borisa Johnsona z Jeremym Corbynem udawało profil fact-checkingowy na Twitterze, komentując rzekomo bezstronnie przebieg debaty. Musimy jednak pamiętać, że nie wszystkie fake newsy mają charakter cyberwojny czy nawet cyfrowych działań wojennych.
Aby tak zostały zakwalifikowane, muszą mieć masowy charakter, muszą mieć poważne konsekwencje. Ważne jest, aby były motywowane celami politycznych. Istotne są też siły, które za takimi atakami stoją. Można choćby podać przywołany już wpływ na kampanię Donalda Trumpa czy brexit. Zapewne część takich incydentów można by zakwalifikować jako wpisujące się w cyfrowe działania wojenne lub cyberterroryzm. Takich przypadków jest coraz więcej. Podobnie wpływa się na politykę w Afryce. Niedawno Facebook zlikwidował z tego powodu 200 fałszywych kont, z których treści docierały do ponad miliona użytkowników w ośmiu afrykańskich krajach. Mówi się, że stał za tym rząd rosyjski. Znamienne jest także, że coraz częściej atakujący finansujący określone wrogie działania posługują się wyspecjalizowanymi przestępczymi organizacjami działającymi w cyberprzestrzeni.
Jakie kary grożą za taką działalność?
Zanim powiemy o karach, to powiedzmy o ściganiu sprawców takich ataków. Przede wszystkim bardzo trudno zidentyfikować winnych. Trudno złapać cyberprzestępcę, który wpuścił wirusa. Jeszcze trudniej namierzyć jego mocodawców, szczególnie kiedy mogą to być siły rządowe lub polityczne. Warto także przyjrzeć się, co się dzieje z zaatakowanymi podmiotami prywatnymi. Jakiś czas temu wirus NotPetya uderzył w wielu światowych przedsiębiorców.
Co to takiego?
To wirus, który łączył w sobie działanie typowego oprogramowania wyłudzającego okup w zamian za odszyfrowanie zainfekowanych plików, blokując dane w sieci korporacyjnej. Zainfekowany program uruchomiono w niewielkiej firmie na Ukrainie. W krótkim czasie atak dotknął wielu systemów korporacyjnych w firmach i organizacjach na całym świecie.
Firmom udało się jakoś wyjść z opresji?
Nie do końca. Niektórzy ubezpieczyciele odmówili wypłaty odszkodowań, twierdząc, że atak wirusa był efektem zdarzenia wojennego inspirowanego politycznie. Mówiąc w skrócie, był to incydent cyberwojenny, którego nie pokrywa polisa. Sprawy trafiły do sądów.
Czyli zawinił fakt, że nie udowodniono, że była to cyberwojna.
Nawet nie to. Problem polega na tym, że nie do końca wiadomo, kto ma potwierdzić, że do niej doszło lub nie. Nawet jeśli się mówi, że za danym atakiem stoją służby wywiadowcze jakiegoś kraju lub że działanie to było inspirowane przez dany rząd, to trudno tu przedstawić dowody na takie zaangażowanie. Nawet jeśli są takie dowody, to są zapewne w posiadaniu innych służb wywiadowczych, po które podmiot prywatny nie ma jak sięgnąć. Dlatego tak ważne może być zdefiniowane w przepisach, co możemy określać działaniami cyberwojny. Ważne jest też zabezpieczenie korporacji przed takimi atakami, stworzenie procedur bezpieczeństwa, programu walki z cyberzagrożeniami, planu działania na wypadek incydentu. Choć nawet najlepszy plan nie zabezpieczy nas w pełni przed atakiem. Ataki się zdarzają i będą się zdarzać coraz częściej. Nie ma firmy, która jest bezpieczna w stu procentach.
Skoro potężne firmy są bezbronne w walce z cyberprzestępcami, to co może zrobić zwykły Kowalski, by nie paść jej ofiarą?
Musimy być czujni, rozważni, ostrożni. Nie ujawniać haseł, nie otwierać podejrzanych e-maili. Musimy wiedzieć, że część kłopotów firm bierze się z wirusów wprowadzonych do firmy przez konta pracowników. Musimy sobie zdawać sprawę, że możemy jedynie poprawiać bezpieczeństwo. Całkowicie bezpieczni nie będziemy. Zdecydowana większość ataków w sieci jest spowodowana słabością człowieka. To my wpuszczamy cyberprzestępców do sieci. Całkiem niedawno głośno było o wykorzystaniu do takiego ataku sztucznej inteligencji. Zmieniony na podobieństwo szefa głos poinstruował księgową, że ma dokonać przelewu na określone konto. Przelew poszedł. Problem w tym, że nie zlecił go prawdziwy szef. Coraz więcej mamy przypadków drobnych na pierwszy rzut oka ataków, które wyrządzają coraz potężniejsze szkody.
Czy takie zjawiska doczekały się już regulacji prawnych?
Polska wdrożyła unijną dyrektywę NIS, przyjmując ustawę o krajowym systemie cyberbezpieczeństwa . Powoli tworzy się porządek prawny. Pracodawcy dmuchają na zimne i szkolą pracowników, jak mają postępować. Ministerstwo Cyfryzacji instruuje, jak być wyczulonym na te zagrożenia, podejmuje działania edukacyjne i organizacyjne. Wiele inicjatyw prowadzi NASK.
Mamy czas na to, żeby się to działo powoli?
Zdecydowanie nie. Potrzebne jest dobre prawo, aktualne, niezależne od rozwoju technologicznego, które na wzór obecnych konwencji międzynarodowych chronić będzie ofiary wojny i ich podstawowe prawa także w przypadku cyberwojny.
