NATO nie martwi się już wojną konwencjonalną, lecz wyzwaniami asymetrycznymi. Na liście tych najważniejszych znajdują się zagrożenia teleinformatyczne.

Do wyłączenia infrastruktury nie potrzeba już rakiet”, powiedział w 2008 roku estoński prezydent Toomas Hendrik Ilves. „To samo można zrobić w cyberprzestrzeni”. Bez wątpienia polityk ten wiedział, co mówi, bowiem to właśnie Estonia stała się pierwszym państwem członkowskim NATO, które zostało zaatakowane na masową skalę z wykorzystaniem technologii teleinformatycznych (IT). Uderzenie z 2007 roku doprowadziło do unieruchomienia stron internetowych rządu, parlamentu, mediów oraz firm komercyjnych. „Przykład Estonii pokazuje, że cyberatak może być zagrożeniem dla bezpieczeństwa narodowego”, przyznał później rzecznik prasowy NATO James Appathurai. Pojawiło się wówczas nawet pytanie, czy artykułu V traktatu waszyngtońskiego nie rozciągnąć również na ataki internetowe.

Po ataku na Estonię NATO przystąpiło do działania. Tym bardziej że w przeszłości zdarzały się już podobne incydenty. „Z pierwszymi bezpośrednimi cyberatakami NATO spotkało się podczas operacji «Allied Force» w Kosowie w 1999 roku”, przypomina Andrzej Kozłowski, ekspert do spraw zagrożeń teleinformatycznych magazynu „Stosunki Międzynarodowe”. „Wtedy serbscy hakerzy przypuścili atak na serwery organizacji w ramach akcji odwetowej za bombardowanie ich kraju”. Pokłosiem tego zdarzenia było podjęcie na szczycie NATO w Pradze w 2002 roku decyzji o wdrożeniu programu obrony cybernetycznej oraz poprawy zdolności reagowania na zagrożenia IT.

W styczniu 2008 roku opracowano pierwszy dokument strategiczny. „NATO Policy on Cyber Defence” oparto na trzech filarach: zasadzie subsydiarności (pomoc sojuszu tylko na prośbę państwa członkowskiego, które stanowi pierwszą linię obrony), unikaniu duplikacji (na poziomie międzynarodowym, regionalnym i narodowym) oraz budowie bezpieczeństwa i wspólnoty zaufania. W czasie szczytu w Bukareszcie w 2008 roku zapowiedziano, że sojusz jest gotowy wesprzeć każdego swojego członka w razie ataku teleinformatycznego na jego infrastrukturę. Powołano Urząd NATO do spraw Zarządzania Cyberobroną (NATO Cyber Defence Management Authority, CDMA), następnie przemianowany na Radę Zarządzająca Cyberobroną (Cyber Defense Management Board, CDMB), która odpowiada za koordynację działań instytucji wojskowych i cywilnych.

W stolicy Estonii uruchomiono specjalne centrum doskonalenia pod egidą NATO – Cooperative Cyber Defence Centre of Excellence (CCDCOE, znane też jako K5). Jego zadaniem jest koordynowanie prac i procedur, wypracowywanie rozwiązań systemowych i szkolenie. To właśnie to centrum niedawno stworzyło tak zwany talliński podręcznik, który może być zalążkiem przyszłej doktryny. Stanowi on próbę interpretacji już istniejącego prawa międzynarodowego przez pryzmat działań w sieci. [Więcej na ten temat w tekście „Kodeks cyberwojen”, „Polska Zbrojna”, maj 2013]

Przede wszystkim obrona

Wyraźne odwołania do cyberzagrożeń można odnaleźć w najnowszej, lizbońskiej koncepcji strategicznej NATO z 2010 roku. Zwrócono w niej uwagę na konieczność poprawienia przede wszystkim zdolności obronnych. W czerwcu 2011 roku ministrowie obrony narodowej państw członkowskich przyjęli uaktualnioną wersję dokumentu „NATO Policy on Cyber Defence”. W kwietniu 2012 roku cyberobrona została uwzględniona w procesie planowania obronnego sojuszu (Defence Planning Process). Znaczenie tego aspektu podkreśla fakt, że włączono go w lansowaną przez sekretarza generalnego Andersa Fogha Rasmussena koncepcję smart defence.

Rozpoczęto też prace nad samodzielną i holistyczną doktryną, ale jest to zadanie niezwykle trudne. Jak stwierdził generał Jaap Willemse, asystent szefa Sztabu Dowodzenia, Kontroli, Łączności i Wywiadu (C4I) w Dowództwie Sił Sojuszniczych NATO do spraw Transformacji (Allied Command Transformation, ATC), „doktryna klasycznej wojny nie może zostać w prosty sposób przełożona na cyberwojnę. Głównym priorytetem jest opracowanie międzynarodowej definicji cyberwojny i wskazanie, czym jest skuteczna cyberobrona, a także jak wygląda adekwatna odpowiedź na atak. W klasycznych operacjach wojskowych istniały określone reguły zachowania, których nie ma w cyberprzestrzeni”.

Zgodnie z obowiązującą polityką w wymiarze teleinformatycznym NATO koncentruje się przede wszystkim na obronie oraz wspieraniu państw członkowskich (za ochronę narodowej infrastruktury niezmiennie pozostają odpowiedzialni członkowie NATO). Sojusz wziął na siebie pomaganie państwom w rozwijaniu narodowych zdolności do cyberobrony oraz w budowaniu interoperacyjności. Służą do tego liczne instytucje: wspomniane CDMB i Agencja NATO do spraw Komunikacji i Informacji (NATO Communications and Information Agency, NCI). W marcu 2013 roku z inicjatywy pięciu państw członkowskich (Holandia, Dania, Norwegia, Rumunia, Kanada) powstał projekt rozwoju wielonarodowych zdolności do cyberobrony (Multinational Cyber Defence Capability Development Project, MCDCDP).

„Bardzo istotną reformą było wyklarowanie procesu decyzyjnego w wypadku zaistnienia ataku na sieci teleinformatyczne”, dodaje Andrzej Kozłowski, który uważa, że w szczególnych sytuacjach Rada Północnoatlantycka NATO mogłaby powołać się na artykuł V traktatu waszyngtońskiego. Przegląd dotychczasowych efektów oraz procedur, a także dyskusja nad możliwościami wsparcia państw członkowskich NATO w razie ataku ma zostać przeprowadzona w najbliższej przyszłości.

Strategia odstraszania

Reagowanie na zagrożenia teleinformatyczne to jednak nie tylko obrona, lecz także atak. Coraz częściej mówi się o budowie ofensywnych środków odpowiedzi. Innymi słowy – być może w niedalekiej przyszłości NATO stworzy internetowy odpowiednik strategii odstraszania i „gwarantowanego zniszczenia”. Zwolennikiem takiego rozwiązania jest część oficerów w Stanach Zjednoczonych, które z powodu rozwoju zagrożeń IT powołały osobne dowództwo – US Cyber Command. Zgodnie z amerykańską doktryną przeprowadzenie operacji ofensywnej jest dozwolone, a atak cybernetyczny traktuje się jako akt agresji, na równi z działaniami konwencjonalnymi. W styczniu 2012 roku Michael McConnell, dyrektor wywiadu w administracji George’a W. Busha, przyznał, że USA przeprowadziły już kilka dużych ataków na teleinformatyczną infrastrukturę innych państw.

Lord West, brytyjski admirał w stanie spoczynku, wyjawił, że „rząd stworzył środki do odpowiedzi w przypadku cyberataku”. Brytyjski „The Guardian” sugeruje, że ma je też NATO. Jak raportował dziennikarz Bobbie Johnson, w razie ataku sojusz dokonałby „przygniatającej odpowiedzi”. Skalę odpowiedzi NATO porównano do uderzenia jądrowego. 

Czy więc ofensywne ramię IT stanie się elementem przyszłej doktryny NATO? „Wydaje się to mało prawdopodobne”, mówi Andrzej Kozłowski. „Każde z państw członkowskich ma odmienne regulacje prawne, procedury, doktryny i strategie działania w cyberprzestrzeni. Uwzględniając różne interesy tych krajów oraz inną perspektywę postrzegania zagrożeń, uzgodnienie wspólnego stanowiska co do przeprowadzenia cyberofensywny byłoby niezwykle trudne. Ponadto wciąż dokładnie nie zdefiniowano zależności pomiędzy artykułem V a działalnością w cyberprzestrzeni”. Ta kwestia będzie więc prawdopodobnie elementem działania instrumentów narodowych, a nie scentralizowanych na forum NATO.

Unia wkracza do sieci

Własną strategię dotyczącą zagrożeń teleinformatycznych opracowała Unia Europejska. Jej elementem jest dyrektywa Komisji Europejskiej wzywająca do zwiększenia bezpieczeństwa sieci teleinformatycznych. Główne zapisy obejmują: wolność i otwartość (w tym zwalczanie cenzury oraz wykorzystywanie sieci jako platformy promującej prawa człowieka i demokrację); odniesienie praw oraz zasad UE również do świata wirtualnego; promocję współpracy międzynarodowej.

Chętnie tworząca nowe przepisy Unia tym razem stoi na stanowisku, że obecny system prawa międzynarodowego jest wystarczający i można z powodzeniem odnosić go do zagrożeń teleinformatycznych. Wyrażono obawę, że próby przeforsowania nowych regulacji w zakresie bezpieczeństwa IT mogłyby prowadzić do ograniczenia wolności słowa i prywatności.

W ramach polityki bezpieczeństwa i obrony (Common Security and Defence Policy) Europejska Agencja Obrony (European Defence Agency) tworzy środki cyberobrony, a także przygotowuje i przeprowadza wspólne międzynarodowe ćwiczenia. Niemniej militarny wymiar możliwości obrony przed zagrożeniami IT został dopiero zapoczątkowany. Zapowiedziano wolę bliższej koordynacji w tej dziedzinie z NATO.