Operacja informacyjna prowadzona przeciwko Polsce prowadzona jest na przestrzeni ostatnich lat w oparciu o następujący schemat:
1. Faza pierwsza – rozpoznanie: pasywne lub aktywne
2. Faza druga – targeting, socjotechnika, tworzenie planu operacyjnego
3. Faza trzecia – oddziaływanie, kompromitacja, skryta kontrola (oddziaływanie niepubliczne dość często polega na podszywaniu się pod inne osoby, ale wykorzystuje też model rozpowszechniania złośliwego oprogramowania, phishingu i malware).
4. Faza czwarta - analiza, korekta pierwotnego planu i jego założeń
5. Faza piąta - kulminacja: publikacja, inspiracja pozoracji, stymulacja medialna, oddziaływania niepubliczne, presja, szantaż, werbunek, mistyfikacja, kontrola dyskursu itp.
W kontekście przywołanego mechanizmu warto zwrócić uwagę na fakt, że cały model planowania i przeprowadzenia operacji informatycznej jest dość perfidny. Wywodzi się w prostej linii z procesów poznawczych człowieka i dogłębnej analizy behawioralnej, dzięki czemu agresor, określany w kontekście tego typu działań w cyberprzestrzeni mianem aktora, jest w stanie niezwykle precyzyjnie ustalić, do kogo należy skierować konkretny element ataku i jak go ewentualnie zmodyfikować, aby zwiększyć skuteczność.
W tym celu wykorzystywana jest właśnie wstępna komunikacja sondująca. Pozornie nieistotne incydenty (na przykład publikacja jakiejś informacji na koncie w mediach społecznościowych). Taki ruch ma na celu sprawdzenie, w jaki sposób na wpis zareaguje opinia publiczna i precyzyjne określenie, które grupy społeczne reagują w określony sposób na poszczególne informacje.
Przeważnie w kampaniach dezinformacyjnych, wpisujących się w schemat wojny informacyjnej przeciwko Polsce wykorzystywano treści, które łatwo polaryzowały społeczeństwo. Sięgano także po treści obyczajowe, treści godzące w relacje z krajami sąsiedzkimi oraz treści godzące w powagę instytucji państwa.
Oczywiście prowadzenie tego typu działalności zostawia za sobą pewne ślady. Należy pamiętać, że treści publikowane w internecie można eksportować do formy pliku tekstowego i w tej postaci poddawać zebrane dane wnikliwej analizie. Można układać wszystkie treści chronologicznie opracowując związki przyczynowo-skutkowe, a także przeglądać jedynie poszczególne fragmenty większej dyskusji.
W ten właśnie sposób niezwykle łatwo jest wyodrębnić konkretne grupy i ośrodki medialne podatne na poszczególne komunikaty i publikowane w internecie treści. Z tej wiedzy korzysta agresor, jednak działa to także w drugą stronę. Analiza wymierzonych przeciwko Polsce kampanii dezinformacyjnych pozwala służbom ustalić, dokąd prowadzą tropy.
W tym miejscu warto zwrócić uwagę, że działania dezinformacyjne zostały znacząco zintensyfikowane w roku 2016. Internet zalała wówczas fala fake newsów na temat rzekomego powiązania Polski z programem PRISM (pozwalającego na inwigilowanie użytkowników). Opublikowano wówczas nawet sfabrykowaną ankietę dla potencjalnych ochotników zgłaszających się do służby PRISM. W kolejnym etapie dochodziło do publikacji rzekomych logów z PRISM dotyczących internautów z Polski. W rzeczywistości były to wcześniej wykradzione dane z botnetu, choć próbowano przedstawiać je jako ujawnione dane o obywatelach Rzeczypospolitej pozyskane w ramach rzekomego uczestnictwa Polski w programie PRISM.
Dlaczego publikacje na ten temat masowo zalewały internet właśnie w 2016 roku? Tu eksperci ds. cyberbezpieczeństwa nie mają żadnych wątpliwości. W roku 2016 w Warszawie odbywał się szczyt NATO i ktoś postanowił skorzystać z okazji, żeby Polsce poważnie zaszkodzić.
Jaki był cel ataku? Są dwie płaszczyzny. Jedna wydaje się dość oczywista - chodzi o zademonstrowanie potencjału – czyli mówiąc kolokwialnie prężenie muskułów. Innym aspektem tej części ataku jest sposób, w jaki pozyskaną informację wykorzystuje się do celów dezinformacji.
Druga płaszczyzna wydaje się mniej oczywista, ale rzuca nieco więcej światła na realnych inicjatorów stojących za kampanią dezinformacji przeciwko Polsce. Analitycy zgodnie przyznają, że analiza kilku tysięcy maili lub wpisów z mediów społecznościowych w obcym języku pod kątem, treści, tego, do czego ta treść może się przydać– wymaga dużej grupy analityków. Przykładowo analiza jednego dokumentu to praca dla kilku osób na kilka tygodni, a niekiedy nawet miesięcy. Oczywiście można to zrobić znacznie szybciej, ale przyspieszenie tego procesu oznacza, że stojący za całą akcją aktor posiada w swoich zasobach wystarczające zasoby ludzkie i finansowe, żeby tego typu operację prowadzić. Nie mówimy wówczas o tzw. podmiocie prywatnym, lecz o sieciach powiązań z państwem dysponującym zasobami i infrastrukturą umożliwiającą prowadzenie tego typu zakrojonych na szeroką skalę operacji cybernetycznych.
„Ustalenia ABW i SKW dowodzą, że Polska jest stałym celem prowadzonej przez Rosję agresji informacyjnej. To ważne tło oceny wydarzeń dotyczących cyberbezpieczeństwa w Polsce” – ostrzega rzecznik prasowy ministra koordynatora służb specjalnych Stanisław Żaryn.
Skąd wiadomo, że tropy prowadzą do Rosji? Polskie służby specjalne na przestrzeni ostatnich miesięcy odnotowują wzmożone działania w cyberprzestrzeni wymierzone w Polsce. Analiza samych ataków oraz towarzyszący im modus operandi nie pozostawia złudzeń, że w tego typu działania zaangażowane są podmioty realizujące kolejne założenia rosyjskiej strategii wojny hybrydowej przeciwko Polsce.
Jeśli weźmiemy pod uwagę całą koincydencję zdarzeń oraz zastosowane w cyberatakach modele i metody i zestawimy je z celami, które przy użyciu tych metod miały zostać osiągnięte, uzyskamy uzasadnione podejrzenie graniczące z pewnością, że cała operacja jest stymulowana, kontrolowana i zarządzana przez organizacje działające na rzecz Federacji Rosyjskiej. Dlaczego jedynie podejrzenie, a nie stuprocentową pewność? Na tym właśnie polega cyberwojna. Nawet, gdy wszystkie dowody wskazują na Rosję, Kreml – co obserwowaliśmy już niejednokrotnie – zapewnia o swojej niewinności. Jednak polskie służby specjalne nie mają już w tej kwestii żadnych wątpliwości.
„Kreml prowadzi operacje dezinformacyjne, wykorzystuje wrogą propagandę, sięga po agresywne narzędzia cybernetyczne, by szkodzić Polsce i atakować Zachód” – wyjaśnia rzecznik ministra koordynatora służb specjalnych.
Biorąc pod uwagę włączenie do całej operacji także strony białoruskiej, trudno nie odnieść wrażenia, że Rosja używa Białorusi głównie jako pośrednika. Jest to instrument znacznie tańszy i ma jeszcze jedną zaletę – nie obciąża relacji Rosji z innymi podmiotami zagranicznymi, a przynajmniej nie oficjalnie.
Realne skutki cyberwojny
Dziś każde państwo rozwinięte ma swoją cyberarmię, stale doskonali wojska cybernetyczne, stara się chronić swoje struktury teleinformatyczne, lecz nie jest w stanie czuwać nad cyberbezpieczeństwem poszczególnych obywateli. Gdy jeszcze kilkanaście lat temu mówiono o technicznej możliwości cyberinwigilacji, to raczej w kategoriach żartu lub abstrakcji. Dzisiaj wiemy, że leżący na stole smartfon zbiera dane o nas samych To już nie abstrakcja, to rzeczywistość. Wszystkie służby świata korzystają z nieustannie doskonalonych cybernarzędzi, by zdobywać jak najwięcej informacji o obywatelach własnych i obcych państw, nawet sojuszniczych. Można zatem stwierdzić, że już od lat trwa „zimna cyberwojna” i choć tego nie dostrzegamy, to jednak coraz częściej odsłaniają się jakieś jej kulisy. Doskonale pamiętamy cyberatak na Estonię w 2007, kiedy to rosyjskie cybersłużby skutecznie sparaliżowały pracę estońskich instytucji państwowych, czy wreszcie dzieło najprawdopodobniej izraelskich hakerów – wirusa Stuxnet, który na kilka lat zablokował irański program atomowy. W cyberprzestrzeni nieustannie trwa taka próba sił.
Koncepcja zderzenia cywilizacji Wschodu i Zachodu opisane przed laty przez Huntingtona dziś wygląda już nieco inaczej. Z jednej strony mamy tu oczywiście siły Zachodu, czyli NATO, gdzie głównym liderem pozostają Stany Zjednoczone, ale z drugiej nie ma już monolitu. Na Wschodzie wyrastają rywalizujące między sobą cyberarmie: Rosji, Chin, Korei Północnej oraz państw Bliskiego Wschodu. Największe starcie w cyberprzestrzeni odbywa się obecnie na osi Rosja-USA, oraz Izrael-Iran. Dwie pierwsze wielkie cyberwojny wywołała Rosja – w Estonii (2007) i Gruzji (2008).
Cyberwojna jest zjawiskiem realnym. Problem polega na tym, że przeciętny mieszkaniec globu niewiele o nim słyszy lub po prostu słyszeć nie chce. Doktryna cyberwojny zakłada, że nie zawsze konieczne jest użycie armii konwencjonalnej. Można powiedzieć, że cyberwojna to wojna bez wojny, bez amunicji, bez ofiar, atakowane są w niej jedynie komputery, struktura teleinformatyczna, a nas ona nie dotyczy. Tak nam się wydaje.
Tymczasem zmasowany cyberatak na struktury państwa lub na społeczeństwo (dezinformacja) zawsze destabilizuje system i wprowadza chaos. Założenia cyberwojny są takie, aby jak najmniejszymi kosztami wyrządzić jak największe szkody i osiągnąć konkretne strategiczne cele. A ponadto cyberwojna może być wstępem do konkretnych działań militarnych w realu i wtedy mamy tzw. wojnę hybrydową (jak na Ukrainie).
Zmasowany atak na dużą skalę to cała seria ingerencji w strategiczne struktury teleinformatyczne, co dezorganizuje pracę w wielu dziedzinach i może doprowadzić do paraliżu całego państwa, poważnie utrudnić życie jego obywatelom. Nie każdy wie, że sam osobiście i już niemal nieustannie też jest obiektem cyberataku – jest dezinformowany i manipulowany poprzez internetową machinę propagandową.
Cyberagresorzy zatrudniają armię tzw. trolli, których zadaniem jest dezinformowanie, sianie zamętu, rozniecanie lub podgrzewanie konfliktów społecznych, niszczenie lub kreowanie autorytetów, itp., itd. Na tak przygotowany grunt można już wysłać wojsko, czołgi… Rzeczywiście, czasem atakującemu chodzi o to, aby wymusić określone zachowania społeczne lub polityczne. Na przykład w pogrążonej w kryzysie gospodarczym Grecji wystarczyło zwykłe wprowadzenie limitu wypłat pieniędzy w bankomatach. Doszło do chaosu, anarchii, paniki. Niestety, wciąż nie zdajemy sobie sprawy z możliwych realnych skutków cyberzagrożeń. A słowa cyberwojna, cyberatak wciąż brzmią odlegle i mitycznie. Niestety, im bardzie wydają się nam odległe, tym bardziej jesteśmy zagrożeni.
Cyberwojna może być prowadzona zarówno autonomicznie, jak i w ramach szerszego planu natarcia, jako element wojny hybrydowej. Jej bezpośrednim celem jest unieszkodliwienie struktur informatycznych przeciwnika, osłabienie jego systemów obronnych, a także pośrednio przechwycenie danych. Tymczasem wojna informacyjna zawsze stanowi element szerszej strategii i jej głównym celem jest właśnie pozyskanie informacji i danych w celu poszerzenia stanu wiedzy operacyjnej, a równie często także w celu prowadzonej na szeroką skalę akcji propagandowej i manipulacji faktami.
Który scenariusz działań wojennych obserwujemy obecnie? Dziś to pytanie jest już czysto retoryczne.
Dr Piotr Łuczuk jest medioznawcą, ekspertem ds. cyberbezpieczeństwa UKSW oraz Instytutu Staszica. Adiunkt w Katedrze Komunikacji Społecznej, Public Relations i Nowych Mediów Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Autor pierwszej w Polsce książki o cyberwojnie: „Cyberwojna. Wojna bez amunicji?”.