Stosowanie odstraszania i strategii, która powstrzymuje niepożądane działania przeciwnika, odbywa siępoprzez stworzenie wiarygodnej groźby odwetu o odpowiedniej skali. W kontekście cyberprzestrzeni taka strategia pozostaje kwestią otwartą, które jest przedmiotem szerokiej debaty. Trwająca dyskusja na ten temat nie jest jednak oparta na dużej ilości rzeczywistych doświadczeń.
Jednym z głównych wyzwań, które sprawiły, że cyber-odstraszanie pozostaje znacząco trudniejsze od np. odstraszania atomowego, jest problem atrybucji. Przez ostatnie kilka lat, rząd Stanów Zjednoczonych testował zarówno swoje zdolności atrybucji cyber-ataków, jak i szeroki zakres metod w zakresie odstraszania potencjalnych cyber-agresorów w przyszłości, takich jak np. Chiny. W tym zawiera się także akt oskarżenia dotyczący pięciorga członków Chińskiej Armii Ludowo-Wyzwoleńczej za działania hakerskie, wydany w skutek porozumienia między prezydentami Obamą i Xi. Jego celem jest zatrzymanie opartych o cybernetykę działań mających na celu realizację szpiegostwa gospodarczego. Chodzi tu także o publiczne przypisanie naruszeń sieciom chińskiego Biura Zarządzania Personelem. Obecnie publikowane są pierwsze analizy chińskich zachowań w cyberprzestrzeni, odkąd USA wdrożyło nowe, opisane powyżej strategie. Niestety, analizy te nie przedstawiają sytuacji w sposób wystarczająco klarowny, by wiedzieć, czy próby podejmowane przez USA w zakresie odstraszania cybernetycznego można uznać za skuteczne.
W tym tygodniu firma FireEye opublikowała raport pt. „Redline Drawn: China Recalculates its use of Cyber Espionage” [Rysując Czerwoną Linię: Chiny Rekalkulują Wykorzystanie Cyber-Szpiegostwa]. Raport zajmuje się 72 grupami hakerskimi, które autorzy identyfikują jako najprawdopodobniej podmioty chińskie, i śledzi ich zachowanie od 2013 do połowy 2016 roku.
W omawianym okresie analitycy FireEye zaobserwowali, że ww. grupy stały za 262 naruszeniami sieciowymi, z których 182 ukierunkowane były przeciwko podmiotom prowadzącym działalność na terytorium USA. W przypadku 80 pozostałych operacji, celem były instytucje nade wszystko zlokalizowane w Europie i Azji, ale także w Brazylii, Izraelu, czy też w samych Chinach. Firma FireEye zaobserwowała znaczący spadek częstotliwości ataków tych grup w połowie 2014 roku, na rok przed tym jak Obama i Xi doszli do porozumienia, jednak tuż to tym, jak USA skazało hakerów chińskich. I faktycznie, średnia liczba ataków z 60 na miesiąc na początku 2014 roku spadła do mniej niż 10 w 2016. Ale podczas gdy ilościowo intensywność naruszeń z pewnością uległa zmniejszeniu w latach 2015 i 2016, badacze odnotowali, że nadal skupiały się na instytucjach militarnych, komercyjnych i rządowych sąsiadów Chin, nie na Stanach Zjednoczonych.
Jak odróżnić szpiegostwo polityczne od ekonomicznego?
FireEye, z wyżej wymienionego studium, wyciąga kilkanaście wniosków.
Po pierwsze, żaden element strategii odstraszania przyjętych przez USA nie miał znaczącego wpływu na zmiany chińskich zachowań w cyberprzestrzeni. Zamiast tego, spadek liczby ataków odnotowany w ramach badania stanowi odpowiedź na czynniki zewnętrzne, być może także na ewolucję chińskiej strategii cybernetycznej. „Nie interpretujemy porozumienia Xi-Obama jako przełomu. Dochodzimy do wniosku, że umowa ta była jedynie jednym z punktów dramatycznych zmian, które miały miejsce na przestrzeni ostatnich lat. Przypisujemy zaobserwowane zmiany dotyczące chińskich grup innym czynnikom, w tym inicjatywom militarnym i politycznym Prezydenta Xi, szerokiemu wyeksponowaniu chińskich działań w cyberprzestrzeni, a także rosnącym naciskom ze strony rządu Stanów Zjednoczonych” - czytamy w raporcie.
Po drugie, linia między szpiegostwem ekonomicznym i politycznym może być trudna do zdefiniowania, biorąc pod uwagę cele, będące w zainteresowaniu Chin, szczególnie jeżeli chodzi o państwa sąsiednie. „[N]asze badanie pozwoliło na zidentyfikowanie domniemanych chińskich grup, wyłudzających informacje od instytucji rządowych i komercyjnych, których siedziby zlokalizowano w państwach otaczających Chiny. Duża część aktywności zdaje się mieć charakter tradycyjnego szpiegostwa, przede wszystkim motywowanego argumentem bezpieczeństwa i polityką, w ramach rosnącego napięcia dyplomatycznego w rejonie (...) Jednakże częstokroć jesteśmy świadkami kompromisów, w obszarach gdzie grupa kradnie dane, które w równym stopniu mogłyby okazać się przydatne w zakresie obszarów militarnego, bezpieczeństwa i gospodarczego - takie jak na przykład informacje na temat technologii nawigacyjnych. Ta szara strefa między szpiegostwem gospodarczym a tym skupionym na bezpieczeństwie, czyni trudnym definitywne scharakteryzowanie działalności szpiegowskiej, bez faktycznego wglądu w końcowy sposób wykorzystania zdobywanych danych.”
Po trzecie, typy grup hakerskich podejmujących działania w Chinach, a także używana przez nie taktyka, są dużo bardziej zróżnicowane, niż jesteśmy w stanie sobie wyobrazić. Nie każdy haker pracuje na zlecenie Pekinu, a ci, którzy faktycznie działają na polecenie rządowe także mają zróżnicowane cele, stosują także szeroki zakres metod. „Na chiński krajobraz [operacji cybernetycznych – przyp. tłum.], częstokroć uznawany za monolityczny, skupiony na celach państwowych, składa się szeroki zakres grup, w tym aktorzy rządowi i wojskowi, najemnicy, hakerzy patriotyczni, czy nawet kryminaliści. (...) Pomimo ogólnego spadku aktywności chińskiej, wiele grup w sposób aktywny podejmuje próby włamań sieciowych, podczas gdy inne próbują łamać zabezpieczenia serwerów i wykorzystać je w charakterze infrastruktury, w ramach planowanych włamań sieciowych. Odnotowaliśmy pewne zmiany taktyki wśród śledzonych grup, jednak brak nam dowodów na koordynowane, szeroko zakrojone zmiany sposobu ich działania.”
Co ciekawe jednakże, reakcja rządu USA, przynajmniej ta widoczna publicznie, na raport FireEye, nosi znamiona sceptycyzmu. „Chińska aktywność hakerska spada?” - zapytał Senator Ben Cardin (D-Md), członek senackiej komisji Spraw Zagranicznych. „Uczestniczyłem ostatnio w kilkunastu spotkaniach i odprawach; nie jest to spójne z tym co usłyszałem”. Senator Richard Burr, przewodniczący Komisji Wywiadu wystosował następujące stwierdzenie: „Trudno byłoby mi uwierzyć w to, że chińska działalność hakerska zmniejsza się (...) ponieważ znam poziom motywacji Chińczyków, ku temu by ją kontynuować”.
Negocjacje z Chinami to oznaka słabości?
Nie jest to pierwszy przypadek, w którym prywatni badacze cyberbezpieczeństwa nie zgadzają się z oceną agencji wywiadu Stanów Zjednoczonych. Najsłynniejszym przykładem to sytuacja , gdy wiele firm kwestionowało ocenę rządu, wedle której to Północna Korea stała za atakiem na Sony Pictures w 2014 roku. Warto jednak zastanowić się nad tym, dlaczego wnioski FireEye mogłyby być różne od tych, które tworzone są w toku analiz wywiadowczych, i przekazywane są na ręce znanych oficjeli USA.
Najbardziej oczywista kwestia to ta, która czyni odstraszanie tak trudnym: atrybucja. Firma FireEye podjęła kroki by śledzić 72 grupy hakerskie, w odniesieniu do których wierzy się, że pochodzą one z Chin. Jednakże być może założenie było błędne - grupy te, lub przynajmniej część z nich, nie mają nic wspólnego z Państwem Środka. Możliwe także, że nie są one głównymi graczami w Chinach, których aktywność jest śledzona przez amerykański rząd. Co więcej, zachodzi prawdopodobieństwo, że Chiny dokonały przesunięcia swojej aktywności cybernetycznej, i zamiast skupiać się na aktorach znanych, obecnie działają w odniesieniu do podmiotów mniej oczywistych, w celu ukrycia faktycznego zakresu i motywów podejmowanej działalności hakerskiej. W każdym razie - widać, że wiedza na temat tego, kto i co robi online jest ważna, nie tylko w zakresie tworzenia strategii odstraszania. Przydaje się też do tego, by stwierdzić, czy strategia ta jest faktycznie skuteczna.
Istotniejsze jednak są kwestie, w których widnieje zgoda między FireEye i oficjelami USA. Próby wdrożenia strategii odstraszania przez rząd USA są nieskuteczne. Albo nie spada liczba chińskich ataków (jak twierdzą niektórzy Senatorowie), lub nawet jeżeli spada, nie jest to wynikiem akcji podejmowanych przez Waszyngton (zgodnie z naciskami FireEye). Pytanie dla strategów brzmi następująco: co poszło nie tak? Może groźby odwetu ze strony USA nie były wystarczająco wiarygodne? Może same kroki odwetowe - potencjalne pozbawienie wolności kilku pojedynczych hakerów - nie były wystarczające? Czy porozumienie między Xi i Obamą nie oferuje wystarczającej liczby pozytywnych inicjatyw, które mogłyby doprowadzić do zmiany zachowań Pekinu? Czy możliwe, że wola USA do negocjowania porozumienia została odczytana raczej jako oznaka słabości, a nie chęć stworzenia rozwiązania?
Wszystko co wiemy, to to, że walka o ustalenie efektywnej strategii cybernetycznego odstraszania nadal trwa.
Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl