Wojna bez amunicji

„Pomimo pozornie wzmożonego zainteresowania wokół kwestii dotyczących cyberbezpieczeństwa, faktyczny stan świadomości użytkownika końcowego – czyli statystycznego internauty jest niezwykle mizerny. Nie powinna zatem dziwić tak duża podatność na wszelkie formy manipulacji i dezinformacji. Nie powinna, a jednak dziwi – bo wydaje się nieprawdopodobne, że dla wielu ludzi są to nadal obszary występujące głównie w science-fiction” – dr Piotr Łuczuk.

Marta Szymoniak: Wciąż trudno uwierzyć, że współcześnie do zniszczenia wroga wystarczy obecnie połączenie z Internetem. O tym między innymi mówi pana książka „Cyberwojna. Wojna bez amunicji”?

Dr Piotr Łuczuk: Przez lata panowało przekonanie, że komputery to jedynie wsparcie dla wojska i cenne narzędzie do prowadzenia tzw. gier wojennych. To właśnie dzięki zdobyczom nowoczesnych technologii znacznie łatwiej można było planować operacje militarne, a same ataki z użyciem żołnierzy prowadzić z większą precyzją. Z czasem jednak zaczęto postrzegać komputer, a zwłaszcza potencjał drzemiący w cyberprzestrzeni w zupełnie inny sposób… Z narzędzia wspierającego jedynie wojskową logistykę i pracę strategów, stał się bronią – w pełnym tego słowa znaczeniu.

Tak narodziła się nowa koncepcja prowadzenia działań wojennych z użyciem ataków na sieci teleinformatyczne przeciwnika, która ewoluowała, aby ostatecznie stać się fundamentem doktryny cyberwojny. Wejście w XXI wiek przyczyniło się do upowszechnienia naukowej debaty wokół cyberzagrożeń i samej cyberwojny, jednak dopiero pierwszy jej udokumentowany przypadek (atak na Estonię w 2007 r.) pozwolił badaczom jednoznacznie określić, czym właściwie jest i jaki jest jej przebieg. A był to dopiero wierzchołek góry lodowej…

Warto również dodać, że sami hakerzy są mistrzami w myleniu tropów i zacieraniu wszelkich śladów, dlatego w ostatniej dekadzie cyberwojna i cyberterroryzm urosły do rangi największego zagrożenia na arenie międzynarodowej i dziś nikt nie powinien mieć wątpliwości, co do tego, że zagrożenie, o którym piszę w mojej książce jest jak najbardziej realne.

Podkreślę, że gdy zaczynałem pracę nad książką, a wcześniej przygotowywałem rozprawę doktorską w tym właśnie zakresie tematycznym – napotykałem na spory opór. Poniekąd to rozumiem. Wiele osób kwestie takie jak cyberbezpieczeństwo czy cyberwojna po prostu już na wstępie zniechęcają. Istnieje obawa przed jakimiś informatycznymi zawiłościami. Tego typu argumenty pojawiały się w rozmowach bardzo często. To dziwne, że padały z ust osób, które codziennie korzystają z domowej sieci bezprzewodowej i nie wychodzą „na miasto” bez smartfona w kieszeni lub torebce.

Im szybciej zrozumiemy, że my wszyscy jesteśmy cyberżołnierzami i jesteśmy aktualnie na pierwszej linii frontu, tym większa szansa, że będziemy w stanie potencjalnym zagrożeniom w porę przeciwdziałać. 

Mógłbym jeszcze długo mówić na temat realności cyberzagrożeń, ale zamiast tego zróbmy mały eksperyment.

Niech każdy Czytelnik wyobrazi sobie, że nagle traci dostęp do swojego komputera i telefonu. Dostęp do Internetu w ogóle. Proszę sobie zadać pytanie, czy bez nowych technologii i tego typu gadżetów jesteśmy jeszcze w stanie odnaleźć właściwą drogę do domu, w ulicznych korkach, a w razie konieczności zadzwonić do swoich bliskich? Kiedyś większość danych (numery telefonów, adresy, numery PESEL, daty urodzin itp.) pamiętaliśmy – dziś w większości pamięta je za nas technologia, którą się otaczamy. Jej nagła utrata – a scenariusz cyberwojny zakłada takie rozwiązanie – bez wątpienia w zaledwie kilka dni wywołałaby na ulicach istny chaos. 

Na początku pandemii krążyło wiele fake newsów o zamykaniu poszczególnych miast, wyprowadzeniu wojska i czołgów na ulice… Przed sklepami ustawiały się kolejki. W wielu z nich zaczęło brakować towarów. Gdzieniegdzie pojawiały się problemy z wypłatami większych sum pieniędzy z bankomatów. A wystarczyło tylko kilka plotek i ludzki strach przed nieznanym. 

Jak wielkie spustoszenie można zatem wywołać, próbując kontrolować ten strach i poprzez działania w cyberprzestrzeni, mediach społecznościowych stale go podsycać? To oczywiście pytanie czysto retoryczne, ale mam nadzieję, że pomagające lepiej zobrazować skalę zagrożenia.

Marta Szymoniak: Często słyszymy o cyberatakach jak choćby ten, który dotknął w ostatnim czasie Urząd Marszałkowski w Krakowie. Do tej pory nie udało się odzyskać dostępu do systemu obiegu dokumentów i poczty elektronicznej. Jak powinny zabezpieczać się instytucja samorządowe czy państwowe?

Dr Piotr Łuczuk: Bardzo często okazuje się, że problem jest znacznie mniej złożony niż się początkowo wydaje. Niedostrzeganie faktycznego problemu i skali potencjalnego ryzyka, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego wielokrotnie sugerowano podjęcie zdecydowanych działań, w celu poprawienia tej sytuacji. Choć przez wiele lat kwestia cyberbezpieczeństwa na wielu płaszczyznach często była bagatelizowana, to właśnie administracja i bankowość dość szybko dostrzegły powagę sytuacji. Zaczęto też tworzyć odpowiednie protokoły zabezpieczeń. Początkowo mocno zdecentralizowane, jednak z czasem znacznie bardziej uniwersalne.

Jednak nawet, gdy wszystkie cyberzabezpieczenia działały poprawnie, często okazywało się, że problem nadal istnieje. Zgodnie ze stwierdzeniem jednego z najsłynniejszych hakerów na świecie Kevina Mitnicka, który przeszedł na drugą stronę i obecnie zajmuje się cyberbezpieczeństwem i tzw. audytami bezpieczeństwa – najsłabszym ogniwem w kwestii bezpieczeństwa cyfrowego najczęściej jest… człowiek. Człowiek, który bardzo z reguły jest kompletnie nieświadomy ryzyka, z jakim wiąże się korzystanie z urządzeń mobilnych oraz samego internetu.

Weźmy na przykład „cyfrowy ślad”. Na co dzień raczej nie zaprzątamy sobie głowy tym, że gdzieś w internecie krążą setki tysięcy danych na nasz temat. Jednak, jeśli zadamy sobie pytanie, czy kiedykolwiek zdarzyło się nam wypełnić internetową ankietę lub udostępnić swoje dane jakiejkolwiek organizacji, która opublikowała je w sieci – okazuje się, że dobrowolnie przekazaliśmy swoje dane osobom trzecim, które mogą wykorzystać je wedle uznania.

Teraz czas na złą wiadomość: istnieje duże prawdopodobieństwo, że część tych danych (możliwe, że nawet wszystkie) zostaną, bądź już zostały przejęte przez firmy gromadzące dane w celach komercyjnych. Drugą kategorię stanowią natomiast dane, których nie ujawniamy w sieci dobrowolnie, a mimo to są gromadzone – chociażby przez różnego rodzaju korporacje i agencje.

Warto mieć świadomość, że w dzisiejszych czasach w zasadzie z każdym dniem pakiet danych na nasz temat się rozrasta.

Marta Szymoniak: Czy ma Pan wiedzę jak często w Polsce dochodzi do cyberataków, za którymi stoją inne kraje?

Dr Piotr Łuczuk: Najnowsze dane i opinie na temat cyberwojny i cyberterroryzmu nie napawają optymizmem i pokazują, jak wiele jest jeszcze do zrobienia w celu zapewnienia bezpieczeństwa. Praktycznie cyberataki odnotowuje się co kilka sekund. Szacuje się, że w 2021 r. ataki ransomware (polegające na blokowaniu dostępu do danych i próbie wymuszenia okupu za ich odzyskanie) będą występować co 11 sekund, a wartość globalnych szkód, które może wywołać wyniesie nawet 20 bln dolarów.

Michael McConnel, były szef amerykańskiego wywiadu, uważa, że „atak cyfrowy na pojedynczy amerykański bank spowodowałby większe straty gospodarcze niż zamachy z 11 września 2001 roku”. Z kolei według Software Egineering Institue „w ciągu zaledwie 45 sekund intruz jest w stanie włamać się do systemu, zainstalować swoje programy i pozostawić tzw. tylne drzwi (ang. back door) umożliwiające łatwy powrót do pokonanego systemu i na tej podstawie atakowanie innych miejsc”.

Jeśli chodzi o cyberataki, za którymi stoją inne kraje, wyróżnia się trzy główne strategie, które mogą być stosowane podczas działań wojennych w cyberprzestrzeni:

1. Totalna cyberwojna – dokonanie uderzenia wszelkimi dostępnymi środkami zarówno w cele cywilne jak i wojskowe, aby szybko osiągnąć przewagę w cyberprzestrzeni. Jeżeli nie uda się tego uzyskać szybko, kampania może się przerodzić w „cebernetyczną wojnę pozycyjną”;

2. Ograniczona cyberwojna – napastnik jest pewien swojej trwałej zdolności do wywierania nacisku na środki ciężkości przeciwnika i dlatego przypuszcza ataki, by zademonstrować swoje możliwości i intencje, a następnie daje przeciwnikowi możliwość odpowiedzi;

3. Długotrwała cyberwojna – napastnik dostrzega wrażliwość wroga na atak i stara się zmaksymalizować jego straty i zminimalizować zdolność do odwetu. Celem jest osłabienie woli walki przeciwnika.

Choć dowódcy wojskowi toczyli o to wieloletnie spory, w 2021 roku wiemy już z całą pewnością, że cyberwojna może być prowadzona zarówno autonomicznie, jak i może stanowić wsparcie dla konwencjonalnych działań zbrojnych.

Pionierem w kwestii rozwoju doktryny wojny hybrydowej stała się Rosja. Już od 1999 roku pod auspicjami Kremla prowadzona była operacja „Księżycowy labirynt” – właściwie była to seria włamań do amerykańskich komputerów rządowych i militarnych, zakończona skopiowaniem tajnych i poufnych materiałów. Na tym jednak nie poprzestano. Doktryna uderzenia hybrydowego była stale modyfikowana. Pełnię swoich możliwości na polu cyberwojny Rosja pokazała m.in. 27 kwietnia 2007 roku w Estonii, 30 czerwca 2008 roku na Litwie i pod koniec lipca 2008 roku w Gruzji.

W Estonii ofiarą pierwszego cyberataku na tak dużą skalę stały się strony rządowe, banki oraz firmy specjalizujące się w działaniach komunikacyjnych. Kraj został praktycznie odcięty od dostępu do sieci, co wywołało istny chaos. Działania te zyskały miano „pierwszej cyberwojny”. Z kolei na Litwie zaatakowanych zostało kilkaset stron internetowych, a w Gruzji wskutek cyberataku zablokowane zostały strony rządu, ówczesnego prezydenta Saakaszwilego, a nawet Narodowego Banku Gruzji. Był to przykład tego, jak w prosty sposób można zakłócić funkcjonowanie całego kraju paraliżując wyłącznie systemy łączności i dostępu do informacji.

Przykład pierwszej cyberwojny w Estonii pokazał, w jak prosty sposób, przy użyciu cyberataków można było doprowadzić do sparaliżowania kluczowych instytucji państwowych i doprowadzić do wywołania paniki wśród obywateli. Z kolei druga cyberwojna w Gruzji udowodniła, że Rosjanie już wtedy realizowali doktrynę wojenną, którą dopiero po ataku na Ukrainę i aneksji Krymu zaczęto określać mianem „wojny hybrydowej”. Wykorzystywano mechanizmy cyberwojny, wojny informacyjnej i propagandy połączone, a raczej prowadzone równolegle do konwencjonalnych działań wojennych.

Pełnię siły i skuteczności uderzenia hybrydowego Ukraina poczuła w 2014 roku. Rosyjska agresja udowodniła – w przeciwieństwie do twierdzeń wielu ówczesnych telewizyjnych komentatorów i ekspertów, zapewniających, że czasy wojny dawno odeszły w zapomnienie i jako europejska wspólnota możemy czuć się bezpiecznie – że obecnie w zasadzie każdy kraj bez wyjątku może zostać zaatakowany w sposób konwencjonalny, przy użyciu wojska na lądzie, morzu i w powietrzu. Była to jednak tylko część problemu.

Odpowiedź na pytanie, co się stanie, gdy atak zostanie przeprowadzony w formie połączonego uderzenia sił specjalnych, kampanii dezinformacyjnych i propagandowych oraz cyberataków poznaliśmy zatrważająco szybko. W ramach doktryny wojny hybrydowej, która od tamtego czasu toczy się nieprzerwanie na wielu frontach (w tym także w Polsce) siły zbrojne są wykorzystywane w celu zwiększenia militarnej przewagi i możliwie najszybszego zajęcia terytorium wroga, przy prowadzonym równocześnie zmasowanym cyberataku, który paraliżuje możliwości obronne przeciwnika. Taki rodzaj działań wojennych bardzo dotkliwie odczuł półwysep krymski. Zaledwie rok po aneksji Krymu przez Rosję, tętniący życiem turystyczny kurort nad Morzem Czarnym zmienił się w odizolowany od świata zakątek.

Marta Szymoniak: Jak wygląda obrona cyberprzestrzeni w Polsce?

Dr Piotr Łuczuk: Oczywiście za cyberbezpieczeństwo naszego kraju odpowiada cała armia ekspertów i specjalistów ze służb, których podstawowym zadaniem jest ograniczanie wszelkiego ryzyka w kontekście strategicznej z punktu widzenia państwa infrastruktury teleinformatycznej. Przez wiele lat kwestia cyberbezpieczeństwa była dość mocno zdecentralizowana. Wiele podmiotów miało w tym zakresie podobne kompetencje.

Ostatnio obserwujemy w tej kwestii poprawę i podejmowane są próby posprzątania bałaganu, który z roku na rok tylko się nawarstwiał. Musimy mieć świadomość, że Polska dysponuje świetnej klasy specjalistami. Nasi programiści, spece od IT, cyberbezpieczeństwa, a także hakerzy zaliczani są do światowej czołówki. Problemem nie są zatem braki kadrowe czy strategiczne. Problemem nadal pozostaje zatrważająco niski poziom świadomości w zakresie zagrożeń, z którym mierzy się każdy z nas łącząc się z internetem.

Im dłużej badam zjawisko świadomości inwigilacji i elementarnych chociażby podstaw cyberbezpieczeństwa, tym większego nabieram przekonania, że tak naprawdę te zagadnienia chyba nikogo nie obchodzą. Skąd taki wniosek? Doprawdy nie mam pojęcia, co jeszcze trzeba byłoby ujawnić w kontekście skali globalnej inwigilacji użytkowników internetu, żeby w naukowych debatach, a nawet koleżeńskich dyskusjach przestał funkcjonować argument „nie mam nic do ukrycia”.

Pomimo pozornie wzmożonego zainteresowania wokół kwestii dotyczących cyberbezpieczeństwa, faktyczny stan świadomości użytkownika końcowego – czyli statystycznego internauty jest niezwykle mizerny. Nie powinna zatem dziwić tak duża podatność na wszelkie formy manipulacji i dezinformacji. Nie powinna, a jednak dziwi – bo wydaje się nieprawdopodobne, że dla wielu ludzi są to nadal obszary występujące głównie w science-fiction.


Dr Piotr Łuczuk- medioznawca, ekspert ds. cyberbezpieczeństwa. Redaktor naczelny serwisu FilaryBiznesu.pl. Adiunkt w Instytucie Edukacji Medialnej i Dziennikarstwa Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie. Ekspert Instytutu Staszica. Autor pierwszej w Polsce książki o cyberwojnie „Cyberwojna. Wojna bez amunicji?”.

Źródło zdjęcia tytułowego: wsiz.edu.pl

ZOOM

więcej

Zobacz też

Obserwujemy