Kulisy jedynych takich ćwiczeń NATO: stres, presja i tysiące ataków

W II połowie kwietnia odbyła się tegoroczna, 16. edycja natowskich ćwiczeń Locked Shields. Jak informowaliśmy na naszych łamach, wzięło w niej udział 4 tys. uczestników z 41 krajów członkowskich Sojuszu oraz państw partnerskich, którzy zostali podzieleni na 16 międzynarodowych zespołów. Polsko-czeska drużyna, pod przewodnictwem oficera Wojsk Obrony Cyberprzestrzeni, zajęła 4 miejsce.

Locked Shields to wyzwanie nie tylko dla uczestników, lecz także samych organizatorów. Z czym muszą mierzyć się uczestnicy? Czy w scenraiuszu znajdują się także „pospolite” cyberzagrożenia? Jak wygląda logistyka podczas każdej edycji? Czy brane jest pod uwagę prawo międzynarodowe?

Te oraz inne tematy te poruszyliśmy w rozmowie z Martinem Hansonem, Dyrektorem Fundacji CR14 ds. Marketingu oraz sędzią Locked Shields. Poruszyliśmy również kwestię Cyber Range.

Wysoka presja i tysiące cyberataków do odparcia

Paweł Makowiec, CyberDefence24: Jak wygląda dobór scenariuszy, z jakimi uczestnicy mierzą się podczas Locked Shields? Czy za wzór brane są incydenty tylko z obszaru NATO, czy również spoza niego?

Martin Hanson, Dyrektor Fundacji CR14 ds. Marketingu, sędzia Locked Shields: Stworzenie scenariuszy ćwiczeń zajmuje około roku. Planowanie kolejnej iteracji rozpoczyna się praktycznie zaraz po zakończeniu poprzedniej. Scenariusze opierają się na wydarzeniach o zasięgu globalnym – nie tylko w krajach należących do NATO, lecz także na globalnych incydentach i wydarzeniach, które miały miejsce w ciągu ostatniego roku.

Przykładowo, gdybym miał tworzyć scenariusz ścieżki prawnej na przyszły rok, prawdopodobnie spróbowałbym włączyć do niego coś na temat zamknięcia Cieśniny Ormuz i uniemożliwienia przepływu statków lub ograniczenia możliwości transportu towarów przez jednostki pływające.

Patrzymy na to, co dzieje się na świecie i staramy się włączyć to do scenariusza, ponieważ bardzo ważne jest dla nas odwzorowane sytuacji tak, aby przypominała tę rzeczywistą. Chcemy naśladować to, co faktycznie dzieje się w prawdziwym świecie; tylko wtedy możemy mieć pewność, że sposób, w jaki przygotowujemy się na potencjalne konflikty, jest realistyczny.

Jak dużo cyberataków jednocześnie odpierają uczestnicy? Pod jak dużą presją się znajdują?

W ciągu dwóch dni, fikcyjne państwo o nazwie Berylia, której broni zespół jest zazwyczaj celem około 3 tys. cyberataków. To naprawdę dużo. Dla porównania, typowy duży podmiot, firma, jest celem około 20 cyberataków miesięcznie. Tutaj mamy do czynienia z 3 tys. cyberataków w ciągu dwóch dni.

Wiele z nich zostało zautomatyzowanych, wykorzystuje sztuczną inteligencję. Sprowadza się to również do tego, że ponieważ symulujemy tak wiele różnych systemów, jest wiele słabych punktów, które można zaatakować. W dużych scenariuszach symulujemy cały kraj wielkości Hiszpanii i tworzymy cyfrowe kopie sieci 5G, systemów bankowych, systemów zarządzania transportem, lotnisk, portów, kolei, stron rządowych, gazociągów, wodociągów, rurociągów naftowych, elektryczności i energii elektrycznej.

Jest wiele systemów, które odtwarzamy i to od drużyny czerwonej, czyli atakujących, zależy, czy uda się to wszystko zniszczyć. Właśnie dlatego obrońcy muszą zmagać się z tak wieloma atakami. To oznacza też, że typowa drużyna niebieska, czyli drużyna broniąca, liczy około 250 osób. Potrzeba bowiem naprawdę wielu ludzi, żeby chronić praktycznie cały kraj lub systemy, którymi dysponuje. Ataków jest mnóstwo, ale jest też mnóstwo ludzi, którzy się przed nimi bronią.

Czy uczestnicy Locked Shields znajdują się pod presją?

Czasami robi się naprawdę szalenie, ale tak właśnie musi być. Jest to po prostu nieodłączna część tego procesu, bo chcemy poddać presji zarówno ludzi, jak i procedury oraz zespoły. Jest to dla nas bardzo ważne, ponieważ wtedy możemy zobaczyć, co można poprawić.

Najczęstszym problemem, z którym spotykamy się zarówno podczas ćwiczeń, jak również w prawdziwym świecie, jest to, że pod wpływem stresu zapominamy, jak się komunikować. Dotyczy to wszystkich.

Jak to działa w ćwiczeniach cyberbezpieczeństwa lub konflikcie cybernetycznym?

Załóżmy, że jestem odpowiedzialny za utrzymanie strony internetowej rządu estońskiego, a Pan musi zrobić to samo dla rządu polskiego. Zostaję zaatakowany i jestem w pełni skupiony na tym, jak się przed tym atakiem bronić. Robię wszystko, co w mojej mocy. Ale nie informuję Pana, że mam do czynienia z tym atakiem, prowadzonym z tego miejsca, taką i taką metodą.

Ponieważ jednak nie mam ani czasu, ani chęci, by podzielić się z Panem tą informacją, to Pan siedzi i myśli, że wszystko jest w porządku. Po czym nagle ten sam atak dotyka Pana. Ale ponieważ nie podzieliłem się z Panem tą informacją, nie mógł się Pan przygotować. Gdybym ostrzegł o tym wcześniej, byłoby inaczej.

Nie ma perfekcyjnej obrony

Jak natomiast wygląda sytuacja z odwzorowaniem awarii podczas ćwiczeń? Nic przecież nie jest perfekcyjne.

Awarie zdarzają się cały czas i muszą się zdarzać, ponieważ chcemy być jak najbardziej realistyczni. Dlatego z założenia muszą występować awarie - inaczej nikt by nam nie uwierzył, gdybyśmy powiedzieli, że 100% ataków zostało odpartych.

To, co obserwujemy podczas ćwiczeń, nazywamy całkowitą dostępnością systemu. Oznacza to, że patrzymy na cały kraj pod kątem tego zespołu i wszystkich jego systemów. Chcemy zobaczyć, które systemy zostały wyłączone, a które działają normalnie. Zazwyczaj w każdym kraju na świecie całkowita dostępność systemu wynosi około 97%. Dzieje się tak, ponieważ zawsze występują pewne nieprawidłowości w zarządzaniu, niektóre usługi nie działają, inne podlegają pracom konserwacyjnym – istnieją setki różnych czynników, które mogą spowodować awarię systemu.

Dostęp do systemów dajemy zespołom niebieskim na dwa dni przed ćwiczeniami, aby mogli się z nimi zapoznać, a także je zabezpieczyć. Zazwyczaj, gdy uzyskują dostęp do swoich systemów, zaczynają od około 94–95% dostępności. Widziałem dwa różne przypadki postępowania - w jednym z nich zespół osiągnął 5% całkowitej dostępności systemu. W praktyce oznaczało to, że jedyną działającą rzeczą w tym kraju były świeczki, bo wszystko inne zostało wyłączone w wyniku cyberataków. Inny zespół po dwóch dniach i około 3000 cyberataków osiągnął 97% całkowitej dostępności systemu. Zespoły nie tylko naprawdę dobrze bronią swoich systemów, ale faktycznie je ulepszają podczas walki z cyberatakami.

A pojawiają się również ataki uznawane za „pospolite”, jak phishing?

Phishing jest jednym z elementów, które stanowią część naszej bazy ataków. Oczywiście istnieją różne wektory ataku, różne metody, których używa zespół atakujący, ale są one tego samego rodzaju, co ataki w prawdziwym świecie. Ilość systemów do obrony oznacza, że można je zaatakować na różne sposoby, a phishing jest bardzo powszechnym zjawiskiem.

Czy ćwiczenia to praca całodobowa, podczas której uczestnicy muszą mierzyć się również z fizycznymi wyzwaniami (mniej snu itp.)?

Ćwiczenie odbywa się w godzinach od 9 do 17 czasu estońskiego, co oznacza, że dla Estończyków i Polaków to naprawdę świetna wiadomość. Zasadniczo możemy wypić poranne cappuccino i zabrać się do pracy. Trzeba jednak pamiętać, że to ćwiczenie o zasięgu globalnym. Mamy więc zespoły z całego świata – z Kanady, Nowej Zelandii, Australii, z Japonii.

Nawet 95% uczestników faktycznie przebywa w swoich krajach. Globalny zasięg ćwiczeń pozwala nam dotrzeć do znacznie większej liczby osób – nawet jeśli niektórzy walczą ze snem, odpierając cyberataki. Jeśli ktoś jest na miejscu lub w pobliżu Estonii, to jest to proste. Tymczasem zespół z Nowej Zelandii, który jest w swojej bazie, łączy się z cyberpoligonem i w ten sposób wykonuje ćwiczenie. Zaczyna je wieczorem, o 18:00 (między Tallinnem a Wellingtonem jest 9 godzin różnicy – red.).

To jest jak bycie na koncercie rockowym od 9 do 17 albo w pogo – tempo jest bardzo szybkie. Ciągły ruch, ciągłe myślenie na bieżąco… To naprawdę wyczerpujące. Dodatkowo, po zakończeniu ćwiczeń zawsze organizujemy spotkanie towarzyskie, podczas którego często można zobaczyć uczestników drużyny czerwonej i niebieskiej, jak piją piwo i śmieją się razem. W końcu robimy to wszystko po to, by przygotować siebie, sojusz i nasze ojczyzny. To w zasadzie dwa dni totalnej wojny cybernetycznej, po których wszyscy spędzają razem czas, żartują i dzielą się historiami.

Jedno ćwiczenie to terabajty danych

Jak wygląda organizacja ćwiczeń od strony logistycznej? W przypadku „konwencjonalnych” manewrów mowa o transportach dużej ilości sprzętu. A jeśli chodzi o Locked Shields?

Od strony fizycznej to jest to całkiem proste: ludzie na miejscu przynoszą swoje laptopy, łączą się z naszymi systemami i są gotowi do działania. Bo to, co robimy, to korzystanie z systemów wirtualnych. Jeżeli dałbym Panu system monitorowania gazociągu do ochrony, otrzymałby Pan jego maszynę wirtualną. Ona się łączy z różnymi częściami, a to, co z tym się zrobi, zależy od broniącego.

Natomiast jedno ćwiczenie generuje wiele terabajtów danych dotyczących ataków. To naprawdę ogromne ilości danych o dużej wartości, ich udostępnianie w ramach NATO było konieczne.

A jak ocenia Pan potencjał polskich specjalistów, zwłaszcza DKWOC?

Polska drużyna spisuje się świetnie. Warto jednak pamiętać, że żaden kraj nigdy nie startuje sam; zawsze są to drużyny złożone. Jeśli dobrze pamiętam, Estonia i Polska tworzyły już kiedyś jedną drużynę, ale Polska jako całość jest świetna.

Chciałbym przy tym podkreślić jedną rzecz. Locked Shields to nie tylko ćwiczenia cybernetyczne, ale także część prawna, w ramach której najlepsi prawnicy z krajów NATO dyskutują o tym, jak prawo międzynarodowe powinno być stosowane w różnych sytuacjach. Wspomniana przeze mnie blokada Cieśniny Ormuz na pewno pojawi się w przyszłym roku.

Oprócz kategorii prawnej mamy też kategorię komunikacyjną - od trzech lat jestem jednym z sędziów w tej kategorii. Z mojego doświadczenia wynika, że polska drużyna radzi sobie w niej dobrze, bo podobnie jak Estonia macie praktyczne doświadczenie z propagandą, agresywnym sąsiadem, który kłamie i oskarża was o jedzenie dzieci na śniadanie. Uważam, że kraje, które mają takie doświadczenia z życia, wiedzą, jak się przed tym bronić i jak znacznie lepiej bronić swoich ideałów, zasad w sferze komunikacji. Polska drużyna radziła sobie w tym dobrze, a wasze dowództwo cyberbezpieczeństwa (DKWOC – red.) również było naprawdę dobre.

Wspomniał Pan o kwestii prawa międzynarodowego podczas ćwiczeń. O co konkretnie chodzi w tym kontekście?

Zespół analizuje sposoby wdrażania i stosowania prawa międzynarodowego. Nie skupia się na przepisach konkretnych krajów, przygotowuje się na różne możliwe scenariusze, które z perspektywy państw członkowskich NATO mogą mieć miejsce.

Przykładowo, tuż poza wodami terytorialnymi Polski znajduje się wrogi statek, który wykonuje agresywne manewry. Być może celowo zanieczyszcza środowisko i w jakiś sposób szkodzi interesom narodu polskiego. Ponieważ znajduje się on poza twoimi wodami terytorialnymi, nie obowiązuje go prawo krajowe - ale istnieje również prawo międzynarodowe. W efekcie zastanawiamy się, jak można wykorzystać te przepisy, aby powstrzymać jego działania.

To jest jeden z przykładów tego, co może się wydarzyć. Możliwa jest również sytuacja, w której statek wrogiego państwa uszkodził podmorskie kable. Działania wojenne, zwłaszcza w dzisiejszych czasach, nie są już tak typowe.

Obserwujemy również wiele konfliktów hybrydowych na całym świecie. Teraz mamy do czynienia z konfliktami cybernetycznymi, z wojną komunikacyjną - możliwości są niemal nieograniczone. Dlatego posiadamy ścieżki prawną oraz komunikacyjną, w ramach której zapraszamy rzeczników z krajów NATO i prosimy ich o obronę swojej komunikacji w obliczu wrogich działań.

Czy podczas Locked Shields mają również miejsce ataki na infrastrukturę kolejową?

Ataki na infrastrukturę kolejową mają na celu ograniczenie zdolności kraju do transportu towarów i żołnierzy do obszarów objętych konfliktem. Podczas Locked Shields zdarzają się sytuacje, w których toczy się wojna konwencjonalna, i w ten sposób zespół czerwony ogranicza możliwość przemieszczania żołnierzy i amunicji. Ta taktyka jest również stosowana w scenariuszach wojny hybrydowej.

Wszystko można wyłączyć - jeżeli na przykład uda się całkowicie unieruchomić krajową sieć kolejową, wtedy wszyscy wpływowi aktorzy zagrożeń mogą powiedzieć: „Kraj jest zrujnowany, rządowi nie można ufać. Skoro nie potrafią nawet obronić kolei, to jak można im powierzyć swój głos, swoje życie, swoje pieniądze, cokolwiek”. To jest przykład, jak tego rodzaju ataki mogą być wykorzystywane w szerszym sensie wojny hybrydowej - po to, by stworzyć pretekst do ataku na rząd.

Kilka lat temu, podczas ćwiczeń NATO, gdzie batalion czołgów został przeniesiony z Niemiec do Polski, a stamtąd również na Litwę. Musieli się przemieścić w ciągu 24 godzin, w dość szybkim tempie. Kiedy to robili, miały miejsce cyberataki na systemy kolejowe, pojawili się również protestujący, którzy chcieli chronić środowisko i protestowali przeciwko przemieszczaniu się wojsk. To są przykłady wojny hybrydowej.

Cyber Range, czyli pole testów dla ochrony satelitów

Czy na Cyber Range będą testowane tylko zabezpieczenia nowych statelitów, czy też przewiduje się działania związane ze starszymi modelami?

Skupiamy się bardziej na nowych satelitach, bo w ich przypadku mamy pewne możliwości działania. Problem ze starszymi modelami polega na tym, że nigdy nie były one zaprojektowane z myślą o odpieraniu jakichkolwiek ataków. Technologia jest więc przestarzała i w wielu przypadkach nie dysponuje nawet elementami niezbędnymi do skutecznej obrony. Ale właśnie dlatego przez następne kilka lat będziemy obserwować, jak starsze satelity są wycofywane z orbity, aby uniemożliwić ataki.

Ataki na zasoby kosmiczne zawsze uważano za coś, czego nikt by nie zrobił. To było coś niespotykanego; sądzono, że skoro technologia kosmiczna służy dla dobra ludzkości. To kto byłby na tyle szalony, żeby to zaatakować? Przypomnę, że rok-dwa lata temu widzieliśmy, jak pocisk manewrujący został wycelowany w szpital dziecięcy na Ukrainie. Ta logika o dobrej woli już nie działa. Teraz żyjemy w innym świecie, w którym nie ma żadnych ograniczeń.

Istnieje więc realna obawa, że wspierana przez rząd rosyjska, chińska, irańska lub północnokoreańska grupa hakerska, korzystając z możliwości swojego kraju, zaatakuje satelitę na niskiej orbicie okołoziemskiej i uzyska uprawnienia administratora. Jeśli do tego dojdzie, rozpęta się prawdziwe piekło. Po przejęciu całkowitej kontroli nad satelitą, można po prostu zadzwonić do ONZ i powiedzieć: „Chcę, żeby na te adresy przelano bitcoiny o wartości miliarda dolarów, inaczej satelita wymknie się spod kontroli”. Jeżeli będzie się poruszał w prawo, lewo, w górę, w dół, to inni operatorzy satelitów nie będą w stanie cię ominąć, ponieważ nie będą wiedzieć, dokąd zmierza; a gdy tylko dojdzie do zderzenia, sytuacja będzie się mnożyć i mnożyć.

Czyli jest brane pod uwagę, że takich ataków mogą być setki albo tysiące?

Jeżeli oglądał Pan filmGrawitacja, to wie Pan, jak to wygląda – przy czym nie pokazano w nim, że na niskiej orbicie okołoziemskiej było 4 tys. satelitów. Teraz jest ich prawie 20 tys. Przy 4 tys. elementów domina nie będzie to tak dramatyczne, ponieważ odległości między nimi są dość duże. Jeżeli jednak jest ich 20 tys.? I ta liczba rośnie każdego dnia o dziesiątki, a nawet prawie 100 satelitów dziennie.

Mamy Starlink, mamy duże firmy łączności satelitarnej w Japonii i Chinach. Codziennie wystrzeliwują nowe satelity. A kiedy dochodzi do takiego efektu domina… prędzej czy później wokół Ziemi powstanie strefa, do której nie będzie dostępu. Żadna rakieta tam nie przeleci. Jeśli będziemy chcieli polecieć w kosmos, to będziemy musieli wyruszyć z Antarktydy i zapomnieć na całe życie o GPS, informacjach satelitarnych, o wszystkich tych fajnych rzeczach – to wszystko przepadło.

Jeśli coś takiego się wydarzy, to w zasadzie oznacza to, że organizacja terrorystyczna uzyska dostęp do broni jądrowej, ale takiej, która może wpłynąć na cały świat. Dlatego też wraz z Europejską Agencją Kosmiczną opracowujemy kosmiczny poligon cybernetyczny, ponieważ oni traktują to naprawdę poważnie. Obecnie podejmuje się wiele różnych kroków, aby upewnić się, że to się nie wydarzy.

Jak będą wyglądały ćwiczenia na Cyber Range? Czy będzie to podobne do Locked Shields, czy może będzie zupełnie inne?

Jedną z ważnych rzeczy jest to, że mamy w sumie pięć różnych poligonów cybernetycznych w eksploatacji. Ten kosmiczny poligon cybernetyczny to tylko jeden z nich. Zasadniczo jesteśmy na etapie, na którym firma, która chce przetestować swoje możliwości lub przeprowadzić ćwiczenia, może się w tej sprawie do nas zgłosić.

Sam poligon cybernetyczny rozwija się przez 365 dni w roku. Więc nawet jeśli jest już operacyjny, będziemy go nadal rozwijać.

Dziękuję za rozmowę.