Wnioski NATO z Ukrainy. Polska potwierdza ryzyko

Cyberprzestrzeń oficjalnie została uznana przez NATO za jedną z domen konfliktu (obok lądu, wody, powietrza, kosmosu) podczas szczytu w Warszawie w 2016 r. Podkreśliło to znaczenie cyfrowej rzeczywistości dla współczesnego świata. Pokazało, że wokół nas toczy się rywalizacja, pomimo że nie widzimy tego na pierwszy rzut oka. W ten sposób aktywność w sieci stała się pełnoprawnym elementem konfliktów i wojen. 

Mówimy o domenie, która dynamicznie się zmienia; nieustannie ewoluuje, co wymaga podjęcia działań adaptacyjnych. Jak wskazuje NATO, „cyberprzestrzeń jest areną (…), w której państwa coraz bardziej polegają na niezbędnej infrastrukturze”.

Z jednej strony świat cyber daje nam wiele możliwości, z drugiej generuje zagrożenia i wyzwania, z jakimi musimy się zmierzyć. Wystarczy wspomnieć o infrastrukturze krytycznej, której działanie staje się zależne od cyberprzestrzeni, a przez to stanowi atrakcyjny cel dla wrogich podmiotów działających w sieci. 

Rosyjska inwazja na Ukrainę

Państwa - członkowie NATO - są wystawione na próbę. Od lat podejmowane są wobec nich cyberoperacje mające różnorodny charakter: od prostych ataków DDoS, przez kradzież danych, kończąc na próbie sparaliżowania kluczowych systemów. Rosyjska inwazja na Ukrainę wiele zmieniła. Wojna zintensyfikowała wrogie działania, co odczuwa m.in. Polska. 

Od pamiętnego 24 lutego 2022 r. musieliśmy stawić czoła presji płynącej ze Wschodu. Nasz kraj doświadczył zauważalnego wzrostu cyberataków zarówno w sektorze cywilnym, jak i wojskowym. Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) mówiło o 5-krotnym wzroście prób operacji wymierzonych w infrastrukturę MON. 

NATO. Ataki każdego dnia

Za cyberatakami stoją różne podmioty. Wiele mówi się o grupach powiązanych z państwami i ich służbami specjalnymi. Przykładem mogą być rosyjskie APT28/ Fancy Bear (powiązana z GRU) czy APT29/ Cozy Bear (Służba Wywiadu Zagranicznego), które realizują interesy Kremla.

Jednak aktywne pozostają także podmioty cyberprzestępcze oraz haktywiści, którzy działają na własną rękę i kierują się innymi motywacjami (finansowymi, a w drugim przypadku - światopoglądowymi, ideologicznymi). Ich działania również odczuwają kraje NATO i nie można umniejszać znaczenia tego typu operacji. 

Ten złożony katalog zagrożeń pokazuje, w jakim obecnie środowisku funkcjonuje sojusz. Wspólnota musi zachowywać elastyczność i zdolności szybkiej adaptacji do zaistniałej sytuacji. Ryzyko dotyczy zarówno sfery cywilnej, jak i wojskowej państw członkowskich, a to wymaga kompleksowego podejścia do cyberbezpieczeństwa i cyberobrony. 

„W tym środowisku NATO i jego członkowie każdego dnia spotykają się z wrogimi cyberdziałaniami (…) proaktywnie reagując poprzez umacnianie cyberobrony, partnerstwa, współpracę i stały rozwój zdolności” – podkreśla Sojusz w swoim opracowaniu.

Polska celem Rosji

Wojna w Ukrainie utwierdziła nas w przekonaniu, że wojny i konflikty będą miały swój cyfrowy charakter. Przyglądając się ostatnim miesiącom, możemy zaobserwować wielość kampanii, których celem jest pozyskanie danych wywiadowczych. Prorosyjskie grupy prowadzą operacje cyberszpiegowskie wymierzone nie tylko w ukraińskie wojsko, administrację czy infrastrukturę krytyczną, ale także jej partnerów, w tym Polskę. 

Nasz kraj jest pod tym kątem bardzo atrakcyjny. Wynika to z faktu, że jesteśmy hubem w niesieniu pomocy Ukrainie. To przez Polskę przechodzi transport pakietów wsparcia dla Kijowa, a przez to posiadamy bardzo cenne, wrażliwe dane z punktu widzenia agresora.

Ponadto, sami aktywnie angażujemy się i przekazujemy kolejne „podarunki”, jak np. terminale Starlink czy uzbrojenie. 

Ataki Rosji i Ukrainy

Poza cyberszpiegostwem widzimy cyberataki mające na celu sparaliżowanie, zniszczenie lub zakłócenie określonej infrastruktury wroga. Choć od lutego 2022 r. mało było spektakularnych incydentów, ostatnio wydarzyło się coś ważnego. Mowa o operacji wymierzonej w jednego z największych operatorów telekomunikacyjnych na Ukrainie – Kyivstar.

Jak informowaliśmy, 12 grudnia br. doszło do cyberataku, który doprowadził do zakłócenia usług. Łączność była niedostępna w znaczącej częśći kraju. Do wrogiej kampanii miała przyznać się rosyjska grupa powiązana z wywiadem wojskowym GRU. 

W podobnym czasie pojawiła się informacja o zhakowaniu Federalnej Służby Podatkowej Rosji przez Ukraińców. Szczegóły operacji ujawnił wywiad wojskowy, wskazując, że udało się włamać do „jednego z dobrze chronionych kluczowych serwerów” Służby oraz 2,3 tys. serwerów regionalnych. Infrastruktura IT miała zostać zainfekowana złośliwym oprogramowaniem (więcej na ten temat piszemy w materiale: Operacja ukraińskiego wywiadu. „Paraliż w rosyjskiej służbie”). 

To pokazuje, że obecnie – zdaniem NATO – sieci i systemy, a także wrażliwe informacje pozostają głównymi celami cyberataków. Sojusz zaznacza, że zagrożenia szybko ewoluują, a przez to tradycyjne podejście do odstraszania i obrony okazuje się niewystarczające. 

Tylu ataków jeszcze nie było

„Wnioski z rosyjskiej inwazji na Ukrainę pokazują rosnące wykorzystanie cyberzdolności przeciwko zarówno infrastrukturze cywilnej, jak i wojskowej” – stwierdzono w opracowaniu NATO.

Antoine Landry, specjalista ds. cyberprzestrzeni w Allied Command Transformation NATO, podkreślił, że obecnie w cyberprzestrzeni mamy do czynienia z większą liczbą ataków na większą liczbę celów niż kiedykolwiek wcześniej. 

W związku z tym „patrząc w przyszłość musimy być gotowi współpracować z partnerami – publicznymi i prywatnymi – oraz dzielić się wiedzą między ekspertami i organizacjami cywilnymi oraz wojskowymi” – zaznaczył przedstawiciel Sojuszu.

Polska dobrym przykładem

Polska angażuje się w tę współpracę, czego są wymierne efekty. Przykładem może być udział Służby Kontrwywiadu Wojskowego (SKW) oraz CERT Polska przeciwko operacji prowadzonej przez rosyjską Służbę Wywiadu Zagranicznego (SWR). 

Współdziałając z partnerami z USA (FBI, CISA, NSA) i Wielkiej Brytanii (NCSC), polscy specjaliści ujawnili, że SWR wykorzystuje lukę CVE-2023-42793 „do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity” (więcej pod linkiem: Polskie służby demaskują rosyjski wywiad). 

Innym przykładem może być organizacja w Krakowie pierwszej w historii naszego kraju konferencji Cyber Commanders Forum. To wydarzenie, w którym udział wzięli dowódcy cyberwojsk z całego świata. Do stolicy Małopolski przybyli przedstawiciele sił zbrojnych z 35 państw, w tym członków NATO oraz krajów partnerskich sojuszu (Ukraina, Australia, Brazylia, Japonia i Singapur). 

Forum jest największą tego typu inicjatywą, zrzeszająca wojskowe elity odpowiedzialne za cyberbezpieczeństwo. W tym roku organizacja wydarzenia przypadła Polsce, o czym z dumą mówił przed naszymi kamerami gen. dyw. Karol Molenda, dowódca DKWOC:

Zwiększyć możliwości NATO

Charakter konfrontacji w cyber (dynamika zmian) pokazuje, że należy przyjąć transformacyjne podejście i zwiększyć możliwości całego NATO.  

„Sojusz będzie musiał bronić się w cyberprzestrzeni tak samo skutecznie, jak w innych domenach” – ocenił płk Bernd Hansen, stojący na czele cyberjednostki Allied Command Transformation NATO. 

Jak zaznaczył, już teraz państwa członkowskie unowocześniają swoje zdolności w zakresie cyberobrony poprzez współpracę między sobą oraz krajami trzecimi, a także przemysłem, środowiskiem akademickim i organizacjami międzynarodowymi. To droga, którą należy podążać, aby wspólnota mogła skutecznie stawiać czoła ewoluującym zagrożeniom w sieci. Polska jest tu najlepszym przykładem (zagrożeń dla NATO, ale i efektów współpracy).

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].