Polityka i prawo
Operacje NATO w Cyberprzestrzeni
Już w 2014 roku NATO uznało atak w cyberprzestrzeni za jeden z rodzajów agresji, który mógł wyzwolić mechanizmy obronne opisane w Artykule 5 Traktatu Północnoatlantyckiego. Potwierdzono to także w 2016 roku podczas szczytu w Warszawie, kiedy oficjalnie uznano cyberprzestrzeń jako jedną z domen działań operacyjnych. Oznaczało to konieczność opracowania przez NATO konkretnych strategii funkcjonowania wojsk w przestrzeni cyfrowej.
Działania w cyberprzestrzeni to stosunkowo nowa gałąź aktywności militarnej na świecie. Jednak o jej znaczeniu przekonało się już wiele państw na świecie. Dlatego też naturalnym jest opracowanie wspólnej taksonomii dla działań operacyjnych NATO. W efekcie tego powstał dokument AJP 3.20 Cyberspace Operations. Przyjęta tam klasyfikacja obejmuje: Defensive Cyberspace Operations (DCO), Offensive Cyberspace Operations (OCO) oraz Intelligence, Surveillance & Reconnaissance (ISR).
Defensive Cyberspace Operations (DCO)
Defensywne operacje w cyberprzestrzeni zostały podzielone na Internal Defence Measures (DCO-IDM) i External Defence Measures (DCO-EDM). Pierwsze obejmują operacje we własnych sieciach (środowiskach) zwanych też „blue networks”. Drugie zaś dotyczą sieci (środowisk) zewnętrznych, w tym „red networks” (należących do adwersarzy) oraz „gray networks” (pozostałych, w szczególności neutralnych).
Offensive Cyberspace Operations (OCO)
Ofensywne operacje w cyberprzestrzeni dzielą się na Denial Operations (OCO-DA), Manipulation Operations (OCO-MA) oraz Operational Preparation of the Environment. Pierwsze z nich to portfolio działań tzw. 4D, czyli deny, disrupt, degrade, destroy. Dotyczy on przede wszystkim danych i usług. Drugie - tj. OCO-MA - dotyczą oddziaływania na integralność informacji i usług. Trzecie natomiast można przetłumaczyć jako informacyjne przygotowanie obszaru operacyjnego zainteresowania. Innymi słowy - chodzi o działania przygotowujące tak, aby zwiększyć skuteczność działań z grupy pierwszej (OCO-DA) i drugiej (OCO-MA).
Intelligence, Surveillance & Reconnaissance (ISR)
Trzeci rodzaj działań operacyjnych to wywiad, nadzór i rozpoznanie. Jak w poprzednich grupach i tutaj wyróżniamy 3 rodzaje operacji. Pierwszy z nich to non-intrusive collection rozpoznanie – działania bazujące na ogólnodostępnych źródłach (OSINT z ang. pen- source intelligence). Kolejnym jest intrusive collection występujący wtedy, kiedy następuje aktywne oddziaływanie z rozpoznawanym obiektem, np.: skanowanie portów dla protokołu TCP (TCP scan). Trzecim jest podobnie jak w OCO Operational Preparation of the Environment.
CIS Infrastructure Operations – łączność i informatyka
W innym dokumencie tj. NATO High Level Taxonomy for Cyberspace Operations, NATO wyróżniło dodatkowo czwartą grupę operacji w cyberprzestrzeni. Mowa tutaj o CIS Infrastructure Operations. Grupa ta dotyczy głównie Communication&Information Systems Operations czyli - w uproszczeniu - usług ICT.
Podzielono je na 3 grupy: CIS Infrastructure Employment, CIS Infrastructure Security i CIS Infrastructure Maintanace, czyli wdrażanie, bezpieczeństwo i utrzymanie usług w systemach ICT. Upraszczając - ta grupa to domena działań w obszarze łączności i informatyki, a nie tylko operacji w cyberprzestrzeni. Wynika to z faktu, że zapewnienie bezpieczeństwa usług i informacji (CIS Security) jest dziś integralną i nieodzowną częścią procesu dostarczania usług ICT.
A jak wygląda praktyczne wykorzystanie taksonomii NATO w działalności wojska? O tym opowie uczestnikom Exatel Security Days 2019 płk. Przemysław Przybylak - Komendant Centrum Operacji Cybernetycznych Ministerstwa Obrony Narodowej. Szczegóły na stronie konferencji.
