- W przypadku dalszej eskalacji i ewentualnych działań wojennych na Ukrainie, Polska oraz inne kraje mogą dostać „odłamkiem” - mówi dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa oraz były doradca cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie.
Cyberatak na serwisy rządowe na Ukrainie, zhakowanie kolei na Białorusi - czy to już cyberwojna?
Nie, to nie jest cyberwojna. Szczególnie dziś określenie „wojna” powinniśmy zarezerwować dla rzeczywistej wojny. Działania hybrydowe, nawet jeśli nieprzyjazne, zgodnie z prawem międzynarodowym są legalne, a na pewno nie są działaniami wojennymi - podoba nam się to czy nie.
To jak nazwać to, co się dzieje w sferze cyber u nas i za naszą wschodnią granicą?
To cybereskalacja i cyberoperacje. Czasem mające napędzać operacje informacyjne. Na przykład zhakowanie stron rządowych i umieszczenie tam treści „do Ukraińców” to czysta operacja informacyjna. Mało tego, próbowano także „wrobić” w to Polskę. Zrobiono to pokracznie - publikując komunikaty w języku polskim z błędami. To jednak wystarczyło, by niektóre jakościowe zachodnie media ten przekaz kupiły i szerzyły. To bardzo źle świadczy o tym, jak niegotowy jest współczesny świat na wojnę psychologiczną, informacyjną. Prawdopodobnie gra na resentymentach historycznych przemawia też do pewnych środowisk na Ukrainie i w Polsce. Nie można tego wykluczyć. To, że my dostrzegamy fałszywkę, nie oznacza, że ktoś nie zechce w to wierzyć.
Niektóre cyberoperacje są skierowane w konkretne osoby lub instytucje. Inaczej było z tymi, które doprowadziły do odcięcia prądu na Ukrainie - to było wymierzone bezpośrednio w społeczeństwo.
Ale to jeszcze nie wojna?
Nie. Wprawdzie poważne cyberataki mogłyby wywołać wojnę, przekraczając pewne progi - np. doprowadzając do zniszczeń fizycznych lub powodując skutki śmiertelne - to jednak typowe cyberataki są od tego bardzo dalekie. Zdarzenia, o których ostatnio słyszymy, nie są „atakami” w sensie prawa międzynarodowego.
Z drugiej strony tolerancja dla strat ekonomicznych, chaosu i destabilizacji staje się coraz mniejsza i dlatego coraz więcej krajów rezerwuje sobie możliwość odpowiedzi na poważne cyberataki - zarówno za pomocą podobnych działań, jak i tradycyjnie - np. bombardowaniem lotniczym.
Takie cyberzagrożenia, z jakimi mierzy się dziś Ukraina, mogą objąć też Polskę?
Mieliśmy już niskoskalowe operacje: np. hakowanie polityków, wycieki danych. Choć np. Ukraina doświadczyła też poważniejszych działań.
W przypadku dalszej eskalacji i ewentualnych działań wojennych na Ukrainie trzeba założyć, że cyberoperacji będzie więcej i wtedy nawet Polska oraz inne kraje mogą dostać „odłamkiem”, chociażby dlatego że sieci są mocno połączone, a pewne narzędzia mogą się automatycznie i szybko rozprzestrzeniać. W przypadku działań typowo wojennych nie można wykluczyć również cybereskalacji wobec innych państw, zwłaszcza tych, które nie są neutralne. Agresor mógłby wysyłać sygnały polityczno-wojskowe lub chociażby dać takim krajom coś, czym mogłyby się zająć u siebie, lokalnie, „żeby się nie nudziły”. Z cyberatakami to jest możliwe. Niektóre ich efekty mogłyby mieć widoczne i mierzalne wewnętrzne konsekwencje polityczne w tych krajach.
Kijów uznał atak hakerów na swoje strony rządowe za przejaw wojny hybrydowej Rosji przeciwko Ukrainie, toczonej od 2014 r. Co to właściwie jest wojna hybrydowa?
Wojna hybrydowa to szerokie spektrum działań politycznych, ekonomicznych, informacyjnych, militarnych, paramilitarnych. To konflikt o intensywności większej niż typowe działania pokojowe, ale mniejszej niż wojenne. Operacje hybrydowe wchodziłyby więc w skład działań eskalacyjnych. To może być też preludium do poważniejszych działań, zwłaszcza gdy taki jest cel polityczny.
Jak groźna jest obecna sytuacja?
Jeśli wierzyć reakcjom państw Zachodu oraz pamiętając wydarzenia z poprzedniego listopada, to sytuacja jest bardzo groźna i bez precedensu w ostatnich 30 latach. Natomiast według byłego ambasadora Francji przy ONZ Gérarda Arauda to standardowy grunt stosunków międzynarodowych, tylko być może na Zachodzie od tego odwykliśmy.
Cyberataki są dziś elementem polityki zagranicznej, także wojennej. To nowość. Wszystko inne zostało po staremu - co oznacza dla nas konsekwencje w sferze bezpieczeństwa, stabilności, energetyki. Do tego dochodzi cyberzagrożenie, możliwość szkodzenia na odległość.
Uważa pan, że polskie władze powinny wystosować ostrzeżenie do operatorów usług kluczowych, że cyberryzyko znacznie wzrosło. Dlaczego?
Zrobiono to już w USA, Kanadzie i Wielkiej Brytanii - to chyba wystarczające przesłanki, by uznać, że problem jest realny i są podstawy dla wprowadzenia w Polsce drugiego stopnia alarmowego BRAVO- CRP.
Chyba że uznamy, iż Zachód przesadza. Wtedy może faktycznie nie ma powodu do alarmu, bo ważne są też względy unikania ryzyka paniki. Być może lepiej się zrelaksować? Ostatnio np. wiceminister obrony Ukrainy zaprzeczyła doniesieniom amerykańskim o tym, jakoby Rosja sprowadziła nad granicę zapasy krwi - nazywając to elementem wojny informacyjnej, psychologicznej. To pokazuje, że działania w sferze informacyjnej mają duże znaczenie.
Po wprowadzeniu alertu drugiego stopnia będziemy bezpieczniejsi?
Oczywiście, że nie. To tylko formalny stopień, niewiele da w praktyce.
To po co go wprowadzać?
Byłby to swego rodzaju komunikat do społeczeństwa, że państwo traktuje problem jako poważne wyzwanie, a ryzyko jest realne. Alert BRAVO oznacza obowiązek noszenia broni długiej dla funkcjonariuszy służb mundurowych. To także wzmocnienie ochrony instytucji publicznych. Wprowadza się go dla cyberprzestrzeni (CRP) w przypadku „zwiększonego i przewidywalnego zagrożenia wystąpieniem zdarzenia” - a z tym mamy już chyba do czynienia. Co faktycznie będzie się działo, zależy od motywacji i celów ewentualnych agresorów, możemy sobie jednak wyobrazić, że jeśli się zadzieje, to wydarzenia nastąpią szybko. Dlatego powinniśmy być przygotowani do błyskawicznej odpowiedzi. Z dobrze rozlokowanymi zdolnościami „cyber” w stosunkowo krótkim czasie agresor może bowiem spowodować bardzo wiele szkód i zniszczeń.
Co jeszcze powinniśmy robić?
Nie panikować, na zimno obserwować i analizować rozwój wypadków. To nie wygląda ani na 1914 r. ani 1939 r. W instytucjach - mieć kopie zapasowe wszelkich danych. Szerzej - zapasy krytycznych zasobów, bo to może się przydać w oczekiwaniu na wiosnę. To ostatnie to dobra rada także zwykłych obywateli - podstawowa gotowość na wypadek zdarzeń odbiegających od normy zawsze się przydaje. Państwu natomiast przydałaby się ochrona przeciwrakietowa. Szkoda, że tego najwyraźniej nie ma.
Obywateli dotykają też działania, które ostatnio się nasiliły: podszywanie się pod cudze numery telefonów, tzw. spoofing. Borys Budka, Roman Giertych i inne osoby otrzymują w ten sposób wiadomości o śmierci najbliższych. To też może być element działań wrogiego państwa? Rzecznik ministra koordynatora służb specjalnych Stanisław Żaryn sugerował, że takie metody stosuje Rosja.
Mogę się zgodzić, że skala, zasięg i podejście wskazywałaby na działania struktur jakiegoś państwa, nawet jeśli pośrednio. Czy tak jest - nie wiemy. Może za tym stać ktokolwiek. Technicznie zrobienie czegoś takiego jest łatwe. Główne wyzwanie to dostęp do dużej liczby numerów telefonów różnego rodzaju ludzi-celów.
Głośno jest teraz o zaatakowanych osobach publicznych, ale problem istnieje od dawna i dotyka wszystkich. Zwykli ludzie od dłuższego czasu cierpią z powodu spoofingu. Nie dostrzegano tego jednak, dopóki problem nie dosięgnął tych ze świecznika. Uzasadnione jest pytanie, dlaczego polityków nie interesowała krzywda zwykłych Polaków. Dlaczego mamy akceptować sytuację, że rząd chował głowę w piasek, a niektórzy politycy robią z siebie ofiarę? Przecież to śmieszne. A problem jest i techniczny, i społeczny.
Jak możemy się bronić?
Nie możemy bronić się przed tym, że ktoś wykona połączenie, podszywając się pod nasz numer telefonu. Druga strona spoofingu to otrzymywanie szokujących informacji ze „znanego numeru telefonu”. To może doprowadzić do szkód psychicznych. Nikt nie chciałby dostać wiadomości telefonicznej, „uwiarygodnionej” numerem żony czy męża, o tym, że miała miejsce tragedia. Tu mam złe wieści. Obecnie jedyną obroną jest niekorzystanie z aplikacji o nazwie „telefon” i przejście na komunikatory internetowe. Do czasu, aż państwo i telekomy wypracują rozwiązanie.
Jakie?
Trzeba zmusić telekomy do wdrożenia standardów technicznych, które uwierzytelniają źródło połączenia. Przerzucić na nie odpowiedzialność. Wtedy będą zmotywowane do zaradzenia problemowi. Krótkoterminowo, ponieważ sprawa jest poważna, dopuściłbym rozwiązanie drastyczne: wyłączenie opcji identyfikacji numeru. Można to też rozwiązać prościej, oznaczając (*) podejrzane połączenia - i chyba w tę stronę pójdą projekty rozwiązań prawnych.
Może to rząd ucisza w ten sposób opozycję? Da się w ogóle ustalić, kto stoi za spoofingiem?
Nie - jeśli ci, którzy to robią, przestrzegają podstawowych zasad, by się kryć.
Co jeszcze zaniedbujemy w sferze cyberbezpieczeństwa?
Nie myślimy kompleksowo o cyfryzacji ani cyberbezpieczeństwie i prywatności. Przykładowo, zamiast likwidować Ministerstwo Cyfryzacji, można było powołać Ministerstwo Spraw Cyfrowych. Bo cyfryzacja i cyberbezpieczeństwo to dziś problem i techniczny, i polityczny, wewnętrzny i zewnętrzny - międzynarodowy. Tu potrzeba spójnego podejścia, wizji, sensownych ludzi.
Na razie nie wygląda na to, by państwo traktowało poważnie cyfryzację i cyberbezpieczeństwo. W innym obszarze, nie podoba mi się tolerowanie praktyki tworzenia kierunków i specjalności studiów w obszarze cyberbezpieczeństwa, kiedy nikt z kadry nie ma pojęcia o problemie, np. na wydziale nauk politycznych jednego z uniwersytetów. To skandaliczne i szkodliwe, także dla studenta i szerzej dla społeczeństwa. Mamy się na to godzić?
Dziwi mnie też, że UODO nie ma uprawnień do egzekwowania przepisów wobec pewnych problemów prywatności, bo politycy przekazali je innemu regulatorowi, UKE. Ostatnio francuski odpowiednik UODO nałożył dużą karę na Google (za omijanie wymogu uzyskania od użytkowników zgody na stosowanie ciasteczek - red.) w obszarze, którego polski urząd nie ma prawa badać, bo należy to do UKE, któremu z kolei albo brak kompetencji, albo chęci działania w obszarze ochrony prywatności. To wina decyzji ludzi zajmujących się cyfryzacją oraz polityką ochrony danych osobowych.
A co robimy dobrze?
Dobrze, że tworzymy cyberarmię. Choć gdyby zdecydowano się na to np. w roku 2012, to koszt jej powołania byłby o wiele niższy. Dziś wzrósł, ale nadal warto. Powstają Wojska Obrony Cyberprzestrzeni, ale jakie ma być ich przeznaczenie? Tylko defensywne czy także ofensywne? Tu potrzeba transparentności i wizji.
Jak wybuchnie cyberwojna, to wygramy?
Sama w sobie nie wybuchnie. Cybereskalacja i różnego rodzaju działania odbywają się w trybie ciągłym - poniżej progu wojny. Tu mimo wszystko wiele państw zalicza wpadki wobec np. zewnętrznych cyberwywiadów, by wymienić zhakowanie instytucji rządowych w USA. Także w Polsce były problemy, chociażby cyberatak na KNF i to jak go obsługiwano, co w efekcie doprowadziło do ryzyka dla systemu bankowego. Ale, jak już powiedziałem, wojna nie ograniczałaby się do działań „cyber”.
Poniżej progu wojny da się wygrać w tej sferze dyplomacją i zabezpieczeniami technicznymi. A podczas wojny - ofensywnymi cyberoperacjami, a także działaniami w innych domenach, np. atakami rakietowymi, bombardowaniem. Powtarzam: realne konflikty zbrojne prowadzone są na wielu polach. Nie jestem zwolennikiem infantylizacji słów takich jak „wojna”, zwłaszcza w sytuacji realnego ryzyka.
