Czy grozi nam cyfrowe Pearl Harbour? [OPINIA]

Kiedy niespełna trzydzieści lat temu dwóch analityków think tanku RAND CORPORATION, John Arquilla oraz David Ronfeld opublikowało w czasopiśmie „Comperative Strategy” artykuł zatytułowany „Cyberwar is coming !”, była to pierwszy taki materiał zawierający poważną analizę możliwości wykorzystania ataku na systemy informacyjne przeciwnika (w tym systemy zarządzania) dla uzyskania przewagi militarnej. Arquilla i Ronfeld uważali, że cyberwojna stanie się w XXI wieku odpowiednikiem tego, czym dla wieku XX był niemiecki blitzkrieg.

Początki konfliktów w cyberprzestrzeni

Niespełna trzy lata później U.S. Navy, U.S. Air Force, NASA, Departament Energii i parę innych agend rządów Stanów Zjednoczonych stały się przedmiotem powtarzających się cyberataków. Łupem hakerów padły dokumenty o najwyższym stopniu poufności, zawierające między innymi dokumentacje uzbrojenia, kodów szyfrujących, planów wojskowych. Organy prowadzące dochodzenie oceniły, że ilość wykradzionych stron informacji przekładałaby się na ponad 500 metrów bieżących. Wszystkie tropy prowadziły do Moskwy, a że działo się to jeszcze w burzliwych latach, kiedy prezydentem tego kraju był Borys Jelcyn, delegacja amerykańska wybrała się w podróż do Rosji, aby całą sprawę wyjaśnić na drodze dyplomatycznej. Jakież było zdziwienie śledczych, kiedy ich gospodarz – w randze generała – otwarcie przyznał, że Moonlight Maze (taki kryptonim nadano temu atakowi) to faktycznie ich dzieło. Dokładnie chodziło o bliżej nieokreślone służby specjalne rosyjskiego imperium w przebudowie, które miały jakoby działać na własną rękę. Kolejnego dnia ów generał już się nie pojawił, a rozmowy zeszły na poboczne tory, co zdaniem amerykańskiej delegacji wyraźnie świadczyło o tym, że zamiast działania na własną rękę, byli po prostu świadkami sytuacji, w której niepodejrzewający niczego generał okazał się albo naiwny albo niedoinformowany.

To właśnie po tej wizycie, w armii amerykańskiej pojawiła się nowa jednostka specjalna zajmująca się ochroną sieci teleinformatycznych (ang. Joint Task Force – Computer Network Defense) a John Hamre – wówczas zastępca Sekretarza Obrony - wypowiedział znamienne słowa: „Departament Obrony jest w stanie cyberwojny od pół roku. Cyberprzestrzeń nie jest już dłużej miejscem wyłącznie dla komputerowych maniaków. Teraz jest też miejscem dla wojowników”.

Kolejny krok milowy na drodze do militaryzacji cyberprzestrzeni nazywał się Stuxnet. Złośliwe oprogramowanie stworzone wspólnym wysiłkiem służb amerykańskich i izraelskich, które opóźniło rozwój irańskiego programu atomowego o kilka lat. Zwycięstwo było jednak pyrrusowe. Program został co prawda opóźniony, ale odkrycie natury tego ataku (nomen omen nie dokonały tego służby irańskie tylko firmy zajmujące się profesjonalnie zwalczaniem oprogramowania złośliwego), pokazało wyraźnie wszystkim zainteresowaniem, że w nowym wyścigu zbrojeń każdy będzie chciał dysponować nie tylko narzędziami do obrony przed atakiem, ale także narzędziami, dzięki którym atak taki można przeprowadzić.

Sandworm czyli rosyjskie służby specjalne w akcji

Książka Andy Greenberga zatytułowana „Sandworm” nawiązuje do tych historii, ale tak naprawdę to fascynujący reportaż, który krok po kroku przybliża nam nie tylko nową arenę starcia wielkich mocarstw. To przede wszystkim opowieść o jednej z grup stojących za największymi atakami ostatnich lat, którą autor wprost łączy z rosyjskimi służbami specjalnymi. Sandworm – bo taką nazwę nadano tej grupie, to po polsku czerw – fantastyczny twór żyjący na pustyni planety Arrakis, na której rozgrywa się akcja kultowej powieści Franka Herberta „Diuna”. Członkowie grupy, najwyraźniej wielbiciele tej powieści, umieszczali w kolejnych wersjach wykorzystywanego przez siebie złośliwego oprogramowania, różnego rodzaju wyrażenia nawiązujące właśnie do tej powieści (Leto, Arrakis). To jednak nie odniesienie do literatury Herberta jest w tym wszystkim najciekawsze. Greenberg łącząc ze sobą kolejne ataki oraz poszlaki wskazujące na Sandworm, pokazuje nam nie tylko narodziny nowego teatru działań o charakterze militarnym. To, co jest dużo bardziej fascynujące, to próba uchwycenia jego charakterystyki. Zdaniem autora, dwukrotny blackout spowodowany atakami na infrastrukturę ukraińskiego systemu energetycznego to nic więcej jak ćwiczenia. Testowanie możliwości nowych narzędzi do przeprowadzania akcji sabotażowych na nieznaną dotychczas skalę.

Przy tej okazji warto wspomnieć o tym, że jedna z wersji złośliwego oprogramowania, które później było wykorzystywane w tych atakach została odnaleziona w pliku zawierającym opracowanie przygotowane dla jednych z polskich firm energetycznych (informacja ta powinna zainteresować wszystkich tych, którzy uważają, że polski rynek energetyczny nie jest wystarczająco istotnym celem dla tego typu grup). Ciekawe są też wnioski jakie z tych ataków wyciągnęli sami Amerykanie, wskazując na to, że z uwagi na dużo większy stopnień automatyzacji i cyfryzacji niektórych procesów, firmy amerykańskie wydają się być dużo łatwiejszym celem. W obu przypadkach zanotowanych na Ukrainie, sytuację udało się opanować, dzięki możliwości wykorzystania tradycyjnych, nie podłączonych do sieci przełączników zaatakowanych podstacji. Jak się okazuje, zacofanie technologiczne może w niektórych przypadkach okazać się prawdziwym błogosławieństwem.

To, co w opowieści Greenberga jest równie ciekawe, to pokazanie, że celem działań o charakterze militarnym w cyberprzestrzeni są i będą instalacje cywilne a straty przypadkowe (ang. collater damages) mogą niejednokrotnie być większe niż te pierwotnie planowane. Tak stało się z oprogramowaniem NotPetya, którego ofiarą padły takie firmy jak: Maersk Line, Merck, Saint-Gobain, Reckitt Benckiser, Beiersdorf, DHL, ale też rosyjski Rosneft, co najlepiej świadczy o tym, że wirusy komputerowe, podobnie jak te biologiczne, mogą być bronią obusieczną. Straty globalne po tym ataku przekroczyły miliard dolarów, a dla wielu firm stały się ważnym momentem. Okazało się bowiem, że firmy dysonujące miliardowymi budżetami, nie są w stanie uchronić własnej infrastruktury przed atakiem. Mogą co najwyżej postarać się zwiększyć swoją odporność i zadbać o to, żeby pomimo takiego ataku utrzymać możliwość zapewnienia ciągłości działania firmy. Co ciekawe, NotPetya spowodowała jeszcze jeden skutek. Otóż Jens Stoltenberg, Sekretarz Generalny NATO, po raz pierwszy w historii sojuszu wspomniał przy tej okazji, że atak na cyberprzestrzeń może być w niektórych okolicznościach podstawą do uruchomienia art. 5 traktatu NATO.

Powieść Andy Greenberga zawiera także dodatkowe przesłanie, o którym zapewne nie pomyślał zapewne sam autor. Otóż, cyberprzestrzeń w niczym nie przypomina tradycyjnego pola walki, nie ma w niej jasno określonych granic. Działania w tej przestrzeni mogą pozostać nieodkryte przez lata, a powołanie wyspecjalizowanych agencji rządowych zajmujących się tym obszarem nie rozwiązuje problemu. Przez lata cyberprzestrzeń była domeną cywilnych specjalistów, choć jak pamiętamy sam internet ma wojskowy rodowód. I nic nie wskazuje na to, żeby stan ten miał się diametralnie zmienić w najbliższej przyszłości. Odkrycie Sandworma, umożliwienie podjęcia przeciwdziałania w przypadku wielu ataków tej grupy nie były dziełem agend rządowych tylko prywatnych firm. Współczesne pole walki będzie miało charakter hybrydowy nie tylko dlatego, że coraz częściej będziemy się zastanawiać kto tak naprawdę dokonał ataku, ale również ze względu na to, że celem ataków będą obiekty i instytucje typowo cywilne. Ale także dlatego, że w tych działaniach ogromną rolę pełnić mogą firmy prywatne dysponujące potencjałem i skalą, które na dzień dzisiejszy nie są łatwe do osiągnięcia nawet dla takich potęg militarnych jak Stany Zjednoczone. Warto o tym pamiętać zastanawiając się, na rozwój jakiego sektora postawić i jak konstruować strategię obrony cyberprzestrzeni danego kraju. Szczególnie w kraju takim jak nasz, który potęga militarną nie jest i który nie dysponuje nawet częścią budżetu przeznaczanego na obronę cyberprzestrzeni przez kraje o dużym stopniu technologicznego zaawansowania.