Polityka i prawo
Ambasador Sorin Ducaru: Nie było cyberataku, który podchodziłby pod artykuł V. Nadchodzi jednak Internet Rzeczy
O polityce bezpieczeństwa NATO w cyberprzestrzeni, wyzwaniach związanych z internetem rzeczy oraz szczycie NATO w Brukseli rozmowie z CyberDefence24.pl ambasador Sorin Ducaru były zastępca Sekretarza Generalnego NATO ds. nowych wyzwań bezpieczeństwa. Rozmowa odbyła się 27 lutego br. w Microsoft Innovation Center w Brukseli w kuluarach konferencji CYBERSEC – Brussels Leaders« Foresight, zorganizowanej przez Instytut Kościuszki.
Dr Andrzej Kozłowski: NATO uznało podczas szczytu w Walii w 2014 roku, że cyberatak może być traktowany jako atak zbrojny (armed attack). Panie Ambasadorze w związku z tym jakie kryteria muszą zostać spełnione?
Ambasador Sorin Ducaru: W celu odpowiedzi na to pytanie musimy odwołać się do Karty Narodów Zjednoczonych i artykułu 51, który mówi o prawie do samoobrony indywidualnej lub kolektywnej w prawie międzynarodowym. Karta Narodów Zjednoczonych skupia się na promowaniu pokoju, stabilności i dobrobytu. Artykuł 51 mówi, że wszystko co nie jest zawarte w Karcie Narodowym Zjednoczonych, a powoduje konsekwencje jak klasyczny atak zbrojny, jak np. naruszenie suwerenności, integralności terytorialnej, utraty życia może być traktowane na równi. Nie ma dokładnej definicji czym jest atak zbrojny (armed attak), jest to raczej opis sytuacji, które kwalifikują się do rozumienia pewnych działań w tym obszarze. Artykuł V NATO, który mówiy o kolektywnej obronie również wspomina o ataku zbrojnym. Nie ma tam jednak podanej definicji. Odwołuje się do artykułu 51 Karty ONZ.
Sposób w jaki artykuł V został stworzony przez tzw. ojców założycieli NATO, miał zakładać, że nie będzie on aktywowany automatycznie. Tylko zostanie aktywowany po politycznych konsultacjach i analizie konkretnej sytuacji. Każda z nich miała być omawiana osobno. Artykuł V został użyty tylko raz, po atakach terrorystycznych z 11.09, czyli w odpowiedzi na wydarzenie, które nie było rozważane jako potencjalne, które może do tego doprowadzić. Jednak w rezultacie politycznej dyskusji uznano, że biorąc pod uwagę straty materialne, śmierć tysięcy ludzi, skutki społeczne, ekonomiczne i psychologiczne wymagana jest właśnie taka odpowiedź NATO. Podsumowując, w przypadku cyberataku będziemy mieli do czynienia z analizą każdego przypadku oddzielnie i na jej podstawie zostanie podjęta decyzja.
Czy według Pana Ambasadora możemy mówić o jakimkolwiek cyberataku z przeszłości, który kwalifikowałby się do skorzystania z artykułu V?
Jeśli coś takiego miałoby miejsce, członkowie NATO podjęliby odpowiednią decyzję. W Sojuszu dyskutowano o atakach, np. w 2007 roku po zmasowanych cyberatakach DDoS przeciwko Estonii. Wtedy pojawiała się kwestia powołania na artykuł V. Ostatecznie jednak odrzucono tą możliwość. Liczne dyskusje w NATO pokazały, że nie było dotąd cyberataku, który mógłby skończyć się aktywacją artykułu V. Nie byłoby takiego incydentu, którego skutki byłyby porównywalne z klasycznym atakiem konwencjonalnym.
Jeśli wrócimy do deklaracji ze szczytu w Walii mamy sformułowanie, że cyberatak może przekroczyć próg, który pozwoli uznać go za konwencjonalny atak zbrojny. Nie ma jednak nic powiedzianego, że musi się tak stać. W prawie międzynarodowym, państwa mają prawo do samoobrony i mogą skorzystać z artykułu V. Nie jest to jednak proces automatyczny i nie ma jednoznaczne określonego progu.
Prawdopodobnie cyberatak musiałby doprowadzić do śmierci ludzi.
Cyberatak byłby bezpośrednio połączony z efektami, które wywołał takimi jak np. śmierć ludzi, czy duże, długotrwałe zakłócenia czy zniszczenia infrastruktury. Internet rzeczy spowoduje, że będzie więcej rzeczy na końcu przestrzeni wirtualnej, które mogą doprowadzić do powstania efektów w świecie materialnym. Możemy wysadzić stacje benzynowe za pomocą cyberataków czy też hakować broń atomową. Z pewnością jeśli będą miały one miejsce w rzeczywistości, to nie ma dyskusji, że efekt będzie taki sam jak w przypadku użycia bomb.
Panie Ambasadorze, wspomniał Pan o internecie rzeczy. Jak NATO przygotowuje się na to wyzwanie?
To jest część polityki cyberbezpieczeństwa NATO, która ma na celu śledzić i odpowiadać na rozwój krajobrazu zagrożeń. Należy jednak zauważyć, że problem ten dotyczy całej społeczności i nie może być tylko ograniczony do NATO. Muszą się nim zajmować nasi partnerzy spoza Sojuszu. Przykładowo to w końcu oni odpowiadają za rozwój standardów bezpieczeństwa internetu rzeczy i innych aspektów takich jak monitorowanie sieci, co należy do pracy CERTów. NATO interesuję przede wszystkim jego wpływem na operacje wojskowe i funkcjonowanie sił zbrojnych.
Ostatnie dwa szczytu NATO, stanowiły punkt zwrotny w rozwoju polityki cyberbezpieczeństwa Sojuszu. Jakie decyzje mogą zapaść podczas lipcowego szczytu w Brukseli?
Decyzje ostatnich dwóch szczytów spowodowały, że NATO i państwa członkowskie musiały podjąć wiele wysiłku. NATO rozwinęło mapę drogową w celu implementacji decyzji podjętych w Newport w 2014 i Warszawie w 2016. Konieczne było poruszenie wiele aspektów takich jak trening, planowanie wojskowe w sytuacji, w której dowódcy nie mogą w pełni polegać na informacji, ponieważ ich przepływ może zostać zakłócony czy konieczne będzie rozwinięcie nowych zdolności, które miałyby uwzględniać analizę zagrożeń cyber dla świadomości sytuacyjnej. Zakłada się również zmiany w strukturze organizacyjnej. Jedna z decyzji została już ogłoszona w lutym 2018 roku podczas spotkania Ministrów Obrony. Na jej mocy ma zostać stworzone Centrum Operacji w Cyberprzestrzeni (Cyber Operation Center).
Jaka jest rola tej struktury?
Mamy Dowództwa Sił Lądowych, Marynarki Wojennej mamy dowództwa sił połączonych, ale nie mówimy tutaj o stworzenie podobnej struktury jeśli chodzi o cyberbezpieczeństwo, tylko Centrum Operacji w Cyberprzestrzeni (Cyber Operation Center). Głównym celem jest pomoc w operacjonalizacji cyberprzestrzeni. Będzie to uwzględniało wszystko od analizy na najwyższym poziomie politycznym do sytuacji, w których wojskowi będą musieli zintegrować wszystkie aspekty cyberprzestrzeni w planowaniu operacji. Praca nad tym wciąż nie jest zakończona.
Inna ważną kwestią poruszoną na szczycie NATO w Warszawie był tzw. Cyber Defence Pledge. W lipcu powinien zostać przedstawiony raport jak państwa członkowskie radzą sobie ze wdrażaniem zmian.
Jak Pan myśli, która kraj przoduje w tym obszarze?
Nie wiem. Należy jednak pamiętać, że NATO nie jest organizacją, która tworzy rankingi. Projekt ten jest ważny, ponieważ tworzy wspólny benchmark, umożliwiając dokonanie samooceny każdego państwa. Dzięki temu problem ten będzie poważniej traktowany na płaszczyźnie polityczno-strategicznej oraz będzie wiązał się przeznaczeniem większych zasobów.
Dwa aspekty czyli jak operować w cyberprzestrzeni, jako nowym obszarze prowadzenia działań zbrojnych oraz ocena wdrażania rozwiązań przez państwa członkowskie w ramach Cyber Defence Pledge będą najważniejsze jeśli chodzi o szczyt NATO w Brukseli.
Haertle: Każdego da się zhakować
Materiał sponsorowany