Najskuteczniejszą (cyber) obroną jest (cyber) atak

Gdy coraz więcej aktywności przenosi się ze świata rzeczywistego do cyfrowego, zapewnienie skutecznej ochrony wszystkim podmiotom obecnym w cyberprzestrzeni staje się coraz trudniejsze. Zarówno instytucje państwowe, jak i biznes czy infrastruktura krytyczna stają się coraz bardziej podatne na akcje ofensywne wrogich państw. Defensywne działania prewencyjne, choć konieczne, nie wyczerpują arsenału środków. Budowa zdolności ofensywnych, pozwalających na skuteczne odstraszanie i ewentualny atak odwetowy, jest zatem zadaniem kluczowym, szczególnie w przypadku Polski, która na retorsje konwencjonalne pozwolić sobie nie może.

W wywiadzie udzielonym w lutym 2015 r. prezydent Barack Obama przyrównał działania w cyberprzestrzeni do koszykówki, gdzie w odróżnieniu od piłki nożnej, poczynania ofensywne mieszają się z defensywnymi. W lutym tego roku Agencja Bezpieczeństwa Narodowego (National Security Agency/NSA) ogłosiła połączenie swych dwóch najbardziej znanych biur - Information Assurance Directorate (Zarząd Bezpieczeństwa Informacji) oraz Signals Intelligence Directorate (Zarząd Wywiadu Radioelektronicznego) – w ramach programu restrukturyzacji NSA21. Statutowym zadanie pierwszego z wymienionych biur NSSA jest bezpieczne przechowywanie danych i ochrona przed cyberszpiegostwem. Drugie biuro natomiast zajmuje się pozyskiwaniem informacji o zagranicznych celach. Według słów dyrektora NSA, pełniącego jednocześnie funkcję szefa U.S. Cyber Command (USCYBERCOM), adm. Michaela S. Rogersa, zmiany w strukturze agencji mającej siedzibę w Fort Meade w stanie Maryland, odzwierciedlają rosnącą potrzebę integracji różnych wymiarów pracy wywiadowczej, czyli ramienia ofensywnego z defensywnym. Wynika to ze złożonego charakteru zagrożeń.

O tym, kto w USA zajmuje się zadaniami ofensywnymi w cyberprzestrzeni, mogliśmy dowiedzieć się w 2013 r. dzięki Edwardowi Snowdenowi. Office of Tailored Access Operations (w polskim Internecie nazywana Biurem ds. Operacji Specjalnego Dostępu, w skrócie TAO) to jednostka NSA utworzona prawdopodobnie na przełomie lat 1997-1998 w ramach Zarządu Wywiadu Radioelektronicznego. Według ujawnionych materiałów posiada ona zdolności pozwalające na kontrolę routerów, switch'y i firewalli różnych producentów (m.in. Cisco, Huawei i Juniper), a także serwerów DELL i HP oraz telefonów iPhone. Instalacja oprogramowania kontrolującego poziomie BIOS'u powoduje, że pozostaje ono aktywne nawet po aktualizacji systemu operacyjnego bądź restarcie urządzenia. Dzięki temu TAO identyfikuje, monitoruje, infiltruje i zbiera dane wywiadowcze w systemach komputerowych podmiotów zagranicznych. Działania te są określane mianem "wykorzystania sieci komputerowych" (Computer Network Exploitation/CNE) a ich zasięg ujawniony przez Edwarda Snowdena miał sięgać co najmniej 50 tys. sieci na całym świecie w 2012 r. Proceder ten nie ominął również Polski. Z materiałów ujawnionych w Wikileaks już w 2007 r. NSA miała przynajmniej częściową kontrolę nad adresami IP z Piły, Mławy, Krakowa, Poznania, Szczecina, Gdyni, Lublina, Katowic, Łodzi, Świdnika, Skarżyska-Kamiennej, Rudy Śląskiej i Warszawy. Lista polskich podmiotów współdziałających z NSA obejmuje firmy telekomunikacyjne (te najmniejsze i te największe), ośrodki akademickie i przemysłowe. Należy jednak podkreślić, że autorzy dokumentu z Wikileaks zastrzegli, iż najprawdopodobniej nie była to świadoma współpraca z amerykańskim wywiadem radioelektronicznym.

Budowa zdolności ofensywnych, pozwalających na skuteczne odstraszanie i ewentualny atak odwetowy, jest zatem zadaniem kluczowym, szczególnie w przypadku Polski, która na retorsje konwencjonalne pozwolić sobie nie może.

W nomenklaturze amerykańskich służb wywiadowczych CNE jest częścią tzw. Computer Network Operations, czyli działań operacyjnych, na które składają się ataki na sieci komputerowe (Computer Network Attack/CNA), obrona sieci komputerowych (Computer Network Defense/CND) i wspomniane wyżej CNE. Zdefiniowanie obrony nie nastręcza większych trudności. Są to działania podejmowane za pośrednictwem sieci komputerowych w celu ochrony, monitorowania, analizy, wykrywania i reagowania na ataki, włamania, zakłócenia, nieautoryzowany dostęp lub inne niedozwolone działania, które mogą naruszyć i zdezintegrować systemy informatyczne. Działania ofensywne podejmowane za pośrednictwem sieci komputerowych (CNA) mają na celu zakłócenie, blokowanie lub zniszczenie informacji w komputerach i sieciach komputerowych przeciwnika, bądź unieszkodliwienie samych urządzeń. Wreszcie wykorzystanie sieci (CNE) obejmuje zbieranie wrażliwych i/lub tajnych informacji za pośrednictwem sieci komputerowych, przy użyciu systemów informacyjnych i/lub sieci obcych państw. Choć na pierwszy rzut oka brzmi to prosto, to możliwości TAO znacznie przekraczają wyobrażenie przeciętnego użytkownika Internetu. Wystarczy jako przykład przytoczyć historię włamania przez pracowników NSA do oprogramowania Korei Południowej; umożliwiło to amerykańskiemu wywiadowi radioelektronicznemu włamanie do oprogramowania Korei Północnej. Nie tylko Stany Zjednoczone prowadzą takie operacje ofensywne, bowiem historia chińskich CNO sięga co najmniej przełomu tysiącleci. Zatem o ile CNE to akt szpiegostwa, o tyle CNA może być traktowane już jako akt wojny.

Jednakże powyższe rozróżnienie jest często bardzo nieprecyzyjne. Jak wskazuje studium opracowane w 2011 r. dla Podkomisji Bezpieczeństwa i Obrony Parlamentu Europejskiego, skuteczne CNA wymaga CNE, bowiem obie techniki wykorzystują te same podatności przeciwnika. Jak donosi tygodnik „Der Spiegel”, z punktu widzenia wojskowego, działania wywiadowcze w Internecie to jedynie „Faza 0” w cyfrowej strategii USA. Wewnętrzne dokumenty NSA wskazują, że wykrycie luk i podatności w systemach wroga to warunek wstępny dla kolejnych działań. Po tym jak "niewidoczne" oprogramowanie zostaje zainstalowane i osiąga zdolność infiltracji wrogich systemów (zapewniając stały dostęp), następuje „Faza 3”, do opisu której często używany jest – mający nieprzyjazną konotację - czasownik "dominować.” Umożliwia to "kontrolę/zniszczenie systemów i sieci krytycznych, jeżeli tylko zaistnieje taka wola, poprzez wstępnie ustanowiony [w Fazie 0 – MH] dostęp.”  W rezultacie od obecności w Sieci innego państwa i zbierania z niej informacji do jego zaatakowania dzieli nas zaledwie kilka komend. Mimo postępującej cyfryzacji wciąż brakuje możliwości technicznych, by skutecznie chronić sieci należące do infrastruktury krytycznej, państwowe i biznesowe. W ub.r. odkryto włamanie do amerykańskiej agencji rządowej Office of Personnel Management, dzięki któremu napastnicy działając przypuszczalnie na zlecenie rządu Chińskiej Republiki Ludowej wykradli dane osobowe milionów pracowników administracji rządowej USA. Detekcja tych działań nastąpiła kilka miesięcy po ich rozpoczęciu. Raport firmy Mandiant dowodzi działań chińskiej jednostki 61398, która w latach 2006-2013 infiltrowała sieci biznesowe państw zachodnich w niezidentyfikowany sposób przez średnio 356 dni. Najdłuższy okres obecności cyberintruzów w sieci wyniósł 1764 dni, czyli prawie 5 lat. W związku z tym pojawiają się głosy o cyfrowym klinczu, który przywodzi na myśl znane z okresu zimnej wojny zagrożenie użyciem broni jądrowej. Do historii przeszło ono pod nazwą Mutual Assured Destruction (ang. gwarantowane wzajemne zniszczenie/MAD). Obecny pat oznacza, że cyfrowe siły ofensywne czołowych potęg ustanowiły stałą i niezidentyfikowaną obecność w sieciach adwersarzy, która może być szybko spotęgowana w celach destrukcyjnych.

Sprawy komplikują się w przypadku nierównomiernego rozwoju cyfrowego państw. Konflikty w cyberprzestrzeni mają często charakter asymetryczny. Wiadomo bowiem, że niektóre państwa mimo swego ogólnego zacofania w dziedzinie teleinformatyki rozwijają cyfrowe zdolności ofensywne (Iran, Korea Północna). Dzięki temu pozostają względnie odporne na cyfrową odpowiedź zaatakowanego państwa rozwiniętego (uderzenie za pomocą wirusa Stuxnet w irańskie instalacje nuklearne udowodniło, że żadne państwo nie jest całkowicie odporne na cyberataki). Prezydent USA ogłosił co prawda, że jego kraj odpowie na cyberatak z użyciem środków spoza domeny cyfrowej, jeśli innej możliwości nie będzie, ale było to oświadczenie pod adresem państw o znacznie mniejszym potencjale militarnym. Trudno wręcz wyobrazić sobie, by Waszyngton na atak elektroniczny odpowiedział atakiem kinetycznym na Moskwę bądź Pekin. Jest poza sporem, że Polska, w przypadku cyberataku z Rosji na rozwiązanie o charakterze kinetycznym pozwolić sobie również nie może. W kontekście geopolitycznych uwarunkowań naszego kraju istotne wszak jest, że o ile budowa i wykorzystanie konwencjonalnego potencjału odstraszania są z różnych względów nie do zrealizowania, o tyle budowa cyfrowego arsenału – biorąc pod uwagę kapitał intelektualny Polski - wydaje się osiągalna.

Podsumowując, w cyberprzestrzeni zacierają się granice między funkcjami poszczególnych służb specjalnych, bowiem skuteczną formą elektronicznej działalności kontrwywiadowczej jest aktywny monitoring sieci przeciwnika. Jednocześnie prowadzenie takiej działalności stanowi zachętę, by postawić „jeden krok dalej” dokonując ataku. Brak jasnych międzynarodowych reguł prowadzenia cyberkonfliktów sprawia, że praktyczne zapewnienie bezpieczeństwa wszystkim zagrożonym podmiotom jest niemożliwe – nie wiadomo bowiem, które z nich będą wyłączone z ataku. W związku z tym zapewnienie sobie przez Polskę cyfrowych zdolności rozpoznawczo-wywiadowczych, które by można w krótkim czasie przekształcić w zdolności ofensywne, mogłoby przynieść naszemu państwu wielorakie korzyści. Opinię o konieczności rozwoju tego typu zdolności potwierdzają nie tylko działania NSA, ale również słowa Edwarda Snowdena, który w wywiadzie z początku 2015 r. stwierdził, że dla USA obrona jest priorytetem mniejszej rangi niż atak.

Maciej Hacaga jest członkiem Zespołu Młodych Naukowców przy Komitecie Prognoz PAN „Polska 2000 Plus”. Absolwent London School of Economics i Uniwersytetu Wiedeńskiego w ramach programu Erasmus Mundus Global Stiudies, a także Instytutu Stosunków Międzynarodowych Uniwersytetu Warszawskiego.