Nowa Europa Wschodnia (logo/link)
Rosja / 10.08.2023
Jarosław Kociszewski

Ataki cybernetyczne wykraczają poza granice wojny między Rosją a Ukrainą. NATO szuka odpowiedzi

Napaść Rosji na Ukrainę pokazała, że cyberprzestrzeń nie zatrzyma czołgów, ale pomoże je zniszczyć, bo jest coraz ważniejszym elementem współczesnej wojny. O tej świadomości i wynikających z niej zmianach dla NATO mówi Andrzej Kozłowski z Fundacji Pułaskiego.
Foto tytułowe
(Shutterstock)





Przed pełnoskalową inwazją Rosji na Ukrainę wydawało się, że wojna będzie już wyłącznie hybrydowa. Okazało się jednak, że artyleria i czołgi mają znaczenie i hybrydowy, cybernetyczny aspekt konfliktu zaczął nam umykać. Czy jest on istotny?


Przede wszystkim jest to pierwsza wojna na taką skalę, w której mówimy o działaniach w cyberprzestrzeni. Można je podzielić na dwa główne obszary. Pierwszym z nich są cyberataki wymierzone w infiltrację systemów IT. Drugim jest to, co widzimy najczęściej w mediach społecznościowych, ale nie tylko, czyli szeroko pojęte działania propagandowe i dezinformacyjne.

Jeżeli chodzi o pierwszą kwestię, czyli tak zwane twarde cyberataki, to pełnoskalowa inwazja na Ukrainę, zweryfikowała kilka hipotez. Jedną z takich rzeczy było to, że czynnik cyber będzie decydujący w przyszłych konfliktach zbrojnych. Ukraina pokazała, że tak nie jest. Przyjmowało się też, że przed cyberatakami na zmasowaną skalę nie da się obronić. Ukraina pokazała, że jest inaczej.

Nie znaczy to oczywiście, że ten czynnik cyber nie istniał, bo był obecny od samego początku wojny. Jest on najważniejszy w pierwszych godzinach konfliktu, kiedy chodzi o to, żeby oślepić, ogłupić przeciwnika. Zmylić go. Najbardziej znany jest atak na Viasat, czyli firmę zajmującą się komunikacją satelitarną, ponieważ ukraińska armia jako komunikacji zastępczej korzystała z usług tej firmy. Mieliśmy informacje o tym, że żołnierze, którzy bronili Kijowa, mieli problem z łącznością. Oczywiście jeśli szturm na Kijów zakończyłby się powodzeniem, pewnie mówilibyśmy, że jednym z kluczowych aspektów była ta kwestia cyber.

Po angielsku nazywa się ona force multiplier, czyli mnożnik siły, co jednoznacznie wskazuje, że kwestia cyber nie pokonuje czołgów. On ułatwia i pozwala na ich pokonanie przez artylerię, przez nasze czołgi, ale sam w sobie nie powoduje, że czołgi wroga przestają działać.


Mówi Pan o rosyjskich atakach przeciwko Ukrainie, ale nie wierzę, żeby w drugą stronę to nie działało.


Oczywiście działało i działa do dzisiaj. Ukraińcy nie mieli aż tak rozwiniętych środków w cyberprzestrzeni, szczególnie tych o charakterze ofensywnym, jak Rosjanie, którzy je wielokrotnie przetestowali wcześniej. Ale oczywiście tego typu operacje miały miejsce, tym bardziej, że do działań ukraińskich przyłączyli się hakerzy z całego świata. Część z nich działała pod szyldem ruchu Anonymous. Były to w dużej mierze operacje proste, niezbyt wyrafinowane pod kątem wykorzystania narzędzi cyber. Polegały między innymi na czasowym wyłączaniu niektórych stron, np. administracji rządowych, poprzez generowanie zbyt dużej liczby zapytań do danego serwera, który nie jest w stanie odpowiedzieć. Były też próby przebicia się przez rosyjską barierę informacyjną. Zdarza się to nawet obecnie, poprzez np. zhakowanie telewizji czy radia, żeby przekazać jakiś komunikat.

Nie znam przypadków, żeby ktoś np. zdalnie wysadził elektrownię czy inny obiekt infrastruktury krytycznej. Być może tego typu sytuacje miały miejsce, bo musimy pamiętać, że cały czas analizujemy to, co się dzieje, mając ograniczony dostęp do informacji. Szczególnie jeśli mówimy o Rosji, która nie będzie się chwaliła tym, że ktoś dokonał jakiegoś poważnego hakerskiego włamania, ponieważ byłby to po prostu wstyd.


Atak Rosji na Ukrainę ma dużo szerszy zasięg, zwłaszcza w sferze cyber. Czy państwa NATO, państwa europejskie są w to zaangażowane?


Oczywiście, od samego początku. Nawet przed wojną. Ostatni żołnierze amerykańskiego US Cyber Command, czyli Dowództwa Operacji w Cyberprzestrzeni, opuszczali Kijów kilka dni przed rozpoczęciem pełnoskalowej inwazji. Przebywali tam w ramach forward mission, polegającej na wysyłaniu swoich specjalistów na miejsce. Od 2014 roku, czyli aneksji Krymu, Ukraina była poligonem doświadczalnym dla operacji w cyberprzestrzeni, więc amerykańscy hakerzy współpracowali ze swoimi odpowiednikami z Ukrainy. Wzmacniali systemy, poznawali techniki działania przeciwnika. Robili wszystko, żeby te systemy wzmocnić.


Oczywiście pozostaje kwestia działań sektora prywatnego. Mam na myśli amerykańskie firmy, np. Alphabet, Amazon czy Microsoft, odpowiedzialnych za migrację danych ukraińskich do chmury i wzmacnianie systemów. Ale jest również słowacka firma, która specjalizuje się w identyfikowaniu złośliwych kampanii prowadzonych w Europie Środkowo-Wschodniej. Ma prawdopodobnie najlepsze rozeznanie. Wykryła bardzo groźne oprogramowanie, którego celem było prawdopodobnie unieszkodliwienie ukraińskiej infrastruktury krytycznej kilka dni przed pełnoskalową inwazją.


Czy mamy dowody albo przynajmniej poważne przesłanki, że Polska też była atakowana cybernetycznie przez Rosjan w związku z wojną w Ukrainie?


Tak, oczywiście. Mamy dane, które są corocznie sporządzane przez np. Wojsko Obrony Cyberprzestrzeni. Pamiętam rozmowę w okolicach kwietnia 2022 roku, w której generał Karol Molenda powiedział, że w pierwszym kwartale tego roku miała miejsce większa liczba prób cyberataków niż przez cały 2021 rok.

Mamy też raport Microsoftu, który mówi o stosowaniu ransomware, czyli oprogramowania uniemożliwiającego odczyt danych, przeciwko polskim instytucjom. Nie wiemy, czy atak bądź ataki zakończyły się sukcesem, bo nie zostało to upublicznione. Ze względu na zaangażowanie Polski działania szpiegowskie w celu pozyskania informacji prawdopodobnie mają miejsce. Na razie nie słyszymy o jakichś większych zagrożeniach.

Ważne, żebyśmy sobie przypomnieli awarię kolejową w Polsce [w połowie marca 2022 roku – przyp. red.]. Wszyscy jesteśmy przyzwyczajeni do tego, że polska kolej się spóźnia, ale wtedy miał miejsce paraliż i bardzo duża liczba ekspertów od razu powiedziała: to jest cyberatak. Choć okazało się, że doszło do awarii, warto podkreślić, że różnica pomiędzy awarią a awarią spowodowaną przez cyberatak jest bardzo cienka.


Jaka jest tutaj rola NATO? Na ile Sojusz wspiera obronę Polski?


NATO stworzyło pewne platformy, które sprawiły, że informacja o zagrożeniach jest stała. To bardzo istotne, żebyśmy wiedzieli, jakie techniki, jakie złośliwe oprogramowania stosuje potencjalny przeciwnik. To jest również możliwość tego, żeby NATO przysłało swoich specjalistów do Polski. Oficjalnie takiej misji nie ma. Niewykluczone jednak, że takie działania na poziomie bilateralnym mają miejsce.

Są też pewne zobowiązania sojuszników, bo warto przypomnieć, że w 2016 roku Sojusz uznał cyberprzestrzeń za kolejne pole działań wojennych. Na mocy artykułu 3 państwo musi być również przygotowane do działań w niej. Na ostatnim szczycie uchwalono Virtual Cyber Incident Support Capability. Jest to wsparcie dla państw do reagowania po tym, jak incydent już zaszedł. Bo musimy założyć, że prawdopodobnie prędzej czy później się zdarzy. Warto, żeby jak najszybciej zminimalizować jego negatywne skutki.


Czy to znaczy, że idziemy w kierunku reagowania sojuszu na cyberatak analogicznego jak potencjalna reakcja na atak konwencjonalny? Czyli jeśli np. Polska zostanie zaatakowana cybernetycznie, to będzie mogła się zwrócić o wsparcie sojuszu, tak jakby się zwróciła, gdyby Warszawa została zbombardowana przez Rosjan?


Teoretycznie jest taka możliwość, ponieważ NATO przyjęło, że jeden cyberatak albo kumulatywne cyberataki, które osiągają pożądany rezultat, mogą doprowadzić do aktywacji artykułu 5. To się na razie nie stało. Warto jednak pamiętać o Estonii w 2007 roku. To klasyka, prawdziwy kamień milowy. Estonia badała wówczas możliwość powołania się na artykuł 5. Okazało się, że NATO nie ma żadnych procedur przewidzianych na możliwość właśnie takiego jego użycia.

Drugim przypadkiem była Albania. To wydarzenie, które w Polsce zostało przeoczone. Albania została zaatakowana przez Iran w cyberprzestrzeni w grudniu 2022 roku. To był bardzo poważny atak i również rozważano użycie artykułu 5. Artykuł ten jest narzędziem politycznym, więc teoretycznie jest taka możliwość, jest ona zapisana w deklaracjach i oficjalnych dokumentach strategicznych NATO, że może to być albo bardzo destrukcyjny cyberatak albo kilkanaście lub kilkadziesiąt cyberataków, które powodują efekt, który jest destrukcyjny. Ale nie było takiego przypadku, chociaż w tych dwóch potencjalnie taka możliwość się pojawiła.


(Shutterstock)
Jaki jest ciąg dalszy tego rozumowania, jaką ewolucję tych procedur, sposobów reagowania pan widzi? Bo należy zakładać, że cyberataków może być tylko więcej i mogą być tylko bardziej złożone i w efekcie bardziej niszczycielskie.


Według wypowiedzi czołowych głów sojuszu odpowiedzialnych za kwestie tworzenia polityki to po pierwsze lepsze wpasowanie, lepsza integracja cyber w obronę i odstraszanie. Również wprowadzenie tego, że cyber działa nie tylko w trakcie wojny, ale także w trakcie pokoju. Również nakładanie kar czy sankcji na agresorów, żeby zniechęcić ich do atakowania Sojuszu i jego państw.

Kolejną rzeczą wynikającą z wojny w Ukrainie jest zwiększenie współpracy między sektorem publicznym i prywatnym. O tym się mówi od lat 90., kiedy zaczęły się pojawiać pierwsze polityki dotyczące cyberbezpieczeństwa. To jest powolny rozwój polityki NATO w kierunku tego, żeby coraz bardziej to integrować obronę cyberprzestrzeni z klasycznym odstraszaniem.


Odstraszanie jest tutaj pojęciem kluczowym, bo wiemy, że NATO w dużej mierze jest sojuszem reaktywnym – reaguje na to, co się stało. Nieraz anegdotycznie mówi się, że po ataku wyraża zaniepokojenie, które potem eskaluje do bardzo głębokiego zaniepokojenia, co nie wydaje się być bardzo przerażające dla potencjalnych agresorów. Jak powinno w praktyce wyglądać skuteczne odstraszanie w cyberprzestrzeni?


Jedną rzeczą jest odstraszanie poprzez zminimalizowanie skuteczności ataków, czyli jak najsilniejsze systemy, jak najlepsza obrona, żeby przeciwnik chcący zaatakować jakiekolwiek systemy państw członkowskich mocno się zastanowił. A jeżeli już się zdecyduje, to żeby się natrudził. Po drugie NATO samo w sobie nie ma środków cyber. Nie posiada własnych wojsk ani zdolności ofensywnych. Państwa członkowskie na użytek operacji natowskich mogą udzielać własnych zdolności cyber.

Oczywiście w Sojuszu są państwa, które mają zdolności ofensywne, na czele ze Stanami Zjednoczonymi, Wielką Brytanią, Holandią; Polska też deklaruje posiadanie takich zdolności. Więc to już jest dość konkretne narzędzie. Tylko że powinniśmy te zdolności rozszerzyć, ponieważ nie znaleziono jeszcze skutecznej metody na odstraszenie przeciwnika. Próbowano różnych: sankcji ekonomicznych, poprzez sankcje personalne, nawet public shaming, czyli mówienie wprost „Rosja, zrobiliście to i to, Chiny zrobiliście to i to”. Najlepiej jeszcze ze wskazaniem konkretnej osoby.

To oczywiście jest demonstracją naszych zdolności. Jedynym incydentem, który rzeczywiście się powiódł, były wybory do Kongresu w Stanach Zjednoczonych w 2018 roku, gdzie US Cyber Command zablokował działania fabryki trolli z Saint Petersburga. To był jeden, jedyny przykład.

To nie jest tylko i wyłącznie problem znalezienia metody odstraszania w ramach NATO, tylko znalezienia metody odstraszania w ramach każdego z państw członkowskich. Bo środki, które stosujemy teraz, nie bardzo działają.


A gdyby miał pan wyobrazić sobie idealne ofensywne zdolności cybernetyczne. Załóżmy, że buduje Pan taką strukturę w Polsce. Jakie powinniśmy mieć zdolności, żeby dysponować skutecznymi metodami odparcia ataku cybernetycznego?


Przede wszystkim potrzebujemy ludzi, którzy mają jasno określone zasady zaangażowania i używania środków obrony w cyberprzestrzeni. Jednym z problemów Europy, co prawda nie wiem jak jest to w Polsce, bo są to tajne informacje, ale w przypadku europejskich sojuszników – mogą oni działać ofensywnie, tylko kiedy dojdzie do wojny. Amerykanie natomiast przyjęli, że US Cyber Command może powodować tak działać również w trakcie pokoju, więc mają znacznie szerszy zakres działania.
Jarosław Kociszewski - publicysta, komentator, przez wiele lat był korespondentem polskich mediów na Bliskim Wschodzie. Z wykształcenia jest politologiem, absolwentem Uniwersytetu w Tel Awiwie i Uniwersytetu Hebrajskiego w Jerozolimie. Obecnie jest ekspertem Fundacji "Stratpoints" i redaktorem naczelnym portalu Nowa Europa Wschodnia.

Inne materiały Jarosława Kociszewskiego

Ale najważniejszym środkiem są ludzie z jasną doktryną przeprowadzania tego typu działań, odpowiednim budżetem pozwalającym na zakup odpowiednich narzędzi, również na czarnym rynku. Nie będziemy tu wchodzili w technikalia, jakie to są narzędzia, to jest kwestia napisania własnego złośliwego oprogramowania. Jest to kwestia odkrywania dziur – bo w oprogramowaniu są dziury, które pozwalają uzbroić złośliwe oprogramowanie i dostarczyć je na komputery przeciwnika.


Podcast z cyklu "NATO Explained'23" został zrealizowany ze wsparciem Departamentu Dyplomacji Publicznej NATO.