Strategiczne wyzwanie dla państwa

Cyberprzestrzeń daje ogromne możliwości, będąc jednocześnie źródłem coraz większych zagrożeń – tak poważnych, że wymagają zaangażowania wielu podmiotów, zarówno państwowych, jak i prywatnych. W Polsce A.D. 2015 cyberbezpieczeństwo powinno się doczekać zaawansowanych merytorycznych dyskusji najważniejszych decydentów. Konieczność zmian organizacyjnych, reform instytucjonalnych i prawnych, większych inwestycji oraz zwiększania kompetencji kadr to tylko niektóre z wniosków płynących z tegorocznej, pierwszej edycji Europejskiego Forum Cyberbezpieczeństwa, które odbyło się w Krakowie. Problem cyberbezpieczeństwa powinien zostać potraktowany priorytetowo, bo jak zauważył CERT.GOV.PL w raporcie o stanie bezpieczeństwa cyberprzestrzeni RP w 2014 r., rok ten pod względem liczby otrzymanych zgłoszeń oraz obsłużonych incydentów kolejny raz okazał się rekordowy.

Współczesny świat, funkcjonowanie państwa, społeczeństwa, firm opiera się na niezakłóconym działaniu systemów teleinformatycznych. Dzięki nim możliwa jest m.in. komunikacja oraz prawidłowe funkcjonowanie kluczowych z punktu widzenia bezpieczeństwa kraju obiektów, instalacji i usług, czyli infrastruktury krytycznej. Banki, elektrownie, operatorzy komórkowi czy lotniska nie mogą już działać bez systemów teleinformatycznych. Skalę uzależnienia świata od internetu obrazuje ilość podłączonych do niego urządzeń, która ma według szacunków sięgnąć 30 mld w 2020 r.

Dziś cyberatak na infrastrukturę krytyczną może doprowadzić do olbrzymich zniszczeń fizycznych, często zagrażających życiu ludzkiemu czy środowisku naturalnemu. Ponieważ infrastruktura krytyczna to zespół naczyń połączonych, awaria w jednym sektorze może prowadzić do kaskadowych awarii w innych. Na przykład brak prądu paraliżuje równocześnie transport, system finansowy i łączność oraz wiele innych podstawowych usług. W takim wypadku zarówno zostaje obnażona słabość zaatakowanego państwa, jak i cierpi jego wizerunek.

Sparaliżowanie funkcjonowania wszystkich najważniejszych systemów teleinformatycznych kraju nie jest już scenariuszem rodem z filmów science fiction, gdyż za cyberatakami coraz częściej stoją profesjonalnie zorganizowane grupy wspierane przez podmioty państwowe. Coraz więcej krajów dostrzega możliwości, jakie daje cyberprzestrzeń, i rozwija potencjał działań ofensywnych. Co więcej, kluczowi gracze deklarują możliwość użycia kinetycznych środków w odpowiedzi na ataki cyfrowe. Ryzyko eskalacji konfliktu w wyniku incydentów w cyberprzestrzeni stało się zatem realnym zagrożeniem.

Cyberzagrożenia dla bezpieczeństwa Polski

Sytuacja geopolityczna w Europie jest coraz bardziej napięta. Polska znajduje się w pierwszym szeregu państw narażonych na skutki negatywnego rozwoju sytuacji na Ukrainie. W scenariuszu eskalacji konfliktu jest bardzo prawdopodobne, że to właśnie cyberprzestrzeń może zostać wykorzystana do prowadzenia działań destabilizujących sytuację w regionie. Cyberataki doskonale wpisują się w naturę wojny hybrydowej, czyli nowoczesnej formy konfliktu, którą obserwujemy za wschodnią granicą. A to dlatego, że po pierwsze cyberprzestrzeń daje możliwość osiągania założonych rezultatów przy relatywnie niskich kosztach. Dziś nie trzeba używać drogich rakiet, bomb czy czołgów, aby pozbawić państwo dostępu do energii elektrycznej czy zakłócić funkcjonowanie transportu. Tańsze narzędzia teleinformatyczne mogą być z powodzeniem stosowane zarówno przez podmioty państwowe, jak i pozapaństwowe. Cyberatak stał się bardzo atrakcyjnym narzędziem konfliktów asymetrycznych, w których słabszy podmiot może doprowadzić do zneutralizowania przewagi rywala.

Po drugie, działania w cyberprzestrzeni mogą pozostać anonimowe. Bardzo trudno jest bowiem jednoznacznie ustalić, kto jest odpowiedzialny za cyberatak. Agresor może przechwycić komputery niczego nieświadomych użytkowników (tzw. zombie) i wykorzystując je, stworzyć globalną sieć tzw. bootnet do przeprowadzenia agresywnych cyberdziałań. Tak jak w obecnie prowadzonej wojnie hybrydowej na Ukrainie nieoznaczone „zielone ludziki", „białe konwoje" oraz inne formy maskirowki pozwalają Rosji unikać jednoznacznej odpowiedzialności politycznej za eskalację konfliktu, tak możliwość „anonimizacji" cyberataków może służyć destabilizowaniu funkcjonowania całego państwa lub wybranych elementów infrastruktury krytycznej bez oficjalnego angażowania się w konflikt państwa-agresora.

W opinii wielu ekspertów i decydentów nie jesteśmy gotowi na obronę przed agresywnymi działaniami w cyberprzestrzeni

Po trzecie, choć ataki w cyberprzestrzeni często nie mają konsekwencji w postaci fizycznych zniszczeń, to mogą prowadzić do napięć i problemów wewnątrz- lub międzypaństwowych. Cyberprzestrzeń daje możliwości prowadzenia działań nakierowanych na zniszczenie wizerunku państwa i podkopanie zaufania obywateli do władzy. Na przykład potencjalny atak na systemy teleinformatyczne organów podatkowych może spowodować wyciek wrażliwych informacji lub manipulację nimi, a w konsekwencji doprowadzić do chaosu, osłabienia państwa i utraty wiarygodności w oczach jego obywateli.

Łatwo wyobrazić sobie także sytuację, w której w cyberprzestrzeni prowadzone są zmasowane akcje dezinformujące zmierzające do eskalacji politycznych konfliktów i podsycania negatywnych nastrojów społecznych. Destabilizacja przeciwnika przez systematyczne działania propagandowe doskonale pasuje do scenariusza realizowanego w konflikcie ukraińskim. Moskwie pozwala utrzymać niepokój wewnętrzny na Ukrainie, a Kijowowi utrudnia prowadzenie skutecznych działań politycznych na arenie międzynarodowej.

Po czwarte, cyberprzestrzeń jest coraz częściej areną bardzo intensywnych działań szpiegowskich nakierowanych na pozyskanie tajemnic państwowych i informacji gospodarczych. Według raportów firm zajmujących się bezpieczeństwem teleinformatycznym celem szpiegostwa w sieci są zarówno najważniejsze instytucje administracji rządowej, jak i kluczowe z punktu widzenia polskiej gospodarki przedsiębiorstwa z sektora energetycznego.

Utrata najpilniej strzeżonych informacji oznacza osłabianie potencjału państwa w najważniejszych obszarach jego funkcjonowania. Co więcej, często prawdziwe skutki ataków przeprowadzonych dzisiaj mogą być zauważone dopiero w przyszłości. Czyli w momencie, w którym agresor zdecyduje się uruchomić zaplanowany wcześniej i uśpiony łańcuch zdarzeń.

Pomijając działania związane z konfliktami międzynarodowymi, cyberataki niosą także olbrzymie straty finansowe dla podmiotów komercyjnych i zwykłych obywateli. Jak pokazują dane, na które powołuje się Europol, dochody z cyberprzestępstw już teraz przynoszą grupom przestępczym większe zyski niż handel marihuaną, kokainą i heroiną łącznie.

Skala zaniedbań

Wszystko to pokazuje, że cyberbezpieczeństwo jest jednym z najważniejszych wyzwań, przed którymi stoi każde cywilizowane i niefasadowe państwo. Świadomi tego faktu decydenci muszą pilnie podjąć wiele przemyślanych i usystematyzowanych działań. Ekspansja informatyzacji w połączeniu z zagrożeniami geopolitycznymi powoduje, że prowadzone dotychczas przez polskie państwo działania punktowe nie są adekwatne do skali zagrożeń.

Obrazujący skalę zaniedbań raport przedstawił w czerwcu NIK. Kontrolerzy stwierdzili, że administracja państwowa nie podjęła dotychczas niezbędnych działań mających na celu zapewnienie bezpieczeństwa teleinformatycznego Polski. Brakuje m.in. adekwatnej wobec wyzwań narodowej strategii cyberbezpieczeństwa i niezbędnych regulacji prawnych. Niespójna i nieefektywna jest polityka najważniejszych podmiotów państwowych odpowiedzialnych za bezpieczeństwo Polski w wymiarze teleinformatycznym.

Co i kiedy należy zrobić

W Polsce powoli dostrzegana jest konieczność podejmowania działań związanych z cyberbezpieczeństwem. W maju ubiegłego roku przedstawiciele Agencji Bezpieczeństwa Wewnętrznego z Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL, Ministerstwa Obrony Narodowej, Służby Kontrwywiadu Wojskowego, Wojskowej Akademii Technicznej oraz CERT Polska zwyciężyli w ćwiczeniach NATO LOCKED SHIELDS 2014. Także polski zespół Dragon Sector pokonał konkurentów – m.in. z USA czy Rosji – podczas międzynarodowych zawodów „Capture Flag".

Wiele ważnych inicjatyw, takich jak utworzenie Narodowego Centrum Kryptologii czy budowa Centrum Operacji Cybernetycznych, jest realizowanych w Ministerstwie Obrony Narodowej. Działania zabezpieczające cyberprzestrzeń podejmuje również Rządowe Centrum Bezpieczeństwa. Biuro Bezpieczeństwa Narodowego przygotowało dokument „Doktryna cyberbezpieczeństwa RP". Ministerstwo Administracji i Cyfryzacji wraz z Agencją Bezpieczeństwa Wewnętrznego stworzyło Politykę Ochrony Cyberprzestrzeni RP. Inicjatywy te i dokumenty wymagają jednak pogłębienia i ulepszenia, aby pełniej odpowiadały rosnącym wyzwaniom.

Pomimo wskazanych pozytywnych inicjatyw w opinii wielu ekspertów i decydentów nie jesteśmy gotowi na obronę przed agresywnymi działaniami w cyberprzestrzeni. Gigantyczna skala wyzwań i realnych zagrożeń dla instytucji państwa, całej gospodarki oraz dla społeczeństwa obywatelskiego wymaga podjęcia zdecydowanie większego wysiłku.

W wymiarze wewnątrzpaństwowym budowa cyberbezpieczeństwa wymaga działań systemowych. Konieczne jest jasne określenie ról i odpowiedzialności podmiotów państwowych zaprojektowanie koordynacji ich zadań. Musi zostać wzmocniony potencjał zaangażowanych podmiotów, a także muszą być podejmowane skuteczne działania z obszaru zarządzania ryzykiem.

W tym celu należy przeprowadzić konieczne zmiany legislacyjne, pozwalające m.in. na egzekwowanie nałożonych zobowiązań, oraz zwiększyć inwestycje finansowe w różne obszary związane z bezpieczeństwem. Wszystko to musi iść w parze z intensywnymi działaniami edukacyjnymi.

Natura cyberprzestrzeni nie pozwala na osiągnięcie założonych celów przy użyciu znanych, konwencjonalnych koncepcji i narzędzi. Nie można na przykład zabezpieczyć zewnętrznych jej granic przy pomocy wojska. W dodatku państwo nie sprawuje bezpośredniej kontroli nad systemami informatycznymi, które są kluczowe z punktu widzenia zarówno administracji publicznej oraz obywateli, jak i przedsiębiorców.

Dlatego jednym z fundamentalnych warunków sukcesu w zakresie budowy cyberbezpieczeństwa jest umiejętne przebudowanie hierarchicznego modelu zapewniania bezpieczeństwa i uzupełnienie go o dobrze funkcjonującą współpracę publiczno-prywatną.

Sektor publiczny powinien skutecznie wspierać i mobilizować podmioty prywatne do dbania o wysoki poziom cyberbezpieczeństwa. Działania powinny być mieszanką wymagań i realnej pomocy w prowadzeniu szeroko rozumianych inwestycji w bezpieczeństwo.