Kongres USA obraduje nad cyberbezpieczeństwem

Po tym jak w lutym br. prezydent Barack Obama przedstawił swój projekt budżetu, nadszedł czas, by Kongres odniósł się do propozycji głowy państwa wprowadzając własne poprawki. W tym tygodniu Komisja Sił Zbrojnych Izby Reprezentantów skupiła się nad legislacją towarzyszącą budżetowi, czyli projektem Ustawy Dopuszczającej Obronę Narodową (National Defense Authorization Act/NDAA), która określa zasady prawne wydawania środków budżetowych przyznanych Departamentowi Obrony Stanów Zjednoczonych. Podczas tych obrad pojawiło się parę interesujących propozycji dotyczących zdolności sił zbrojnych USA do działań w cyberprzestrzeni.

Kwestia pierwsza, podniesiona przez Podkomisję Sił Zbrojnych ds. Nowych Zagrożeń i Zdolności (Armed Services Subcommittee on Emerging Threats and Capabilities) odnosiła się do przedstawionej przez sekretarza obrony Asha Cartera wizji znalezienia sposobu na wykorzystanie innowacyjności Doliny Krzemowej w siłach zbrojnych. Carter powołał do życia Eksperymentalną Jednostkę Innowacji Obronnych (Defense Innovation Unit Experimental/DIUx) z siedzibą na starym lotnisku w bezpośrednim sąsiedztwie Doliny Krzemowej. Ma ona za zadanie pomóc w ustaleniu, które z nowych rozwiązań teleinformatycznych mogą być wykorzystane przez wojsko. Drugi cel to zbudowanie relacji ze start-up’ami i firmami teleinformatycznymi, które pierwotnie nie zakładały uruchomienia produkcji na potrzeby sił zbrojnych. Koncepcja Cartera z oczywistych względów wywołała poruszenie wśród czołowych producentów uzbrojenia i sprzętu obronnego, których głównym polem działania jest zaopatrywanie sił zbrojnych USA w niezbędne rozwiązania. Firmy te niechętnie spoglądają na potencjalną konkurencję z Doliny Krzemowej.

Można było odnieść wrażenie, że Kongres wziął stronę branży zbrojeniowej, wprowadzając do NDAA zapis ograniczający wysokość kwot, które Departament Obrony może wydać za pośrednictwem DIUx „do czasu przedstawienia przez sekretarza obrony obu komisjom obrony Kongresu raportu na temat wykorzystania środków finansowych przeznaczonych na stworzenie i rozwój DIUx”. Nominalnym powodem powyższego ograniczenia jest obawa kongresmenów przed zawężeniem pola działalności jednostki eksperymentalnej do Doliny Krzemowej przy jednoczesnym niedostatecznym określeniu, które technologie należy rozwijać. Jakiekolwiek przesłanki stały wprowadzeniem wspomnianych ograniczeń, zapis ten uszczęśliwi lobby przemysłu zbrojeniowego spowalniając działania Departamentu Obrony w zakresie wdrażania innowacyjnych technologii.

Drugi zapis wprowadzony do NDAA przez Podkomisję Sił Zbrojnych ds. Nowych Zagrożeń i Zdolności dotyczy możliwości zapewnienia państwu technologii niezbędnych dla obrony przed cyberatakiem lub usunięcia jego skutków. Obecnie rząd może skorzystać ze specjalnej przyspieszonej procedury zakupów, która jest dopuszczalna  w celu obrony przez atakiem z użyciem broni masowego rażenia (atomowej, biologicznej, chemicznej lub radiologicznej). Omawiany projekt ustawy przewiduje uzupełnienie powyższej listy o cyberataki, co pozwoli Departamentowi Obrony uniknąć konieczności stosowania powolnej procedury pozyskiwania technologii, które są niezbędne na wypadek cyberataków.

Trzeci zapis w projekcie NDAA dotyczy szkoleń sił obronnych, których zadaniem będzie reagowanie na ataki cybernetyczne. Podczas gdy Departament Obrony USA nadal intensywnie pracuje nad stworzeniem cybernetycznych zespołów zadaniowych i zapewnieniem im odpowiedniego personelu, ustawodawcy zdali sobie sprawę, że zdolności takich sił do zapewnienia adekwatnego poziomu ochrony sieci i systemów będą w dużej mierze zależały od poziomu ich wyszkolenia do prowadzenia działań obronnych. Dlatego projekt ustawy nakłada na Sekretarza Obrony obowiązek powołania jednostek przeznaczonych do działań w cyberprzestrzeni w każdym rodzaju sił zbrojnych. Zobowiązuje też Pentagon do rozwoju połączonego systemu szkoleń i certyfikacji standardów wspólnych dla wszystkich służb w celu zapewnienia odpowiedniego poziomu jakości.

Co ciekawe, omawiany zapis w projekcie ustawy wymaga też wprowadzenia „specjalnych ustaleń, które rozdzieliłyby działania prowadzone w świecie rzeczywistym w związku z zadaniami wykonywanymi w sieciach teleinformatycznych od procesu szkoleniowego”.

Szereg pomniejszych zapisów dotyczących działań w cyberprzestrzeni znalazł się w poprawkach przygotowanych przez inne podkomisje. Jeden z nich przewiduje obowiązek opracowania przez Departament Obrony strategii „rozwoju i pozyskania zaufanych technologii mikroelektronicznych z różnych źródeł” w celu zapewnienia odpowiedniego bezpieczeństwa łańcucha dostaw. Z kolei inny zapis przewiduje, że Pentagon przygotuje raport na temat „przyszłościowych koncepcji i technologii walki elektronicznej”. Raport ma zawierać informacje na temat strategii rozwoju i wdrażania nowych koncepcji operacyjnych, synchronizacji i nadzoru nad bieżącymi i przyszłymi programami, a także warunków szkolenia i wsparcia operacyjnego oraz metod zapewnienia rozwoju technologicznego”. Jeszcze inne zapisy rozszerzają Program Wymiany Technologii Informatycznych i Cybernetycznych (Cyber and Information Technology Exchange Program), który umożliwia wojsku i prywatnym przedsiębiorcom wymianę pomysłów i najlepszych praktyk dla zapewnienia odpowiednich technologii. Projektowane zmiany oznaczają też wzrost rangi programu, nad którego realizacją będzie odtąd pracować 50 osób zamiast jak obecnie  tylko 10.

Podczas gdy Izba Reprezentantów obradowała w tym tygodniu nad budżetem Departamentu Obrony, Senat jął przesłuchiwać po kolei kandydatów prezydenta do objęcia najwyższych stanowisk dowódczych w siłach zbrojnych. Wśród przesłuchiwanych był m.in. reprezentujący wojska lądowe (US Army) gen. Curtis Scaparrotti, przewidywany jako następca gen. Philipa Breedlove na stanowisku szefa US European Command i Naczelnego Dowódcy Sojuszniczego w Europie (Supreme Allied Commander Europe/SACEUR). Podczas przesłuchania gen. Scaparrotti omówił swą wizję jednostek cybernetycznych w siłach zbrojnych USA.

Aktualnie Departamentowi Obrony podlega dziewięć ujednoliconych dowództw bojowych (Unified Combatant Commands), które odpowiadają za połączone siły wielu rodzajów sił zbrojnych i których dowódcy odpowiadają bezpośrednio przed sekretarzem obrony. Spośród tych dowództw sześć posiada charakter regionalny (Afrykańskie, Centralne, Europejskie, Północne, Południowe i Pacyficzne), a trzy - funkcjonalny (Operacji Specjalnych, Strategiczne i Transportu). Istniejące Dowództwo Cybernetyczne (U.S. Cyber Command/USCYBERCOM) podlega Dowództwu Strategicznemu (U.S. Strategic Command), jednak coraz więcej zwolenników zyskuje pogląd, że należy podnieść je do szczebla samodzielnego ujednoliconego dowództwa bojowego (Unified Combatant Command). Gen. Scaparrotti podzielił ten pogląd oświadczając: „Wierzę, że Dowództwo Cybernetyczne powinno dołączyć do trzech istniejących dowództw funkcjonalnych. Taka reorganizacja pozwoliłaby na skonsolidowanie działań naszych sił cybernetycznych, zapewniając im odpowiednie zasoby do prowadzenia operacji w dziedzinie, której znaczenie rośnie, podobnie jak i wyzwania, z jakimi się ona boryka”.

Nie mniej ważne może okazać się wzmocnienie roli cyberdowódcy w łańcuchu dowodzenia, dzięki czemu jego bezpośrednim przełożonym stanie się sekretarz obrony. Pozwoli to wyeliminować niektóre spośród ostatnio poruszanych problemów, w szczególności związane z brakiem jasnego podziału władzy i odpowiedzialności w Departamencie Obrony w odniesieniu do zagrożeń w cyberprzestrzeni.

Chociaż wszystkie omówione wyżej rozwiązania to jedynie projekty, a Kongres USA raczej nie będzie w najbliższym czasie zajmować się NDAA, widać, że w Departamencie Obrony coraz większą wagę przykłada się do finansowania i organizacji działań w cyberprzestrzeni. Istnieje też gotowość do sprawdzenia szeregu kandydatur na poszczególne stanowiska czy też modeli organizacyjnych i pozyskiwania technologii. 

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl