W oczekiwaniu na cyberatak

Najważniejszy spór pomiędzy naukowcami uczestniczącymi przez ostatnie lata w debacie na temat cyberbezpieczeństwa dotyczył tego, jakie rodzaje zagrożeń powinny określić nasze postrzeganie tej problematyki. Z jednej strony, szereg wysokiej rangi przedstawicieli administracji amerykańskiej ostrzegało przed groźbą „Cyber 9/11” czy „Cyber-Pearl Harbor”, której urzeczywistnienie oznaczać musiałoby katastrofalny w skutkach atak na infrastrukturę krytyczną lub wojskową USA. Mógłby on spowodować znaczne  szkody gospodarcze i pociągnąć za sobą śmiertelne ofiary. Usunięcie skutków takiego ataku, musiałoby kosztować wiele wysiłku. Z drugiej strony niektórych nie przeraża tak bardzo wizja ataku o rozległym spectrum oddziaływania. Ostrzegają oni natomiast przed „śmiercią zadaną tysiącem ciosów” poprzez permanentną kradzież własności intelektualnej i tożsamości czy drobniejsze ataki, które doprowadzić mogą do zatrucia i degradacji otwartego Internetu. Kwestią budzącą w tej dyskusji najwięcej wątpliwości jest to, w jaki sposób wykorzystujemy zasoby związane z cyberbezpieczeństwem, w odniesieniu do których wciąż możemy mówić wyłącznie o deficycie, niezależnie od tego czy mowa o pieniądzach, personelu, roboczogodzinach, czy też rozwoju polityki - w które z tych obszarów prewencji należy zainwestować więcej?

Niezależnie od tego, która ze stron sporu ma rację, należy założyć, że to jednak do rządu należy obowiązek odpowiedniego przygotowania się na odpowiedź na najgorszą możliwą ewentualność. Pokazano to w grze wojennej Cyber Shockwave w 2010 r. Scenariusz symulacji zakładał utratę sieci teleinformatycznych, finansowych i przesyłu energii elektrycznej. Gra wojenna została przygotowana przez byłego sekretarza bezpieczeństwa wewnętrznego USA, Michaela Chertoffa, i byłego dyrektora CIA, Michaela Haydena. Mogliśmy dzięki niej zobaczyć jak nerwowa i chaotyczna mogłaby być reakcja na serię cyberataków ze strony wysokiej rangi przedstawicieli administracji, gdyby nie posiadali oni jasno określonego planu działania i podziału kompetencji, które wskazywałyby jak powinny postępować w tej sytuacji władze.

W trakcie ćwiczeń Cyber Shockwave, uczestnicy symulacji w obliczu problemów z dostępem do telekomunikacji i energii elektrycznej, a co za tym idzie ograniczonych możliwości bezpośredniego komunikowania się z mieszkańcami, zwrócili się o pomoc do Gwardię Narodową, która przekazywała ludności informacje o zamiarach władz, dbała o utrzymanie porządku publicznego i udzielała wsparcia pomagając wznowić działanie infrastruktury krytycznej.

Krótko po symulacji Cyber Shockwave, rząd Stanów Zjednoczonych opublikował wstępną wersję dokumentu National Cyber Incident Response Plan (NCIRP - Krajowy Plan Reagowania na Incydenty Cybernetyczne), który miał na celu przydzielenie obszarów odpowiedzialności i ról aktorom rządowym na wypadek wystąpienia wyżej opisanego kryzysu. Obecnie, sześć lat po wydaniu NCIRP powstał nowy raport niezależnego organu rewizyjnego, czyli Government Accountability Office. Okazało się, że Departament Obrony Stanów Zjednoczonych „nadal nie definiuje jasno swojej roli i zakresu odpowiedzialności za cyberincydenty”.

Według NCIRP, na pierwszym poziomie odpowiedzialności za koordynowanie kroków związanych z reagowaniem na incydenty związane z cyberprzestrzenią zarządzaniem powinien zajmować się Departament Bezpieczeństwa Wewnętrznego (Department of Homeland Security/DHS). W pewnym sensie, takie założenie jest uzasadnione. Jest to departament, który odpowiada także za zarządzanie kryzysowe w okolicznościach związanymi z katastrofami naturalnymi, za pośrednictwem Federalnej Agencji Zarządzania Kryzysowego (Federal Emergency Management Agency - FEMA). Skoro Departament Bezpieczeństwa Wewnętrznego jest gestorem zasobów umożliwiających usuwanie skutków huraganów, powodzi i innych katastrof, takie same uprawnienia można i powinno się temu organowi przydzielić w zakresie przeciwdziałania skutkom dotkliwych cyberataków.

Jednakże Krajowy Plan Reagowania na Incydenty Cybernetyczne przewiduje, że DHS może być w posiadaniu ograniczonych uprawnień, jeżeli chodzi o wiele obszarów, które w przypadku cyberagresji mogą okazać się kluczowe. Przykładowo, dotkliwy w skutkach cyberatak, który wymagałby zwrócenia się ku NCIRP, niemal na pewno byłby ukierunkowany przeciwko infrastrukturze krytycznej. Tymczasem wiele z najwrażliwszych sektorów infrastruktury – energetyczny, atomowy, finansowy, telekomunikacja – nie podlegają bezpośrednio jurysdykcji Departamentu Bezpieczeństwa Wewnętrznego. Podlegają one agencjom zarządzającym poszczególnymi dziedzinami, np. Departamentowi Energii. Plan NCIRP stanowi, że tego rodzaju agencje odpowiadają za zapewnienie „ekspertyz w zakresie bezpieczeństwa, zależności i środków we własnych sektorach”.

Co więcej, NCIRP, a w ujęciu ogólnym także prawo USA, dopuszczają możliwość, że pomimo nałożonego na siły zbrojne obowiązku obrony przed wrogiem zewnętrznym, mogą wystąpić sytuacje, w których kryzys będzie tak głęboki, iż zaistnieje potrzeba skorzystania z wojska w kraju. Zgodnie z ustawą Stafforda (Disaster Relief and Emergency Assistance Act - ustawa o łagodzeniu skutków klęsk żywiołowych i pomocy w sytuacjach nadzwyczajnych), jeżeli władze stanowe nie radzą sobie z sytuacją, prezydent może ogłosić stan wyjątkowy, która pozwala władzom dotkniętej klęską jednostki administracyjnej zwrócić się o pomoc do rządu federalnego. Inny akt prawny, „Emergency Act” (ustawa o  sytuacjach nadzwyczajnych) pozwala agencjom federalnym oczekiwać wsparcia ze strony innych agencji rządowych. Ustawa ta kompleksowo definiuje to, co znane jest jako Wsparcie Obronne Władz Cywilnych (Defense Support of Civil Authorities - DSCA), czyli warunki, w ramach których można wezwać wojsko do podjęcia działań, zwykle zarezerwowanych dla organów administracji cywilnej.

W trakcie ćwiczeń Cyber Shockwave, uczestnicy symulacji w obliczu problemów z dostępem do telekomunikacji i energii elektrycznej, a co za tym idzie ograniczonych możliwości bezpośredniego komunikowania się z mieszkańcami, zwrócili się o pomoc do Gwardię Narodową, która przekazywała ludności informacje o zamiarach władz, dbała o utrzymanie porządku publicznego i udzielała wsparcia pomagając wznowić działanie infrastruktury krytycznej. Z kolei NCIRP zakłada, że incydenty cybernetyczne mogą okazać się zbyt wielkim obciążeniem dla personelu, przerastając poziom wyszkolenia lokalnych władz, organów ścigania i  przedstawicieli rządu. Dlatego twórcy NCIRP uznali za konieczne, by objąć cyberincydenty możliwością odwołania się do sił zbrojnych w ramach DCSA.

W pewnym sensie powinna być to najprostsza część polityki cyberbezpieczeństwa. Planowanie reagowania na cyberincydenty nie wymaga uchwalania nowego prawa, tworzenia nowych organów władz, przydziału nowych funduszy czy też poważniejszych sporów z prywatnym biznesem. Jest to materia związana z procesami planowania, ustalania ról i przydziału odpowiedzialności, a także odpowiedniego szkolenia. Wszystkie te dziedziny stanowią ponadto codzienność dla wojska. Dlatego właśnie, wyniki audytu przeprowadzonego przez Government Accountability Office (GAO) są niepokojące - agencja dokonała przeglądu dokumentów Departamentu Obrony, określających sposób reagowania w przypadku wystąpienia scenariuszy wymagających udzielenia wsparcia władzom cywilnym, w okolicznościach związanych z incydentami cybernetycznymi.

Okazało się, że pomimo tego, iż dokumenty z wytycznymi DSCA na wypadek wystąpienia sytuacji kryzysowych innego rodzaju zawierają szczegóły dotyczące ról i zakresu odpowiedzialności poszczególnych przedstawicieli administracji Pentagonu, takiej precyzji brakuje w zakresie reagowania na incydenty w cyberprzestrzeni. W szczególności dotyczy to następujących kwestii:

• odpowiedzialności poszczególnych komponentów Departamentu Obrony w zakresie wsparcia  władz cywilnych w obliczu incydentów cybernetycznych. Przykładowo, nie jest jasne, czy obowiązki te powinien przejąć zastępca sekretarza obrony ds. obrony kraju i bezpieczeństwa globalnego czy też inny urzędnik.

• braku wytycznych określających precyzyjnie, które dowództwo bojowe zostałoby wyznaczone jako dowództwo zadaniowe, odpowiadające w pierwszej kolejności za udzielenie wsparcia władzom cywilnym w okolicznościach incydentu cybernetycznego – czy byłoby to Dowództwo Północne (U.S. Northern Command), czy też może Dowództwo Cybernetyczne (U.S. Cyber Command)?

• braku dowódcy o podwójnym statusie, którego jurysdykcji podlegałyby federalne siły zbrojne i Gwardia Narodowa, i który dowodziłby wsparciem władz cywilnych na wypadek incydentu w cyberprzestrzeni.

Powyższe uchybienia są dość kłopotliwe. Pokazują, jak trudne jest zintegrowanie zdolności cybernetycznych w ramach istniejącej struktury biurokratycznej, niezależnie od tego, czy chodzi tu o dziwny podział odpowiedzialności w całym rządzie federalnym czy też o określone agencje rządowe, np. w Departamencie Obrony. Ujawniają również konieczność organizowania bardziej rozbudowanych ćwiczeń cyberbezpieczeństwa, który pełniłyby rolę stress testów taktyki i planów rządu, opracowanych w ramach przygotowań do reagowania na najczarniejsze scenariusze. Departament Bezpieczeństwa Krajowego USA prowadzi symulację Cyber Storm, lecz jest to ćwiczenie „biurkowe”, nie polowe, w przypadku którego wymagane byłoby zaangażowanie odpowiednich aktywów i przetestowanie struktur dowodzenia w czasie rzeczywistym. Podobnie jak oprogramowanie jest poddawane testom penetracji, tak samo należałoby postąpić z planami reagowania na cyberincydenty sprawdzając w realnych warunkach „polowych”, by nie okazały się jedynie planami na papierze.

Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl