Trudniej zareagować na wybuch cyberwojny niż ją rozpoznać

Prawdopodobnie jednym z najbardziej frustrujących aspektów obecnego stanu badań nad cyberbezpieczeństwem jest mocno ograniczony zasób słownictwa, którym dysponujemy podejmując dyskusję na temat tego, co się dzieje w cyberprzestrzeni. Każde złośliwe działanie opisujemy bowiem jako „atak”, „hakowanie”, „naruszenie” lub „włamanie”. Zbyt mało czasu natomiast poświęca się na refleksję o tym, czym w istocie różnią się stosowane przez nas pojęcia. Nie ma powszechnie przyjętego sposobu różnicowania agresywnej aktywności w Sieci w zależności od a) podmiotu napastnika (państwa narodowe? przestępczość zorganizowana? haktywiści?), b) atakowanego obiektu (rząd? infrastruktura krytyczna? prywatni przedsiębiorcy? osoby fizyczne?), c) celu (szpiegostwo? szpiegostwo gospodarcze? zysk? sabotaż? przekazywanie komunikatu?), d) wektora ataku (phishing? wykorzystanie danych komercyjnych? zero-day exploit?) czy e) jego skutku (infiltracja sieci? wyprowadzenie danych? uszkodzenie systemu?). Dzieje się tak, mimo iż powyższe podziały mają charakter rzeczywisty, a zatem powinny skutkować określeniem, kto jest odpowiedzialny za reakcję na wydarzenia w cyberprzestrzeni i jak taka reakcja winna wyglądać. Równie ważne jest, by pamiętać o tym, że jeżeli w mediach wszystko rutynowo określane jest mianem „cyberataku” czy zmasowanych „cyberataków”, łatwo dojść do wniosku, że znajdujemy się w samym środku cyberwojny z koniecznością udzielenia wszelkiego rodzaju odpowiedzi militarnej, jakiej wybuch tej „wojny” wymaga.

W tym tygodniu dwóch senatorów przedstawiło projekt ustawy, który przynajmniej częściowo ma na celu rozwiązanie problemu taksonomii cyberdziałań. Republikański senator Mike Rounds z Dakoty Południowej wraz z niezależnym senatorem Angusem Kingiem z Maine wspólnie poparli Cyber Act of War Act (Ustawa o Wypowiedzeniu Wojny Cybernetycznej). Ich wątpliwości są jednak  nieco innej natury niż te, które wyraziłem we wstępie do niniejszego felietonu. Senatorzy Rounds i King nie obawiają się przyjęcia zbyt rozległej definicji „cyber-wojny”; ich niepokój wywołuje raczej obawa, że administracja USA może nie rozpoznać wojny cybernetycznej, gdy takowa się rozpocznie.

Senator Mike Rounds, pisząc na temat projektu ustawy w Wall Street Journal, stwierdził, że: „Waszyngton nie posiada jasno ustalonej polityki odpowiedzi na cyberatak. Jeżeli atak przeciwko Stanom Zjednoczonym będzie miał konwencjonalny charakter wojskowy, to przyjęta polityka jest jasna. Wytyczne te należy jednak odpowiednio poszerzyć, by objęły one także obszar cyberprzestrzeni.

Aktualnie obowiązująca polityka zezwala Departamentowi Obrony na odpowiedź na cyberatak skierowany przeciwko wojsku i infrastrukturze wojskowej. Jednak przyjęte przez USA założenia nie są zdefiniowane wystarczająco jasno,w zakresie odpowiedzi ze strony Pentagonu na podobne akty agresji, wymierzone przeciwko cywilnej infrastrukturze krytycznej”.

Odnosząc się do tego problemu projekt ustawy wymaga od prezydenta, by ten w okresie sześciu miesięcy „opracował zasady umożliwiające ustalenie, kiedy działania prowadzone w cyberprzestrzeni stanowią akt wojny wymierzony przeciwko Stanom Zjednoczonych, i dokonał odpowiedniej rewizji dokumentu Law of War Manual (Podręcznik prawa wojennego), stosowanego przez Departament Obrony”. Omawiany projekt ustawy stanowi, że opracowane zasady polityki muszą uwzględniać „sposoby, w ramach których cyberatak może mieć skutki ekwiwalentne do ataku z użyciem broni konwencjonalnej, w tym także w wymiarze zniszczeń fizycznych i ofiar w ludziach”. Wymóg odnosi się też do „niewymiernych skutków o znacznym zasięgu, nasileniu i czasie trwania”.

Społeczność ekspertów zajmujących się problematyką bezpieczeństwa cybernetycznego w Waszyngtonie potraktowała przywołany projekt ustawy w najlepszym wypadku lekceważąco. Wynika to głównie z tego, że nie ma jasności, czy uchwalenie ustawy proponowanej przez duet senatorów Rounds-King przyniosłoby zamierzony skutek. Zobowiązanie prezydenta do „opracowania zasad umożliwiających ustalenie, kiedy działania prowadzone w cyberprzestrzeni stanowią akt wojny”, nie oznacza wcale zdefiniowania wojny cybernetycznej. Zamiast tego stworzone zostaną procedury oceny pojedynczych incydentów na podstawie kolejnych przypadków. Tymczasem takie procedury postępowania istnieją już i były wielokrotnie wykorzystywane, np. po cyberatakach na firmę Sony i Federalny Urząd Zarządzania Kadrami (Office of Personnel Management). Grozi to nieporozumieniem związanym z oceną, czy tego rodzaju ataki jak wyżej wymienione należy uznać za akt wojny. Administracja Baracka Obamy uznała, że w obu przywołanych przypadkach nie doszło do niej, jednak procedura podejmowania stosownej decyzji jest już gotowa do użycia i bywa stosowana.

W ub.r. podczas posiedzenia Komisji Spraw Zagranicznych Izby Reprezentantów dotyczącego Korei Północnej, gen. bryg. (emerytowany) Gregory Touhill, który  w kierownictwie Departamentu Bezpieczeństwa Wewnętrznego USA (Department of Homeland Security/DHS) odpowiada za cyberbezpieczeństwo, musiał odpowiedzieć na następujące pytanie: „W jakim momencie cyberatak, biorąc pod uwagę jego intensywność, dotkliwość i rozmiar, stanowi akt agresji, którego nie można pozostawić bez odpowiedzi?” Generał odparł wówczas: „Obecnie administracja pracuje nad tym, by stworzyć skodyfikowaną listę priorytetów i zasad ich określania przyglądając się temu problemowi od strony zarządzania ryzykiem i skutkami. Ten proces zajmie jeszcze trochę czasu, jednak ostatecznie dzięki pracom prowadzonym przez Kongres i inne gremia zgodnie z konstytucją wypracujemy odpowiedni dokument umożliwiający nam zdefiniowanie stanu spraw”.

Mówiąc krótko, administracja dysponuje kodeksem postępowania ("skodyfikowaną listą priorytetów i zasad ich określania"), które umożliwiają określenie, czy dany rodzaj cyberdziałań ("zarządzanie ryzykiem i skutkami") może być uznany za cyberatak ("odpowiedni dokument umożliwiający nam zdefiniowanie stanu spraw"). Oznacza to ni mniej ni więcej tylko to, że rozwiązane, które przewidzieli w swym projekcie ustawy senatorowie Rounds i King, już istnieje.

Należałoby raczej w tym miejscu zapytać, czy to, co próbowali znaleźć twórcy omawianego projektu ustawy, jest faktycznie dobrym pomysłem. Jak stwierdził na łamach Wall Street Journal senator Mike Rounds, chociaż projekt wymaga określenia zasad rozpoznawania cyberwojny, należy się raczej skupić na tym, co nastąpi, gdy już uzyskamy pewność, że mamy do czynienia z konfkliktem zbrojnym tego rodzaju. Rounds napisał: „W cyberświecie atak może zająć kilka milisekund. Wymaga to odpowiedniej reakcji w czasie rzeczywistym. Może się to okazać niemożliwe, jeżeli w tej dziedzinie nie będziemy mieć jasno określonej polityki postępowania”.

Powyższe stwierdzenie sugeruje, że senator Mike Rounds wolałby, żeby Stany Zjednoczone dysponowały jasną doktryną cyberwojny zamiast tylko jej definicją. Najistotniejszą kwestią nie jest jednak stwierdzenie, kiedy padamy ofiarą ataku, lecz to, co należy uczynić, gdy już dojdzie do agresji. Czy np. wojsko powinno odpowiadać na cyberataki przeciwko prywatnym przedsiębiorcom, które mają wymiar cyberwojny? A jeżeli tak, to, czy taka odpowiedź powinna mieć wymiar wyłącznie cybernetyczny? I czy powinna się ograniczać jedynie do sieci komputerowych państwa agresora (zakładając, że to państwo było podmiotem atakującym)? Czy można działać przeciwko celom niewojskowym? Są to zasadne wątpliwości, które siły zbrojne na całym świecie powinny rozważyć. Przedmiotem dyskusji jest również to, czy informacje na temat omawianej doktryny militarnej należy podawać do wiadomości publicznej. Jednak jasne jest to, że doktryna cyberwojny nie stanowi jej definicji

I to właśnie jest główny problem w dziedzinie bezpieczeństwa cyberprzestrzeni – zdefiniowanie tego, co wymaga definicji.