Z Piotrem Trąbińskim o Pearl Harbor w sieci, o tym, jak lingwista walczy z cyberprzestępcami oraz kiedy jesteśmy skazani na porażkę rozmawia Małgorzata Schwarzgruber.

Różne badania pokazują, że rośnie liczba cyber-taków. Eksperci ds. bezpieczeństwa ostrzegają przed tzw. cyfrowym Pearl Harbor – cyber-atakiem, który rzuciłby konkretny kraj na kolana, np. niszcząc jego system bankowy. To realne?

Przykład Pearl Harbor idzie za daleko. Takiego porównania użyto po raz pierwszy w USA publicznie w 1991 roku i jest przywoływane za każdym razem, kiedy pojawią się większe problemy w sieci. Gdyby doszło do takiego ataku, to byłoby dość oczywiste, kto go przeprowadził, co przełożyłoby się na relacje między stronami. Ataki w cyberprzestrzeni są efektywne w kilku wypadkach. Po pierwsze, wtedy gdy państwa są już w stanie konfliktu – przypomnę atak Rosji na węzły energetyczne na Ukrainie. Po drugie, kiedy jest prowadzona działalność szpiegowska, której celem jest pozyskanie informacji i pozostawienie jak najmniejszych śladów – przykładem są tu chińskie działania wobec przemysłu zbrojeniowego USA. I wreszcie po trzecie, gdy chodzi o celową eskalację napięć między państwami i demonstrację siły – jako przykład może posłużyć atak na Estonię w 2007 roku czy ostatnie ataki na siedzibę Partii Demokratycznej w USA. Oczywiście w przyszłości ktoś może dojść do wniosku, że należy zorganizować coś na kształt Pearl Harbor, ale de facto strona atakująca ryzykuje, że dojdzie do akcji odwetowej, która może przynieść konsekwencje podobne do wybuchu bomby nuklearnej. Dlatego uważam, że każda ze stron dobrze się zastanowi, zanim podejmie taką decyzję.

Jakiego rodzaju ataki zatem nam grożą?

Na co dzień jako obywatele jesteśmy narażeni na działalność grup przestępczych, których celem jest uzyskanie w sposób nielegalny źródeł przychodu, np. przez kradzież numerów kart płatniczych lub danych logowania do systemów bankowych. Zagrożeniem są także coraz popularniejsze ataki ransomware, które kodują dostęp do plików znajdujących się na komputerze, a ich odblokowanie wiąże się z zapłaceniem okupu. Nie zapominajmy o całej gamie wirusów umożliwiających hakerom zdalne kierowanie naszymi urządzeniami. Spora część ataków, tzw. phishing, polega na zastosowaniu wobec użytkowników prostych narzędzi socjotechnicznych, które zachęcą ich do podzielenia się z hakerami danymi dostępu. Celem innych będzie z kolei stworzenie tzw. tylnych drzwi (backdoor), które umożliwią hakerom powrót za każdym razem, kiedy będzie to im potrzebne.

Państwa są narażone głównie na działania szpiegowskie, których celem jest zgromadzenie informacji na dany temat oraz uzyskanie dostępu do systemów komputerowych lub systemów infrastruktury krytycznej. Cyberprzestrzeń jest wykorzystywana do prowadzenia wojny informacyjnej.

Z innymi zagrożeniami w sieci muszą się zmierzyć instytucje administracji państwowej, a z innymi firmy prywatne?

Zwykle firmy są bardziej narażone na działania zorganizowanych grup przestępczych i pojedynczych hakerów, administracja publiczna natomiast jest częściej celem ataku ze strony innego państwa. Nie jest to jednak reguła i czasem te granice się zacierają. Rosja na przykład często korzystała z usług grup przestępczych działających w sieci, także podczas ataku na Gruzję. Państwa częściej są na celowniku haktywistów, których celem jest realizacja konkretnych postulatów politycznych. Każde państwo powinno stworzyć własny, silny ośrodek analityczny, który odróżni działania jednych grup od innych, tak aby dostarczyć decydentom informacje niezbędne do podjęcia strategicznych decyzji.

Czy jesteśmy w stanie rozpoznać cyberagresora?

Każdy atak w sieci można zidentyfikować i dotrzeć do miejsca, z którego był prowadzony. Aby rozpoznać agresora, potrzebna jest analiza danych związanych z atakiem, co zwykle trwa od kilku dni do kilku tygodni. Dlatego w USA, w zespołach do walki w cyberprzestrzeni pracują osoby o różnych kompetencjach, będące w stanie na podstawie wielu informacji ocenić najbardziej prawdopodobne źródło ataku. Upraszczając, możemy powiedzieć, że najmocniejszymi adwersarzami Zachodu w cyberprzestrzeni są Rosja, Chiny, Korea Północna i Iran. Te państwa prowadziły już operacje przeciwko krajom zachodnim i odniosły spory sukces. Olbrzymim potencjałem w cyberprzestrzeni dysponuje także Izrael, a coraz większym Japonia, Pakistan i Indie. Ponieważ ta sfera jest nieograniczona i czasem ciężko jest precyzyjnie określić, kto jest odpowiedzialny za atak, państwa budujące strategie cyberbezpieczeństwa powinny wdrożyć niestandardowe sposoby walki oraz rozbudowywać bazę wiedzy o sposobach walki atakujących.

Co sami możemy zrobić, żeby zmniejszyć takie zagrożenie?

Każdy z nas powinien zachować zdrowy rozsądek, nie otwierać podejrzanych e-maili i nikomu nie podawać swoich danych do logowania. Należy również rozważyć, jakie informacje umieszczamy w mediach społecznościowych, bo cyberprzestępcy mogą je wykorzystać do przeprowadzenia ataku. To spore wyzwanie, bo niemal całe nasze życie przenosi się do cyberprzestrzeni.

Kilka zadań związanych z bezpieczeństwem w sieci spoczywa na państwie, które powinno zadbać o edukację w szkołach związaną z cyberzagrożeniami. Do niego należy też ochrona infrastruktury krytycznej, stworzenie jednostek zbierających informacje o zdarzeniach oraz gotowych bronić suwerenności państwa w sieci. Im silniejsze państwo i im poważniej podchodzi do swoich strategicznych celów, tym większa będzie jego ekspozycja w cyberprzestrzeni, i tym większe będą jego zdolności ofensywne.

Dlaczego postuluje Pan budowę zespołów do walki z cyberzagrożeniami?

W zespołach chroniących cyberprzestrzeń powinny istnieć trzy piony. Pierwszy, techniczny, w którym znajdują się inżynierowie i informatycy, aktywnie przeciwdziałałby atakom. To zespół pracujący na poziomie operacyjnym, który można porównać do strażaków jadących ugasić pożar. Drugi pion to grupa analityczna. Jej zadaniem jest zbieranie danych dotyczących chronionego podmiotu – od wydarzeń o charakterze geopolitycznym do analizy tzw. dark web, czyli części internetu ukrytego, pozwalającego zachować anonimowość i zawierającego dane, których nie znajdzie się przez standardowe wyszukiwanie. Można ją porównać do dyspozytorni zbierającej informacje o wszystkich zdarzeniach oraz potrafiącej prawidłowo ocenić zagrożenia i przedstawić propozycję przeciwdziałania atakom. Trzeci pion to C+, z menedżerami podejmującymi ostateczne decyzje.

W skład tych zespołów mają wchodzić eksperci z różnych dziedzin. Jak na przykład lingwista może powstrzymać hakerów?

W zespołach analitycznych są potrzebne osoby o różnym wykształceniu: specjaliści ds. bezpieczeństwa, prawnicy, lingwiści. Dzięki tej różnorodności łatwiej prawidłowo rozpoznać hakerów. Przestępcy z różnych krajów działają na swój sposób. Amerykanin, szukając informacji w sieci, będzie posługiwał się nie tyle innym językiem niż np. Hiszpan, ile specyficzną składnią. Użycie konkretnych zwrotów też wiele powie o autorze. Dla dobrego lingwisty jest to łatwe do odgadnięcia, ale niekoniecznie będzie zrozumiałe dla inżyniera czy technika. W zespołach są potrzebne także osoby myślące strategicznie. Eksperci mający wiedzę o aktualnej sytuacji geopolitycznej, rozumiejący specyfikę i kulturę środowisk, z których pochodzą przestępcy. Sztuką jest pełna współpraca między pionem analitycznym i technicznym. Tak długo, jak nie wykształcimy zintegrowanych zespołów specjalistów z różnych dziedzin, nie zrozumiemy szerszego kontekstu ataku. A bez tego będziemy skazani na porażkę.

Skąd wziąć fachowców do takich zespołów?

Przygotowanie odpowiednich kadr będzie najtrudniejszym zadaniem, jakie stanie przed nami. Nie mamy jeszcze dobrych szkół kształcących ludzi w zagadnieniach strategicznych, nie mamy więc odpowiedniej liczby specjalistów. Część osób można przeszkolić za granicą, ale o wiele lepiej byłoby stworzyć odpowiednie warunki nauki w kraju. Nie jest to problem jedynie Polski. Szacuje się, że do 2020 roku w USA będzie brakowało około miliona specjalistów. Mamy jednak świetnych programistów, inżynierów i informatyków – to nasza strategiczna przewaga.

Podobno Finlandia jest uważana za państwo, w którym  poziom bezpieczeństwa jest najwyższy. Dlaczego?

Państwami o wysokim poziomie bezpieczeństwa sieci są także Szwecja, Izrael, Wielka Brytania. Mają one spójne systemy i procedury w sektorze prywatnym i publicznym. Ich obywatele są przeszkoleni, istnieją także instytucje, do których mogą zwrócić się o wsparcie. Jest podział kompetencji – wiadomo, kto za co odpowiada, realizowane są cykliczne testy penetracyjne sieci i symulacje bardziej złożonych ataków, sporo czasu poświęca się też innowacjom w dziedzinie cyberbezpieczeństwa.

Jaki rodzaj cyberataku byłby równoznaczny z wypowiedzeniem wojny? Na razie termin „cyberwojna” jest stosowany dość dowolnie.

Mamy wiele definicji tych samych terminów związanych z cyberprzestrzenią i nawet ona nie jest jednoznacznie interpretowana. Dzisiaj możemy jedynie domniemywać, kiedy moglibyśmy mieć do czynienia z cyberwojną. Prawdopodobnie jedną z przesłanek byłby atak w sieci, w wyniku którego powstałyby trwałe szkody w świecie realnym: zniszczenie mienia, śmierć ludzi. Jak jednak podejść do kradzieży danych wartych miliony? Jak wycenić szkody powstałe w wyniku penetracji systemów, co spowodowało, że przez wiele miesięcy trzeba było utrzymywać w pogotowiu zespoły specjalistów? Dziś cała cyberprzestrzeń to Dziki Zachód i wielu państwom taki stan rzeczy odpowiada, gdyż pozwala na realizację własnych celów strategicznych. Długofalowo, wraz ze wzrostem liczby i jakości cyberataków, stan prawny zacznie ulegać zmianie.

Jakie kwestie miałoby uregulować międzynarodowe prawo dotyczące cyberprzestrzeni.

Powinno regulować wzajemne działania państw i organizacji międzynarodowych. Musi także określać dozwolone i zabronione działania w sieci oraz minimum definicyjne, niezbędne do precyzyjnego formułowania pojęć prawnych. Do katalogu zagadnień, które powinny być przez takie zapisy regulowane, można jeszcze dodać wiele kwestii, ale te przedstawione to minimum potrzebne do ucywilizowania cyberaktywności.

Widzi Pan zagrożenie cyberwojną hybrydową?

Myślę, że wojna hybrydowa w pewnym aspekcie toczy się cały czas, a cyberprzestrzeń jest jednym z elementów prowadzenia kampanii hybrydowych. Niektóre państwa utrzymują zespoły, które penetrują obce sieci. Jest to działanie długofalowe. Wszystkie kraje zachodnie są celem ataków o charakterze szpiegowskim, wiele z nich musi się zmagać również z pokrewnym zagrożeniem, jakim jest prowadzenie wojny informacyjnej, która w obecnym świecie toczy się głównie w cyberprzestrzeni. Jeśli prześledzimy ostatnie 30 lat prowadzenia działań w cyberprzestrzeni – licząc od czasu operacji „Cukoo’s Egg”, pierwszego odnotowanego przypadku szpiegowania USA przez internet w celu pozyskania danych o charakterze militarnym, wykonanego przez niemieckich hakerów na rzecz KGB – zauważymy pewną prawidłowość: większość działań w cyberprzestrzeni sprowadzała się do szpiegostwa. Tylko niektóre miały charakter ofensywny, tak jak Stuxnet, lub zmierzały do prowadzenia akcji politycznej, jak to było w czasie ataku na Estonię, kiedy chodziło o reakcję na przeniesienie pomnika żołnierzy Armii Czerwonej.

Jakie mogą być cele w wojnie hybrydowej?

Wojna hybrydowa zakłada takie działanie państwa, które pozwoli mu osiągnąć stawiane cele, bez prawnego przypisania agresji konkretnemu państwu. Najczęściej chodzi o dostęp do informacji związanej z bezpieczeństwem, danymi technologicznymi, schematami działania systemów albo o uzyskanie dostępu do systemów i zdobycie strategicznej kontroli nad systemami teleinformatycznymi czy przemysłowymi lub doprowadzenie do ich uszkodzenia. Czasem cyberagresor dąży do zdobycia danych osobowych lub przeprowadzenia kampanii dezinformujących atakowane społeczeństwo. Celem może być również uzyskanie wpływu na politykę państwa lub czasowe odcięcie danego kraju od informacji przez coraz bardziej popularne ataki DDoS.

Czy, Pana zdaniem, następuje u nas poprawa w dziedzinie bezpieczeństwa w sieci?

Widzę, że władze państwowe poważnie traktują tę kwestię, choć nie jestem jeszcze pewien, jaki będzie ostateczny kształt polityki cyberbezpieczeństwa Polski. Dotychczas mieliśmy oddolnie ukształtowany model odpowiedzialności rozproszonej, gdzie było dużo podmiotów odpowiedzialnych za wąski zakres spraw. Pierwsze oznaki zmiany widać zarówno w Ministerstwie Cyfryzacji, jak i Ministerstwie Obrony Narodowej. Za wcześnie jednak na szczegółową ocenę proponowanych rozwiązań.

Jak Pan ocenia opublikowane ostatnio przez Ministerstwo Cyfryzacji założenia strategii cyberbezpieczeństwa oraz rolę i udział w niej MON?

W dokumencie przedstawionym przez Ministerstwo Cyfryzacji nie widzę strategicznego spojrzenia. Jest to dobry plan taktyczny dotyczący zagospodarowania spraw związanych z cyberbezpieczeństwem. Jednak jeśli tworzymy strategię, musimy zadać sobie pytanie, jakie cele w cyberprzestrzeni zamierza realizować Polska. Przed takimi pytaniami stało każde państwo. Izrael uznał, że chce oprzeć rozwój gospodarczy na świadczeniu usług z dziedziny cyberbezpieczeństwa, USA traktują cyberprzestrzeń jako piąty sposób prowadzenia wojny, po działaniach na lądzie, w wodzie, powietrzu i kosmosie, i są gotowe odpowiedzieć na każde wyzwanie w cyberprzestrzeni wymierzone w Stany Zjednoczone lub ich obywateli. W strategii zaprezentowanej przez ministerstwo brakuje długofalowych założeń. Nie jest również jasna rola, jaką strategia przypisuje resortom siłowym, jako podrzędnym wobec tworzonego podmiotu odpowiedzialnego za cyberbezpieczeństwo Polski. W USA za bezpieczeństwo państwa w cyberprzestrzeni odpowiada Departament Bezpieczeństwa Krajowego (Department of Homeland Security), będący odpowiednikiem polskiego Ministerstwa Spraw Wewnętrznych i Administracji, w ramach którego działa CERT oraz FBI jako agencja odpowiedzialna za realizację części operacyjnej działań wobec grup i jednostek, które zagrażają bezpieczeństwu USA. Polska nie musi oczywiście powielać modelu jakiegokolwiek państwa zachodniego, ale resorty powinny ustalić zakres kompetencji oraz stworzyć efektywny model kooperacji. Dotychczasowe doświadczenia współpracy międzyresortowej w Polsce nie napawają optymizmem, ale budowa zdolności w cyberprzestrzeni może stać się okazją do wypracowania nowych wzorców.

Jak, według Pana, wygląda w Polsce współpraca między sektorem prywatnym a publicznym w dziedzinie ochrony przed zagrożeniami cybernetycznymi?

Sektor prywatny jest zdecydowanie lepiej przygotowany na odpowiedź w razie cyberataku, a jego ochrona przed tego typu zagrożeniami jest znacznie bardziej zaawansowana. Podobnie jest na całym świecie i dlatego w większości zachodnich państw rozwój cyberzdolności opiera się na bazie modelu partnerstwa publiczno-prywatnego. Jest to prawdopodobnie najefektywniejszy sposób wdrażania rozwiązań, które mogą dać danemu państwu przewagę nad adwersarzami. W Polsce kilkakrotnie przystępowano do tworzenia wspólnych projektów – przez biznes prywatny i sektor państwowy, ale na razie wszystko jest na bardzo wczesnym etapie. Na pewno ten kierunek jest przyszłościowy i warto w niego inwestować. 

Piotr Trąbiński jest absolwentem Wydziału Prawa na Uniwersytecie Warszawskim, ekspertem ds. cyberbezpieczeństwa oraz menedżerem wywodzącym się z sektora finansowego. Obecnie w trakcie studiów z bezpieczeństwa narodowego i stosunków międzynarodowych w The Institute of World Politics w Waszyngtonie.