Ekspert: Polska musi stworzyć strategię cyberobrony

Podczas Szczytu NATO w Warszawie podjęto kluczowe decyzje w zakresie obrony cybernetycznej. Cyberprzestrzeń została uznana za pełnoprawne środowisko operacyjne, w którym Sojusz ma bronić się równie skutecznie, jak w powietrzu, na lądzie czy na morzu. W konkluzjach spotkania podkreślono również ścisłe powiązanie ataków cybernetycznych z zagrożeniami hybrydowymi.

W ramach Zobowiązania w zakresie Obrony Cybernetycznej (Cyber Defence Pledge), państwa członkowskie NATO potwierdziły swoje zobowiązania wnikające z art. 3 Traktatu Waszyngtońskiego, a więc tworzenia własnych skutecznych zdolności obronnych, w tym w zakresie obrony cybernetycznej. Podkreślono również konieczność poprawy świadomości w zakresie cyberzagrożeń, a w szczególności ich oceny i wymiany informacji. W tym kontekście, bardzo istotnym pozostaje pytanie o wyzwania, jakie stoją przed Polską na drodze do realizacji Cyber Defence Pledge.

Oczywistą konkluzją wydaje się być konieczność stworzenia spójnej i wszechstronnej strategii obrony cybernetycznej kraju, obejmującej wszystkie sektory, ogniwa militarne i pozamilitarne, a także ustanawiającej jeden organ decyzyjny, władny uruchomić wszystkie zasoby cyberobrony państwa w sytuacji najpoważniejszych zagrożeń.

Cyberzagrożenia powinny wymusić stosowanie adekwatnego podejścia do kwestii suwerenności w cyberprzestrzeni, nieprzywiązanego sztywno do fizycznego, geograficznego terytorium, ale uznającego ją za swobodę niezakłóconego funkcjonowania państwa (w granicach przewidzianych prawem międzynarodowym) bez ingerencji państw trzecich, również w cyberprzestrzeni. Podobną propozycję znaleźć można np. w Tallinn Manual 2.0., gdzie mówi się o sprawowaniu suwerennego władztwa nad infrastrukturą cybernetyczną oraz swobodzie podejmowania w cyberprzestrzeni zgodnych z prawem międzynarodowym działań stanowiących realizację polityki państwa i kompetencji jego organów.

Zasadnym wydaje się również konsolidacja zdolności cyberobronnych posiadanych przez Siły Zbrojne RP w jednej instytucji na wzór amerykańskiego CYBERCOM.

Czytaj też: Polskie banki zaatakowane przez hakerów z Korei Północnej

Należy wziąć pod uwagę, że sieciocentryczność współczesnego pola walki  (w szczególności znaczne uzależnienie procesów decyzyjnych w wojsku od niezakłóconego dostępu do informacji) to nie tylko czynnik zwielokrotniający potencjał wojskowy, ale również poważne zagrożenie. Musimy pamiętać również, że skutecznie przeprowadzony atak sieciowy zakłóci bądź uniemożliwi funkcjonowanie systemów C4ISR (Command, Control, Communications, Computer, Intelligence, Surveillance, Reconnaissance). Stąd też, uzasadniona jest nie tylko konieczność tworzenia systemów odpornych na ataki cybernetyczne, ale również posiadania alternatywnych, mniej uzależnionych od dostępu do sieci, systemów wspomagających dowodzenie.

Dla skutecznej obrony niezbędne jest sprawne rozpoznanie i wywiad, w tym:

• rozpoznanie zagrożeń cybernetycznych (co zresztą podkreślono w Komunikacie Szczytu w Warszawie)
• posiadanie cybernetycznych środków rozpoznania/wywiadu
• ustanowienie mechanizmów skutecznej i szybkiej wymiany informacji (w tym danych wywiadowczych) - zarówno pomiędzy krajowymi instytucjami zajmującymi się rozpoznaniem cyberzagrożeń (wojskowe i cywilne siły specjalne oraz Policja i Żandarmeria Wojskowa), jak i pomiędzy służbami polskimi i sojuszniczymi.

Ponadto, dla stworzenia skutecznego systemu obrony cybernetycznej niezbędna jest współpraca organów państwowych z sektorem prywatnym, obejmująca również wymianę informacji. Za przykład może posłużyć NATO - Industry Cyber Partnership (NICP), czy Cyber Information and Incident Coordination System (CIIS).

Szczególną formą partnerstwa publiczno-prywatnego w dziedzinie cyberobrony powinno być umożliwienie funkcjonowania ochotniczych (obywatelskich) organizacji obrony cybernetycznej i zapewnienie im ochrony prawnej (statusu i immunitetu kombatanta) na wypadek udziału w konflikcie zbrojnym (na wzór zespołu cyberobrony wchodzącego w skład Estońskiej Ligi Obronnej), co postulowane już było podczas pierwszej edycji Europejskiego Forum Cyberbezpieczeństwa-CYBERSEC, które z inicjatywy Instytutu Kościuszki odbyło się w 2015 r. w Krakowie.

Należy kontynuować rozwijanie ofensywnych zdolności cybernetycznych, jak to przewidziano w dotychczasowej Doktrynie Cyberbezpieczeństwa RP, pamiętając jednocześnie, iż niektóre środki cybernetyczne mogą mieć charakter jednorazowego użytku (ujawnienie ich umożliwi opracowanie skutecznej obrony). Ich użycie winno nastąpić w odniesieniu do celów o strategicznym znaczeniu, po przeprowadzeniu szczegółowej analizy korzyści i „kosztów”.

Ofensywne zdolności cybernetyczne mogą stanowić skuteczny środek odstraszania, a także przyczynić się do zniwelowania różnicy potencjałów militarnych w ewentualnym konflikcie.  Ponadto, koszty pozyskania skutecznych środków i metod walki cybernetycznej są relatywnie niskie w porównaniu z kosztami najnowocześniejszych systemów uzbrojenia konwencjonalnego. Środki cybernetyczne mogą w większym stopniu niż konwencjonalne spełniać wymogi międzynarodowego prawa humanitarnego w zakresie proporcjonalności, humanitaryzmu, konieczności wojskowej i rozróżnienia. Biorąc pod uwagę ewolucję doktryny obrony cybernetycznej NATO, nie można wykluczyć, iż Sojusz przychylnie spojrzy na dobrowolne, jednostronne oferty zastosowania środków cybernetycznych dla wsparcia operacji Sojuszu przez państwa posiadające takie zdolności.

O budowie polskiego systemu cyberobrony po warszawskim Szczycie NATO porozmawiają eksperci podczas II Polskiego Forum Cyberbezpieczeństwa – CYBERSEC PL. Uczestnicy spotkania omówią m.in. działania podjęte już przez resort obrony oraz przedstawią kolejne niezbędne kroki. Dyskusja dotyczyć będzie także współpracy publiczno-prywatnej w obszarze cyberbezpieczeństwa w sytuacji zagrożenia kraju. Konferencja odbędzie się 6 kwietnia na PGE Narodowym w Warszawie. Organizatorem wydarzenia jest Instytut Kościuszki.