Wszyscy jesteśmy cyberżołnierzami

Historia najnowsza regionu postsowieckiego pokazuje, że konfliktu zbrojnego na terytorium Polski nie sposób wykluczyć. Mimo to coraz wyraźniej zagrożenie dla naszego bezpieczeństwa narodowego rysuje się nie ze strony bomb, rakiet czy czołgów, lecz świata cyfrowego. „Cyberataki to nie tylko „Panama papers”. Dotyczy to nas wszystkich. Najbardziej podatną ofiarą jest przeciętny Kowalski, jego dane i jego pieniądze” - mówiła na niedawnej konferencji CYBERSEC PL minister cyfryzacji Anna Streżyńska. Wraz z przenoszeniem się w coraz większym stopniu społecznej aktywności do cyberprzestrzeni powszechna edukacja w obszarze cyberbezpieczeństwa staje się koniecznością. W świecie cyfrowym każde urządzenie podłączone do Internetu może stać się narzędziem wojny.

         Mija właśnie 17 lat od czasu, gdy dwóch pułkowników Chińskiej Armii Ludowo-Wyzwoleńczej Qiao Liang i Wang Xiangsui wydało książkę, która charakteryzuje obecną sytuację w wymiarze bezpieczeństwa międzynarodowego. Wydana w 1999 r. „Wojna nieograniczona” („Unrestricted Warfare”) wskazywała na konieczność ewentualnego zastosowania przez Chiny znacznie szerszego - niż tylko militarny - arsenału środków w celu zrównoważenia potęgi Stanów Zjednoczonych. Autorzy prognozowali, że konflikty we współczesnym świecie nie będą już prowadzone głównie środkami wojskowymi a konflikt obejmie domeny powszechnie uznane za cywilne. Zakładali, że  działania wojenne będą wykraczą poza tradycyjne pojmowanie konfliktów i obejmą środowisko naturalne, finanse, handel międzynarodowy, kulturę czy prawo międzynarodowe. Niemniej, najbardziej fundamentalną zmianą w sposobie życia,  jaka nastąpiła od czasu wydania książki, był gwałtowny rozwój Internetu i rosnące uzależnienie od cyberprzestrzeni. A to sprawia, że przekaz „Wojny nieograniczonej” jest jeszcze bardziej aktualny niż wtedy, gdy pozycja ta została opublikowana. Prowadzenie „wojny bez ograniczeń” jest teraz prostsze i łatwiejsze niż jej autorom kiedykolwiek mogło się przyśnić. Pod koniec XX w. zbudowanie zdolności do ataku na kluczowe elementy społeczeństwa przeciwnika wymagało posiadania niemałych zasobów lub wsparcia jednej z wielkich potęg. Dzisiaj Internet pozwala na przekraczanie barier geograficznych i atak na dowolny element społeczeństwa bez konieczności fizycznej konfrontacji z siłami obronnymi.

         Wielu z tych zagrożeń dałoby się uniknąć poprzez podwyższenie poziomu świadomości. Tymczasem, jak wynika z materiałów opublikowanych przez Komisję Europejską przy okazji prezentacji Strategii Jednolitego Rynku Cyfrowego, Polacy są dość beztroscy w kwestiach bezpieczeństwa w cyberprzestrzeni. Tylko co czwarty z nas (25 proc.) obawia się niewłaściwego wykorzystania danych osobowych (w porównaniu z 43 proc. w UE), a tylko 29 proc. ma wątpliwości co do bezpieczeństwa płatności online (w porównaniu z 42 proc. w UE). Częściej akceptują sprzedaż online (tym samym rezygnując z osobistego obejrzenia i sprawdzenia produktu lub możliwości zadania sprzedającemu pytań bezpośrednio), a także wyrażają brak obaw przed zakupami w Internecie.

         Jak przeciętny obywatel Rzeczypospolitej Polskiej bierze udział w wojnie? Zasadniczo można wyróżnić dwa rodzaje uczestnictwa w cyberkonfliktach. Po pierwsze nasz zainfekowany komputer może stać się częścią armii botów wykorzystywanych w atakach DDoS, do rozsyłania spamu czy jako serwer anonimizujący. „Na podstawie zebranych danych szacujemy, że w 2015 r. było w Polsce ponad 150 tys. botów” - poinformował CERT Polska. Takie działania co bardziej zaangażowani politycznie użytkownicy Internetu podejmują świadomie. Z kolei w drugim przypadku grozi nam utrata tożsamości, co może mieć wielorakie zastosowanie. Skradziona tożsamość w sieci społecznościowej może być wykorzystana w wojnie informacyjnej. W wojnie syryjskiej siły rządowe kradły tożsamość opozycjonistów, a chińskie służby specjalne wykorzystały podrobiony profil w serwisie Facebook adm. Jamesa D. Stavridisa, wtedy stał wówczas na czele Dowództwa Europejskiego Sił Zbrojnych USA (U.S. European Command)  i pełnił obowiązki Naczelnego Dowódcy Połączonych Sił Zbrojnych NATO w Europie (SACEUR), do wydobycia informacji od brytyjskich urzędników. Trzeba jednak zauważyć, że siły bezpieczeństwa krajów demokratycznych także dopuszczają się nadużyć w tym obszarze. Oczywiście, duża grupa osób w Internecie świadomie rozpowszechnia informacje dla niekorzystne dla naszego kraju, o czym donosił „Raport o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014”, opublikowany przez CERT.GOV.PL, działający w strukturze Departamentu Bezpieczeństwa Teleinformatycznego ABW. Ponadto użytkownik zhakowanego urządzenia może nieświadomie finansować działalność wrogiego państwa poprzez dostęp do swoich zasobów w bankach i innych instytucjach finansowych. Podobny charakter mają działania typu ransomware. Sumy kradzione w cyberprzestrzeni przez północnokoreańskich wojskowych są szacowane na 1 mld USD rocznie.

         Problematyka zagrożeń w cyberprzestrzeni znajduje zrozumienie w kręgach eksperckich, czego dowód stanowią wyrażane publiczne opinie. Niespełna miesiąc temu prokurator krajowy Bogdan Święczkowski wyraził poparcie dla idei powołania narodowej agencji cyberbezpieczeństwa. Wcześniej podobną opinię wyrazili Mirosław Maj, prezes Fundacji Bezpieczna Cyberprzestrzeń, i prof. Andrzej Zybertowicz, doradca prezydenta Andrzeja Dudy i szefa Biura Bezpieczeństwa Narodowego (BBN). Idea, ze wszech miar godna poparcia, nie może jednak oznaczać braku aktywności mieszkańców naszego kraju. W państwie o ograniczonych zasobach finansowych i organizacyjnych, jakim jest Polska, obywatele nie mogą cedować swego bezpieczeństwa w Sieci na instytucje państwowe. O ile są one w stanie kontrolować i chronić przestrzeń fizyczną, o tyle transnarodowy charakter Internetu powoduje, że zapewnienie ochrony wszystkim obywatelom w cyberprzestrzeni nie jest możliwe.

         Znalazło to swoje odzwierciedlenie w dokumencie „Rządowy Program Ochrony Cyberprzestrzeni RP na lata 2011-2016” (RCOP), w którym znalazł się następujący fragment: „Należy podkreślić, iż we współczesnym świecie zapewnienie bezpieczeństwa teleinformatycznego nie zależy jedynie od działalności wyspecjalizowanych instytucji rządowych, specjalistów do spraw bezpieczeństwa teleinformatycznego, zespołów reagowania na incydenty, ani nawet administratorów sieci. Wraz z upowszechnieniem się dostępu do Internetu w domach, szkołach i miejscach pracy oraz zmianą sposobu przeprowadzania ataków komputerowych, gdzie do skutecznej infekcji wykorzystywana jest nie tylko podatność oprogramowania, lecz coraz częściej niewiedza lub niefrasobliwość użytkowników, odpowiedzialność za bezpieczeństwo spoczywa na każdym użytkowniku komputera.” Konieczność edukacji potwierdza przywołany wyżej „Raport o stanie bezpieczeństwa cyberprzestrzeni RP w roku 2014”, którego autorzy z CERT.GOV.PL oceniają, że „ogromne znaczenie ma także niski poziom świadomości wśród kadry zarządzającej i pracowników […].”

         Stany Zjednoczone świadome tego problemu od kilku lat prowadzą kampanię „Stop. Think. Connect.” Jest ona skierowana do kilku grup docelowych, m.in. studentów, rodziców i nauczycieli, młodych osób wchodzących na rynek pracy, drobnych przedsiębiorców, pracowników przemysłu czy osoby starsze. Wspomniany wyżej RCOP potwierdził istotną rolę edukacji obywateli w tym obszarze i zakładał w związku z tym powszechność długofalowych działań komunikacyjnych. Założenia te zostały powtórzone w dokumencie „Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” z 2013 r.

         Tymczasem działania edukacyjne w polskim Internecie mają charakter rozproszony i nieciągły. Strona „Surfuj bezpiecznie” ma już 5 lat, a niektóre z jej podstron nie wyglądają na uaktualniane od czasu swego powstania. Skierowane do najmłodszych serwisy „Sieciaki” oraz „Necio.pl”, chociaż przygotowane w atrakcyjnej szacie graficznej, zawierają dużo elementów wykonanych w technologii Flash, która nie tylko nie jest obsługiwana przez urządzenia z systemem iOS, ale jest blokowana przez coraz większą liczbę przeglądarek desktopowych ze względów bezpieczeństwa. To w oczywisty sposób ogranicza zasięg tego rodzaju serwisów. „Bezpieczne Interneciaki” to projekt realizowany przez IAB Polska, którego celem jest informowanie dzieci i ich rodziców o potencjalnych zagrożeniach pochodzących z Sieci. Niestety strona nie była aktualizowana od 2014 r. Pomimo tego najmłodsi pozostają tą grupą społeczeństwa, która wydaje się być adresatem najintensywniejszej edukacji dotyczącej cyberbezpieczeństwa. Edukacja pokolenia 50+ jest prowadzona w ramach projektu Latarnicy Polski Cyfrowej, którego celem jest alfabetyzacja cyfrowa. Na uwagę zasługują wydane przez Urząd Komunikacji Elektronicznej (UKE) „Poradnik bezpiecznego korzystania ze środków komunikacji elektronicznej w cyberprzestrzeni” i „Bezpieczeństwo komunikacji elektronicznej w cyberprzestrzeni (urządzenia mobilne).” O ile zatem szkolnictwo wyższe czy małe przedsiębiorstwa to grupy docelowe, których potrzeby w zakresie cyberbezpieczeństwa mogą zostać zagospodarowane przez instytucje komercyjne, o tyle polscy seniorzy czy osoby niepełnosprawne to grupy, które wymagają większej uwagi ze strony państwa.

         Oczywiście dla wielu te obawy będą przesadzone. Starsi wiekiem obywatele Polski pamiętają zapewne komunistyczne hasło z czasów stalinowskich „Bądź czujny! Wróg nie śpi”. Przez ostatnie 25 lat wspomnienia propagandy z okresu „zimnej wojny” budziły uśmiech politowania, nie zachęcając do samodzielnej refleksji nad rolą obywateli w zapewnianiu bezpieczeństwa kraju. W dobie nieograniczonego dostępu do Internetu palącym pytaniem staje się, jak chronić polskie społeczeństwo przed przeciwnikami, którzy mogą zakłócić jego sprawne funkcjonowanie bez oddania jednego wystrzału? Konieczność podnoszenia świadomości i edukacja w zakresie cyberbezpieczeństwa każdego obywatela jest zadaniem dla państwa niezbędnym, bowiem obecnie wszyscy żyjemy na cyfrowym polu bitwy. Trudność w identyfikacji cybeprzestępców powoduje, że stając się ich ofiarami często nie wiemy, czy zostaliśmy zaatakowani przez pospolitych kryminalistów czy może przez zagraniczne służby specjalne. Minister cyfryzacji Anna Streżyńska 8 kwietnia br. na konferencji CYBERSEC PL oznajmiła:  „Cyberbezpieczeństwo to walka, dlatego też powołaliśmy „War room” […]”. Takim pomieszczeniem staje się dzisiaj każde miejsce, gdzie przebywa obywatel Polski z urządzeniem podłączonym do Internetu.

Maciej Hacaga jest członkiem Zespołu Młodych Naukowców przy Komitecie Prognoz PAN „Polska 2000 Plus”. Absolwent London School of Economics i Uniwersytetu Wiedeńskiego w ramach programu Erasmus Mundus Global Stiudies, a także Instytutu Stosunków Międzynarodowych Uniwersytetu Warszawskiego.