- Jeżeli nasz kraj jest atakowany, a my codziennie tego doświadczamy i wygrywamy w tym konflikcie – to podnosi morale - zauważa generał brygady Karol Molenda, dowódca Wojsk Obrony Cyberprzestrzeni, dyrektor Narodowego Centrum Bezpieczeństwa Cyberprzestrzeni.
Co robią cyberżołnierze?
Monitorujemy bezpieczeństwo infrastruktury wojskowej w trybie 24/7. Jesteśmy cyfrowym sercem armii: odpowiadamy za wszystkie systemy teleinformatyczne, sieci jawne i niejawne w resorcie obrony narodowej. Nie ma komputera, nie ma komórki, które by nie zostały przez nas zakupione, skonfigurowane i utrzymywane.
Wojsko ma bardzo złożoną infrastrukturę, składającą się z kilkunastu różnych rozwiązań informatycznych, różnych systemów wsparcia dowodzenia; prawie 100 tys. użytkowników w jednej sieci, kolejne 80 tys. użytkowników w innej sieci. Zapanowanie nad bezpieczeństwem jest tu nie lada wyzwaniem. Infrastruktura resortu obrony narodowej jest też ogromnym poligonem dla naszych ekspertów. Broniąc jej, cyberżołnierze jednocześnie się uczą, poszerzają swoje kompetencje i zdolności.
Bezpieczeństwo nie jest stanem, jest procesem. Zawsze można paść ofiarą ataku, jeżeli przeciwnik jest zmotywowany, ma odpowiednie środki i rozwiązania. Dlatego cyberobrońcy podnoszą koszty ataku tak, by stał się on nieopłacalny. Nawet jeśli przełamanie jakichś zabezpieczeń jest teoretycznie możliwe, to żeby to zrobić, należałoby zaangażować tak ogromne środki, że po prostu przeciwnikom się to nie opłaca. To jest nasze główne zadanie.
Jak teraz wygląda sytuacja w cyberprzestrzeni? Co się zmieniło po 24 lutego?
Wieloma szczegółami nie mogę się podzielić z opinią publiczną, bo są to informacje niejawne. Wystarczy jednak powiązać fakty. Jesteśmy krajem, który bardzo mocno wspiera Ukrainę. To musi powodować odpowiedź Rosjan. Atrybucja jest zawsze złożonym problemem, bo w cyberprzestrzeni każdy może udawać kogoś innego, więc aby odróżnić działania rzeczywiście pochodzące z Rosji od innych typów działań, potrzebna jest ogromna wiedza analityków.
I rzeczywiście widzimy próby przełamania naszej obrony przez grupy powiązane ze służbami specjalnymi Federacji Rosyjskiej. Bywają dni, gdy intensyfikacja tych działań jest nad wyraz zauważalna. Lekcje, które odrobiliśmy na przestrzeni ostatnich lat, ucząc się ich taktyk, technik i procedur, pozwalają nam teraz ich rozpoznawać i udaremniać ich próby. Mam tu na myśli wyszukane ataki, bo pospolite działania, typu skanowanie czy DDoS (ataki paraliżujące system poprzez zasypanie go fałszywymi próbami skorzystania z usług z wielu komputerów jednocześnie - red.), odbijają się od naszych urządzeń.
Wyszukane ataki to np. jakie?
Nikt nie zaczyna ataku, wykorzystując od razu swoje najlepsze umiejętności. Najpierw stosowana jest socjotechnika, szukanie słabości użytkownika po drugiej stronie - wszystkiego, co może ułatwić wejście do systemu. W resorcie obrony od dawna zwracamy na to dużą uwagę, co pozwoliło zbudować wśród użytkowników wysoką świadomość i odpowiednią postawę. Bezpieczeństwo naszych rozwiązań jest wielowarstwowe, więc nawet jeśli przeciwnik ma rozpoznaną pierwszą warstwę - urządzenia brzegowe - i potrafi ją przejść, to i tak zatrzymuje się na kolejnych urządzeniach bezpieczeństwa, które nie są mu znane. I często są to nasze autorskie rozwiązania. Nie bazujemy tylko na ogólnodostępnych narzędziach cyberbezpieczeństwa, które każdy może kupić, lecz tworzymy własne.
Czyli Wojska Obrony Cyberprzestrzeni same produkują swoje cyberkarabiny?
Te narzędzia niekoniecznie występują w formie sprzętu. To także skrypty, aplikacje, w których implementujemy naszą wiedzę na temat przeciwnika, jego narzędzi i technik działania. Rozwiązania, które kupujemy, też są istotne i bardzo nowoczesne.
Polska armia może sobie na takie zakupy pozwolić?
Mamy odpowiedni budżet, nie narzekam. Nigdy nie było problemu, żeby znaleźć środki finansowe na wdrożenie rozwiązania, które podniesie poziom bezpieczeństwa. Pod tym względem jesteśmy w bardzo komfortowej sytuacji. To pozwala cyberżołnierzom i naszym pracownikom cywilnym rozwijać swoje kompetencje.
Czym się różnią Wojska Obrony Cyberprzestrzeni od pozostałych działów armii?
Między innymi podejściem do zadań: uważamy, że nie powinniśmy czekać, aż incydent się zmaterializuje, lecz blokować adwersarza wcześniej. Czyli podchodzić bardziej profilaktycznie. A to oznacza nie tylko podnoszenie poprzeczki kosztów dla atakujących, lecz także polowanie na przeciwnika.
Budowanie zdolności ofensywnych ma dodatkowe znaczenie: odstrasza. Jeżeli napastnik będzie wiedział, że w odpowiedzi na atak sam może poważnie ucierpieć, zachowa się wstrzemięźliwiej. Bez takich kompetencji bylibyśmy bezsilni. Zabiegi dyplomatyczne - skargi czy protesty - wobec kraju, który wspiera hakerów, są bezcelowe. Ograniczając się do nich, bylibyśmy jak pięściarz, który na ringu tylko trzyma gardę, nie wyprowadzając ciosów. To pewny nokaut.
A prowadzicie już działania zaczepne?
Uczymy się ich. Mamy centrum szkolenia - jednostkę ekspercką, w ramach której funkcjonuje już jeden cyberpoligon i chcemy pozyskać jeszcze jeden. Nasze zespoły ofensywne uczą się operować na tym cyberpoligonie i są w gotowości. Działania ofensywne wymagają jeszcze uregulowań prawnych, bo oddziaływanie ofensywne na inny kraj przez żołnierza może być uznane za próbę wywołania konfliktu. Toczą się dyskusje prawne, w jakim zakresie wojsko w czasie pokoju mogłoby wykorzystywać swoje zdolności aktywnej ochrony. Z pewnością takie regulacje zostaną dookreślone - jak ma to miejsce chociażby w Stanach Zjednoczonych, gdzie dowódca cyberwojsk, gen. Nakasone, ma od prezydenta upoważnienie, by w razie ataku w cyberprzestrzeni odpowiedzieć bez wypowiedzenia wojny w sposób ofensywny.
Cyberpoligon wygląda jak gra komputerowa?
Cyberpoligon wirtualnie odzwierciedla różne systemy i sieci teleinformatyczne. Nasze, naszych przeciwników. Operator, który się na nim szkoli, działa tak, jak na rzeczywistej infrastrukturze. Dla niego nie ma różnicy. Z tym że na cyberpoligonie jego czynności są monitorowane i analizowane: jakie błędy popełnił, gdzie zostawił ślady, co może poprawić.
Na cyberpoligonie najważniejsze jest zgranie całego zespołu, żeby lider poznał wszystkie mocne i słabe strony każdego ze swoich współpracowników, potrafił wykorzystywać ich umiejętności i działać pod presją czasu i stresu.
Największe globalne ćwiczenia NATO z zakresu cyber- bezpieczeństwa Locked Shields odbyły się niedawno właśnie na takim cyberpoligonie. Założono konflikt między dwoma wymyślonymi krajami, z których jeden był członkiem NATO, i zespoły reagowania na incydenty komputerowe miały bronić zaatakowanej infrastruktury. Zdobywając drugie miejsce, tuż za Finami, udowodniliśmy, że potrafimy grać zespołowo i rozwiązywać problemy. Jesteśmy gotowi - jeśli chodzi o defensywę, to zdolność operacyjną, którą deklarowałem na 2024 r., już osiągnęliśmy. Pozostają jeszcze kompetencje związane z cyberrozpoznaniem i działaniami ofensywnymi.
Locked Shields to sukces, którym może się pan pochwalić. Inne trzeba ukrywać?
To właśnie specyfika Wojska Obrony Cyberprzestrzeni: gdy nas nie widać i o nas nie słychać, to znaczy, że dobrze realizujemy swoją pracę. Myślę, że brak żółtych pasków o cyberatakach to jest nasz sukces. Skończyły się te czasy, gdy atakujący włamywał się do infrastruktury i nie informował o tym. Biorąc pod uwagę sytuację geopolityczną, każda udana próba ataku na naszą infrastrukturę zostałaby przez drugą stronę nagłośniona. Jeżeli doszłoby do przełamania naszej obrony, próbowano by też pewnie zmanipulować nasze społeczeństwo: po co nam cyberwojsko i te wszystkie służby, skoro hakerzy biegają po naszych sieciach.
Obrońca zawsze ma gorzej. Musi pilnować wszystkich swoich zasobów, podczas gdy atakującemu wystarczy przełamać zabezpieczenie jednego z nich. To zabawa kotka z myszką.
Do tego atakujący odpowiada tylko za swoje działania, natomiast obrońca musi się liczyć ze słabością użytkowników, którzy czasami przez nieuwagę czy brak świadomości zagrożeń mogą poddać się działaniom socjotechnicznym i nieświadomie pomóc atakującym.
Czy oprócz Rosji z Białorusią mamy innych wrogów w cyberprzestrzeni?
W cyberprzestrzeni zawsze są prowadzone jakieś operacje. W przypadku naszej infrastruktury największe próby ataków istotnie są skierowane z Rosji i Białorusi. Co nie zmienia tego, że nasi analitycy gromadzą też wiedzę na temat taktyk, technik i procedur, którymi operują różne inne grupy - w tym grupy powiązane np. z Chinami. Nie wykluczamy, że któraś z nich może próbować oddziaływać na naszą infrastrukturę.
Wracając do cyberżołnierzy. Ciągle werbujecie „utalentowanych specjalistów posiadających wiedzę i umiejętności w dziedzinie informatyki, matematyki, teleinformatyki i cyberbezpieczeństwa”. To są pewnie indywidualiści - jak ich wcielacie do wojska?
Nie jest aż tak źle. Owszem, wojsko jest strukturą zhierarchizowaną: mundur, rozkazy, procedury, itd. U nas jest jednak trochę inaczej.
Luźniej?
Każdy, kto zakłada mundur, musi go nosić z godnością, ale dla mnie najważniejsze są wiedza i umiejętności - i osobom, które je posiadają, jestem w stanie dużo wybaczyć. Młodzież u nas widzi, że może się rozwijać, awansować, a nie ma tej wymuszonej wojskowej sztywności. Odkąd jestem w WOC, porannego apelu nie było nigdy. Mamy apele z okazji świąt narodowych, gdy są wręczane wyróżnienia i medale. Natomiast nie uważam, żeby należało ten czas - który jest tak istotny - poświęcać na mało efektywne czynności. Dlatego jestem też przeciwnikiem długich odpraw. To wynika ze specyfiki naszych działań: w przeciwieństwie do kolegów z pozostałych rodzajów sił zbrojnych my nie przygotowujemy się do wojny - my już działamy. Nie mamy więc czasu na dyskusje i analizy.
Już jesteście na wojnie?
Nasz przeciwnik dobrze wie, jak działać poniżej progu wojny - czyli żeby nie podnieść tej poprzeczki tak, by można było odpowiedzieć konwencjonalnie. Natomiast są konflikty, w trakcie których te działania odbywają się codziennie.
A co do wojskowej dyscypliny, to uważam, że dobry przełożony to taki, który podwładnemu nie przeszkadza, a najlepszy - jeszcze do tego pomaga. I cała nasza kadra kierownicza WOC ma takie polecenie: nie utrudniać zadania tym młodym ludziom, tylko ich wspierać. Wtedy będą sukcesy. Bo kolejną cechą nas wyróżniającą jest to, że tutaj największą wiedzą dysponują młodzi oficerowie. Dlatego tak ważne jest, by mogli się swobodnie wypowiedzieć. Postawiłem na liderów, a nie dowódców, którzy na odprawach potrafią tylko słuchać. Model, w którym przełożony przychodzi, mówi, jaki jest problem i jak chce go rozwiązać, a dopiero potem pyta zespół o opinię, nie jest naszym modelem. W tym momencie już jest za późno na burzę mózgów, bo podwładni nie podważą jego zdania.
W porównaniu z tradycyjną strukturą to ma pan wojsko postawione na głowie.
Tak. I dość istotne jest, aby to postawienie na głowie utrzymać. Bo nie ma osób, które przyszły tu dla pieniędzy. Poza wojskiem każdy z nich zarobiłby więcej. Więc to są pasjonaci. Ja też - moja żona podkreśla, że jestem niepoprawnym patriotą. Zdaję sobie sprawę, jak mogłoby wyglądać moje życie w cywilu pod względem finansowym. Mam wielu kolegów, którzy zdecydowali się przejść na rynek cywilny i ich finanse bardzo się zmieniły.
Natomiast mam wrażenie, że stracili gdzieś po drodze poczucie misji. I niektórzy po roku, dwóch pukają, że może jednak by wrócili, bo czują się tylko narzędziem, trybikiem w machinie nastawionej na generowanie przychodów. Natomiast tutaj zespół spaja idea, można użyć górnolotnego słowa „patriotyzm”. Jeżeli nasz kraj jest atakowany, a my codziennie tego doświadczamy i wygrywamy w tym konflikcie - to akumulatory są tak naładowane, że człowiek chodzi jak nakręcony. To podnosi morale. Ale gdyby pojawił się tu kiedyś dowódca zaczynający dzień od apelu i sprawdzenia czystości butów, to myślę, że ten zespół mógłby się dość szybko zniechęcić.
Ilu ma pan teraz ludzi?
W całej strukturze NCBC-DKWOC (Narodowe Centrum Bezpieczeństwa Cyber przestrzeni - Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni - red.) jest ponad 6 tys. żołnierzy i pracowników wojska. Liczby nie są jednak w tej materii dobrym parametrem, bo są tacy specjaliści, którzy potrafią zrobić w godzinę to, czego 10 innych nie dokona w tydzień. Nie chcę też za bardzo zwiększać liczebności, żeby nie stracić na jakości.
Zainteresowanie dołączeniem do naszego zespołu jest duże. Osoby, które tu przychodzą, muszą być głodne wiedzy i muszą się stale rozwijać. Cyberprzestrzeń jako jedyna domena operacyjna zmienia się bowiem w sposób ciągły. Powietrze zawsze będzie powietrzem, woda wodą, a ląd lądem - natomiast infrastruktura teleinformatyczna jest nieustannie modernizowana. Pojawią się nowe wyzwania związane ze sztuczną inteligencją, z siecią 5G, z innymi nowymi rozwiązaniami - i nasza struktura też musi ewoluować.
Mówił pan, że budżet nie jest problemem. To ile wydajecie?
Dużo wydajemy. Rozwiązania cyberbezpieczeństwa na światowym poziomie są drogie. A zajmujemy się jeszcze budową systemów informatycznych i sieci, dzierżawimy łącza światłowodowe, budujemy centra danych - mamy ich już kilka, mamy też swoje chmury. Z tym się wiążą ogromne koszty inwestycji, utrzymania, licencji na wszystkie aplikacje dla wszystkich użytkowników w siłach zbrojnych. To są bardzo duże sumy pieniędzy.
Co jest najsilniejszą bronią Wojsk Obrony Cyberprzestrzeni?
Intelekt i umiejętność nieszablonowego myślenia. Jestem dumny z tego zespołu. To jest niesamowite środowisko. Nie ma drugiego takiego miejsca w Polsce. To jest moja podróż życia. ©℗
Rozmawiała Elżbieta Rutkowska
