#CyberMagazyn: Polska jest gotowa na ataki Rosji?

Jeszcze kilka lat temu wieszczono, że przyszłe konflikty i wojny będą toczyły się w cyberprzestrzeni. Pojawiały się wizje zaawansowanych cyberataków na np. infrastrukturę krytyczną lub systemy wojskowe wroga, które wywoływałyby poważne konsekwencje. Oczami wyobraźni widzieliśmy żołnierzy walczących zza biurek, zdalnie, daleko poza teatrem działań.

Wirtualna domena miała w pewnych obszarach zastępować działania kinetyczne; służyć do realizacji strategicznych celów; przyczyniać się do zmiany sytuacji na froncie. Znaczenie cyberprzestrzeni podkreśliło samo NATO w 2016 roku. Wówczas, podczas szczytu w Warszawie, „cyber” została oficjalnie uznana za jedną z domen konfliktów i wojen, obok lądu, powietrza, wody i kosmosu. W praktyce oznaczało to, że państwa członkowskie Sojuszu zobowiązały się do obrony wirtualnego świata, wypełniając postanowienia traktatowe, w tym kluczowego art. 5 (kolektywna obrona). 

„Polska jest dobrze przygotowana”

Polska musiała dostosować się do zaistniałej sytuacji. „Te założenia pomogły nam utworzyć Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC – red.) i dobrze przygotować się (na scenariusz cyberkonfliktu – red.)” – wskazał podczas Cyber24 Day płk Marcin Piwowarczyk, szef Oddziału Dydaktycznego Eksperckiego Centrum Szkolenia Cyberbezpieczeństwa (ECSC).

Powołano więc struktury, które obecnie stanowią fundament naszego bezpieczeństwa w sieci. Jak wspomniał pułkownik, DKWOC to owoc tych wysiłków. „Cyfrowe serce armii” zostało uformowane w porę, zanim pojawiły się poważne zagrożenia i incydenty, np. pandemia COVID-19, kryzys na granicy polsko-białoruskiej czy inwazja na Ukrainie. 

Każde z nich generowało i generuje wyzwania dla obrony cyberprzestrzeni RP. Obecnie jednak największym źródłem zagrożenia są działania sił Putina. Pomimo wzrostu wrogich cyberoperacji wymierzonych w polską infrastrukturę (zarówno cywilną, jak i wojskową), nie odnotowaliśmy poważnego zdarzenia w „cyber”. O czym to może świadczyć?

„Okazało się, że Polska jest dobrze przygotowana do rosyjskiej cyberinwazji. (…) Pamiętajmy, że DKWOC codziennie spotykają się z falą cyberataków i codziennie je odpierają” – wskazał Dominik Rozdziałowski, dyrektor Departamentu Cyberbezpieczeństwa MON, podczas konferencji Cyber24 Day. 

Uczestnicy dyskusji, którą miałem przyjemność moderować, przyznali, że rozwiązania przyjęte przez resort obrony oraz całą administrację „nieźle się sprawdziły”. 

Rosyjski bałagan

Przed pamiętnym 24 lutego 2022 r. wiele miejsca poświęcało się „cyberpotędze” Rosji. Spodziewano się, że gdy dojdzie do eskalacji sytuacji w Ukrainie lub pojawienia się innego konfliktu lub wojny z udziałem państwa Putina, nastąpi uderzenie cybersił Kremla, które doprowadzi do pogorszenia sytuacji wroga. 

Obserwując zdarzenia z przeszłości (np. NotPetya) oraz aktywność grup powiązanych z Moskwą (np. APT: Cozy Bear czy Fancy Bear), można było mieć wrażenie, że Rosja ma znaczący cyberpotencjał. Czy wydarzenia w Ukrainie to zmieniły?

W ocenie dyrektora Dominika Rozdziałowskiego „Rosja nie jest tak silnym przeciwnikiem, jak się spodziewaliśmy”. Tu zwraca uwagę na dwa aspekty. Po pierwsze, może to wynikać z naszej skuteczności w cyber, a tym samym nieskuteczności grup Putin. Polskie i ukraińskie cyberstruktury były dobrze zorganizowane, co uniemożliwiło (i nadal tak jak) Kremlowi realizację operacji z powodzeniem. Mówiąc wprost: nasza cyberobrona się sprawdza i przez to Rosja nie jest tak silna.

Po drugie, według przedstawiciela MON, Putin dysponuje jakościowymi cyberzasobami (m.in. wiele grup powiązanych ze służbami specjalnymi), lecz przez bałagan przed i w trakcie inwazji na Ukrainę sprawił, że ten potencjał nie mógł zostać odpowiednio wykorzystany. „Proszę zobaczyć, że rosyjski wywiad nie był nawet w stanie przygotować rzetelnych, prawdziwych informacji o gotowości do walki ukraińskiej armii. Może ktoś też zapomniał, że posiada do dyspozycji cybersiły…” – zwrócił uwagę Dominik Rozdziałowski z resortu obrony. 

Jego zdaniem, grupy hakerskie mogły nie zostać odpowiednio wcześniej uprzedzone o decyzji o uderzeniu w Ukrainę. W efekcie nie miały potrzebnego czasu na przygotowania. Bo pamiętajmy, że cyberoperacje wymagają czasu. Często miesięcy, jeśli nie lat. Zwłaszcza, gdy chcemy uderzyć w strategiczny cel. 

Na ile silna jest Ukraina?

Rosja to jedna strona konfliktu za naszą wschodnią granicą, a co z Ukrainą? Ta musi bronić się przed działaniami okupanta, który zalewa ją cyberoperacjami. I – jak już wspomnieliśmy wcześniej – nie do końca skutecznie. Pomimo tysięcy cyberataków (np. tylko w tym roku SBU mówi o neutralizacji 4 tys. ataków hakerskich na systemy i sieci obiektów infrastruktury krytycznej oraz podmiotów państwowych), do poważnego incydentu nie doszło. Czy to świadczy o sile Kijowa?

Przede wszystkim pamiętajmy, że wojna w Ukrainie trwa nie od 2022 r., ale 2014 r., kiedy to doszło do aneksji Krymu. Od tego momentu rzeczywistość naszego wschodniego sąsiada zmieniła się. Ukraina stała się – jak to określił w trakcie dyskusji płk Marcin Piwowarczyk – „prawdziwym poligonem doświadczalnym, jeśli chodzi o cyber”. A to pociągnęło za sobą przyjęcie przez Kijów nowego podejścia. 

„Zaczęli przewidywać możliwość prowadzenia cyberataków przez Rosję. Zainwestowali mocno w cyberbezpieczeństwo” – zaznaczył w czasie moderowanej przeze mnie dyskusji gen. bryg. Krzysztof Kociuba, zastępca dyrektora Biura ds. Łączności i Informatyki oraz Cyberbezpieczeństwa NATO. 

Jak przekazał generał, od tamtego czasu Ukraińcy wprowadzili wiele zmian. Utworzyli nowe struktury, zdobyli potencjał osobowy i sprzętowy. Do tego nawiązali bliską współpracę z NATO, w tym polskim DKWOC, co wywindowało ich na jeszcze wyższy poziom. 

Nieco odmienne zdanie na ten temat miał dyrektor Dominik Rozdziałowski. Według przedstawiciela MON, siła Ukrainy tkwi nie w ich wewnętrznych strukturach, lecz wynika z zaangażowania partnerów i sojuszników. „Moim zdaniem Ukraina nie jest tak mocna, jak nam się wydaje. Broni się dzięki mocnemu wsparci NATO” – ocenił, przytaczając przykład ataku NotPetya z 2016 roku, który wywołał chaos u naszego wschodniego sąsiada (i nie tylko: incydent rozlał się poza Ukrainę). A przecież było to już po aneksji Krymu. 

Bez sięgania po broń

Do czego wojsku może się przydać cyberprzestrzeń? Gen. bryg. Krzysztof Kociuba wskazał na kilka aspektów. W pierwszej kolejności wymienił szansę na zakłócanie łańcucha logistycznego, np. dostaw produktów dla przemysłu zbrojeniowego. Nowoczesny sprzęt jest pełny elektroniki. Bez niej nie może sprawnie działać. Cyberoperacja wymierzona w jeden z podmiotów zaangażowanych w jej łańcuch dostaw może wywołać problemy po stronie wroga. 

Następnie generał zwrócił uwagę na zakłócenia infrastruktury krytycznej (co wymaga większych wysiłków) oraz sieci i systemów np. bankowych. Obecnie popularne są np. ataki DDoS, które mają uniemożliwić użytkownikom dostęp do danej witryny lub usługi. 

Kolejny aspekt: zakłócenia łączności. Dzięki cyber zyskujemy szansę na skuteczne zaburzenie komunikacji wroga. I tu doskonałym przykładem jest Ukraina. Rosja, przeprowadzając w czasie uderzenia w 2022 r. cyberatak na Viasat (dostawca łączności satelitarnej), utrudniła wymianę informacji naszemu wschodniemu sąsiadowi. A pamiętajmy, że z rozwiązań tego dostawcy korzystało m.in. ukraińskie wojsko. 

„Wszystkie (z powyższych – red.) mają wpływ na morale i siłę państwa, ponieważ wywołują niepokoje społeczne, mogące wpływać na przygotowanie do ewentualnej odpowiedzi” – stwierdził gen. bryg. Krzysztof Kociuba. 

Czy wojsko da się zhakować?

Każdego dnia mamy do czynienia z mniej lub bardziej poważnymi cyberatakami. Są to jednak cyberoperacje wymierzone w infrastrukturę cywilną. Zdecydowanie mniej jest incydentów ukierunkowanych na wojskową infrastrukturę. A jeśli już się pojawiają, to nie mają one sygnatury „spektakularnych”. Z czego to wynika?

Na tak postawione pytanie gen. bryg. rez. Włodzimierz Nowak odpowiedział, że systemy wojskowe powstają od razu z myślą o próbie ich zniszczenia lub zakłócenia. Podkreślił, że infrastruktura sił zbrojnych jest zamknięta, odseparowana, występuje dywersyfikacja sprzętową i sieciowa, segmentacja.„Pracowałem dosyć długo w polskich siłach zbrojnych oraz NATO-wskich instytucjach i nie znam żadnego cywilnego systemu, który natychmiast po wdrożeniu w sektorze cywilnym byłby wdrożony w wojsku” – podzielił się swoimi doświadczeniami generał rezerwy.   

Jak doprecyzował, proces wprowadzania komercyjnego rozwiązania do sił zbrojnych trwa około roku. Prowadzona jest weryfikacja oprogramowania, ustalane są standardy, sprawdza się narzędzia pod kątem backdoorów itd. 

Potwierdził to dyrektor Dominik Rozdziałowski, wskazując, że Wojsko Polskie posiada specjalne zespoły weryfikacji rozwiązań, które są planowane do wdrożenia w armii. „Zanim coś kupimy, a potem wdrożymy, prowadzimy własne testy. Wykorzystujemy do tego specjalistów, np. informatyków i pentesterów” – przekazał podczas konferencji Cyber24 Day dyrektor Departamentu Cyberbezpieczeństwa MON.

Przy czym warto mieć na uwadze, że Siły Zbrojne RP nie każdy sprzęt/rozwiązanie w ogóle biorą pod uwagę. Są technologie, które nie mogą trafić do polskiej armii ze względu na swoje pochodzenie. „Nie wyobrażam sobie wprowadzenia np. rozwiązań rosyjskich do Sił Zbrojnych RP” – podkreślił przedstawiciel MON. 

To wszystko sprawia, że – cytując gen. bryg. rez. Włodzimierza Nowaka – „ciężko jest skutecznie zaatakować sieci wojskowe od zewnątrz”.

W teorii inną drogą może być ingerencja w infrastrukturę od wewnątrz, lecz każda osoba mająca do nich dostęp posiada specjalny certyfikat i jest sprawdzana przez służby. W związku z tym włamanie się do cyfrowych zasobów wojska to ogromne wyzwanie. 

Generał rezerwy wskazał jednak, że wcale nie trzeba prowadzić zaawansowanych, skomplikowanych cyberoperacji, aby osiągnąć wymierne efekty. Jako przykład podał ataki na ogólnodostępne witryny Ministerstwa Obrony Narodowej, co może wprowadzić wiele komplikacji i chaos. W jaki sposób? Chociażby na skutek opublikowania na takiej stronie fałszywego komunikatu o np. o ogłoszeniu mobilizacji. 

Internet ma granice?

Ciekawym wątkiem dyskusji była polemika na temat tego, czy internet faktycznie nie ma granic. Cyberataki w dużej mierze zależą od konfiguracji globalnej sieci, dlatego warto przyglądnąć się rozlokowaniu exchange pointów. Tu swoimi przemyśleniami i doświadczeniami ze służby podzielił się gen. bryg. rez. Włodzimierz Nowak:

„2011 rok. Operacja NATO w Libii. Byłem wówczas dyrektorem pewnej NATO-wskiej agencji. W jaki sposób Saddam Husajn bronił się przed naszą inwigilacją? Już państwu wyjaśniam. Na terenie Libii były cztery exchange pointy, które łączyły Husajna ze światem. Aby utrudnić nam działanie, odciął się od nich. Została mu komunikacja wewnętrzna, a zewnętrznej nie było. Jednak udało nam się go przechytrzyć wtedy, gdy raz na jakiś czas musiał podłączyć się do jednego exchange pointa, aby wykonać operacje finansowe między bankami”.

NATO odłączyło Polskę od sieci

Korzystając z okazji, dopytałem generała o to, jak złożonym i wymagającym procesem jest przygotowywanie cyberoperacji z perspektywy wojska. W odpowiedzi zaznaczył, że na samym początku należy pomyśleć o właściwej konfiguracji sieci, jej segmentacji - tak, aby zminimalizować ryzyko np. rozprzestrzeniania się złośliwego oprogramowania wypuszczonego przez wroga w ramach odwetu. 

I tu ponownie pojawiła się anegdota, tym razem pokazująca jak ważny jest podział sieci na sektory. „W 1999 r. Polska weszła do NATO i zostaliśmy włączeni do struktur sojuszniczych. Wielu rzeczy dopiero się uczyliśmy. Kilka miesięcy później (RP wstąpiła do NATO w marcu – red.) dzwoni telefon, odbieram i człowiek z NATO mówi mi: »Sir, bardzo żałuję, odłączamy Polskę od systemów natowskich. Stwierdziliśmy generację wirusów z waszej strony«. Faktycznie odłączyli nas od infrastruktury Sojuszu” – opowiadał podczas Cyber24 Day gen. bryg. rez. Włodzimierz Nowak. 

Skąd wzięło się złośliwe oprogramowanie? Okazało się, że ktoś nieodpowiedzialnie włożył zainfekowanego pen drive«a w stację NATO-wską. „Była to dla nas nauczka. I co ważne, Sojusz odciął od sieci tylko Polskę, czyli źródło zagrożenia. Nikt inny na tym nie ucierpiał” – zaznaczył generał. 

W jego ocenie, przy organizacji cyberoperacji ważne jest także dysponowanie odpowiednim sprzętem i kadrami, a także bycie sprytnym i dokładnym. Podstawę stanowi identyfikacja celów i ich dobre rozpoznanie. Mowa o np. przeanalizowaniu jego software«u, wersji oprogramowania itd. To kluczowa wiedza do powodzenia działań. 

Ponadto, istotna jest współpraca, w tym przede wszystkim z operatorami. „Cyber nie ma kompletnie szansy powodzenia, jeśli nie będzie ścisłej współpracy z nimi. Wynika to z faktu, że tylko i wyłącznie na ich poziomie można identyfikować, przy odpowiednim wsparciu np. oprogramowania lub sztucznej inteligencji, wszystkie nietypowe zachowania w sieci, które mogą zwiastować zagrożenie” – wyjaśnił gen. bryg. rez. Włodzimierz Nowak. 

Trzeba mieć także na uwadze, że przeciwnik może przeprowadzić operację odwetową. Na to należy być gotowym. 

Wojna. Rola cyber rośnie czy spada?

Celem dyskusji panelowej w czasie konferencji Cyber24 Day była próba odpowiedzi na pytanie: „czy rola cyber na wojnie spada czy rośnie?”. W ocenie uczestników dyskusji odpowiedź jest jedna. Stanowczo wskazali, że znaczenie wirtualnego świata będzie ciągle rosło, choć ciężar operacji może przechylić się na stronę cyberszpiegostwa. 

„Początkowo nastawialiśmy się, że dzięki cyber będziemy np. wyłączać elektrownie, zakłócać infrastrukturę krytyczną. Ukraina pokazała, że tak nie jest” – stwierdził dr Bałżej Sajduk z Uniwersytetu Jagiellońskiego. Jego zdaniem, musimy przemyśleć to, jak w przyszłości będziemy postrzegali rolę wirtualnego świata w wojnach i konfliktach. Zwrócił tu uwagę na cyberszpiegostwo. 

„Ponad połowa rosyjskich cyberataków dotyczy działalności wywiadowczej, m.in. eksfiltracji danych. To prawdopodobnie będzie główna rola cyber” – ocenił przedstawiciel Uniwersytetu Jagiellońskiego. 

To, że rola cyber z czasem będzie rosła jest efektem cyfryzacji sił zbrojnych i rozwoju nowoczesnych technologii. Uzależnienie od elektroniki sprawia, że pojawiają się nowe możliwości, ale i zagrożenia. Przy czym ważne jest, o jakiego typu konflikcie mówimy: symetrycznym czy asymetrycznym. „W przypadku konfrontacji symetrycznej cyber będzie bardzo istotnym obszarem. Ale np. w walce z przeciwnikiem, który jest zacofany pod kątem technologicznym, cybersiły na niewiele nam się przydadzą” – ocenił gen. bryg. rez. Włodzimierz Nowak. 

Niemniej jednak – jak przekazał dyrektor Dominik Rozdziałowski z MON – Polska szykuje się do wojny (poprzez m.in. szkolenia i rozwój cyberzdolności), choć wszyscy mamy nadzieję, że nigdy nas to nie spotka. Dyrektor Dominik Rozdziałowski mówi wręcz, że „jesteśmy gotowi”. Oby jednak nikt nie powiedział: „sprawdzam”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].