Wojna w Ukrainie, którą wywołała Rosja, zmieniła wiele dotychczasowych przekonań w całej Europie. Widzimy to także w Polsce – decyzje o kontraktach na uzbrojenie szybko zostały, w trybie kryzysowym – odblokowane. Także w kwestii dronów. Bezpieczeństwo to jednak szeroki problem.
Kilkadziesiąt lat temu kwestie technologii, informatyzacji i baz danych nie istniały, choć nawet przed II wojną światową na Kresach Wschodnich fałszowano ówczesne papierowe bazy danych. Na przykład zmieniano ludziom metryki parafialne w taki sposób, by nie sięgał ich obowiązek m.in. wcielenia do sowieckiego kołchozu.
Wrażliwe dane – szczególna ochrona
Dziś natura systemów informacyjnych i baz danych jest odmienna. Jest ich wiele, są szczegółowe, opisują poszczególnych obywateli i odnoszą się do wielu wymiarów życia – od daty urodzenia, zdrowia, poprzez podatki, prawo do prowadzenia pojazdów, po nawet członkostwo w klubie akwarystyki. Zawierają niemal kompletny zbiór kluczowych aspektów życia. Weźmy np. rejestr dotyczący zezwoleń na posiadanie broni. Obecnie trwają prace nad projektem cyfryzacji i automatyzacji całości: powstaje System Rejestracji Broni. Ma on zawierać dokładne i aktualne informacje, dostępne elektronicznie. To przykład danych wrażliwych z punktu widzenia bezpieczeństwa narodowego. Tego rodzaju informacje nigdy nie powinny wyciec (co zdarzyło się w Wielkiej Brytanii w 2022 r.) albo znaleźć się w niepowołanych rękach, np. wroga podczas wojny.
Kwestie baz danych i infrastruktury telekomunikacyjnej w oczywisty sposób są kluczowe dla bezpieczeństwa państwa, a infrastruktura powinna znajdować się na terytorium kontrolowanym przez dany kraj. Rozumieli to Rosjanie, gdy w 2014 r. uznali konieczność „przepięcia” Krymu. Ówczesny premier Dmitrij Miedwiediew mówił, że przesył ważnych danych przez firmy ukraińskie jest „nie do przyjęcia”. Nowa infrastruktura była zaś budowana przy wykorzystaniu sieci stworzonej wcześniej... na potrzeby olimpiady w Soczi.
Podczas obecnej wojny operatorzy telekomunikacyjni byli przedmiotem nie tylko cyberataków, lecz także ataków fizycznych. Znane są przypadki, gdy rosyjskie wojsko przez zastraszenie pracownika ukraińskiej firmy telekomunikacyjnej wymusiło jakieś działania, być może przekazanie haseł i kontroli nad infrastrukturą. Przepięto też sieci w taki sposób, że ruch z niektórych miast szedł już przez „rosyjski” Krym, Moskwę. Sieci telekomunikacyjne mają wymiar geopolityczny. W tym przypadku nawet czysto wojskowy. Wrażliwe mogą być też dane.
Jednym z celów rosyjskich cyberataków były bazy danych z informacjami o obywatelach. Pozyskanie takich informacji umożliwia filtrację obywateli – chodzi np. o ustalenie, kto może stawiać opór, kogo wytypować i szukać i w jakim celu. Każde państwo planujące wojnę myśli o identyfikacji celów. Robi się to przed i w trakcie konfliktu. W tym sensie cyberataki wspomagałyby działania lądowe. Musimy z tego wyciągać wnioski, bo obrona to także utrudnianie dostępu do takich danych.
Bez analizy ryzyk ani rusz
Lata temu Estonia opracowała koncepcję cyfrowych ambasad, tj. geograficznego rozproszenia danych państwowych – przechowując je w swych ambasadach. Także Ukraina zrozumiała konieczność migracji danych. W trybie przyspieszonym kopiowano je do chmury jednej z amerykańskich firm. Operacja ta była tak angażująca, że podobno zakłóciła normalną działalność tego działu firmy w Wielkiej Brytanii dla klientów biznesowych. Podejrzewam, że kopiowano zarówno bazy danych, konfigurację systemów, jak i całe systemy. Bardzo dużo nagłej pracy, do tego w sytuacji wojennej.
Wojna w Ukrainie sprawia, że wszystkie kraje muszą ocenić, w jakim stopniu takie ryzyko odnosi się do nich. I adekwatnie zareagować. Przed 1 września 1939 r. za (rzekomy lub nie) defetyzm obywateli karano. Dziś standardy się zmieniły i w pluralizmie możemy wprost rozmawiać o ryzykach.
W przypadku Polski analiza ryzyka mogłaby obejmować sytuacje po dużej katastrofie naturalnej, po inwazji, ale być może także w momencie utraty suwerenności i kontroli terytorialnej. Także nad sprzętem i bazami danych. Nie można przy takiej ocenie abstrahować od historii, położenia na mapie, wydarzeń za naszą wschodnią granicą, a także oczywiście tego, że jesteśmy w UE, w NATO, sojusznikiem są USA, a zachodnie firmy mają w Polsce dużo inwestycji. Nie podejmę się oszacowania takiego ryzyka w ogólności ani nawet wypowiedzenia go. Szczęśliwie to nie moja rola. Tę kwestię zostawiam innym. Proszę też nie posądzać mnie o straszenie. Zupełnie nie o to chodzi.
Temat ten ktoś musi jednak zacząć. Kierując się dobrze znanym standardem bezpieczeństwa, można sugerować pewne działania przygotowawcze. Przed scenariuszem najgorszym. Możemy ryzyko łagodzić: przez podejmowanie zawczasu działań. Niekwestionowane precedensy i motywacje w postaci prac w Estonii (podjęte w trakcie pokoju!) i w Ukrainie już mamy. To nie defetyzm, a odpowiedzialność, interes państwowy i racja stanu.
Zabezpieczenie to kwestia gotowości technicznej, prawnej i organizacyjnej. W kwestii organizacyjnej trzeba wyszczególnić krytyczne systemy i rejestry państwowe – musi być wiadomo, co ma priorytet. Trzeba ustanowić odpowiedzialnych ludzi. Dać im uprawnienia i wdrożyć to w życie. Jedna z możliwości to wyróżnienie kilkunastu zaufanych osób o nieposzlakowanej renomie i danie im elementów kluczy szyfrujących. W taki sposób, że kilka z tych elementów umożliwi odblokowanie lub całkowitą blokadę systemów państwowych. Jest to technicznie możliwe (tzw. współdzielenie sekretów).
Dlaczego kilkunastu? Bo jednego można przekupić. Zawsze może się też zdarzyć wypadek, ktoś może wpaść pod autobus albo wypaść z okna. Wypadki chodzą po ludziach.
Chcesz pokoju, szykuj się do wojny
W kwestii prawnej trzeba by uaktualnić wiele ustaw i napisać nowe. Zaktualizować RODO przez wstawienie wyjątku wojennego. On tam już jest, ale dla jasności powinien być wyrażony wprost. Działania warto podejmować zapobiegawczo. Musi być też jasno powiedziane, kto za co odpowiada. Minister właściwy ds. informatyzacji, spraw wewnętrznych i administracji, a może obrony narodowej? Trzeba uniknąć braku decyzyjności. Uczynić to można przez działanie teraz. W sytuacji istniejącego kryzysu, gdy bez problemu rzuca się workami pieniędzy na zakupy techniki wojskowej, problem ten powinien zostać podniesiony niezwłocznie. Zwłaszcza że nie trzeba na to taczek pieniędzy – wystarczy zdecydowanie i intelekt. Rząd już dziś powinien ustanowić pełnomocnika ds. odporności cyfrowej (cyberodporności). Niech to będzie ktokolwiek, byle kompetentny.
Nie ma co liczyć na to, że i tym razem w kwestii organizacyjno-prawnej działanie wymusi na nas Unia Europejska. Kraje na zachód od Odry mogą patrzeć na to ryzyko... inaczej. Powstaje więc ciekawy problem. Czy Polska, polscy politycy, prawnicy i legislatorzy, urzędnicy jeszcze umieją realizować złożone przedsięwzięcia, bez zaczynu regulacji z Brukseli?
Technicznie to kwestie inwentaryzacji systemów i baz danych, sporządzenia ich kopii i umieszczenia ich w zagranicznym centrum danych, w zdalnej chmurze. To potrzeba tworzenia systemów (nowych i wszystkich istniejących) w sposób łatwy do przenoszenia, migracji, np. wykorzystując kontenery typu Kubernetes i inne technologie. Taka infrastruktura nie musi też poza granicami od razu funkcjonować – może ona być zamrożona (np. całkowicie zaszyfrowana), tak aby zapewnić zgodność z ochroną danych w trakcie pokoju, co powinno zadowolić lokalnych aktywistów. Bo co z prywatnością danych i cybersuwerennością? Przed wojną w Ukrainie często ostrzegano nas przed „cyfrową kolonizacją”, przed wrzucaniem wszystkiego w chmurę IT – ja także zachęcam tu do ostrożności. Ale rozproszenie geograficzne systemów to podstawowy sposób na uchronienie cyfrowej i realnej tkanki państwa. A jeśli to kwestia być albo nie być, to nie ma wątpliwości. Szczęśliwie Polska nie znajduje się w takim położeniu i można planować na spokojnie.
Można iść dalej, wdrażyć lokalnie w Polsce system blokujący, autodestrukcyjny, tzw. kill switch. Hipotetycznie, w przypadku gdyby zaszło (odpukać!) realne ryzyko dla ciągłości państwa, można by wywołać całkowity paraliż baz danych i infrastruktury. Wyłączyć i zablokować wszystko, trwale, specjalnie wbudowując funkcję paraliżującą. To mogłoby być usunięcie danych lub uruchomienie funkcji ich szyfrowania, taki rodzaj państwowego ransomware, który zniszczy lub zablokuje wszystko. Oczywiście nie należałoby tego uruchamiać np. przez przypadek i dlatego trzeba to wszystko przemyśleć na spokojnie.
Osobnym problemem pozostałaby etyczność stworzenia takich trudności dla ludności cywilnej objętej tym paraliżem. Wszystko to trzeba przeanalizować. Nie uczyni się tego bez identyfikacji problemu i podniesienia tematu. Skomplikowane? Takie czasy. Zacznijmy tę debatę.
*Dr Łukasz Olejnik, niezależny badacz i konsultant cyberbezpieczeństwa, fellow Genewskiej Akademii Międzynarodowego Prawa Humanitarnego i Praw Człowieka, były doradca ds. cyberwojny w Międzynarodowym Komitecie Czerwonego Krzyża w Genewie, autor książki „Filozofa cyberbezpieczeństwa”
