Prawo do samoobrony

W polityce międzynarodowej cyberbezpieczeństwo zaczyna się traktować na równi z kontrolą arsenałów jądrowych. Groźba globalnego konfliktu zbrojnego spowodowanego atakiem cybernetycznym wymusza na państwach współpracę i wymianę informacji o narodowych strategiach w tym zakresie.

Pytania na przyszłość

W trakcie konwersatorium Piotr Rutkowski z Fundacji "Instytut Mikromakro" postawił pytania, na które będziemy musieli wspólnie odpowiedzieć, aby przygotować rekomendacje dla Prezydenta RP, na jakich przesłankach można wprowadzić jeden ze stanów nadzwyczajnych. Zachęcamy Czytelników do podzielenia się na naszych łamach refleksją na ten temat:

1. W jakim zakresie infrastruktura krytyczna obecnie zależy od technologii informacyjnych (ICT)? Czy da się określić modele tego rodzaju zależności?

1.2. W jaki sposób opisać złożoność odziaływania zaburzeń ICT na infrastrukturę krytyczną?

1.3. Zakładając, że rozumiemy zależność ICT i infrastruktury krytycznej, czy potrafimy opisać znaczenie nietypowych awarii ICT, mających różną charakterystykę i zasięg?

1.4. Czy potrafimy opisywać współzależności awarii różnych rodzajów infrastruktury krytycznej?

W marcu 2011 r. do czterech pracowników koncernu EMC, do którego należy RSA Security, wysłano ze sfałszowanego adresu e-mail zatytułowany "2011 Recruitment plan". Wystarczyło, aby jeden z nich otworzył załącznik w formacie MS Excel z osadzoną zawartością flash, by uruchomił się automatycznie skrypt instalujący w systemie złośliwy kod. Tymi "tylnymi drzwiami" (ang. backdoor) włamywacz uzyskał dostęp do komputera pracownika i systemu RSA. "Chodziło o kradzież informacji o systemie SecureId" - powiedział Mariusz Szczęsny z RSA Security na konwersatorium "Pięć żywiołów", które organizujemy w ramach przygotowań do IX Konferencji "Wolność i bezpieczeństwo". "Ci, co nas zaatakowali, wykorzystali banalną, acz skuteczną metodę. Ale do tego ataku musieli się długo i precyzyjnie przygotowywać" - przyznał. RSA nie zamiotło sprawy pod dywan, tak jak to bywa w niektórych korporacjach. Natychmiast powiadomiła FBI, które przeprowadziło śledztwo. Sama korporacja zmieniła procedury i zwiększyła zabezpieczenia. Teraz zaś nie boi się o tym mówić publicznie, by wszystkim unaocznić, że trzeba się nauczyć żyć z cyberatakami i umieć im zapobiegać.

Hakerzy jak zagończycy

W gruncie rzeczy od podobnego ataku jak na RSA mogłaby się zacząć III wojna światowa. "Amerykanie dają sobie prawo do samoobrony po cyberataku, do którego zaliczają również informatyczny sabotaż w systemach infrastruktury krytycznej, taki jak sieci przesyłowe gazu, prądu czy wody" - tłumaczył Wojciech Flera, zastępca dyrektora Departamentu Polityki Bezpieczeństwa Ministerstwa Spraw Zagranicznych. Nie chodzi li tylko o odwet w sieci. Na cyberatak Amerykanie mogą odpowiedzieć zbrojnie, o ile będą wiedzieć, jakie państwo ich zaatakowało, a to nie jest wcale jasne. Chociaż eksperci wskazują, że Rosja, Chiny czy Korea Północna traktują cyberprzestrzeń jako nowy teatr działań wojennych (zresztą tak jak USA) i wiele ataków, w tym wspomniany na RSA Security, jest prawdopodobnie efektem działań szpiegowskich chińskiej armii, to istnieje ryzyko, że odwet może być niewspółmierny do skutków i wymierzony nie w tego, co rzeczywiście zawinił. To ulubiona intryga w filmach o Jamesie Bondzie. Po wielokroć główny bohater zapobiegał wojnie światowej, gdy supermocarstwa chciały się już brać za łby na śmierć i życie, sprowokowane perfidną akcją terrorystów.

Można temu przeciwdziałać, o ile jest się świadomym, jakim nieokiełznanym żywiołem jest cyberprzestrzeń. W ciągu ostatnich lat Stany Zjednoczone nie szczędziły wysiłków, aby poprawić ochronę cyberprzestrzeni. Dokonano tam przeglądu polityki w tym zakresie, określono normy i definicje operowania w cyberprzestrzeni. Ćwiczenia ochrony infrastruktury krytycznej przed atakami cybernetycznymi są stałą praktyką. Pomaga w tym wirtualny poligon stworzony przez DARPA (Agencja Zaawansowanych Obronnych Projektów Badawczych Departamentu Obrony Stanów Zjednoczonych).

Jednocześnie toczy się dyskurs polityczny, jak wzmocnić prawnie ten obszar. Republikanie przegłosowali w Kongresie "Cybersecurity Act". Chcą określenia największych cyberpodatności, domagają się państwowej ochrony najbardziej krytycznej infrastruktury należącej głównie do przedsiębiorców prywatnych i oczekują poprawy mechanizmów wymiany informacji z poszanowaniem ochrony prywatności i wolności obywatelskiej. Zarazem żądają poprawy bezpieczeństwa federalnych sieci rządowych oraz koordynacji prac badawczo-rozwojowych w dziedzinie cyberbezpieczeństwa. Na razie prezydent Barrack Obama nie zdecydował się podpisać tej ustawy, zarzucając jej zwiększenie kontroli państwa w stosunku do cyberprzestrzeni. Ale, kto wie, czy po jakimś celnym cyberataku w amerykańską infrastrukturę krytyczną nie zmieni zdania.

W ogóle w polityce międzynarodowej widać, że z jednej strony światowe mocarstwa traktują cyberbezpieczeństwo na równi z kontrolą arsenałów jądrowych i chcą wprowadzenia podobnych standardów, z drugiej strony nie mają skrupułów wysyłać swoich żołnierzy-hakerów na cyberwojnę, która trwa nieprzerwanie w sieci. Szpiegostwo przemysłowe czy też sieciowe dywersje coraz bardziej przypominają korsarstwo sprzed wieków albo naszych zagończyków na Dzikich Polach. Grasuj, kradnij, testuj - mówią swoim hakerom politycy i wojskowi, ale jak ktoś cię złapie, mów, że działałeś na własną rękę!

Komu zaufać?

"Chińczycy postrzegają cyberprzestrzeń jako pole walki, na którym łatwo im będzie zniwelować różnice technologiczne. Tam każda jednostka wojskowa ma swój oddział cybernetyczny. Dodatkowo są wspierani przez pospolite ruszenie - w razie czego mogą liczyć na pomoc cywilnych hakerów" - tłumaczył Wojciech Flera. Podobnie jest w Rosji. Nie tak dawno ówczesny prezydent Miedwiediew wyraźnie wspominał, że gdy w Polsce stanie tarcza antyrakietowa, być może Rosja będzie zmuszona użyć środki walki elektronicznej, czytaj: postawić na cyberataki.

Rosja próbowała również wnieść na forum międzynarodowe konwencję o sposobach postępowania w cyberprzestrzeni. Ale projekt okazał się zbyt restrykcyjny i nie znalazł u nikogo poparcia.

"W międzynarodowej dyskusji chodzi o zwiększanie wzajemnego zaufania. Służy temu wymiana informacji o regulacjach narodowych w zakresie cyberprzestrzeni, o strukturach narodowych, w tym sposobach postępowania komórek wojskowych. Uczy się, jak przekazywać najszybciej informacje o incydentach. Dąży się też do ułatwiania informacji między ośrodkami CERT. Jednocześnie nie stroni się od przeprowadzenia ćwiczeń z ochrony cyberprzestrzeni" - klarował Wojciech Flera.

NATO nie boi się zmian

W przypadku organizacji międzynarodowej, jaką jest NATO, jej aktywność na polu cyberbezpieczeństwa jest pochodną polityk krajów członkowskich. Kwatera Główna NATO pełni w gruncie rzeczy funkcje polityczne i zarządcze. Nie ma własnego wojska, tylko struktury dowódcze, pod które są przyporządkowane poszczególne siły zbrojne. Gdyby nastąpił cyberatak na jeden z krajów członkowskich, interwencja Sojuszu będzie przedmiotem politycznej decyzji Rady Północnoatlantyckiej. "W każdym przypadku NATO zapewni skoordynowaną pomoc aliantom - ofiarom ataku cybernetycznego" - wyjaśnił Paweł Machalski, analityk bezpieczeństwa cyberprzestrzeni NATO w Kwaterze Głównej NATO (ang. Cyber Defence Emerging Security Challenges Division, NATO HQ).

W Kwaterze Głównej działa NATO Computer Incident Response Capability - zespół CERT. W przypadku incydentu uznanego za atak na infrastrukturę krytyczną kraju członkowskiego, zespół powiadamia wyższe szczeble dowódcze aż po samą Radę Północnoatlantycką. Procedury wynikają z praktyki. Największe zmiany zaszły po ataku na Estonię w 2007 r. i na Gruzję w 2008 r. Poprzez wprowadzenie pierwszej Polityki Bezpieczeństwa w Cyberprzestrzeni NATO. W kolejnym kroku, w listopadzie 2010 r., NATO w czasie szczytu w Lizbonie przyznaje wysoki priorytet bezpieczeństwu cyberprzestrzeni. "Odtąd Kwatera Główna stawia na wspólne działanie obronne i zarządzanie kryzysowe. Ważna jest prewencja i działania polityczne. Pełni też rolę doradczą w ochronie infrastruktury krytycznej w krajach członkowskich" - tłumaczył Paweł Machalski. Po reformie struktury dowodzenia, której pierwszy etap wejdzie w życie w lipcu 2012 r., sieci natowskie będą w całości zarządzane przez jedną agencję bezpieczeństwa teleinformatycznego. "Ataki stają coraz bardziej wyspecjalizowane. Konieczna jest centralizacja zasobów" - dodał Paweł Machalski.

Metodą, by usprawnić przepływ informacji o incydentach oraz poprawić zarządzanie kryzysowe w tym obszarze, jest między innymi organizacja ćwiczeń z ochrony cyberprzestrzeni. "Warunkiem ich powodzenia jest udział wszystkich interesariuszy, w tym zwłaszcza przedsiębiorców prywatnych, w których rękach jest większość infrastruktury krytycznej" - uznał Paweł Machalski.

Computerworld Magazyn Menedżerów i Informatyków organizuje konferencję "Wolność i bezpieczeństwo" od 2004 r. Popularyzujemy wiedzę o zapobieganiu i walce ze współczesnymi żywiołami: wodą, ogniem, powietrzem, ziemią i cyberprzestrzenią. Wydają się one na co dzień bardzo odległe od nas, po czym uderzają w nas z całą mocą i bezwzględnością. Wówczas trzeba umieć nad nimi zapanować zgodnie z zasadami reagowania kryzysowego. Współorganizatorami przedsięwzięcia - oprócz tygodnika Computerworld są think-tank Fundacja "Instytut Mikromakro" oraz Fundacja Bezpieczna Cyberprzestrzeń.

Tym razem przygotowania do IX Konferencji "Wolność i bezpieczeństwo"  wolność2012.computerworld.pl określiliśmy jako Rok Ochrony Cyberprzestrzeni Krytycznej (ROCK 2012). Razem ze Stowarzyszeniem Euro-Atlantyckim, które objęło patronatem naszą konferencję, przygotowujemy rekomendacje dla Prezydenta RP, na jakich przesłankach można wprowadzić jeden ze stanów nadzwyczajnych: stan klęski żywiołowej, stan wyjątkowy i stan wojenny po ataku cybernetycznym. Raport otwarcia w tej kwestii przekazaliśmy już na potrzeby Strategicznego Przeglądu Bezpieczeństwa Narodowego. Biuro Bezpieczeństwa Narodowego objęło konferencję patronatem honorowym.

Jednocześnie podjęliśmy starania, by przeprowadzić we Wrocławiu podczas konferencji pierwsze w Polsce ćwiczenia z ochrony infrastruktury krytycznej przed cyberatakiem. Są one wymagane przez NATO i UE. Siłą rzeczy prasa i organizacje pozarządowe nie wyręczą w tym administracji publicznej. Zależy nam bardziej na wspólnej refleksji, jak takie ćwiczenia zorganizować, by zaangażowały się w nią wszyscy interesariusze - pamiętajmy, że 95% infrastruktury krytycznej ma prywatnych właścicieli.

Inicjatywę wsparły: Biuro Bezpieczeństwa Narodowego, Rządowe Centrum Bezpieczeństwa, Ministerstwo Obrony Narodowej, Komenda Główna Policji, Wojskowa Akademia Techniczna oraz Politechnika Wrocławska. Dołączyli do nas również specjaliści od ochrony infrastruktury spółek Gaz-System, RWE Polska, Telekomunikacja Polska i BZWBK.