Od kilkunastu lat cyberprzestrzeń jest wykorzystywana przez cyberprzestępców, ich mocodawców i autorytarne reżimy do prowadzenia wrogich, ofensywnych działań służących realizacji ich geopolitycznych celów. Dlatego w tle konfliktu w Ukrainie eskaluje cyberwojna, która osiągnąć może skalę jakiej do tej pory w historii nie widzieliśmy, a która wspierać będzie działania militarne prowadzone przez Federację Rosyjską pod przywództwem Władimira Putina. Już teraz Ukraińcy organizują się aby podejmować skuteczne działania obronne, ale także te coraz istotniejsze dla wyniku konfliktu, czyli ofensywne. Dlatego ta cyberwojna może także przechylić szalę zwycięstwa na stronę Ukrainy i jej sojuszników.
Pierwsze rosyjskie salwy wojenne przeciwko Ukrainie było można usłyszeć właśnie w cyberprzestrzeni już kilka tygodni przed inwazją na jej terytorium. Cyberataki o ograniczonym zasięgu i szkodliwości, głównie na serwisy internetowe administracji publicznej (tzw. ataki DDoS), a także złośliwe oprogramowanie niszczące dane (tzw. wiper) poprzedziły działania militarne Kremla, stawiając w pogotowiu służby bezpieczeństwa, nie tylko ukraińskie, ale także te z krajów sojuszniczych. W ich wyniku, po raz pierwszy w historii, polski rząd wprowadził wciąż obowiązujący trzeci stopień alarmowy CHARLIE-CRP, który wiąże się z wysokim zagrożeniem o charakterze terrorystycznym dla infrastruktury teleinformatycznej organów administracji lub systemów zaliczanych do infrastruktury krytycznej, a tym samym wymaga od kluczowych podmiotów gospodarczych oraz instytucji publicznych szczególnej uwagi i konkretnych działań monitorująco – zabezpieczających sieci i systemy teleinformatyczne. Dalsze ataki zarówno przeprowadzane przez rosyjskie służby, jak i pośredników działających na zlecenie Kremla (tzw. proxies) oraz możliwość ich niekontrolowanej proliferacji z Ukrainy na inne kraje, są bowiem zarówno niewykluczone, jak i mogą być wyjątkowo dotkliwe. Rosja posiada bowiem jedne z najbardziej zaawansowanych zdolności cyberofensywnych na świecie. Budowała je od lat korzystając z możliwości, jakie otwierały wywołane przez nią konflikty zbrojne, w tym ten w Gruzji w 2008 r. i w Ukrainie w 2014 r. Choć Gruzja była pierwszą wojną, która stał się pokazem możliwości, jakie mogą mieć cyberataki towarzyszące działaniom militarnym, to jednak dopiero przy okazji wojny o Krym i w kolejnych latach walk w Donbasie, Rosja urządziła w Ukrainie prawdziwy poligon doświadczalny do testowania zaawansowanych ataków na obiekty infrastruktury krytycznej, ze skutkami fizycznymi. Ukraina doświadczyła m.in. kilkugodzinnego przerwania dostaw energii elektrycznej, a także w 2017 r. była pierwszą ofiarą złośliwego oprogramowania NotPetya, jak dotąd najbardziej destrukcyjnego, rozległego i kosztownego cyberataku w historii świata, infekującego tysiące firm i organizacji. Jeszcze wcześniej Rosja testowała swoje umiejętności w cyfrowej infrastrukturze Estonii, przeprowadzając w 2007 r. na tyle spektakularny cyberatak, że w jego wyniku Sojusz Północnoatlantycki wkroczył na drogę zmian, zarówno organizacyjnych, jak i politycznych, dostosowując się do nowych wyzwań związanych z nową domeną działań wojennych, za którą ostatecznie uznał cyberprzestrzeń w 2016 r. na Szczycie NATO w Warszawie. Natomiast już w 2014 r. przywódcy NATO zadecydowali na Szczycie w Walii, że artykuł 5 Traktatu Waszyngtońskiego aplikuje także na wypadek poważnego cyberataku na jedno z państw sojuszniczych.
Cyberscenariusze w rosyjskiej wojnie przeciwko Ukrainie
Cyfrowy front w wojnie, którą Rosja wypowiedziała Ukrainie w zeszłym tygodniu, wyglądał dotychczas dość niewinnie. A to dlatego, że wspomniane cyberataki, które mimo, że liczne, nie wpłynęły na wynik walk, na przykład poprzez ograniczenie sprawności systemów dowodzenia czy sprzętu wojskowego, ani nie ograniczyły dostępności kluczowych cyfrowych usług, zarówno w Ukrainie jak i w Rosji. Są to jednak prawdopodobnie „fajerwerki” przed prawdziwą konfrontacją. Widać bowiem, że sytuacja w cyberprzestrzeni zaczyna się wyraźnie zaogniać. I to nie wyłącznie dlatego, że na front wkraczają kolejne grupy hakerskie stojące często po dwóch stronach konfliktu, w tym odpowiedzialna na przykład za ataki ransomware rosyjska grupa #Conti, czy największa na świecie grupa hackerska Anonymous, która po wypowiedzeniu cyfrowej wojny reżimowi Putina, atakuje rosyjskie strony internetowe i bazy danych instytucji państwowych. Ani też dlatego że hakerzy zapowiadają, iż kolejnym ich celem będzie infrastruktura - wiadomo bowiem, że naprawdę zaawansowane zdolności ofensywne posiadają wyłącznie aktorzy państwowi, ataki takie są bowiem bardzo kosztowne zarówno finansowe jak i jeśli chodzi o zasoby operacyjne, a także czasochłonne Sytuacja zaognia się przede wszystkim dlatego, że temperatura konfliktu zbrojnego jest wyjątkowo wysoka i wkraczać właśnie możemy w jego decydującą fazę (lub też jedną z kilku decydujących faz). Z tego chociażby powodu Ukraina zwróciła się o pomoc o wsparcie w walce na cyfrowym froncie do sojuszników, a do arsenału posiadanych już przez swoje wyspecjalizowane instytucje zdolności, dodaje także prowadzoną i zadaniowaną przez rząd cyfrową armię – IT Army - złożoną z ukraińskich firm technologicznych i tysięcy cyberspecjalistów. Celem ma być przede wszystkim odciążenie ukraińskich cybersłużb, na przykład poprzez pomoc w ochronie krytycznej infrastruktury oraz przeprowadzanie misji cyberszpiegowskich przeciwko wojskom rosyjskim, ale także ataki ofensywne na stronę rosyjską. Jest to działanie bez precedensu. Nie bez znaczenia dla eskalacji mogą być także skutki gospodarcze zachodnich sankcji nałożonych na Rosję, której hakerzy, zwłaszcza ci wyspecjalizowani w atakach ransomware, mogą chcieć wziąć finansowy odwet na zachodnich firmach i podmiotach. Nie jest zatem wykluczone, że w najbliższych dniach dojdzie do spektakularnych żądań okupów. W końcu, nie można także wykluczyć cyberataków APT (Advanced Persistent Threats) na infrastrukturę krytyczną i systemy automatyki przemysłowej. Najbardziej niepokojącym scenariuszem są natomiast ataki na globalną infrastrukturę cyfrową w tym światłowody czy też protokoły typu BGP (Border Gateway Protocol) czy DNS (Domain Name System), które mogą wywołać bardzo poważne zakłócenia dla funkcjonowania Internetu. Zdolności do zaawansowanych ataków aplikacyjnych ma z pewnością Rosja i Chiny, ale także sojusznicy Ukrainy, w tym zwłaszcza USA, które jako pierwsze w 2010 r. użyło zaawansowanej cyberbroni o nazwie Stuxnet przeciwko Iranowi, a później także rosyjskiej tubie dezinformacyjnej Internet Research Agency, czy Korei Północnej próbującej przeprowadzić kolejny test wyrzutni rakietowych. I choć należy podkreślić, że cyberoperacje mają swoje istotne ograniczenia w zakresie fizycznych skutków, to jednak mogą wpłynąć w pewnym zakresie na wynik tej wojny i nie należy nie doceniać ich potencjału. Wręcz przeciwnie, należy wzmacniać przede wszystkim zdolności obronne.
Polski cyberfront
O ile na ten moment wojska rosyjskie nie zagrażają bezpośrednio bezpieczeństwu naszego kraju, o tyle cyberprzestrzeń, w której nie przebiegają linie demarkacyjne, jest od dłuższego czasu areną licznych, choć ograniczonych w skutkach ataków atrybuowanych m.in. do Rosji. Dodatkowo, jeśli czytać uważnie ultimatum Putina wobec Zachodu z 10 grudnia poprzedniego roku, a także obawy części decydentów, w tym Sekretarza Generalnego NATO, że cele imperialnej polityki jego reżimu mogą nie być ograniczone do Ukrainy, to wszystkie powyższe zagrożenia, które są teraz udziałem Ukrainy, może odczuć także Polska. Dopóki działania zbrojne toczyć się będą na terytorium naszego sąsiada, incydenty w polskiej cyberprzestrzeni będą przede wszystkim odpryskiem cyberataków nakierowanych na ten kraj. Nie można wykluczyć, jednak że jeśli kryzys międzynarodowy będzie dalej eskalował, to mogą one stać się przygrywką oraz narzędziem wspierającym realizację dalszych rewizjonistycznych żądań Putina wobec politycznego Zachodu.
Dlatego dzisiaj z punktu widzenia polskiej administracji konieczne są dalsze wzmożone działania zabezpieczające przede wszystkim obiekty infrastruktury krytycznej i usługi kluczowe, a także natychmiastowe wzmocnienie koordynacji między działaniami podmiotów krajowego systemu cyberbezpieczeństwa zwłaszcza na wypadek ataków typu APT czy też uderzających w globalną infrastrukturę Internetu. Należy także rozpocząć realną współpracę z polskimi firmami technologicznymi, w tym specjalizującymi się w cyber rozwiązaniach oraz wzmocnić rozwój Polskiego Klastera Cyberbezpieczeństwa CyberMadeInPoland, który już dziś zrzesza blisko 50 takich firm. W wymiarze operacyjnym konieczne wydaje się także powołanie ad hoc sektorowych CERTów, tak aby sprawnie wymieniały się informacjami o zagrożeniach, pogłębiając swoją świadomość sytuacyjną oraz podejmowały skoordynowane działania na wypadek wystąpienia cyberataków. W kontekście zmian systemowych należy jak najszybciej przyjąć nowelę ustawy o Krajowym Systemie Cyberbezpieczeństwa, wrócić do rozmowy o powołaniu Narodowej Agencji Cyberbezpieczeństwa, a w związku z powstaniem Komponentu Wojsk Obrony Cyberprzestrzeni aktywnie wspierać budowę polskich zdolności cyberofensywnych w wymiarze technologicznym, podkreślając konieczność większej i odpowiedniej alokacji środków finansowych na rozwój zdolności oraz rozpoczęcie efektywnej współpracy między państwem a polskim sektorem ICT i cyberbezpieczeństwa, mającą na celu rozbudowanie takich zdolności. Takie wsparcie konieczne jest także w zakresie zmian legislacyjnych pozwalających w sposób efektywny zarządzać ofensywnymi zdolnościami w cyberprzestrzeni, tak aby podmioty właściwe mogły efektywnie, adekwatnie i skutecznie przeciwdziałać oraz odpowiadać na atak w cyberprzestrzeni także w czasie pokoju, dla którego zwłaszcza w cyberprzestrzeni granica jest często niezwykle cienka.
