Kmdr por. Wiesław Goździewicz: NATO powinno stworzyć dowództwo komponentu cybernetycznego

Cyberdefence24.pl: Jedną z najważniejszych decyzji podjętych w czasie szczytu NATO w Warszawie było uznanie cyberprzestrzeni za środowisko operacyjne (domenę działań zbrojnych) równie istotne, jak ląd, powietrze, morze czy przestrzeń kosmiczna. Jakie będą tego konsekwencje dla działań, które NATO prowadzi w środowisku wirtualnym?

Kmdr por. Wiesław Goździewicz: Uważam, że nie zajdą duże zmiany w zakresie sposobu prowadzenia operacji przez NATO. Decyzja o ujęciu aspektów cyberobrony w procesie planowania operacyjnego i prowadzeniu operacji została podjęta w czasie szczytu w Lizbonie w 2010 roku i od tamtej pory była wdrażana w każdej operacji Sojuszu. Deklaracja uznania cyberprzestrzeni za domenę operacyjną była, moim zdaniem, potwierdzeniem stanu faktycznego. Proszę wziąć pod uwagę fakt, że podczas szczytu w Walii kraje członkowskie NATO potwierdziły stosowanie do cyberprzestrzeni przepisów prawa międzynarodowego  (w tym prawa konfliktów zbrojnych), przez co uznano, że działania zbrojne mogą być prowadzone również w cyberprzestrzeni. Być może teraz kraje członkowskie NATO będą w mniejszym stopniu wahać się przy stosowaniu cybernetycznych metod i środków prowadzenia działań zbrojnych w celu wsparcia operacji konwencjonalnych. To jednak pokaże czas.

Cyberdefence24.pl: USA uznało cyberprzestrzeń za obszar działań wojennych, a zaraz po podjęciu decyzji w tym zakresie stworzono USCYBERCOM. Czy - pańskim zdaniem - NATO również powinno stworzyć osobne struktury dowodzenia walką w środowisku wirtualnym? I czy byłoby dobrym pomysłem utworzenie grupy planowania cyberbezpieczeństwa podobnej do tej zajmującej się kwestiami jądrowymi?

Kmdr por. W. G.: Moim zdaniem istnieje potrzeba, utworzenia przez NATO  struktury podobnej do dowództw poszczególnych rodzajów sił zbrojnych  (Dowództw Komponentów: lądowego, morskiego, powietrznego i operacji specjalnych), które sprawowałoby dowodzenie i kontrolę nad operacjami NATO w domenie cybernetycznej, jak postulowali paneliści Ścieżki Wojsko podczas ubiegłorocznej edycji European Cybersecurity Forum. Z drugiej strony, USA posiada dowództwo operacji kosmicznych (Space Command), a NATO nie, nawet pomimo faktu, iż przestrzeń kosmiczna została już lata temu uznana za domenę operacyjną. Mimo to osobiście wierzę, że dowództwo komponentu cybernetycznego NATO powinno zostać utworzone, ponieważ obrona cyberprzestrzeni staje się coraz ważniejszym aspektem operacji sojuszniczych. Znając ograniczony apetyt krajów członkowskich na rozszerzanie istniejących struktur dowodzenia NATO, być może rozwiązanie w tym zakresie mogłoby być podobne do tego zastosowanego w przypadku NATO Special Operations Headquarters (NSHQ), stworzonej jako wielonarodowe dowództwo funkcjonujące w oparciu o porozumienie między państwami wydzielającymi doń personel i zaoferowana Sojuszowi jako zdolna do pełnienia roli dowództwa komponentu operacji specjalnych w ramach sojuszu - Allied Special Operations Component Command (SOCC). NSHQ, mimo iż jest organizacją funkcjonującą na podstawie porozumienia międzynarodowego, pozostająca poza formalnymi strukturami dowodzenia NATO, znajduje się pod dowództwem operacyjnym Naczelnego Sojuszniczego Dowódcy Sił w Europie (Supreme Allied Commander Europe – SACEUR), zgodnie z wolą państw ramowych. Być może wśród krajów członkowskich zaistnieje intencja stworzenia podobnego podmiotu opartego o memorandum, który mógłby grać rolę dowództwa komponentu cybernetycznego.

W odniesieniu do grupy planowania należy wyjaśnić: w NATO istnieją już organy odpowiedzialne za planowanie i wykonywania działań w zakresie cyberobrony: NATO Computer Incident Response Capability (NCIRC), NATO Cyber Defence Management Board (CDMB) etc. Porównanie z Nuclear Planning Group sugeruje stworzenie podmiotu, który, podobnie jak NPG, mógłby stworzyć forum do podejmowania decyzji w zakresie używania zaawansowanych środków cybernetycznych, które nie pozostają w posiadaniu wszystkich sojuszników. Taki organ mógłby okazać się wysoce użyteczny. Jednakże pierwszym krokiem dla państw posiadających zdolności do prowadzenia operacji w cyberprzestrzeni byłoby wykazanie woli do dzielenia się tymi zdolnościami, by były one dostępne dla całego Sojuszu. Jak Pan pewnie wie, dokładnie taka sama sytuacja miała miejsce w odniesieniu do NPG: Państwa członkowskie posiadające zdolności jądrowe zgodziły się na zaoferowanie tych zdolności Sojusznikom i autoryzowały NPG do planowania potencjalnego wykorzystania broni jądrowej.

Cyberdefence24.pl: Wcześniej w 2014 roku finalna deklaracja złożona w czasie szczytu w Walii zawierała informację, jakoby cyberatak mógłby stanowić powód do powołania się na artykuł 5, a Rada Północnoatlantycka każdy przypadek będzie oceniać indywidualnie. Czy istnieją jakiekolwiek wytyczne, którymi powinno kierować się NATO, zważając na okoliczności, w których agresja cybernetyczna mogłaby stanowić przesłankę do zastosowania artykułu 5?

Kmdr por. W. G.: Wdrożenie artykułu 5 pozostaje w wyłącznej kompetencji Rady Północnoatlantyckiej, w skład której wchodzą przedstawiciele wszystkich państw członkowskich i która decyduje na podstawie konsensusu.  Jak dotąd artykuł 5 przywołano jedynie raz, po zdarzeniach 11 września 2001 roku, i nie powinno być niespodzianką, że jego zastosowanie każdorazowo będzie podlegać oddzielnej decyzji, niezależnie od tego, czy będzie odnosić się do ataku konwencjonalnego, terrorystycznego czy cybernetycznego. Jest to decyzja o naturze politycznej i każde państwo może mieć inne wytyczne w zakresie kryteriów prowadzących je do uznania konkretnego aktu za atak zbrojny. Z tego względu na pytanie to odpowiedzi udzielić mogą jedynie narodowi przedstawiciele przy NATO, którzy później zebraliby się jako Rada Północnoatlantycka  w celu podjęcia ewentualnej decyzji o przywołaniu artykułu 5.

Cyberdefence24.pl: Kolejne strategiczne porozumienie w czasie szczytu w Warszawie podpisano między NATO i UE. Jedną z poruszanych w nim kwestii było właśnie cyberbezpieczeństwo. Co te dwie organizacje mogą sobie wzajemnie zaoferować w przyszłości? Jak wyglądała ich współpraca wcześniej?

Kmdr por. W. G.: Sojusz pozostaje otwarty na współpracę z partnerami, w tym także organizacjami międzynarodowymi (UE, ONZ, Unia Afrykańska), i współpraca na linii NATO-UE stanowi najlepszy przykład takich długotrwałych, owocnych relacji.

Deklaracja NATO-UE z 2002 r. w sprawie europejskiej polityki bezpieczeństwa i obrony zdefiniowała relacje NATO-UE jako partnerstwo strategiczne. Potwierdziła, że UE mogła mieć zapewniony dostęp do NATO-wskich zdolności planowania na potrzeby własnych operacji wojskowych, potwierdziła fundamentalne polityczne zasady partnerstwa strategicznego, w tym wzajemne wsparcie w zakresie zarządzania kryzysowego, efektywne wzajemne konsultacje, poszanowanie dla zasad Karty Narodów Zjednoczonych oraz spójny, transparentny i wzajemnie wspierający rozwój wymogów w zakresie zdolności wojskowych.

Zarządzanie kryzysowe i operacje to kluczowe obszary współpracy NATO i UE i dotychczas obie organizacje współpracowały w licznych operacjach (np. Ocean Shield/Atalanta; SFOR/EUFOR; KFOR/EULEX; ISAF/EUPOL). Inne obszary współpracy to także między innymi ustanowienie elementów łącznikowych w strukturach wojskowych oraz cywilnych, wymiana wniosków i doświadczeń itd. NATO-EU Capability Group to organ założony w maju 2003 roku w celu zapewnienia spójności i wzajemnego wzmacniania wysiłków na rzecz rozwoju zdolności NATO i UE. Eksperci Europejskiej Agencji Obrony (European Defence Agency - EDA) i NATO wnoszą wkład do działalności Capability Group, między innymi w celu odniesienia siędo wspólnych braków w dziedzinie zdolności obronnych, takich jak wsparcie medyczne czy przeciwdziałanie improwizowanym ładunkom wybuchowym. Sztaby dbają także o transparentność i komplementarność między pracami NATO w ramach programu „Smart Defence” i inicjatywą „Pooling and Sharing” UE.

NATO i UE mają wspólne interesy strategiczne i stają w obliczu tych samych wyzwań w dziedzinie bezpieczeństwa na wschodzie i południu. Te same kraje należą w większości do UE i NATO, organizacje te cechuje także wspólny zestaw wartości. NATO i UE mogą i powinny grać role uzupełniające się, wzajemnie wspierające się w zakresie budowania międzynarodowego pokoju i bezpieczeństwa. Jak oznajmiono we Wspólnej Deklaracji Przewodniczącego Rady Europejskiej, Przewodniczącego Komisji Europejskiej i Sekretarza Generalnego NATO, w najbliższej przyszłości współpraca na linii NATO i UE skupi się na kwestiach takich jak: wzmocnienie zdolności zwalczania zagrożeń hybrydowych, w tym poprzez dzielenie się danymi wywiadowczymi; rozszerzenie współpracy operacyjnej, w tym także w zakresie morskiej świadomości sytuacyjnej; rozwój uzupełniających się zdolności obronnych; pogłębienie współpracy między przemysłami obronnymi i prowadzenie wspólnych programów badawczo-rozwojowych; rozszerzenie koordynacji w zakresie obrony i bezpieczeństwa w cyberprzestrzeni, w zadaniach i operacjach, w zakresie edukacji, szkoleń i ćwiczeń, a także w obszarze bieżącego funkcjonowania obu organizacji.

Szczególnie istotne dla współpracy w obszarze cyberobrony jest Porozumienie Techniczne dotyczące wzajemnej współpracy, wymiany informacji i dzielenia się najlepszymi praktykami w dziedzinie cyberobrony podpisane między NCIRC i CERT.EU w lutym 2016 roku.

Cyberdefence24.pl: Zdolności ofensywne w cyberprzestrzeni to jedna z kwestii najbardziej kontrowersyjnych. NATO podkreśla, że jest organizacją obronną. Nie jest to przypadkiem błędem, który mógłby mieć negatywny wpływ na zdolność odstraszania Sojuszu, i który mógłby ograniczyć swobodę w środowisku wirtualnym? Wyobraźmy sobie scenariusz, w którym uciekamy się do użycia Artykułu 5 z powodu cyberataku. W takim przypadku NATO może odpowiedzieć tylko w sposób konwencjonalny, eskalując konflikt. Nie jest to sytuacja podobna do zimnej wojny i doktryny masowego odwetu, która pozbawia NATO niezbędnej elastyczności?

Kmdr por. W. G.: NATO jest sojuszem obronnym, a  co za tym idzie, nie rozwija żadnych zdolności ofensywnych, nie tylko w domenie cybernetycznej. Wcześniejsze wspólne programy zbrojeniowe NATO zawsze skupiały się na zdolnościach nieofensywnych, jak transport powietrzny, wywiad, zwiad
i rozpoznanie, obrona powietrzna i przeciwrakietowa etc. Należy również podkreślić – fakt, iż NATO nie rozwija wspólnych ofensywnych zdolności cybernetycznych, nie ogranicza możliwości państw członkowskich
w tym zakresie, jeżeli chodzi o inicjatywy jednostronne lub też w ramach wielonarodowej współpracy. Co więcej, niektóre państwa członkowskie NATO otwarcie przyznają się do rozwijania takowych zdolności.

Osobiście uważam, że środki i metody walki cybernetycznej mają potencjał spełnienia wymogów rozróżnienia, humanitaryzmu i proporcjonalności w większym stopniu niż środki konwencjonalne, jednak to do poszczególnych państw należy decyzja, w kwestii zaoferowania Sojuszowi środków cybnernetycznych na potrzeby wsparcia operacji sojuszniczych. Dyskusje w tym zakresie zapewne już trwają w obrębie Sojuszu.

Należy brać także pod uwagę, że niezbywalne prawo do samoobrony danego państwa nie jest ograniczone polityką NATO w zakresie cyberobrony. Kraje członkowskie mogą wykorzystać pełne spektrum środków i metod prowadzenia działań zbrojnych w zakresie obrony, w tym także ofensywne środki cybernetyczne,
o ile ich odpowiedź na atak będzie proporcjonalna, adekwatna i niezbędna. Ponadto powinna zawierać się w granicach prawa międzynarodowego, w szczególności Karty Narodów Zjednoczonych i prawa konfliktów zbrojnych. Poza tym zwrócenie się z prośbą o sojuszniczą pomoc zgodnie z Artykułem 5 nie oznacza zakończenia jednostronnych operacji obronnych prowadzonych przez broniące się państwo członkowskie. Operacje tego typu będą kontynuowane po przybyciu sił sojuszniczych, będą one koordynowane
i synchronizowane z sojuszniczą operacją obronną.

Cyberdefence24.pl: Jakie są główne przeszkody w rozwijaniu zdolności ofensywnych przez NATO? Czy nie ma w sojuszu zgody co do tej kwestii? W 2010 roku EU Observer napisał, że członkowie sojuszu byli przeciwni amerykańskiemu pomysłowi, wedle którego miała być wdrożona koncepcja aktywnej cyberobrony.

Kmdr por. W. G.: Główna przeszkoda została opisana w mojej odpowiedzi na poprzednie pytanie: NATO to sojusz obronny, który nigdy nie rozwijał wspólnych zdolności ofensywnych. Oczywiście, są one niezbędne w operacjach obronnych, jednakże w tym zakresie Sojusz polega na udostępnieniu ich przez państwa członkowskie, podobnie jak dzieje się to w odniesieniu do większości personelu, sprzętu
i zaopatrzenia wymaganych w toku danej operacji.

Cyberdefence24.pl: W czasie szczytu w Warszawie przyjęto Deklarację Cyberobrony. Czy może Pan wyjaśnić, co to za plan?

Kmdr por. W. G.: Deklaracja ta stanowi potwierdzenie przez sojuszników ich zobowiązań wynikających z Artykułu 3, w kontekście obrony cybernetycznej. Zakłada, że Kraje Członkowskie rozwijają i wzmacniają - samodzielnie i w ramach współpracy z innymi państwami - swoje zdolności obronne w obszarze cybernetycznym, zapewniając bezpieczne krajowe sieci i infrastrukturę nie tylko na własny użytek narodowy, ale dla potencjalnego ich wykorzystania w operacji sojuszniczej. Potwierdzono tym samym zobowiązania krajów członkowskich do bycia zdolnym do bronienia się w cyberprzestrzeni, na równi z obroną w powietrzu, na lądzie i na morzu.

Deklaracja również bierze pod uwagę współpracę z Unią Europejską w zakresie cyberobrony i nakłania do dalszego jej rozwijania. Co więcej, dokument wskazuje na istotę partnerstwa i kooperacji z innymi podmiotami: krajami partnerskimi, przemysłem i kręgami akademickimi, także za pośrednictwem Partnerstwa Cybernetycznego NATO-Pzemysł (NATO-Industry Cyber Partnership – NICP).

Podkreślono wymóg udostępniania informacji, utrzymania cyberświadomości, prowadzenia edukacji, szkoleń i ćwiczeń w zakresie cyberobrony, podobnie jak konieczność alokowania w tym obszarze odpowiednich zasobów.

Deklaracja nie jest tylko zestawem ładnych zdań - państwa zobowiązały się do zastosowania mechanizmów oceny i dokonania przeglądu założeń w ramach kolejnego szczytu.

Cyberdefence24.pl: Czy jest szansa, że w przyszłości powstanie sugerowany udział kapitałowy wydatków na cyberobronę w budżecie podobny do wymogu 2% PKB, który musi spełnić każdy kraj członkowski NATO w odniesieniu do budżetu obronnego?

Kmdr por. W. G.: Nie jestem umocowany do tego, by udzielić należytej odpowiedzi na to pytanie - jest to kwestia decyzji politycznej, która takie wymogi w odniesieniu do wydatkowania nakładałaby na państwa członkowskie. Jednakże, biorąc pod uwagę, że z 2% PKB aż 20% ma być przeznaczane na modernizację, badania i rozwój, mogą pojawić się sugestie, że fundusze na cyberobronę zawierają się gdzieś w tych 20%. Jednakże znowu, pomimo istnienia wiadomej wytycznej 2% PKB, jedynie garstka krajów członkowskich utrzymuje wydatki obronne na takim poziomie, stąd też nie wiem, czy zaistnieje jakakolwiek wola, by narzucić członkom NATO jakiekolwiek dodatkowe progi czy poziomy wydatków.

Cyberdefence24.pl: Finalna deklaracja zawierała także stwierdzenie, sugerujące, że NATO nawiąże współpracę w obszarze cyberbezpieczeństwa z innymi państwami i organizacjami. Czy wie Pan, z którymi państwami i organizacjami NATO współpracuje lub zamierza współpracować w przyszłości? Jaki jest przewidziany zakres takiej współpracy?

Kmdr por. W. G.: NATO współpracuje z wieloma organizacjami międzynarodowymi, w tym UE, ONZ, OBWE. Celem takiej współpracy jest wzajemne uzupełnianie się - unikanie duplikowania obszarów naszych kompetencji z jednoczesnym zapewnieniem wzajemnego wsparcia w obszarach, gdzie mogą zaistnieć braki w zdolnościach. UE jest jednym z najistotniejszych partnerów NATO w obszarze obrony cybernetycznej i obie organizacje w trakcie warszawskiego szczytu zadecydowały, że wzajemną współpracę w tym zakresie należy dalej pogłębiać. O niej i jej szczegółach opowiedziałem w jednej z moich odpowiedzi na poprzednie pytania.

W kwestii współpracy z państwami najbardziej oczywistym i najważniejszym aspektem pozostaje współpraca między NATO i państwami członkowskimi. By wzmocnić świadomość sytuacyjną, stworzono w 2015 r. wzór drugiej generacji Memorandum o Porpozumieniu (Memorandum of Understanding – MOU) w dziedzinie cyberobrony. NATO podpisze porozumienia z krajowymi organami zajmującymi się cyberobroną wszystkich 28 państw członkowskich w celu stworzenia ustaleń dotyczących wymiany różnych informacji związanych z cyberobroną i wsparcia w obszarze zapobiegania cyberincydentom, odporności i zdolności odpowiedzi. Czechy były pierwszym z państw członkowskich, które podpisało takie MOU z NATO Cyber Defence Management Board.

Sojusz współpracuje też z państwami partnerskimi w oparciu o wspólne wartości i podejście do działań obronnych w obszarze cybernetycznym. Prośby o współpracę NATO rozpatruje indywidualnie, w oparciu wspólny interes, stąd potencjalny zakres takiej współpracy może różnić się w zależności od obszaru wspólnych zainteresowań.

Cyberdefence24.pl: W deklaracji czytam także o Cybernetycznym Partnerstwie NATO-Przemysł. Czy mógłby Pan rozwinąć tę kwestię i wyjaśnić, czym ono jest i jakie są funkcje takiego partnerstwa?

Kmdr por. W. G.: Współpraca z przemysłem została sformalizowana w ramach inicjatywy NATO Industry Cyber Partnership (NICP), która została stworzona i zatwierdzona przez Sojusz w oparciu o założenie, że zarówno przemysł, jak i NATO stoją w obliczu wspólnego ryzyka w cyberprzestrzeni, a sprostanie tym wyzwaniom wymaga ustalenia nowych ram działania.

NICP pozwala NATO i jego sojusznikom na współpracę, której celem jest wzmocnienie relacji z przemysłem. Partnerstwo to opiera się na istniejących strukturach, obejmuje podmioty NATO, krajowe zespoły reagowania na zagrożenie komputerowe (CERT) i przedstawicieli przemysłu krajów członkowskich NATO. Dzielenie się informacjami, ćwiczenia, szkolenia, edukacja i wielonarodowe projekty w zakresie inicjatywy „Smart Defence” to tylko kilka przykładów obszarów, w których NATO i przemysł pracowały wspólnie.

W ramach NICP, NCIA uruchomiło koncepcję inkubatora cyberbezpieczeństwa, którego zadaniem jest rozwinięcie nowego modelu współpracy przemysłowej NATO. Celem jest skrócenie czasu potrzebnego NATO do rozwinięcia swoich zdolności odpowiedzi w cyberprzestrzeni, w oparciu o wyniki programów badawczo-rozwojowych już prowadzonych przez przemysł i instytucje naukowe.

Istnieje wiele innych ram współpracy, takich jak System Informacji Cybernetycznej i Koordynacji Reagowania na incydenty (Cyber Information and Incident Coordination System - CIIS). Jest to internetowa aplikacja opracowana na potrzeby dzielenia się informacjami w zakresie cyberobrony w zaufanej społeczności, otwarta dla wszystkich krajów członkowskich NATO i krajów partnerskich, a także dla podmiotów komercyjnych.

Czytaj też: NATO w cyberprzestrzeni po szczycie w Warszawie