Stan cybernadzwyczajny

Jedną z ustawowych przesłanek, dla których od 2011 r. Prezydent może wprowadzić stan wojny, wyjątkowy lub klęski żywiołowej są zagrożenia z cyberprzestrzeni.

Internauci nawykli do - podgrzanego awanturą o ACTA - klimatu lekko anarchistycznej swobody buszowania w sieci nie muszą się jednak obawiać. Prezydent nie sięgnie bowiem po swe uprawnienia do wprowadzenia stanu cybernadzwyczajnego ani dlatego, że zdenerwują go antyrządowe kolokwializmy na forach, ani z powodu ataku DDoS nastoletnich haktywistów, ani nawet z powodu włamania do najważniejszej ministerialnej skrzynki pocztowej.

Wprowadzenie stanu nadzwyczajnego w państwie musi się opierać na dobrze uzasadnionych, weryfikowalnych przesłankach, w tym najważniejszej - ewidentnej niewystarczalności zwykłych środków konstytucyjnych. Tylko w takiej sytuacji dopuszcza się, by służby państwowe uzyskały dodatkowe uprawnienia, a procedury administracyjne były uproszczone, by szybciej i skutecznie wprowadzić środki służące ograniczeniu skutków kryzysu. Podmioty gospodarcze, szczególnie te wykonujące zadania użyteczności publicznej, mogą być zmobilizowane do dodatkowych świadczeń, a nawet zmilitaryzowane.

Krajobraz po cybernetycznym ataku

Jedną z najtrudniejszych lekcji, którą zawczasu powinni przećwiczyć stratedzy planujący stosowanie specjalnych procedur i nietypowych środków w stanach nadzwyczajnych, jest przyszły powrót do normalności. Nawet największa determinacja nie powinna wykluczyć myślenia o prawnych skutkach podejmowanych działań. Obrona przed cyberatakami nie będzie się przecież sprowadzała do działań pasywnych. Z szacunkiem dla zachowania wszelkich proporcji, z cyberwojną może być tak jak z zastosowaniem broni masowego rażenia: skutki jej oddziaływania bywają rozległe i trudne do kontrolowania. Może np. dojść do masowego ujawnienia wielu wrażliwych informacji, poczynając od danych osobowych, naruszania prywatności czy praw własności intelektualnej. Mogą w ten sposób powstać szkody, które trudno będzie naprawić, co skomplikuje sprawę ewentualnych roszczeń.

Cyberataki nie ograniczą się też do obiektów militarnych. Większość infrastruktury krytycznej będącej bardzo prawdopodobnym celem tych, którzy chcą obezwładnić państwo przeciwnika, jest własnością prywatną. Firmy transportowe, logistyczne, energetyczne, banki, instytucje finansowe, szpitale, centra przetwarzania danych, sieci telekomunikacyjne, hurtownie żywności, rurociągi... Wszystko powstaje i jest utrzymywane za prywatne pieniądze. Nawet bezwzględne zwycięstwo nie może wykluczyć wszelkich roszczeń. Na dodatek uderzenie w infrastrukturę krytyczną powoduje też nieuniknione szkody i straty wśród ludności cywilnej, co prowadzi do naruszeń międzynarodowego prawa humanitarnego.

Gdzie ta cyberwojna?

W rozważaniach o cyberatakach sponsorowanych przez państwa często używa się eufemizmu "aktywna obrona", wymyślonego podobno w czasie II wojny światowej przez niemieckiego generała wojsk pancernych Friedricha von Mellenthina. Określenie to służyło do opisu taktyki wyprzedzających działań zaczepnych na kolumny transportowe wojsk rosyjskich, które jeszcze nie zostały skierowane do walki. Do utajonych cyberataków może dochodzić w warunkach formalnego pokoju, kiedy nie ma jeszcze mowy o użyciu środków militarnych z arsenału broni konwencjonalnych. Nie tylko wojny wywiadów nigdy się nie kończą...

Motywacje gospodarcze bywają wystarczające silne, aby inspirować wrogie działania w cyberprzestrzeni. To, co dla korporacji byłoby na polu gry rynkowej działaniem nielegalnym, pod ochroną służby państwowej nazywa się aktywną obroną. To jasne, że nielegalnie atakujący systemy IT nie będą się ujawniać. Ostatnio jednak pojawiają się w mediach rozważania o tym, czym mogą się zajmować na co dzień w Chinach wojskowe odziały mające się specjalizować w cyberatakach. I nie są to teoretyczne dywagacje. Amerykanie nie chcą dopuszczać do swego rynku chińskich dostawców urządzeń telekomunikacyjnych, bynajmniej nie dlatego że są zbyt tanie wobec konkurencji amerykańskich firm. Tłumaczy się to względami bezpieczeństwa narodowego… Oczywiście, całkowicie nieoficjalnie. Mówi się, że to Amerykanie zastosowali wirusa Stuxnet, aby przejąć kontrolę nad działaniem wirówek w irańskim zakładzie przetwarzania uranu, infekując przy okazji komputery w innych krajach.

Granica w cyberprzestrzeni

To, że ćwiczenia wojskowych cyberoddziałów można prowadzić na terytorium przeciwnika, jeżeli tylko osiągnie się umiejętność maskowania działań, zmienia kontekst przygotowań państwa do wojny. Dzisiaj nie wiadomo tylko gdzie jest granica, która sprawi, że zdarzenie przestanie być traktowane jak incydent, który wymaga tylko poprawienia ustawień własnych systemów zabezpieczających, zapór antywłamaniowych, zmiany haseł, wprowadzenia dodatkowych narzędzi kryptograficznych. Kiedy państwo potraktuje incydent jako agresję i zdecyduje się na zastosowanie środków odwetowych? I gdzie jest granica w działaniach w cyberprzestrzeni, poza którą już nie ma powrotu do stanu pokoju?

Zastosowanie wszelkich narzędzi cyberataków jest najprawdopodobniej zbyt dużą pokusą, aby się nie zmaterializowała w przypadku poważnego konfliktu między państwami. Nie uchronią się przed nimi nawet najbardziej zatwardziali cyfrowo wykluczeni, bo ataki mogą spowodować nieprawidłowe działanie lub zniszczenie wszelkich obiektów infrastruktury krytycznej. Nowych znaczeń nabierze prawdopodobnie także zjawisko dezinformacji w mediach.

Zapewne żadne państwo nie potrafiłoby sklasyfikować i uregulować wszelkich potencjalnych zagrożeń z cyberprzestrzeni, bo system podejmowania administracyjnych decyzji, a jeszcze w większym stopniu procesy legislacyjne są zbyt wolne. Nie nadążają za zmianami. Wie to pewnie każdy internauta irytujący się tym, że rządzący nie są w stanie zrozumieć jego potrzeb. To nie znaczy, że większość z nas nie czuje się bezpiecznie, korzystając z sieci społecznościowych w internecie. Próbujemy się po prostu otaczać ludźmi dobrej woli. Niestety, świat nie ogranicza się do kręgu zatwierdzonych znajomych i nie wszyscy chcą dla nas dobrze. Tylko czy w przypadku realnego zagrożenia podpis Prezydenta pod aktem wprowadzenia cyberstanu wyjątkowego sprawi, że stanie się bezpieczniej?