NATO uznało katastrofę gazociągu Nord Stream za sabotaż. Dziś wciąż nie znamy odpowiedzi na kluczowe pytania - ani kto stoi za wybuchami (państwo czy aktor niepaństwowy?), ani jaką metodą doprowadzono do zniszczenia rur. To co jest bardzo ciekawe, to wiele podobieństw z cyberatakami, cyberoperacjami i ustalaniem ich sprawstwa, czyli przypisywaniem motywów prowodyrom. Co prowokuje pytanie o to, czy cyberataki mogą mieć efekty „pozawirtualne”. Otóż mogą.
Cyberataki z efektami fizycznymi już się zdarzały
Według potwierdzonych i zweryfikowanych ustaleń znamy kilka cyberoperacji z efektami fizycznymi. Klasycznym jest Stuxnet, gdzie za pomocą cyberoperacji zainfekowano system sterowania irańskiego ośrodka wzbogacania uranu i doprowadzono do zniszczeń fizycznych sprzętu technicznego. Zrobiono to sprytnie, bo po uzyskaniu dostępu przejęto kontrolę nad systemem sterowania i programowo doprowadzono do niebezpiecznej pracy wirówek do wzbogacania uranu - zmieniając naprzemiennie częstotliwość. To doprowadziło do ich wczesnego zużycia i zniszczeń fizycznych. W 2014 r. w niemieckiej hucie eksplodował piec. Nie ujawniono, w jakich okolicznościach. Jedną z możliwości jest wypadek: być może cyberoperacja wywiadowcza, w ramach której coś poszło nie tak.
Dla nas ważne jest zrozumienie, że dziś to właśnie systemy cyfrowe, komputery i oprogramowanie sterują systemami przemysłowymi. Grodziami, pompami, wirnikami, turbinami. Zakłócając ich pracę, można niechcący lub celowo doprowadzić do nieprzewidzianego działania systemu. Taka metoda niszczenia opiera się na kwestionowaniu jego założeń projektowych. Przykładowo w transformatorach znajduje się izolacja i sprzęt ten jest przeznaczony dla określonego natężenia prądu. Ma działać w ściśle określonych warunkach, uwzględniających np. temperaturę pracy. To szereg założeń. Naruszając je, sprzęt zachowa się pozastandardowo. Szybciej się zużyje, wadliwie zadziała. Albo dojdzie do całkowitego i trwałego jego zniszczenia. Fizycznego, nie wirtualnego. To systemowa metoda działania. Ustala się, jakie są „normalne” warunki działania systemu i celowo te założenia się narusza. Standardowe parametry pracy są zwykle dobrze znane: od śrub po elementy transformatorów, gazociągów, wirników, turbin, razem z podzespołami. Można je też pozyskać np. wywiadowczo. To komplikuje taką cyberoperację lub cyberatak i gwarantuje, że przeprowadzenie jej to nie jest działanie dla amatorów, ale dla profesjonalnych jednostek, np. wojskowych - tych o poważnych możliwościach ofensywnych. Dziś prawie żadne państwo takich nie posiada i osobną kwestią jest, czy polskie Wojska Obrony Cyberprzestrzeni powinny mieć takie zdolności ofensywne. Defensywne na pewno. Co do ofensywnych - potrzebujemy debaty publicznej na ten temat oraz jasnej strategii i doktryny. Ogłoszonej społeczeństwu, transparentnej. Od lat usiłuję ją prowokować.
Manipulacja ciśnieniem?
W tym momencie wróćmy do Nord Streamu - żeby ustalić, czy gazociąg został zniszczony za pomocą cyberataku, trzeba by było przeprowadzić śledztwo. A kto kontroluje systemy sterowania? Rosyjski Gazprom. Czy państwa Zachodu w ogóle dałyby wiarę wynikom takiego śledztwa? To oczywiście pytanie retoryczne. Państwa Zachodu przeprowadzą własne, na miejscu. Będą szukać pozostałości i śladów po tym, co się stało, by spróbować zrozumieć jak.
Co, jeśli nie zostaną znalezione ślady po hipotetycznej detonacji? Standardowe ciśnienie w gazociągu Nord Stream 1 to 22 MPa. To projektowana wartość, a systemy bezpieczeństwa przemysłowego powinny przeciwdziałać niepożądanym odchyleniom od normy. Można teoretyzować, czy próby programowego wyłączenia takich systemów bezpieczeństwa nie mogłyby umożliwić skokowego i szkodliwego zwiększenia ciśnienia. Ale trudno byłoby wyjaśnić, że wywołało to efekty w kilku nitkach gazociągu i w miejscach niezbyt oddalonych od siebie. Do tego sejsmometry jednak odnotowały znaczne wstrząsy.
Manipulacja ciśnieniem mogłaby być prostsza, gdyby robiono to, mając do nich niezawodny i stały dostęp. Trudno jednak wtedy mówić o cyberataku. Nawet jeśli zrobiono by to komputerowo.
Usterki komputerowe
Negatywne następstwa wynikające z usterek komputerowych systemów sterowania to fakt. Zdarzają się takie wypadki. By wspomnieć choćby eksplozję gazociągu w San Bruno (USA) w 2010 r., w którym zginęło 8 osób, 60 zostało rannych; 37 domów zostało zniszczonych. W 1999 r. w Bellingham (USA) doszło do wycieku z ropociągu, znów zawiodły systemy sterowania. Właśnie dlatego są one wrażliwą częścią infrastruktury. Mogą zawieść w wyniku awarii, wypadku, ale teoretycznie również z powodu celowego działania. W 2008 r. eksplodował element 1768-kilometrowego ropociągu Baku-Tbilisi-Ceyhan. W 2014 r. pojawiły się doniesienia, że to rzekomo wynik cyberoperacji. Scenariusz ten został obalony w wyniku śledztwa. Warto zachować niezwykłą ostrożność w badaniu takich przypadków, bo to skomplikowana materia. Zawsze wymaga starannego i czasochłonnego postępowania. Rzadko kiedy diagnozy możliwe są od razu.
Nikt nie ma dziś chyba wątpliwości, że zniknięcie Nord Streamu jest zgodne z dobrze rozumianym polskim interesem narodowym. Że jest polską racją stanu. Ale, w ogólności, ten przypadek napawa lękiem. Jest bowiem wiele elementów infrastruktury, których nie da się w całości monitorować.
Uszkodzenie gazociągu wydatnie pokazuje też inną kwestię - jak ważne jest zaufanie, od którego zależy w dużej mierze bezpieczeństwo infrastruktury krytycznej. Chcemy wierzyć, że w niczyim interesie nie jest jej zniszczenie. Jeśli taka kalkulacja nie jest już w mocy, to mamy bardzo poważny problem bezpieczeństwa wewnętrznego, międzynarodowego, finansowego, a nawet ubezpieczeniowego. Jak wycenić ryzyko katastrofy? Infrastruktura naziemna znajduje się na czyimś terytorium, ale np. znajdujące się pod wodą gazociągi, przewody elektryczne czy kable światłowodowe biegną na wodach międzynarodowych. Sabotaż Nord Streamu dobrze to uwidacznia. Dania i Szwecja bardzo szybko zakomunikowały, że nie stało się to na ich terytorium. Nie można więc powiedzieć, że zostały zaatakowane... Że doszło do agresji zbrojnej na terytorium jakiegoś kraju. Przerysowując: nikt nie jest „stratny” w sensie wojskowej agresji i nie ma powodu do odpowiedzi. Sytuacja idealna z punktu widzenia sabotażysty? No chyba że wszystko to był jednak nieszczęśliwy wypadek. Na sabotaż zdają się jednak wskazywać pierwsze ustalenia szwedzkiej służby bezpieczeństwa (Säpo). Wciąż nie wiadomo dokładnie jak. Podobno eksplozja nie miała miejsca od wnętrza rury (co wykluczałoby niebezpieczne manipulacje ciśnieniem). Z końcowymi wnioskami musimy się jednak wstrzymać.
NATO wydało jasny komunikat, że ataki na infrastrukturę spotkałyby się z odpowiedzią. Podobnie zresztą jak cyberataki. Na te jednak nigdy faktycznie nie było odpowiedzi. W Polsce oczekujmy szybkiego wdrożenia aktualizacji ustawy o krajowym systemie cyberbezpieczeństwa, która wdrażałaby zaktualizowaną unijną dyrektywę NIS2 o bezpieczeństwie systemów informatycznych. I poważnej dyskusji nad bezpieczeństwem infrastruktury krytycznej.
*Dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw Człowieka, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, autor książki „Filozofa Cyberbezpieczeństwa”