NATO poczyniło kolejny krok, uznając cyberprzestrzeń za obszar bitewny równy morzu, lądowi, powietrzu i przestrzeni kosmicznej. Sojusz musi jednak w przyszłości podjąć śmielsze działania, jeżeli chce faktycznie uczynić ją pełnoprawnym środowiskiem operacyjnym.
Sojusz północnoatlantycki stosunkowo późno zaczął rozwijać politykę bezpieczeństwa w cyberprzestrzeni, mimo że pierwszy raz został zaatakowany w tym środowisku w 1999 roku, podczas operacji w Kosowie. Wtedy to serbscy hakerzy, wspomagani przez Chińczyków i Rosjan, przeprowadzili ataki typu Denial Distribiuted of Service (DDoS) na systemy teleinformatyczne. Wydarzenie to nie wpłynęło jednak w znaczny sposób na działania NATO w kwestii cyberbezpieczeństwa, które wówczas traktowano marginalnie. Zmiana nastąpiła w 2007 roku, kiedy ofiarą zmasowanego ataku w przestrzeni wirtualnej padła Estonia. Wprawdzie nie doprowadził on do znacznych szkód, jednak efekt psychologiczny, pokazujący możliwości wykorzystania cyberprzestrzeni do operacji ofensywnych, zmusił polityków do działania.
Od tamtego czasu w Organizacji Traktatu Północnoatlantyckiego powołano odpowiednie instytucje, m.in. Centrum Doskonalenia Obrony przez Cyberatakami (NATO Cooperative Cyber Defence Centre of Excellence), Radę NATO ds. Zarządzania Cyberobroną (The Cyber Defence Management Board) czy Agencję NATO ds. Komunikacji i Informacji (NATO Communication and Information Agency). Przyjęto również politykę cyberobrony (Cyber Defense Policy), a cyberbezpieczeństwo stało się istotną częścią koncepcji strategicznej z 2010 roku. W 2014 roku na szczycie NATO w Walii stwierdzono, że istniejące obecnie normy prawa międzynarodowego obowiązują również w cyberprzestrzeni, co jest tożsame ze stanowiskiem Stanów Zjednoczonych oraz państw zachodnich, sprzeciwiających się próbom wprowadzenia przez Chiny i Rosję nowego traktatu regulującego tę dziedzinę. Przełomowe było jednak stwierdzenie, że atak w cyberprzestrzeni może wywołać zmiany materialne, co daje państwom sojuszu podstawę do powołania się na artykuł 5 traktatu waszyngtońskiego. W dokumencie nie znalazły się jednak szczegóły mówiące o czynnikach decydujących o podjęciu takiej decyzji czy precyzujące rodzaj ataku. Ograniczono się do sformułowania, że Rada Północnoatlantycka będzie rozpatrywała każdy przypadek oddzielnie.
Od 2014 roku minęły dwa lata, a w tak dynamicznym środowisku jak cyberprzestrzeń to bardzo dużo. Wzrosła liczna ataków na urządzenia mobilne, mieliśmy do czynienia z udanym atakiem na infrastrukturę energetyczną na Ukrainie oraz na hutę stali w Niemczech. Wydarzenia te udowodniły prawdziwość twierdzenia o rosnącym znaczeniu cyberprzestrzeni dla infrastruktury krytycznej państwa i jego sił zbrojnych. Dlatego spodziewano się kolejnych decyzji w tej dziedzinie na najbliższym szczycie NATO.
Postanowienia na szczycie
Cyberbezpieczeństwo stanowiło istotną część rozmów w trakcie warszawskiego szczytu. Zgodnie z wcześniejszymi zapowiedziami ekspertów i samego sekretarza generalnego Jensa Stoltenberga, najważniejszą decyzją podjętą w dziedzinie cyberbezpieczeństwa było uznanie cyberprzestrzeni za kolejny obszar bitewny, taki jak morze, ląd, powietrze i przestrzeń kosmiczna. Wymaga to od NATO stworzenia potencjału obronnego w środowisku wirtualnym oraz możliwości swobodnego operowania w nim. Będzie się to wiązało z dalszą integracją cyberobrony w ramach planowania operacyjnego, także przyszłych misji i operacji wykonywanych przez sojusz. Pozwoli to na efektywniejsze zarządzanie natowskimi zasobami w cyberprzestrzeni. Ta decyzja sojuszu wpłynie również na prowadzone manewry wojskowe. Od teraz cyberobrona będzie prawdopodobnie częścią każdych z nich.
W zakończonych ostatnio w Polsce ćwiczeniach „Anakonda ’16” ten element został przetestowany po raz pierwszy. Gdy wojska sojusznicze dokonywały manewrów, ich systemy teleinformatyczne zostały zakłócone, co znacznie utrudniało przemieszczanie się. Przeprowadzono również testy odporności wojska na cyberataki. W obu wypadkach korzystano z doświadczeń Amerykanów, gdyż to oni prowadzą najbardziej zaawansowane operacje w cyberprzestrzeni.
Ćwiczenia „Anakonda” nie były jedynymi sprawdzającymi zdolności wojsk NATO w cyberprzestrzeni. Podobne działania w środowisku wirtualnym przeprowadzono również podczas największych manewrów sojuszu „Trident Juncture ’15”. NATO organizuje też corocznie ćwiczenia, które są skoncentrowane tylko na kwestiach cyberobrony. Szczególnie aktywne w tych działaniach jest zlokalizowane w Tallinie Centrum Doskonalenia Obrony przed Cyberatakami, przygotowujące i przeprowadzające ćwiczenia „Cyber Coalition” i „Cyber Shield”. Pozwalają one na sprawdzenie zdolności operowania w środowisku wirtualnym oraz na zidentyfikowanie najważniejszych dziedzin, nad którymi należy pracować.
Z uznaniem przez NATO cyberprzestrzeni jako obszaru prowadzenia działań wojskowych jest związana kolejna decyzja podjęta na szczycie w Warszawie – o zwiększeniu współpracy w ramach Cyber Range, czyli szerszym wykorzystaniu infrastruktury szkoleniowej zlokalizowanej w Tallinie. Powstała ona w 2014 roku i pozwala na testowanie cyberzdolności w ramach struktur NATO, dzielenie się dobrymi praktykami oraz swobodny dialog ekspertów.
Innym ważnym postanowieniem była wspólna deklaracja partnerstwa strategicznego z Unią Europejską, a jeden z jej punktów odnosił się właśnie do kwestii związanych z cyberbezpieczeństwem. Organizacje postanowiły o zawarciu tzw. porozumienia technicznego, polegającego na wymianie informacji o atakach. Decyzję tę należy ocenić pozytywnie, ponieważ Unia Europejska i NATO mogą razem zdziałać więcej w tej dziedzinie, łącząc tzw. miękką (soft power) i twardą siłę (hard power). W przeszłości, niestety, ta współpraca nie spełniała pokładanej w niej nadziei. NATO swojej międzynarodowej współpracy nie chce ograniczać wyłącznie do Unii Europejskiej. W końcowej deklaracji wyrażono chęć i gotowość sojuszu do bilateralnego i multilateralnego dialogu w celu stworzenia norm zachowania państw w cyberprzestrzeni i budowy globalnej kultury cyberbezpieczeństwa. Wziąwszy jednak pod uwagę, że wymaga to kooperacji ze strony Chin, Rosji i innych podmiotów autorytarnych, trudno się spodziewać konkretnych efektów. Prawdopodobnie skończy się tylko na deklaracjach politycznych.
NATO w końcowej deklaracji z warszawskiego szczytu zawarło też istotną informację, zobowiązującą państwa członkowskie do wzmocnienia ochrony swoich sieci i systemów teleinformatycznych. Nawiązano tutaj do artykułu 3 traktatu waszyngtońskiego, mówiącego o konieczności rozwijania „indywidualnej i zbiorowej obrony”. W kontekście cyberbezpieczeństwa nabiera to znaczenia szczególnego. Słabe zabezpieczenia jednego z członków NATO narażają bowiem na niebezpieczeństwo całą organizację. Hakerzy, którzy zawsze poszukują najsłabszych punktów, zdecydują się na włamanie i zainstalowanie złośliwego oprogramowania. Nieświadomi wojskowi i politycy mogą je rozesłać po systemach NATO i swoich sojuszników.
Niestety, podczas szczytu nie poruszono istotnego tematu, związanego z interpretacją cyberataku w kontekście odwołania się do artykułu 5. Ograniczono się tylko do powtórzenia stwierdzenia z Newport, nie podając, jaki rodzaj cyberataku może wywołać taką reakcję. Czy musi on spowodować zniszczenia materialne i doprowadzić do śmierci ludzi, czy wystarczy, że straty będą porównywalne do ataku konwencjonalnego? Brak zdecydowania sojuszu w tym wypadku może doprowadzić do prób sprawdzenia wiarygodności zapisu mówiącego o tym, czy NATO faktycznie może odpowiedzieć na cyberatak.
Postanowienia szczytu należy postrzegać jako kolejny krok na drodze rozwoju polityki cyberbezpieczeństwa sojuszu północnoatlantyckiego, która jest wypadkową interesów różnych państw i opiera się na kompromisie. Dobrze jednak, że decydenci NATO zauważyli zmiany, które się dokonują w świecie wirtualnym.
Krok naprzód
Rzeczywisty efekt decyzji, jakie zapadły podczas szczytu w Warszawie, będziemy mogli ocenić dopiero w przyszłości. Kiedy w 2011 roku Stany Zjednoczone uznały cyberprzestrzeń za oddzielne pole walki, natychmiast stworzono cyberstrategię Departamentu Obrony i nową, osobną jednostkę dowódczą – Dowództwo ds. Operacji w Cyberprzestrzeni (United States Cyber Command). W 2012 roku prezydent Barack Obama podpisał z kolei dyrektywę definiującą sposób przeprowadzania ataków cybernetycznych. NATO, jeżeli poważnie myśli o traktowaniu cyberprzestrzeni jako kolejnego obszaru prowadzenia działań zbrojnych, musi podjąć podobne działania.
Po pierwsze, Organizacja Traktatu Północnoatlantyckiego powinna zdefiniować, w ramach jednego dokumentu strategicznego, swoją tożsamość oraz rolę, jaką chciałaby odgrywać w środowisku wirtualnym. Dodatkowo należałoby przedstawić swoją wizję cyberprzestrzeni, udziału NATO w zarządzaniu nią i pogląd na zastosowanie obowiązujących norm prawa międzynarodowego. Część z tych informacji została już zawarta w deklaracjach ze szczytów, głównie z Newport i Warszawy, ale umieszczenie ich w uporządkowany sposób w jednym dokumencie byłoby jasnym sygnałem definiującym intencje sojuszu. Kolejną reformą, którą powinno się przeprowadzić w przyszłości, jest powołanie oddzielnego dowództwa odpowiedzialnego za operacje w cyberprzestrzeni. Pozwoli to na efektywniejsze wykorzystanie posiadanych przez NATO zasobów oraz zapewni wsparcie dla prowadzonych przez sojusz operacji i misji. Istniejące w strukturach sił zbrojnych Stanów Zjednoczonych USCYBERCOM jest zaangażowane w kampanie przeciwko tzw. Państwu Islamskiemu na takich samych zasadach, jak siły powietrzne czy marynarka wojenna.
Najtrudniejszą do przeforsowania reformą będzie zmiana podejścia do działania w środowisku wirtualnym i zmiana doktryny NATO z wyłącznie obronnej. Jeżeli jednak kroki w tym kierunku nie zostaną podjęte, zdecydowanie zmaleją możliwości odstraszania przeciwnika, co – jak należy pamiętać – leży u podstaw polityki sojuszu północnoatlantyckiego. Ponadto cyberataki na szeroką skalę, takie jak chociażby na infrastrukturę energetyczną na Ukrainie, wykorzystuje główny przeciwnik NATO, czyli Rosja. Brak zdolności ofensywnych sojuszu ogranicza również możliwość odpowiedzi. W 2014 roku uzgodniono, że mogłaby ona nastąpić w wyniku zastosowania artykułu 5. Pojawia się jednak pytanie, jak taki kontratak mógłby wyglądać, skoro NATO w środowisku wirtualnym takich zdolności nie ma. Ich nabycie pozwoli na bardziej elastyczne i stopniowe reagowanie w razie zagrożenia i nie wymusi odwetu z użyciem broni konwencjonalnej, co mogłoby doprowadzić do konfliktu zbrojnego na dużą skalę.
Kolejnym działaniem, które musi podjąć NATO w przyszłości, jest próba standaryzacji polityki cyberbezpieczeństwa poszczególnych członków. Dobrym pomysłem wydaje się powołanie grupy planowania ds. cyberbezpieczeństwa, podobnej do Grupy Planowania Nuklearnego, zajmującej się kwestiami związanymi z bronią jądrową. Zasiadają w tym gronie nawet państwa, które jej w swoim arsenale nie posiadają. Co więcej, NATO w przyszłości powinno również wprowadzić procentową kwotę wymaganą od państw członkowskich, którą przeznaczono by na poprawę bezpieczeństwa systemów i sieci komputerowych. Decyzja o uznaniu cyberprzestrzeni za kolejny obszar prowadzenia działań jest z pewnością krokiem w dobrym kierunku, ale trzeba zrobić następne, jeśli NATO chce się liczyć jako sojusz wojskowy w świecie wirtualnym.
Andrzej Kozłowski jest doktorantem w Katedrze Studiów Transatlantyckich i Mediów Masowych na Wydziale Studiów Międzynarodowych i Politologicznych Uniwersytetu Łódzkiego oraz ekspertem Instytutu Kościuszki i Fundacji „Amicus Europae”.
autor zdjęć: Gaj Rudolf/Fotolia