Cyberbezpieczeństwo
Cyfrowa Konwencja Genewska musi obejmować sferę informacyjną [ANALIZA]
Obecnie nowej dynamiki nabiera międzynarodowa dyskusja nt. potrzeby nowych regulacji w obszarze cybernetycznym dla ochrony cywili oraz mechanizmów zapobiegania konfliktom. Związana jest ona z koniecznością tworzenia nowych ram prawnych dla regulowania działań państw w cyberprzestrzeni. Komponent cybernetyczny musi być jednak skorelowany z bezpieczeństwem informacyjnym oraz mechanizmami i instrumentami reagowania, neutralizacji czy odpowiedzi na zagrożenia z obszaru wojny informacyjnej i psychologicznej.
6 lutego w Warszawie odbyły się rozmowy przy okrągłym stole pt. „Kształtowanie odpowiedzialnego zachowania państw w cyberprzestrzeni”. Organizatorami wydarzenia był German Marshall Fund of the United States we współpracy z firmą Microsoft. Polska stolica wybrana została dla przeprowadzenia pierwszych tego typu zamkniętych konsultacji w Europie.
Czytaj więcej: Konsultacje dotyczące Cyfrowej Konwencji Genewskiej w Warszawie
Cyfrowa Konwencja Genewska ma być krokiem milowym w obszarze regulacji i unormowania działań aktorów państwowych. Zakłada ona szerokie współdziałanie rządów, firm z branży technologicznej oraz sektora organizacji pozarządowych i społeczeństwa obywatelskiego. To na chwilę obecną działania dobrowolne, które wymagać będą zaangażowania i woli politycznej rządów i innych podmiotów państwowych i transnarodowych.
Ewolucja podejścia do Konwencji Cyfrowej
Dyskusja na ten temat to długotrwały proces w ramach struktur Organizacji Narodów Zjednoczonych, G20 oraz rozmów bilateralnych. Istotnym komponentem całej koncepcji jest współpraca z sektorem prywatnym i największymi korporacjami z branży technologicznej. Analogiczne rozwiązania przyjęte zostały w ramach Traktatu o Nierozprzestrzenianiu Broni Jądrowej (Non-Proliferation Treaty, NPT) czy Konwencji o Zakazie Broni Chemicznej (Chemical Weapons Convention, CWC).
Niemal 20 lat temu Sekretarz Generalny ONZ powołał grupę ekspertów rządowych (Group of Governmental Experts, GGE) działających w obszarze zmian na polu informacji i telekomunikacji w kontekście bezpieczeństwa międzynarodowego (ang. Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security). W 2015 roku zaproponowała ona nowy zestaw zasad i reguł dla odpowiedzialnych zachowań państw w cyberprzestrzeni. Są one na razie dobrowolne, lecz ewolucja norm prawnomiędzynarodowych będzie zapewne podążać w kierunku ich implementacji w systemach krajowych i szerzej. W swoim raporcie potwierdziła też, że prawo międzynarodowe odnosi się do cyberprzestrzeni, co jednogłośnie poparło 20 państw biorących udział w jej pracach, w tym USA, Rosja i Chiny.
Kolejnym wydarzeniem jest powołana rok temu Światowa Komisja ds. Stabilności w Cyberprzestrzeni (Global Commission for the Stability of Cyberspace). Inicjatorami projektu byli: The Hague Centre for Strategic Studies (HCSS) oraz EastWest Institute (EWI). Jej zadaniem jest praca nad przygotowaniem zestawu propozycji norm i polityk dla wzmocnienia międzynarodowego bezpieczeństwa, stabilności i odpowiedzialnych zachowań w cyberprzestrzeni ze strony aktorów państwowych i niepaństwowych.
Wizja Microsoftu
Działania związane z koncepcją Cyfrowej Konwencji Genewskiej to ambicja firmy, wynikająca ze zmian w otoczeniu międzynarodowym oraz rozwoju nowych technologii. Przekuwanie jej w prawo to tylko jeden z celów. Innymi jest dyskusja, współkształtowanie procesów oraz podnoszenie świadomości elit oraz użytkowników internetu. To wreszcie realizacja idei partnerstwa transatlantyckiego w cyberprzestrzeni. Działania w tym zakresie obejmują sferę cywilną i nie są związane ze stanem konfliktu zbrojnego.
Obecnie istnieje rosnąca potrzeba angażowania podmiotów państwowych, prywatnych i pozarządowych w opracowywanie nowych rozwiązań oraz adaptację tych istniejących do szybko zmieniających się potrzeb. Zdaniem firmy konieczne jest podnoszenie transparentności i egzekwowanie odpowiedzialności za określone działania i zachowania aktorów państwowych. Trwają więc prace nad określeniem dróg i wizji do osiągnięcia celu, które muszą cechować się pragmatyzmem i elastycznością. Odpowiedzialne zachowania państw obejmują z kolei takie zagadnienia jak: suwerenność cybernetyczna, prawo międzynarodowe oraz prawo do obrony.
Wiele instytucji i organizacji międzynarodowych oraz środowisko eksperckie podzielają poglądy Microsoftu. Infrastruktura cyfrowa powinna być neutralna, zakaz proliferacji cyberbroni, ograniczanie państwowych zdolności ofensywnych w cyberprzestrzeni – to tylko jedne z nich. Opierają się one na dobrowolnym przyjęciu standardów w sektorach, ale i pomiędzy państwami.
Wyzwania
Interdyscyplinarne podejście oraz wzrost zagrożeń nie wystarcza do konsolidacji społeczności międzynarodowej. Zauważalne są spory pomiędzy głównymi aktorami, a w szczególności „schizma” pomiędzy Zachodem a Rosją i Chinami. Te ostatnie nie chcą kompromisu, często wycofują się z ustalonych już porozumień oraz oskarżają Stany Zjednoczone i państwa zachodnie o militaryzację cyberprzestrzeni. Kolejnym wyzwaniem jest zjawisko tzw. „bałkanizacji internetu” oraz erozja wielowektorowego podejścia pod parasolem ONZ. Warto wspomnieć i o coraz częstszym zjawisku wykorzystywania podmiotów niepaństwowych do realizacji interesów rządów, co odbywa się w sferze niejawnej. Problemem samym w sobie jest atrybucja ataku.
W związku z powyższym konieczne jest poszukiwanie nowej formuły i strategii współpracy. Potrzebne jest również podnoszenie świadomości użytkowników i zwracanie uwagi na globalne zagrożenia, z którymi nie da się poradzić sobie indywidualnie. Wynikać to będzie z zaufania i zacieśniania współpracy na linii państwa-sektor prywatny, w tym standaryzacji i regulacji procesów i produkcji. Będzie to wymagało ewolucji „cyberdiplomacy”. Nie można bowiem zapominać, że rozbudowywanie zdolności ofensywnych, czym obecnie zajmuje się co najmniej 30 państw, może być przejawem nie tylko agresji, ale i wzmacniania własnego potencjału odstraszającego.
Na koniec dodać można, co podkreślają eksperci, mniejsze i słabsze państwa mogą mieć znacznie większy potencjał w cyberprzestrzeni niż w obszarze konfliktów konwencjonalnych. Ich możliwości w związku z tym będą ewoluować. Tym bardziej, że zależność od internetu oraz zagrożenia wynikające z popularyzacji internetu rzeczy (IoT) będą tylko wzrastać.
International Cyberattack Attribution Organization
Elementem koncepcji Konwencji Cyfrowej jest Międzynarodowa Organizacja Atrybucji Cyberataków. Ma ona być jednym z filarów budowy zaufania społeczności międzynarodowej do technologii i procesów z nią związanych, ale i porządku politycznego i ładu w cyberprzestrzeni. Jednocześnie byłaby ona w gruncie rzeczy nowym elementem cyberobrony, odpowiadających za gromadzenie i analizę danych oraz identyfikację sprawców. Podniosłaby ona poziom transparentności działań w sieci i ułatwiła państwom podejmowanie odpowiednich działań wobec tych, którzy łamią zasady i prawo.
Miałaby ona współpracować z organizacjami pozarządowymi, firmami z branży technologicznej oraz innymi podmiotami na kierunku zwiększania możliwości określania atrybucji ataków oraz tworzenia mechanizmów odstraszania. Idea polega na tym, że miałaby to być współpraca stricte techniczna i apolityczna. Głównym wyzwaniem byłoby identyfikowanie działań pośredników, którzy są wykorzystywani przez państwa do ataku na innych. Jej praca obejmowałaby znacznie szerszy aspekt niż jedynie kryminalistykę cybernetyczną. Chodziłoby m.in. o prezentowanie zebranych danych w sposób przystępny dla społeczności międzynarodowej. Co ciekawe, miałaby ona uwzględniać współpracę z ekspertami rządowymi państw, lecz te ostatnie nie miałyby prawa weta dla publikacji jej raportów.
Kluczem do sukcesu będzie tu więc niezależność oraz dywersyfikacja geograficzna uczestników. Apolityczność i profesjonalizm miałyby być fundamentem zaufania, na który nie są w stanie wpływać zmieniające się agendy polityczne różnych aktorów. Sama struktura musiałaby być w pełni transparentna. Takie podejście umożliwiłoby wykorzystanie jej jako instytucji podnoszącej poziom bezpieczeństwa – reakcja na raporty byłaby po stronie społeczności międzynarodowej. Twórcy koncepcji wychodzą bowiem z założenia, że aby system był w pełni skuteczny, w ślad za atrybucją ataku musi podążać odpowiedzialność i konsekwencje. Wśród partnerów firmy Microsoft, z którymi omawiane są modele dla funkcjonowania takiej instytucji, jest m.in. RAND Corporation.
Komplementarne działania technologiczne
Dodatkowym aspektem przy Konwencji Cyfrowej jest Porozumienie Technologiczne (Tech Accord). Jego zadaniem jest wsparcie ochrony obywateli w cyberprzestrzeni. Fundamentem tej koncepcji jest przekonanie, że musi panować zaufanie rynku cywilnego do producentów, jak i samej technologii czy cyberprzestrzeni. Ono bowiem w sposób decydujący wpływać będzie na zachowania konsumentów oraz globalne korzyści z rozwoju handlu i usług. Z tego powodu rządy muszą zmienić swoje podejście w kontekście pracy nad rozwojem cyberbroni oraz wykorzystaniem cyberataków, które naruszają fundamenty obecnego porządku cyfrowego.
Zadanie kreacji przyjaznego środowiska dla użytkowników internetu spoczywa jednak zarówno na aktorach państwowych, jak i podmiotach prywatnych. Rozłożone jest też ono na różne odcinki - od tworzenia rozwiązań, poprzez ich obsługę i ochronę, aż po odpowiedź i reagowanie na zagrożenia. Innymi słowy konieczne jest budowanie partnerstwa na różnych odcinkach. W dalszej kolejności tworzenie ram prawno-instytucjonalnych dla ustalenia wymogów, norm i regulacji, w tym w obszarze reakcji, sankcji czy podejmowania działań politycznych lub militarnych jako odpowiedź na cyberatak lub łamanie prawa.
Należy pamiętać, że działając w pojedynkę, nawet największe firmy nie będą w stanie poradzić sobie z wyzwaniami. Potrzeba współpracy i wdrożenia konkretnych zachowań oraz kolektywnej odpowiedzialności za bezpieczeństwo cywili w cyberprzestrzeni. To nie tylko zbiór zasad, lecz i określone praktyki i zachowania. Wśród głównych zasad, jednoczących zainteresowane podmioty, miałby znaleźć się:
- Niewspieranie ofensywnych operacji rządów w cyberprzestrzeni,
- Wsparcie dla ochrony klientów i powstrzymywanie się od pozostawiania ich ze sprzętem / usługami narażonymi na ataki,
- Współpraca na rzecz wzmocnienia szybkiego reagowania i obrony przed cyberatakami,
- Wsparcie wysiłków państwowych w obszarze odpowiedzi na zagrożenia oraz naprawiania ich skutków,
- Koordynacja działań dla naprawy podatności,
- Walka z proliferacją podatności.
Cyberbezpieczeństwo a bezpieczeństwo informacyjne
Rządy rozwijają zdolności ofensywne w cyberprzestrzeni i wzrasta liczba cyberataków aktorów państwowych na cywili i infrastrukturę krytyczną. Ilość cyberataków wzrasta lawinowo, a wciąż pojawiają się nowe zagrożenia. Jest to jednak tylko jeden z istotnych aspektów. Problemem Zachodu pozostaje jednak percepcja cyberbezpieczeństwa praktycznie wyłącznie przez pryzmat „hard cyber”.
9 maja 2017 r. Władimir Putin podpisał dekret „O strategii rozwoju społeczeństwa informacyjnego w Federacji Rosyjskiej na lata 2017-2030”. Jest on dalece skorelowany z doktryną bezpieczeństwa informacyjnego Rosji z 5 grudnia 2016 r., a prace nad oboma dokumentami prowadzone były równolegle. Poza sferą deklaratywną, zauważyć można, iż w pierwszej kolejności celem strategii jest rozszerzenie kontroli nad rosyjskim Internetem oraz zastępowanie zachodnich rozwiązań technologicznych rodzimymi zamiennikami. W dalszej kolejności chodzi o wzmacnianie tzw. suwerenności cyfrowej, czyli uniezależniania się, a wręcz eliminacji wpływów zewnętrznych, zwłaszcza w przestrzeni informacyjnej. Kreml daje jasno do zrozumienia, iż kwestie dostępu i selekcji informacji stają się elementem szerszej koncepcji bezpieczeństwa.
Czytaj więcej: Rosyjska walka z cyberprzestępczością a wojna informacyjna [KOMENTARZ]
Aktorzy tacy jak Chiny czy Rosja wzmacniają bezpieczeństwo swoich przestrzeni informacyjnych, rozwijając działania z obszaru cyberbezpieczeństwa. Przy tym działania hakerów oraz cyberataki, o które oskarżane są zarówno Moskwa jak i Pekin skorelowane są z działaniami politycznymi, ekonomicznymi oraz informacyjnymi. Ten ostatni komponent jest szczególnie wymowny w kontekście rosyjskich ingerencji i oddziaływań podczas wyborów prezydenckich w USA, Francji, Czechach, ale i w Hiszpanii podczas referendum w Katalonii.
„W dobie Internetu jesteśmy coraz bardziej zależni od technologii na nim opartych, ale i staliśmy się bardziej podatni wobec tych, którzy są gotowi wykorzystywać te technologie aby próbować lub czynić nam szkody z powodów finansowych lub politycznych. Stajemy się coraz bardziej podatni na ryzyka w cyberprzestrzeni. Przykłady WannaCry i NotPetya są dosyć wymowne. To poważne ostrzeżenie dla rozumienia zagrożeń. Bezpieczeństwo online jest równie ważne jak offline. W darknecie można zlecić atak już za 5 USD” – powiedział podczas III Europejskiego Forum Cyberbezpieczeństwa – CYBERSEC 2017 komisarz ds. unii bezpieczeństwa sir Julian King.
Czytaj więcej: Julian King: Są państwa, które wykorzystują sferę cyber do ataków na demokrację (CYBERSEC 2017)
Inną kategorią wyzwań będzie zakłócanie procesów demokratycznych oraz oddziaływanie psychologiczne i informacyjne na społeczeństwa, jak: podważanie wiarygodności państwa i jego instytucji, naruszanie wizerunku oraz zaufania do liderów politycznych, organizacji międzynarodowych czy sojuszników, generowanie chaosu informacyjnego, destabilizacja sytuacji społeczno-politycznej, wywoływanie napięć społecznych łącznie z narażaniem zdrowia i życia obywateli, organizowanie prowokacji na poziomie krajowym i zagranicznym, itp. Coraz większe poleganie użytkowników sieci na mediach społecznościowych oraz odchodzenie od czerpania wiedzy z mediów klasycznych nie oznacza, że zastosowanie obrazu czy grafiki ulegnie redukcji w przekazie informacyjnym, wręcz przeciwnie.
Podobnie jest z rosnącym wykorzystaniem zautomatyzowanych lub półzautomatyzowanych kont w mediach społecznościowych, skorelowanych z innymi działaniami hakerów i służb specjalnych. Wielokrotnie prowadzone z ich użyciem operacje informacyjne i psychologiczne prowadzone były w oparciu o wykradzione dane z kont polityków, partii politycznych, instytucji państwowych lub międzynarodowych.
Jednym z przykładów, w którym sfera cyber i sfera informacji przecinają się, będzie np. skoordynowany atak na media w danym państwie, co spowodowałoby, że jego obywatele zostaliby pozbawieni dostępu do informacji. Innym może być rozwinięcie destrukcyjnej skali działania oprogramowania wymuszającego okup, jak miało to miejsce w sytuacji ataku ransomware’a Bad Rabbit. Ten ostatni był dystrybuowany przez nieprawdziwą aktualizację Adobe Flash, a wśród zaatakowanych stron najwięcej było tych należących do mediów. Koordynacja takich działań na dużą skalę i ich systematyczne prowadzenie mogłoby skutecznie wpłynąć na użytkowników sieci i pozbawić ich zaufania lub ochoty do odwiedzania pojedynczego lub wielu mediów.
Czytaj więcej: Ransomware Bad Rabbit uderza w Rosję, Ukrainę i inne państwa
Konieczne więc wydaje się osiągnięcie kompromisu, gdzie są czerwone linie czy granice w polityce oddziaływań informacyjnych i/lub psychologicznych w cyberprzestrzeni, przekroczenie których będzie jednoznaczne z aktem wypowiedzenia wojny i/lub koniecznością podjęcia działań odwetowych lub nałożenia sankcji przez organizacje międzynarodowe. Innym aspektem będzie wyróżnienie kategorii ataków informacyjnych oraz podjęcie aktywności związanych z edukacją odbiorców informacji.
Podsumowanie
Istnieje większa łatwość wykorzystywania broni cybernetycznej, gdyż może być ona wykorzystana anonimowo i w sposób przynoszący ogromne korzyści polityczne, ekonomiczne lub inne. Efektem jest duży poziom nieprzewidywalności, brak zaufania oraz wiele innych odśrodkowych tendencji, negatywnie wpływających na ład i porządek międzynarodowy. Cyberbezpieczeństwo jest więc krytycznym elementem bezpieczeństwa międzynarodowego i stabilności gospodarczej w skali globalnej. Prawdziwym wyzwaniem jest wypracowanie uniwersalnego zbioru zasad, co do którego będzie panował międzynarodowy kompromis.
Sfera cyber jest nierozerwalnie złączona ze sferą informacyjną. W dobie wzrostu znaczenia mediów społecznościowych, rosnącej popularności tzw. mediów alternatywnych, zależności od internetu i kontrolowania wielu procesów z jego wykorzystaniem, konfrontacyjnej polityki niektórych aktorów międzynarodowych oraz wykorzystywania przez nich służb specjalnych oraz prywatnych grup hakerów prognozować można, że nie wszystkie działania związane z cyberatakami będą ograniczać się jedynie do sfery twardej cyberbezpieczeństwa. Pamiętać należy, iż cyberatak może wcale nie być obliczony na zadanie przeciwnikowi strat fizycznych czy ekonomicznych. Może być ukierunkowany na wzmocnienie efektu oddziaływania informacyjnego i psychologicznego na społeczeństwo i/lub opinię międzynarodową, zakłócenie procesów ważnych reform lub negocjacji, osłabienie woli oporu przeciwnika czy nieprzychylnego sobie rządu, podważenie wizerunku i/lub zaufania do danego kraju wśród innych partnerów zagranicznych, zbudowanie alternatywnego tła informacyjnego czy wreszcie zakłócenie percepcji lub odwrócenie uwagi od wydarzeń na arenie międzynarodowej dla wyborców lub elit.