Odstraszanie w cyberprzestrzeni po polsku

Koncepcja odstraszania (deterrence) narodziła się podczas zimnej wojny i odnosiła się do kwestii broni jądrowej, która swoją destrukcyjną siłą miała zniechęcić przeciwnika do rozpoczęcia działań wojskowych w celu osiągnięcia celów politycznych czy gospodarczych. Koncepcja ta miała być skuteczna jeżeli koszty potencjalnego ataku będą większe niż jego zyski. W przypadku użycia broni atomowej była to gra o sumie zerowej i m.in. dlatego odstraszanie było tak efektywne. Brak konfliktu pomiędzy mocarstwami doprowadził do postrzegania jej za skuteczną i podjęto próby przełożenia jej na inne obszary, w tym działania w cyberprzestrzeni. Biorąc pod uwagę specyfikę środowiska wirtualnego, podmioty zamierzające stosować tą koncepcję muszą zmierzyć się z następującymi trudnościami i ograniczeniami cyberprzestrzeni.

Pierwszym z nich jest atrybucja ataku czyli znalezienie podmiotu odpowiedzialnego za jego przeprowadzenie. W przypadku wojny konwencjonalnej czy nuklearnej, problem ten właściwie nie istniał, jednak środowisko wirtualne oferuje wiele opcji ukrycia prawdziwego pochodzenia napastnika. Pomyłka przy identyfikacji atakującego może zagrozić eskalacji konfliktu z innymi, niezaangażowanymi podmiotami na arenie międzynarodowej. Drugim problemem jest duża aktywność w środowisku wirtualnym aktorów niepaństwowych, zdolnych do przeprowadzenia poważnych cyberataków. Dodatkowo utrudnia to stosowanie koncepcji odstraszania wymagając nie tylko namierzenia takie grupy, ale również stwierdzenia czy działa ona za zgodą i na polecenie władz państwowych czy niezależnie od nich. Kolejną kwestią jest szybkość dokonywanych operacji w środowisku wirtualnym. Przeprowadzenie cyberataku zajmuje sekundy. Niektóre z ataków cyfrowych mogą trwać nawet miesiące i nie zostać wykryte. Utrudnia to znalezienie napastnika i skuteczną odpowiedź

Jednym z państw, które zadeklarowało stosowanie koncepcji odstraszania w cyberprzestrzeni są Stany Zjednoczone. W opublikowanej w 2015 roku strategii Departamentu Obrony, Amerykanie powrócili do koncepcji „odstraszania przez nałożenie kary” (deterrence by punishment). Początkowo, uważano ją za niemożliwą do zrealizowania w środowisku wirtualnym. Wojskowi uznali jednak, że bliska współpraca z sektorem prywatnym pozwoli rozwiązać najtrudniejszy problem – atrybucji ataku i uczyni ją możliwą do wykonania. Drugim rodzajem odstraszania, które amerykańskie wojsko planuje wprowadzić to tzw. „odstraszanie przez odmowę korzyści” polegające na stworzeniu systemów i sieci komputerowych do których bardzo trudno się włamać. Ma to prowadzić do frustracji atakującego i w efekcie zaprzestania prowadzenia przez niego operacji.

Od opublikowania strategii mija ponad rok i trudno uznać, że obie koncepcje działają. W przeciągu tego krótkiego okresu czasu mieliśmy do czynienia m.in. z kradzieżą danych urzędników federalnych, włamaniem na serwery Partii Demokratycznej i opublikowaniem wiadomości poczty elektronicznej w celu wpłynięcia na wynik nadchodzących wyborów prezydenckich. Nie wspominając już o pomniejszej liczbie ataków. Ogólna ich liczba stale wzrasta, więc koncepcja mająca odstraszyć podmioty nie działa. W kilku przypadkach, gdzie udało się nawet wskazać napastnika, kary w postaci wydanych wyroków aresztowania czy sankcji ekonomicznych nie były na tyle dotkliwie aby zniechęcić atakujących.

W odniesieniu do drugiego rodzaju odstraszania czyli „odstraszania przez odmowę korzyści” (deterrence by denial) problemem pozostaje, cały czas, najsłabszym elementem systemu bezpieczeństwa cyberprzestrzeni jest człowiek. Nawet stworzenie najbardziej odpornych sieci i systemów nie przyniesie pożądanych skutków, skoro wciąż pozostaje problem wykształconych i świadomych zagrożenia użytkowników.

W Planie Morawieckiego nie wskazano jednak, których z rodzajów odstraszania ma być rozwinięty. Oba z nich są bardzo trudne do zrealizowania. W przypadku pierwszego polecającego na odstraszeniu agresora poprzez możliwość destrukcyjnego uderzenia konieczne jest wykształcenie doktryny z jasnym przedstawieniem warunków przeprowadzenia cyberataków. W celu realizacji tej idei konieczne jest rozwinięcie zdolności ofensywnych i zadeklarowanie światu faktu ich posiadania i politycznej woli użycia. Nie będą one jednak skuteczne jeżeli Polska nie będzie posiadała zdolności atrybucji atakujących, co stanowi kolejny problem, z którym nie potrafią sobie poradzić nawet Amerykanie dysponującym najpotężniejszym sprzętem. Kolejnym problemem jest zdefiniowane witalnych interesów w cyberprzestrzeni, których zaatakowanie wiązało by się z użycie koncepcji odstraszania. Trudno sobie wyobrazić, że shackowanie strony  Bydgoskiego Związku Wędkarskiego wywoła reakcje służb państwowych, które przystąpią do kontrataku. Wydaje się, że założenia zbudowania potencjału odstraszania w cyberprzestrzeni – zadeklarowane w tzw. Planie Morawieckiego to zbyt ambitne zadanie, przekraczające możliwości Polski.

Czytaj też: Plan Morawieckiego w cyberprzestrzeni