Ataki w cyberprzestrzeni. Jeszcze pokój czy już wojna? / Rafał Brzeski, „Śląski Kurier WNET” nr 61/2019

Stany Zjednoczone przez dłuższy czas drzemały. Były przedmiotem 117 liczących się ataków, ale im przypisuje się tylko 9 incydentów. Obudziły się po ingerencji Rosji w wybory prezydenckie 2016 roku.

Rafał Brzeski

Jeszcze pokój, czy już wojna?

Przy okazji niedawnych wyborów do europarlamentu politycy wszelkiej maści zapewniali, że dzięki Unii Europejskiej nasz kontynent od prawie 75 lat cieszy się nieprzerwanym pokojem. Tyle w tym prawdy, co w innych politycznych zaklęciach i obietnicach składanych w kampaniach wyborczych.

Od 12 lat toczy się bowiem globalna wojna i jak wcześniejsze dwie wojny światowe, rozpoczęła się w Europie.

Tym razem jest to cyberwojna, a ta nie jest widowiskowa. Nie ma czego pokazywać w telewizji lub na zdjęciach, a zatem nie dociera do świadomości olbrzymiej większości obywateli i ich politycznych przedstawicieli. Ignorancja ta jest wytłumaczalna, gdyż cyberwojna prowadzona jest w cyberprzestrzeni, a ta nie doczekała się jeszcze klarownej definicji. Z Wikipedii można się dowiedzieć, że cyberprzestrzeń to „iluzja świata rzeczywistego stworzona za pomocą narzędzi teleinformatycznych”. Robocza definicja przyjęta przez konsylium prawników NATO określa cyberprzestrzeń jako „złożone z elementów fizycznych i niefizycznych środowisko charakteryzujące się wykorzystaniem komputerów i spektrum elektromagnetycznego celem przechowywania, modyfikowania i wymiany informacji poprzez sieci komputerowe”. Według Komisji Europejskiej jest to „wirtualna przestrzeń, w której krążą elektroniczne dane przetwarzane przez komputery osobiste z całego świata”. Polska definicja zapisana w ustawie stwierdza, że cyberprzestrzeń to: „przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne… wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami”. Są jeszcze definicje: brytyjska, francuska, rosyjska. Co kraj, to nieco inna, ale wspólnej definicji nadal brak.

Definicyjnej różnorodności trudno się dziwić. Wprawdzie cyberprzestrzeń jest jedna i żadne państwo nie może sobie do niej rościć wyłączności, to jednak każde posiada prerogatywy suwerena nad cyberinfrastrukturą znajdującą się na jego terytorium oraz nad działalnością związaną z tą cyberinfrastrukturą. Tak przynajmniej głosi „Pierwsza reguła” nieformalnego cyberkodeksu zwanego Instrukcją tallińską (Tallin Manual). Innymi słowy, cyberprzestrzeń jest globalna, ale każde państwo ma jej kawałek na wyłączne panowanie. Konsekwencją suwerenności nad cyberinfrastrukturą są: prawo do jej kontrolowania odpowiednimi regulacjami oraz prawo do jej ochrony bez względu na to, czy znajduje się w rękach państwowych, czy prywatnych. Tym samym cybernetyczna operacja jednego państwa wymierzona w cyberinfrastrukturę drugiego państwa stanowi naruszenie suwerenności, z całym bagażem konsekwencji i komplikacji prawnych wynikających z niedopasowania działań w wirtualnej w dużej mierze cyberprzestrzeni do międzynarodowych konwencji i traktatów opracowanych dla „tradycyjnych” działań militarnych. Sytuację komplikuje dodatkowo fakt, że cyberprzestrzeń ma podwójny charakter. Jest wykorzystywana w działaniach na wskroś cywilnych, a równocześnie w operacjach militarnych.

Rodzi się więc fundamentalne pytanie: kiedy działanie w cyberprzestrzeni staje się atakiem odpowiadającym konfliktowi zbrojnemu?. Co jest pułapem, od którego zaczyna się wojna?

W wojnie energetycznej odpowiedź już dawno sprecyzowano: kiedy użyto kinetycznej siły, są fizyczne zniszczenia, straty, zabici i ranni. W cyberwojnie nie używa się fizycznej siły, ale starcie może powodować fizyczne zniszczenia, na przykład wskutek dywersyjnego sparaliżowania systemu sterowania ruchem pociągów lub siecią przesyłową wysokiego napięcia. Straty może powodować sabotaż systemu bankowego, natomiast ofiary w ludziach – brak zasilania energetycznego szpitali. W tej wymykającej się opisom przestrzeni toczą się zażarte, chociaż ciche konflikty, które szef amerykańskiego radiowywiadu NSA (National Security Agency) oraz samodzielnego dowództwa Cyber Command, generał Paul Nakasone, określa jako próbę przesunięcia globalnego układu sił bez odwoływania się do starcia zbrojnego. Są to konflikty bez przemocy, prowadzące do stopniowej erozji politycznych, ekonomicznych i moralnych aktywów przeciwnika. Czy jednak powodowane w wyniku tych starć szkody i straty mogą uzasadnić „tradycyjny” zbrojny odwet i doprowadzić do „tradycyjnej” wojny?

Dyskusja ekspertów trwa i tylko media nie mają wątpliwości. Globalna cyberwojna rozpoczęła się od rosyjskiego ataku na Estonię krótko przed północą 26 kwietnia 2007 roku.

W całym kraju wówczas wrzało, gdyż władze usunęły z centrum Tallina potężny, spiżowy pomnik sowieckiego żołnierza oswobodziciela. Postawiony w 1947 roku został przeniesiony na cmentarz żołnierzy sowieckich. Estończycy uważali go za symbol okupacji i nazywali pomnikiem „nieznanego gwałciciela”. W odpowiedzi na wywiezienie pomnika 400-tysięczna mniejszość rosyjska wszczęła rewoltę w kraju liczącym nieco ponad 1,3 miliona ludności. W Tallinie rabowano sklepy i palono samochody. Protestujący usiłowali wedrzeć się do gmachu parlamentu, na budynki państwowe poleciały koktajle Mołotowa. W Moskwie na znak solidarności tak zwani „oburzeni obywatele” o wyglądzie bandziorów spod ciemnej gwiazdy zablokowali budynek estońskiej ambasady. Zamieszki wygasły po dwóch dniach, ale w cyberprzestrzeni kraju, który z uwagi na powszechność internetu nazywano E-stonią, pojawili się tłumnie rosyjscy „haktywiści”. Zdefasonowano strony partii i organizacji politycznych, umieszczając na nich różne hasła i obraźliwe teksty. Po kilkudniowym amatorskim ataku nastąpił profesjonalny. Przez trzy tygodnie usiłowano zablokować portale internetowe estońskiego parlamentu, ministerstw, banków, mediów. Cybernatarcie osiągnęło apogeum 9 maja, kiedy w Rosji obchodzi się Dzień Zwycięstwa.

Jak później wyliczono, autorzy ataku przejęli i „zniewolili” około miliona komputerów na całym świecie, robiąc z nich tak zwane „zombie”, bombardujące automatycznie wiadomościami estońskie serwery w celu zatkania i zablokowania sieci małego kraju.

Terytorialna wielkość Estonii okazała się silnym punktem obrony. W społeczności administratorów sieci prawie wszyscy dobrze się znali, chodzili do tych samych pubów i szef obrony estońskiej cyberprzestrzeni, Hillar Arelaid, były policjant o dużym doświadczeniu w walce z hakerami, nie miał trudności z utworzeniem grup ochotników złożonych z najlepszych administratorów instytucji rządowych, banków, firm internetowych i przedsiębiorstw. Dzień w dzień blokowali adresy IP, z których sypały się wiadomości, i tropili, gdzie znajdują się serwery i skąd wychodzą polecenia dla „zombies”. Kiedy wielodobowy szturm ustał nagle 18 maja, minister spraw zagranicznych Urmas Paet oświadczył, że atak prowadzono „z adresów IP konkretnych komputerów i konkretnych ludzi związanych z rządowymi agendami Rosji, włącznie z administracją Prezydenta Federacji Rosyjskiej”, szef resortu obrony zaś, Jaak Aavitsoo dodał, że zamiarem atakujących było odcięcie państwa od świata, czyli cyberprzestrzenny odpowiednik blokady morskiej portów.

Straty i szkody poniesione przez niewielką Estonię w cyberbitwie z potężną Rosją były praktycznie niewielkie. Serwer poczty elektronicznej parlamentu nie funkcjonował przez 4 dni, klienci dwóch największych banków przez kilka godzin nie mieli dostępu do swoich kont, portale głównych organizacji medialnych, w tym największego dziennika „Postimees”, trzeba było na pewien czas odciąć od zagranicy. Poza tym rytm życia kraju nie został zakłócony. Trudno więc ocenić, czy długotrwały cyberatak z zamiarem sparaliżowania państwa już wyczerpał znamiona konfliktu zbrojnego, czy jeszcze nie. O zbrojnej obronie Estonii przed rosyjską ofensywą nie sposób myśleć, ale cyberobrona okazała się skuteczna.

Sprawdziło się twierdzenie chińskich teoretyków wojskowych, że cyberwojna to czynnik wyrównujący szanse w konfrontacji państw, dzięki któremu „słabszy może pokonać silniejszego”, a działania informatyczne i informacyjne to „broń biednych, ale mądrych”.

Cyberbitwa Rosji z Estonią zapoczątkowała globalną cyberwojnę. Rok później według podobnego modelu „sieć plus ulica” Rosja zaatakowała Gruzję. Gruzińska sieć została zhakowana. Przez kilkanaście godzin wszystkie strony w internetowej domenie .ge były nieczynne. Domenę dla komunikatów gruzińskiego rządu udostępniła kancelaria prezydenta Lecha Kaczyńskiego i dzięki tej pomocy rząd w Tbilisi odzyskał dostęp do sieci. Na portalach instytucji państwowych Gruzji pojawiły się antyrządowe hasła. Cyberofensywa miała wyraźnie polityczny charakter i była skoordynowana z rosyjskimi operacjami militarnymi w rejonie Osetii.

Kula śnieżna cyberataków o charakterze polityczno-wojskowym nabrała szybkości i zaczęła zamieniać się w lawinę. Obok mocarstw – Rosji, Stanów Zjednoczonych i Chin – do gry włączyli się mniejsi gracze: Izrael, Iran, Indie i Korea Północna. Uwzględniając tylko poważniejsze incydenty, z wyłączeniem działań o motywacjach kryminalnych, w statystyce cyberataków prowadzą Chiny – 108 operacji w ciągu 13 lat, na drugim miejscu jest Rosja, której przypisuje się autorstwo 98 incydentów. Potem Iran – 44 incydenty i Korea Północna – 38. Izrael ma na koncie tylko 3 cyberataki, ale za to poważne. Przykładowo w 2007 roku na pewien czas sparaliżowano syryjską obronę przeciwlotniczą. Mówi się również o skutecznym izraelskim sabotażu irańskiego programu badań jądrowych.

Stany Zjednoczone przez dłuższy czas drzemały. Były przedmiotem 117 liczących się ataków, ale im przypisuje się tylko 9 incydentów. Obudziły się dopiero po ingerencji Rosji w wybory prezydenckie 2016 roku. Były dyrektor NSA, a potem CIA, generał Michael V. Hayden określił rosyjską cyberingerencję w amerykański proces wyborczy jako „najbardziej istotne strategiczne zagrożenie bezpieczeństwa narodowego” od czasu terrorystycznego ataku na nowojorskie World Trade Center w dniu 11 września 2001 roku. Tymczasem Waszyngton nie miał ani instytucji, ani planu, ani strategii przeciwdziałania takim zagrożeniom.

Ale i tym razem sprawdziła się opinia japońskiego admirała Isoroku Yamamoto, „ojca” ataku na Pearl Harbor, który ostrzegał, że Stany Zjednoczone przypominają potężny kocioł, pod którym jak raz się rozpali ogień, to produkuje olbrzymie ilości pary.

Kiedy do świadomości polityków i wojskowych w Waszyngtonie dotarły rozmiary rosyjskiej ingerencji, zauważono hibernującą od 2009 roku wewnątrz radiowywiadu NSA (National Security Agency) grupę o nazwie Cyber Command, powołaną do obrony przed cyberatakami. W kwietniu 2018 roku dyrektorem NSA i szefem Cyber Command został generał Paul Nakasone, o którym mówiono, że „nie zmarnuje żadnego porządnego kryzysu”.

Obejmując stanowisko, Nakasone obiecał, że Rosjanie „zapłacą cenę”. Na początku maja 2018 roku status grupy Cyber Command został podniesiony do rangi samodzielnego dowództwa, które otrzymało od prezydenta Donalda Trumpa zezwolenie na „operacje ofensywne poniżej progu konfliktu zbrojnego”, czyli nie powodujące strat w ludziach oraz poważnych zniszczeń materialnych. Przed nowym dowództwem postawiono zadanie zablokowania Rosjan, jeśli podejmą próbę ingerencji w przygotowania i kampanię przed wyborami uzupełniającymi do Kongresu w listopadzie 2018 roku. Do tego czasu cyberżołnierze mieli prowadzić rozpoznanie „poza naszymi granicami, poza naszymi sieciami, tak by zrozumieć, co robią nasi przeciwnicy”.

Forsowana przez Nakasonego taktyka „upartego zaangażowania” opierała się na nieustannej konfrontacji z Rosjanami i szybkiej wymianie informacji z partnerami w krajach sojuszniczych. W lipcu 2018 roku z najlepszych specjalistów radiowywiadu i Cyber Command Nakasone sformował „Małą Grupę Rosyjską”, liczącą około 80 ludzi. Cierpliwie zbierano wszelkie wiadomości o przeciwniku, przede wszystkim o petersburskiej „fabryce trolli” i jej personelu oraz o hakerach pracujących dla wywiadu wojskowego GRU.

Pierwsza amerykańska cyber-kontrofensywa rozpoczęła się na początku października 2018 roku.

Na ekranach rosyjskich trolli i hakerów zaczęły pojawiać się okienka „pop-up” z ich prawdziwym imieniem, nazwiskiem, „nickiem”, pod jakim występują w sieci, oraz dobrą radą, aby nie gmerali w sprawach innych krajów.

Podobne przekazy znajdowali w swoich służbowych i prywatnych skrzynkach mailowych. Nikt wprawdzie nikomu nie groził, ale po rosyjskiej stronie najpierw posypały się skargi do administratorów lokalnych sieci, a potem niepokój „grillowanych” trolli wzrósł do tego stopnia, że w petersburskiej Agencji Studiów Internetowych zarządzono wewnętrzne śledztwo w poszukiwano „kreta” i źródła wycieku danych personalnych. Dezinformacyjna aktywność Rosjan wyraźnie spadła, aż w dniu wyborów uzupełniających praktycznie ustała, gdyż specjaliści Cyber Command zablokowali serwery „fabryki trolli”. Jak to zrobiono, nikt się nie chwali, ale przez trzy dni, aż w USA policzono głosy, petersburska agencja była praktycznie „off-line”.

Po listopadowej lekcji Rosjanie nie podjęli poważniejszych działań odwetowych. W styczniu Krajowy Komitet Partii Demokratycznej skarżył się wprawdzie, że jego serwery zostały zaatakowane przez rosyjskich hakerów, ale nie określono strat.

Rosjanie skoncentrowali się wyraźnie na ingerowaniu w kampanię wyborczą do Parlamentu Europejskiego. Wiosną bieżącego roku najaktywniejsi w cyberprzestrzeni byli chińscy cyberwojownicy.

W lutym wykradli dane personalne pracowników koncernu lotniczego Airbus, w marcu ujawniono, że usiłowali – z różnym skutkiem – wykraść z co najmniej 27 uniwersytetów amerykańskich wyniki badań z zakresu militarnych technologii morskich, w kwietniu administratorzy sieci obronili koncern Bayera przed kradzieżą tajemnic technologicznych.

Prawdą jest, że cieszymy się pokojem, ale niejako na powierzchni. Pod progiem międzynarodowych konwencji, traktatów, porozumień i układów toczy się w najlepsze wojna w cyberprzestrzeni, która nie ma swojej definicji i której nie normują żadne regulacje prawne.

Artykuł Rafała Brzeskiego pt. „Jeszcze pokój, czy już wojna?” znajduje się na s. 3 lipcowego „Śląskiego Kuriera WNET” nr 61/2019, gumroad.com.

Podziel się:

Poznań: W wybranych
Lista Przebojów Pol
EnglishIrishPolishRussianSpanish
EnglishIrishPolishRussianSpanish
RSS
Facebook
Facebook
LinkedIn