Agata Małecka
Rys. Wygenerowane przez AI
Stwierdzenie, iż cyberbezpieczeństwo stało się w XXI wieku przedmiotem zainteresowania wszystkich uczestników stosunków międzynarodowych (za J. Kukułką – narodów, państw, organizacji międzynarodowych i struktur transnarodowych), to truizm. Dlatego zasadniczymi kwestiami do rozstrzygnięcia w zakresie badań nad cyberbezpieczeństwem nie powinno być pytanie o aktorów realizujących swoje cele w cyberprzestrzeni, ale o ich motywacje, powody i sposób, w jaki to robią oraz efekty, które zamierzają osiągnąć. Tak sformułowany problem prowadzi do analizy działań podmiotów państwowych traktowanych jako główni aktorzy w stosunkach międzynarodowych oraz organizacji międzynarodowych, zarówno tych o charakterze gospodarczym, jak i obronnym w cyberprzestrzeni.
Jako badacz tematyki cyberbezpieczeństwa, z wykształceniem w zakresie nauk społecznych, zajmuję się analizą działalności podmiotów państwowych i niepaństwowych oraz organizacji międzynarodowych w cyberprzestrzeni w kontekście bezpieczeństwa narodowego i międzynarodowego (realizacji interesów narodowych i podstaw traktatowych), strategicznym (wypełniania założeń strategicznych) oraz prawnym (przestrzegania norm prawa międzynarodowego). Jest to jeden z kilku nurtów badań nad cyberbezpieczeństwem, istniejący wespół z tym nieco bardziej technicznym, ukierunkowanym na zwiększenie bezpieczeństwa sieci teleinformatycznych oraz bezpieczeństwa informacji, ostrzeganie i reagowanie na incydenty w cyberprzestrzeni, bezpieczeństwo systemów sieciowych, w tym systemów IoT oraz sieci mobilnych. W toku kilkuletnich badań, analiz, porównywania różnych hipotez i podejść do tematyki aktywności podmiotów prawa międzynarodowego w cyberprzestrzeni doszłam do kilku wniosków, które charakteryzują się wysoką „elastycznością” i z uwagi na dynamiczny rozwój problematyki cyberbezpieczeństwa z dużym prawdopodobieństwem ulegną w jakimś czasie zmianie.
W pierwszej kolejności należy zauważyć, że wszystkie podmioty stosunków międzynarodowych podejmują aktywność w cyberprzestrzeni. Nie jest to nic odkrywczego, biorąc pod uwagę, że cyberprzestrzeń od kilkudziesięciu lat stanowi jeden z wymiarów rywalizacji aktorów (głównie) państwowych. Warto jednak zastanowić się nad tym, z jakich konkretnie powodów państwa i organizacje międzynarodowe regulują i poruszają się w cyberprzestrzeni oraz jakie realizują tam cele. Działania w cyberprzestrzeni, nawet te o defensywnym charakterze, jak cyberataki, są oficjalnie wpisane w treść dokumentów strategicznych, co oznacza, że mogą (i są) wykorzystywane do realizacji interesów narodowych. Liczba cyberoperacji podejmowanych przez podmioty państwowe stale rośnie, ten fakt jest już obecnie niepodważalny, i przybiera zasadnicze formy: zakłóceń danych w systemach fizycznych oraz manipulowania interpretacjami informacji. Państwa narodowe wykorzystują cyberprzestrzeń do pozyskiwania informacji, czyli szpiegostwa politycznego i przemysłowego (np. sławna kampania hakerska SolarWinds, przypisana podmiotom rosyjskim, w której złośliwe oprogramowanie wyrządziło szkody w około 18 tysiącach firm i organizacji rządowych), blokowania dostępu do informacji i danych (np. popularny w wielu analizach atak ransomware WannaCry z 2017 roku, powiązany z rządem Korei Północnej, który dotknął 300 tys. systemów w 99 krajach i uniemożliwił dostęp do dokumentacji medycznej w szesnastu szpitalach w Wielkiej Brytanii) czy manipulowania informacjami za pomocą mediów społecznościowych. Ta ostatnia forma wrogiej działalności państwowej w cyberprzestrzeni jest szczególnie niebezpieczna dla funkcjonowania mechanizmów demokratycznych i ich wiarygodności oraz skuteczności. Wpływ na wyniki wyborów może mieć miejsce nie tylko poprzez ich fizyczne sfałszowanie, ale również poprzez odpowiednie ukształtowanie zachowań wyborców. Z takim mechanizmem mieliśmy do czynienia w 2016 roku w Stanach Zjednoczonych podczas tzw. zhakowanych wyborów i później w 2018 r., gdy rosyjskie boty przeprowadziły kampanię #releasethememo na Twitterze, sugerując nadużycia administracji Obamy wobec kampanii Trumpa i wpływając tym samym na debatę publiczną. Skutki cyberoperacji, których celem jest manipulowanie informacjami, nie są jednak tak namacalne, jak tych wymierzonych w infrastrukturę krytyczną określonego państwa, o czym przekonujemy się od kilku lat w związku z agresją Federacji Rosyjskiej na Ukrainę (a właściwie od momentu nielegalnej aneksji Krymu w 2014 roku).
Analiza wrogiej aktywności poszczególnych państw w cyberprzestrzeni, której skutki wywołują takie same efekty jak działania konwencjonalne, doprowadziła mnie do kolejnego wniosku – potrzeby ciągłej aktualizacji wykładni prawa międzynarodowego, regulującego zachowania podmiotów państwowych i niepaństwowych w środowisku cyber. Norm prawa międzynarodowego nie trzeba pisać na nowo, one mają zastosowanie do cyberataków i cyberoperacji. Problemem jest w tym przypadku atrybucja (autorstwo/sprawstwo cyberataku) oraz możliwości odpowiedzi strony poszkodowanej po jej ustaleniu, co wydaje się kwestią bardziej polityczną niż prawną. Termin „atak zbrojny” definiowany przez Kartę Narodów Zjednoczonych może być używany także w stosunku do cyberataków, w momencie gdy ich skutki przekroczą tzw. próg szkody (śmierć/ryzyko śmierci lub obrażenia ciała osób, uszkodzenie lub zniszczenie mienia i przedmiotów). Ma to kluczowe znaczenie dla możliwości zbrojnej odpowiedzi ze strony państwa-ofiary, szczególnie w kontekście artykułu 51 Karty, regulującego kwestię indywidualnej i zbiorowej samoobrony. Jednak takich „zbrojnych” incydentów jest stosunkowo niewiele. Głównie dlatego, że zapisy prawa międzynarodowego w zakresie ataku zbrojnego i samoobrony dotyczą podmiotów państwowych. Cyberprzestrzeń zaś jest sprzyjającym środowiskiem do ukrycia bądź rozmycia atrybucji. W tym celu państwa wykorzystują np. grupy APT (Advanced Persistent Threat – termin używany do opisania złośliwych, zorganizowanych i wysoce wyrafinowanych, długoterminowych lub powtarzających się kampanii cybernetycznych). Celem ataków APT jest zwykle pozyskiwanie informacji lub sabotaż. Oba te działania można uznać za tradycyjne aktywności państw narodowych: identyfikacja wroga (jego zdolności ofensywnych i defensywnych) oraz akcje dywersyjne, które wywołują pośrednie i nieoczekiwane skutki w systemach i procesach informatycznych. Są one często spotykane w dziedzinie rywalizacji państw, czego przykładem są cyberoperacje Stuxnet, Sahmoon i Black Energy. Stuxnet było złośliwym oprogramowaniem (atrybucję przypisano amerykańskim i izraelskim podmiotom: Jednostce 8200 Izraelskiego Korpusu Wywiadowczego i CIA), które spowodowało fizyczne szkody w systemach przemysłowych w określonych krajach. Ta cyberoperacja była związana z irańskim programem wzbogacania uranu i zasadniczo skierowana w irański program nuklearny (58% infekcji wykryto w irańskiej elektrowni jądrowej Bushehr oraz w zakładzie wzbogacania uranu Natanz). Shamoon 2 był wymierzony w saudyjskie firmy energetyczne i agencje rządowe. Atak przypisano Iranowi i powiązano z aspektami geopolitycznymi – irańsko-saudyjską rywalizacją o wpływy w regionie. Ataki Black Energy na Ukrainę w 2015 i 2016 roku przyniosły wymierne skutki w postaci strat gospodarczych i wpływu na system społeczny (niezdolność państwa do świadczenia podstawowych usług). Botnety oraz ataki DDoS (przypisane służbom rosyjskim) wykorzystano do uzyskania dostępu do centrów sterowania trzech ukraińskich firm zajmujących się dystrybucją energii elektrycznej i przejęcia kontroli nad systemami SCADA w Kijowie i obwodzie iwanofrankowskim. Te cyberataki zaklasyfikowano do grupy ataków na infrastrukturę krytyczną innego państwa oraz uznano za część szerszej operacji politycznej, gospodarczej i społecznej ukierunkowanej na wewnętrzną destabilizację wroga, a także za wstęp do tradycyjnych, konwencjonalnych działań militarnych. Zaangażowanie grup APT w przeprowadzanie cyberataków po rosyjskiej inwazji na Ukrainę wzrosło i dotknęło nie tylko państwo ukraińskie, ale także kraje oficjalnie je wspierające. Zaczęły się pojawiać nowe zagrożenia cybernetyczne (np. złośliwe oprogramowanie typu wiper, uszkadzające dane przetwarzane w zaatakowanym systemie), grupy APT powiązano z licznymi atakami DDoS, socjotechnicznymi antyukraińskimi kampaniami phishingowymi i dezinformacyjnymi oraz podmianami stron internetowych. W drugiej dekadzie XXI wieku cyberataki przybrały niemal każdą możliwą formę – podmioty niepaństwowe powiązane z Rosją atakowały infrastrukturę krytyczną Ukrainy, prowadząc jednocześnie liczne kampanie szpiegowskie w celu uzyskania dostępu do sieci w państwach członkowskich NATO. W ten sposób niszczycielskie ataki na dużą skalę mieszały się z działaniami dezinformacyjnymi i szpiegowskimi o mniejszej skali.
Trwający konflikt ukraińsko-rosyjski przekonał badaczy i obserwatorów stosunków międzynarodowych i systemów bezpieczeństwa o rosnącej dywersyfikacji podmiotów zaangażowanych w tzw. nation-state cyber-operations. Podmioty państwowe zaczęły wykorzystywać grupy APT oraz zwykłych obywateli do przeprowadzania cyberataków i udziału w nich. Państwa powszechnie zaprzeczają udziałowi w inicjowaniu cyberoperacji. Wykorzystanie grup APT stało się szybkim i łatwym sposobem na osiągnięcie celów narodowych w polityce zagranicznej metodami cyber, przy jednoczesnym unikaniu odpowiedzialności wynikającej ze stosowania zasad Karty Narodów Zjednoczonych (w tym przede wszystkim zbrojnej odpowiedzi przy użyciu zarówno potencjału cybernetycznego, jak i konwencjonalnego). Wydaje się również, że rządy przestały ukrywać ofensywny charakter swoich cyberdziałań w konfliktach z innymi państwami. Znaczenie cyberoperacji (w tym również tych inicjowanych przez APT) będzie tym większe, im wyższy poziom zaangażowania poszczególnych podmiotów w konflikty, co ma związek z próbami zwielokrotnienia narzędzi, metod i podmiotów prowadzących działania dezinformacyjne, szpiegowskie, ofensywne i/lub zbrojne. Trend ten potwierdzają m.in. analizy CyberPeace Institute (jedna z największych organizacji pozarządowych zajmujących się monitorowaniem cyberataków podczas konfliktu rosyjsko-ukraińskiego), dotyczące atrybucji cyberoperacji w określonych okresach. Wynika z nich, że w działania w cyberprzestrzeni angażują się zarówno aktorzy państwowi, jak i niepaństwowi: państwa narodowe, aktorzy powiązani z państwami narodowymi, haktywiści oraz grupy cyberprzestępcze (co należy traktować jako efekt obniżenia progu przeprowadzania ataków). Od początku konfliktu obserwujemy aktywność takich grup jak KillNet i IT Army of Ukraine. Pierwsza z nich to grupa haktywistyczna powiązana z Rosją (przeprowadzała ataki DDoS na placówki służby zdrowia w krajach sprzymierzonych z Ukrainą). Druga jest podmiotem proukraińskim, którego pojawienie się można postrzegać jako odpowiedź na wezwanie Ministerstwa Transformacji Cyfrowej Ukrainy do stworzenia armii specjalistów IT i hakerów, uczestniczącej w cyberwojnie po stronie Ukrainy. Apel do udziału podmiotów niepaństwowych w konflikcie zbrojnym był wyjątkowy i wywarł znaczący wpływ na charakter tego i przyszłych konfliktów, głównie z powodu problemu atrybucji i stosowania prawa. Z punktu widzenia międzynarodowego prawa humanitarnego i konfliktów zbrojnych podmioty niepaństwowe prowadzące operacje cybernetyczne tracą ochronę przysługującą im jako cywilom. W przypadku grup APT i „zwykłych” obywateli rozróżnienie między cywilami a grupami wojskowymi, które zapewnia międzynarodową ochronę tym pierwszym, nie ma zastosowania. Taka interpretacja jest istotna z punktu widzenia ochrony ludności cywilnej, która może stać się ofiarą ataku cybernetycznego lub kinetycznego. Kolejną kwestią jest dzielenie się technikami, procedurami i taktykami cyberataków z podmiotami niepaństwowymi, a co za tym idzie nieprzewidywalność skali i skutków cyberataków. Za przykład może posłuży cyberatak Viasat z lutego 2023 r., który wywołał poważne skutki poza Ukrainą, wpływając na niemieckie turbiny wiatrowe poprzez wyłączenie ich systemów zdalnego sterowania. W przyszłości istnieje wysokie prawdopodobieństwo rozprzestrzenienia się konfliktu na mniej zaangażowane lub nawet niezaangażowane państwa z powodu braku odpowiedniego przygotowania i/lub infrastruktury wywiadowczej podmiotów niepaństwowych. Dodatkowo należy wziąć pod uwagę rosnący wpływ sztucznej inteligencji na charakter cyberataków. W tym kontekście aktualizacja ram prawnych i instytucjonalnych dotyczących cyberataków jest koniecznością.
W końcu wniosek ostatni: zmienne prawdopodobieństwo wystąpienia globalnego cyberkonfliktu. Skala cyberoperacji o państwowym charakterze stale rośnie, co pokazują chociażby wirtualne narzędzia stworzone do ich śledzenia (np. Cyber-operations Tracker, autorstwa Council on Foreign Relations). Najbardziej aktywne państwa – Chiny, Rosja, Iran i Korea Północna – sponsorowały 77% wszystkich poddanych analizie operacji w okresie od 2005 do 2023 roku. Już w 2017 r. ponad 30 krajów dysponowało zdolnościami do ofensywnych ataków cybernetycznych (w porównaniu z 9 krajami posiadającymi broń jądrową). Do 2022 r. ponad 40 państw oficjalnie ustanowiło wojskowe cyberdowództwo, w tym kraje zachodnie (np. USA, Francja, Niemcy, Włochy, Estonia) i inne (np. Peru, Brazylia, Wietnam, Korea Południowa, Nigeria). Potencjał do wybuchu globalnej cyberwojny jest ogromny. Mimo to cyberataki są w zasadzie dodatkowym, a nie głównym elementem prowadzenia działań zbrojnych. Powodów, dla których cyberkonflikt na skalę światową nie jest doświadczany, istnieje kilka. Głównym są bariery przystąpienia do cyberwojny, dla wielu krajów zbyt wysokie (koszty przeprowadzania cyberoperacji są takie same lub wyższe niż w przypadku działań konwencjonalnych, a wpływ na zmianę równowagi sił marginalny). Chociaż cyberataki stanowią perspektywę wyrównania szans dla słabszych aktorów wobec silniejszych militarnie przeciwników, wymagają one również zasobów organizacyjnych (pieniędzy, personelu, szkoleń) i koordynacji. Bardziej skłonne do wykorzystywania cyberoperacji jako metody osiągania celów politycznych są państwa charakteryzujące się wysokimi zdolnościami i potencjałem (wojskowym, gospodarczym) oraz niskimi ograniczeniami (głównie prawnymi). Z tego powodu tylko kilka państw – Stany Zjednoczone, Chiny, Rosja, Wielka Brytania, Korea Północna, Iran i Izrael – jest zaangażowanych w cyberoperacje ukierunkowane na realizację celów politycznych. Dodatkowo państwa najbardziej aktywne w działaniach ofensywnych w cyberprzestrzeni są również najczęściej atakowanymi podmiotami. Prowadzi to do powielenia zimnowojennej doktryny wzajemnego gwarantowanego zniszczenia, tyle że w cyberprzestrzeni – państwa, zwiększając swoje zdolności cybernetyczne i odstraszanie, dążą do stanu równowagi, zapobiegając w ten sposób eskalacji cyberprzemocy w skali globalnej. Niekontrolowany wyścig zbrojeń i zdolności w cyberprzestrzeni jest „efektem ubocznym” tego procesu.
Cyberbezpieczeństwo jest terminem na tyle szerokim, że zarówno badacze i analitycy z dziedziny nauk inżynieryjno-technicznych, jak i nauk społecznych mają duże pole do popisu. Nie powinniśmy zamykać się w żadnych ramach badawczych, ale dążyć do „rozgryzienia” cyberbezpieczeństwa w sposób multidyscyplinarny. Zresztą podobne podejście przejawiają unijne instytucje i organy. Działania UE regulujące cyberprzestrzeń mają z reguły cywilny charakter, zasadniczo z powodu konieczności ochrony przed cyberprzestępczością, co z kolei wiąże się z realizacją licznych strategii gospodarczych i bogaceniem się państw członkowskich. Jednak Unia jako „nietypowa” organizacja międzynarodowa, ze względu na stopień integracji i przekazania kompetencji, posiada aspiracje do tworzenia ram polityki obronnej, której elementem jest cyberobrona. W ten sposób unijne działania w cyberprzestrzeni dotyczą zarówno cyberbezpieczeństwa (technologii cyfrowych), co ma ogromne znaczenia dla rozwijającego się rynku cyfrowego oraz transformacji europejskiej gospodarki w kierunku niskoemisyjnej, jak i cyberobrony (głównie uregulowań w zakresie reagowania na cyberataki wymierzone w unijną infrastrukturę krytyczną czy cyberkampanii dezinformacyjnych podważających model liberalnej demokracji). Ten model unijnej polityki w zakresie cyberbezpieczeństwa jest ściągą, z której należy korzystać, poszukując problemów badawczych do rozwiązania. Cyberbezpieczeństwo można bowiem badać z wielu perspektyw, czemu bez wątpienia sprzyja zmienny, dynamiczny i nieprzewidywalny charakter tej tematyki.
Dr Agata Małecka, Wydział Nauk o Bezpieczeństwie, Akademia Wojsk Lądowych im. gen. T. Kościuszki we Wrocławiu
