#CyberMagazyn: Król i królowa nadal ci sami. Aktywna cyberobrona coraz bliżej tronu

13 listopada 2021, 06:09
jeremy-bezanger-mqKVFaYKJDM-unsplash
Fot. Jeremy Bezanger/unsplash.com

W najbliższym czasie operacje w ramach aktywnej cyberobrony będą stanowić tylko niewielką część działań związanych z bezpieczeństwem państwa. Wiąże się to z tym, że użycie niektórych cyberśrodków niesie ze sobą ryzyko eskalacji konfliktu i poważne konsekwencje zarówno dla krajów, jak i aktorów niepaństwowych. Dlatego też prym wiodą inne dziedziny. 

Państwa, a także podmioty prywatne od wielu lat prowadzą dyskusje nad zagadnieniem aktywnej cyberobrony. Jednak w większości przypadków, rozmów nie udaje się zakończyć konkretnym wnioskiem lub ustaleniami, zarówno na poziomie międzynarodowym, jak i krajowym. Choć na najwyższym szczeblu politycznym widzimy, że to różne wydarzenia napędzają konkretne działania i pobudzają procesy legislacyjne.

Przykładem może być podejście reprezentowane przez obecnego prezydenta USA Joe Bidena. W wyniku cyberataków, wymierzonych w amerykańską infrastrukturę (państwową i prywatną), które doprowadziły do poważnych incydentów (np. Colonial Pipeline), zdecydował się na bezpośrednie spotkanie ze swoim rosyjskim odpowiednikiem Władimirem Putinem. Dlaczego akurat z nim? Wynika to z faktu, że większość wrogich działań – jak pokazały ustalenia – swoje źródło miały właśnie w Rosji.

W rzeczywistości licznych cyberoperacji wymierzonych w USA, Joe Biden oświadczył, że cyberataki ukierunkowane na amerykańską infrastrukturę spotkają się ze stanowczą odpowiedzią. Odwet będzie obejmował te systemy, serwery i sieci, które wykorzystano do przeprowadzenia wrogich kampanii.

Pomimo że podejścia do aktywnej cyberobrony różnią się znacząco w poszczególnych krajach, cel jest zawsze ten sam: ochrona interesów państwowych, przemysłu oraz obywateli w cyberprzestrzeni i przy jej użyciu.

wskazują specjaliści Transatlantic Cyber Forum

W czym tkwi problem?

Jednak podejść do aktywnej cyberobrony jest tyle, ile państw na świecie. To efekt braku globalnego konsensusu dotyczącego tego, jak należy ją traktować, jakie narzędzia służą do jej realizacji oraz które konkretne czynności kryją się za tym pojęciem. Z czego to wynika?

Eksperci Transatlantic Cyber Forum wskazują, że jednym z problemów jest trudność w zdefiniowaniu samego pojęcia „aktywnej cyberobrony”. Wynika to z faktu zróżnicowanego podejścia do terminu, a także przekroju środków technicznych oraz sposobów działania, które wpisują się w ten obszar.

Musimy mieć na uwadze, że – jak sama nazwa wskazuje – aktywna cyberobrona z założenia ma charakter defensywny. Niemniej jednak, narzędzia i środki stosowane w jej ramach na poziomie taktycznym i operacyjnym mogą służyć do działań ofensywnych.

Co więcej, stanowi ona odpowiedź na konkretną wrogą cyberkamapnię. Jej celem jest więc nie tyle poprawa cyberbezpieczeństwa infrastruktury IT, ale neutralizacja i/lub odparcie i/lub złagodzenie skutków konkretnych wrogich działań pod względem technicznym. W związku z tym widzimy, że aktywna cyberobrona nie może być rozpatrywana jako forma odwetu, ale kontroperacji.  

Kolejny problem dotyczy ram prawnych. Obecnie istniejące już przepisy stosuje się do zupełnie nowych zjawisk, co sprawia, że normy nie zawsze odpowiadają charakterystyce określonego zachowania czy użycia narzędzi. Jest to szczególnie widoczne w domenie, jaką jest cyberprzestrzeń. Tu rodzi się zasadnicze pytanie: czy wszystko, co nie jest uregulowane prawem z założenia należy uznać za nielegalne?

Eksperci pracujący nad powstaniem raportu podjęli próbę zdefiniowania pojęcia „aktywnej cybrobrony”. Znajduje się ona poniżej.

Aktywna cyberobrona – to co najmniej jedno narzędzie techniczne wdrożone przez państwo lub grupę państw zbiorowo, wykorzystane w celu zneutralizowania i/lub złagodzenia wpływu i/lub odparcia konkretnej, trwającej operacji bądź kampanii w cyberprzestrzeni.

czytamy w raporcie „Aktywne operacje cyberobrony”

Co można uznać za cyberobronę?

W raporcie opracowanym przez Transatlantic Cyber Forum podkreślono, że w bieżącym roku mieliśmy do czynienia z dwoma przykładami działań, które można uznać za uruchomienie aktywnej cyberobrony.

Jednym z nich była operacja przeprowadzona przez FBI wymierzona w Hafnium – grupę sponsorowaną przez państwo, działającą z Chin. To właśnie jej hakerzy stali za głośnym incydentem z udziałem Microsoft Exchange Server. Doniesienia o ataku hakerów pojawiły się na początku marca br.   

W związku z wrogą kampanią, amerykańskie służby zażądały nakazu przeszukania narażonych na niebezpieczeństwo sieci i systemów w USA, a następnie  zdalnego usuwania powłok internetowych stwarzających ryzyko. Jak tłumaczono, takie podejście było konieczne, ponieważ działania Hafnium zagrażały „bezpieczeństwu narodowemu narodowi Stanów Zjednoczonych i ich partnerom”.

Drugą operacją było zniszczenie botnetu „Emotet”27 stycznia br. Europol ogłosił, że „najniebezpieczniejsze na świecie złośliwe oprogramowanie Emotet zostało zakłócone”. To efekt międzynarodowych wysiłków w ramach „Operation Ladybird”, w którą zaangażowane były Holandia, Niemcy, USA, Wielka Brytania, Francja, Litwa, Kanada i Ukraina. Działania koordynował Europol (Agencja Unii Europejskiej ds. Współpracy Organów Ścigania) i Eurojust (Agencja Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych).

Podczas operacji służbom udało się przejąć kontrolę nad infrastrukturą botnetu i umieścić w niej wirusa. Skutecznie odcięto również komunikację urządzeń ofiar z urządzeniami hakerów.

Na podstawie publicznie dostępnych informacji obie operacje można uznać za udane.

Ryzyko eskalacji. Z jednej i drugiej strony

Eksperci zwracają uwagę, że użycie niektórych środków z zakresu cyberobrony niesie ze sobą potencjalne ryzyko eskalacji działań, które najprawdopodobniej nie wykroczą poza wirtualną domenę.

Z drugiej jednak strony brak reakcji na prowadzoną wrogą kampanię może także doprowadzić do eskalacji napięć, lecz w inny sposób.

Jaki? Zaniechanie jakikolwiek czynności w odpowiedzi na incydent może potencjalnie zachęcić hakerów lub cyberprzestępców do kontynuowania swoich operacji, a nawet zwiększa intensywności cyberataków.

W tym aspekcie należy podkreślić, że omawiana eskalacja dotyczy nie tylko krajów, ale również podmiotów niepaństwowych, które trzeba uwzględniać w szerokim planie zagrożeń.

„Król i królowa” nadal ci sami

W raporcie podkreślono, że ryzyko w domenie cyber może być redukowane dzięki ustanowieniu odpowiednich zabezpieczeń, które wpisywać się będą w kategorię cyberobrony. Obejmują one przede wszystkim właściwe zdefiniowanie zagrożeń i ich zakresu, ustanowienie ram prawnych na poziomie krajowym czy określenie wytycznych dotyczących wykorzystywanych narzędzi i stosowanych działań. Równie ważne jest uwzględnienie interesu publicznego oraz budowanie zaufania, a także stosowanie prawa międzynarodowego.

Według specjalistów Transatlantic Cyber Forum ważne jest, aby debatę polityczną na temat aktywnej cyberobrony „posunąć do przodu”. Ich zdaniem obrona nie może zastępować cyberbezpieczeństwa, lecz jedynie go uzupełniać w celu podniesienia odporności. Działania podejmowane w tym zakresie mają jedynie wypełnić istniejącą lukę w obszarze „ochrony państwa”, które musi zmierzyć się z zagrożeniami, wynikającymi z cyberataków i innych rodzajów wrogiej aktywności w sieci.

Nie ulega wątpliwości fakt, że operacje z zakresu aktywnej cyberobrony prowadzone przy użyciu starannie dobranych środków oraz silnych zabezpieczeń mogą skutecznie podnieść poziom cyberbezpieczeństwa państwa. Kluczowe jest jednak zintegrowanie wykorzystywanych środków z istniejącą kulturą cyber, infrastrukturą i strategią.

To wszystko wymaga z kolei otwartej, szczegółowej i merytorycznej debaty dotyczącej przypadków oraz kryteriów sięgnięcia po zdolności z zakresu aktywnej cyberobrony. Zdaniem ekspertów, współcześnie tego typu operacje będą stanowić tylko niewielką część działań związanych z ogólnym cyberbezpieczeństwem. „Bezpieczeństwo i odporność IT nadal pozostają królem i królową” – podsumowali.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama
KomentarzeLiczba komentarzy: 2
Piotr II
sobota, 13 listopada 2021, 13:16

Rozmowa lub rozmowy są potrzebne, a co z nich wynika lub wyniknie to różnie z tym bywa, co do globalnego konsensusu w tej dziedzinie mam mieszane uczucia, bo jeżeli uda się osiągnąć jakieś światowe porozumienie między państwami to w tej dziedzinie zawsze będzie istnieć szara strefa, mądry zrozumie.

ma się rozumieć
sobota, 13 listopada 2021, 21:46

Każdy ma ochotę wygrodzić sobie swoją szarą strefę. Najgorzej ma słaby.

Tweets CyberDefence24