Cyberprzestrzeń umożliwiła siłom zbrojnym prowadzenie działań wcześniej niedostępnych. Ale paradoksalnie, to nie działania zbrojne w cyberprzestrzeni, lecz kwestia legalnego i pokojowego jej wykorzystania zdaje się przysparzać najwięcej wątpliwości i pytań – mówi kmdr por. Wiesław Goździewicz, szef Biura Prawnego JFTC w Bydgoszczy.
Co we współczesnym świecie, w dynamicznie zmieniającym się środowisku, jakim przyszło nam funkcjonować, jest według Pana, największym wyzwaniem dla prawników NATO?
Kmdr por. Wiesław Goździewicz: Niegdyś wyzwaniem było ujęcie w ramy prawne zagadnienia bezpośredniego udziału osób cywilnych w działaniach zbrojnych. Potem środowisko specjalistów z dziedziny prawa międzynarodowego zetknęło się z kwestiami dotyczącymi operacji cybernetycznych, by w 2014 r. podjąć próbę zdefiniowania norm prawnych dla tzw. działań hybrydowych. Pod tym względem „prawnicza rodzina” NATO nie ma sobie równych, a dzięki bliskim kontaktom i ścisłej współpracy tworzy coś na kształt zbiorowego umysłu albo wręcz „prawniczego superkomputera”.
W tym kontekście, w pierwszej chwili przychodzi mi na myśl bezpieczeństwo cybernetycze, z którym spotyka się ten prawniczy "superkomputer". Czy faktycznie jest to w tej chwili najwrażliwsza przestrzeń?
Dla NATO cyberprzestrzeń jest najmłodszą domeną operacyjną, po klasycznych: lądzie, morzu i powietrzu. Z wojskowego punktu widzenia, cyberprzestrzeń umożliwiła prowadzenie działań wcześniej niedostępnych w konwencjonalnych, fizycznych domenach. Tym niemniej, może nieco paradoksalnie, to nie działania zbrojne w cyberprzestrzeni, lecz kwestia legalnego i pokojowego jej wykorzystania zdaje się przysparzać najwięcej wątpliwości i pytań.
USA, pionier jeśli chodzi o uznanie cyberprzestrzeni za środowisko operacyjne, poszły już krok dalej i za domenę uznały całe spektrum elektromagnetyczne i powołały wojska kosmiczne. USA próbują tym samym zniwelować przewagę, jaką w dziedzinie zbrojeń kosmicznych osiągnęła Federacja Rosyjska i to mimo iż w 2011 r. jej wojska kosmiczne utraciły samodzielność po połączeniu z siłami powietrznymi.
Czy operacją cybernetyczną byłyby także działania dezinformacyjne?
Tak, jeśli prowadzone są za pośrednictwem cyberprzestrzeni lub w inny sposób wykorzystując środki cybernetyczne, na przykład poprzez włamanie na serwery w celu manipulowania informacjami tam gromadzonymi czy przetwarzanymi. Należy jednakże pamiętać, że samo rozpowszechnianie propagandy za pośrednictwem mediów elektronicznych niekoniecznie musi wiązać się z naruszeniem prawa międzynarodowego.
Kiedy będzie to miało miejsce?
Po pierwsze, kiedy spełnione zostaną kryteria atrybucji, czyli możliwości przypisania danej operacji określonemu państwu lub podmiotowi państwowemu. Po drugie, naruszenie podstawowych norm prawa międzynarodowego, takich jak suwerenność czy nieinterwencja lub zobowiązań traktatowych.
Przypisanie tego rodzaju działań określonemu podmiotowi nie jest bardziej skomplikowane niż w przypadku klasycznych form agresji?
W przypadku działań propagandowych czy dezinformacyjnych trudno mówić o agresji, gdyż ta zgodnie z prawem międzynarodowym wiąże się z atakiem zbrojnym. Atakiem zbrojnym jest użycie siły zbrojnej o określonej intensywności i natężeniu. Nie każda nielegalna nawet interwencja czy naruszenie suwerenności będzie równoznaczna z agresją.
Ale owszem, operacje cybernetyczne, czy w szerszym ujęciu działania hybrydowe, ułatwiają rozmycie czy ukrycie odpowiedzialności rzeczywistego sprawcy. Niejednokrotnie bezpośrednim sprawcą jest podmiot kryminalny, np. grupa hakerska, ale działająca na zlecenie władz określonego państwa. Jeszcze pięć lat temu, atrybucja stanowiła spore wyzwanie, choć nie była niemożliwa. Później coraz częściej udawało się przypisać operacje cybernetyczne konkretnym podmiotom, choć w dalszym ciągu jest to trudniejsze niż w przypadku działań konwencjonalnych. Zasadniczy powód jest banalnie prosty: niefizyczny charakter operacji w cyberprzestrzeni.
Czy relatywnie niska cena czy łatwy dostęp do technologii to czynniki sprawiające, że zagrożenie jakie może grozić państwom ze strony potencjalnego przeciwnika jest większe?
Tak, zagrożenie jest zdecydowanie większe również dlatego, że relatywnie niski koszt i popularność czynią narzędzia cybernetyczne dostępnymi również dla aktorów niepaństwowych. Na razie wprawdzie w ograniczonej skali, ale znalazły zastosowanie po obu stronach konfliktów asymetrycznych, np. między Izraelem a Hamasem czy między koalicją międzynarodową a ISIS. W przypadku działań hybrydowych należy pamiętać, że co do zasady prowadzą je państwa, aby ukryć swoje bezpośrednie zaangażowanie. Jeśli zdefiniować działania hybrydowe jako wykorzystanie pełnego spektrum środków dyplomatycznych, informacyjnych (w tym cybernetycznych), wojskowych, ekonomicznych i prawnych, potencjał państw w tym zakresie będzie w większości przypadków łatwy do oszacowania. Trudniejsza do przewidzenia będzie skłonność władz tych państw do podjęcia działań hybrydowych.
Tendencją obserwowaną na świecie jest konsolidacja wojskowych zdolności cybernetycznych: defensywnych i ofensywnych w strukturach wyspecjalizowanych sił lub wojsk cybernetycznych. Czy Polska powinna podążać tym tropem?
Pionierami w tym względzie były chyba Stany Zjednoczone, które w 2008 r. utworzyły U.S. CYBERCOM. Podobnie wyspecjalizowane jednostki powstały w Chinach, Korei Północnej, ale też w Izraelu, Francji, Holandii. W Wielkiej Brytanii skonsolidowano wojskowe i cywilne zdolności cybernetyczne pod auspicjami Government Communications Headquarters (GCHQ). W Niemczech w kwietniu 2017 r. utworzono scentralizowane Dowództwo Przestrzeni Cybernetycznej i Informacyjnej (Kommando Cyber- und Informazionsraum – KdoCIR).
Minister Antoni Macierewicz podczas Europejskiego Forum Cyberbezpieczeństwa CYBERSEC w Krakowie w październiku 2017 r. ogłosił utworzenie wojsk cybernetycznych. Decyzja ta materializuje się na naszych oczach. Przed kilkoma dniami minister Mariusz Błaszczak powołał pełnomocnika ds. utworzenia wojsk obrony cyberprzestrzeni i proces się rozpoczął.
Jakie, poza stworzeniem wojsk cybernetycznych pod scentralizowanym dowództwem są jeszcze kluczowe kwestie istotne dla wzrostu bezpieczeństwa cybernetycznego? Współpraca między państwami? Między sektorem prywatnym a państwowym?
Współpraca to słowo klucz w obronie cybernetycznej i niezbędny warunek jej skuteczności. Patrząc wyłącznie z perspektywy NATO, istotność współpracy w zakresie cyberobrony podkreślana była wielokrotnie od deklaracji szczytu w Lizbonie. Jeśli chodzi o współpracę między państwami, przytoczyć należy przede wszystkim Zobowiązanie na rzecz Cyberobrony (Cyber Defence Pledge), podpisane podczas szczytu w Warszawie.
W kwestii współpracy z partnerami, bardzo istotne decyzje zapadły w Newport w Walii w 2014 r., czego konsekwencją było stworzenie NATO-Industry Cyber Partnership (NICP) oraz Cyber Incident Information and Coordination System (CIICS). Sektor prywatny dysponuje dziś budżetem często nieosiągalnym dla niejednego państwa, stąd oczywisty wniosek, że platformy takie jak NICP mogą przynieść obopólne korzyści ich uczestnikom.
Skupmy się teraz na modnym ostatnio określeniu „lawfare”. Co to takiego i jakie ma zastosowanie w operacjach wojskowych?
W tym kontekście lawfare to wykorzystywanie prawa jako środka do osiągnięcia celów operacyjnych i strategicznych. HAMAS przy pomocy środków masowego przekazu niemalże przekonał opinię publiczną, że w czasie operacji „Płynny Ołów” wojska izraelskie dopuściły się niezliczonych zbrodni wojennych, eksploatując bezwzględnie każdy przypadek śmierci cywila w toku tej operacji, mimo że to palestyńscy bojówkarze wielokrotnie wykorzystywali cywilów w charakterze żywych tarcz. Sami dopuszczali się rażących naruszeń prawa międzynarodowego, jednocześnie obwiniając o to siły izraelskie. I byli w tym na tyle skuteczni, że ich punkt widzenia znalazł odzwierciedlenie w raporcie Goldstone'a.
Czy państwa zachodnioeuropejskie, USA, NATO stosują takie metody? Jeśli tak, to na ile skutecznie?
Oczywiście, że stosują. Pytanie o skuteczność należałoby jednak kierować do kogo innego. Lawfare ma zasadniczo dwie postaci: pozytywną i negatywną. Zwykliśmy wierzyć, że negatywną stosują tylko nasi przeciwnicy, co najlepiej widać na przykładzie Rosji, usiłującej za wszelką cenę legitymizować swoje nielegalne działania. Niestety, dezinformacja związana z pretekstem do inwazji na Irak w 2003 roku to przykład negatywnego lawfare w wykonaniu Stanów Zjednoczonych.
W NATO zagadnieniom lawfare zaczęto bliżej przyglądać się w 2014 r. po aneksji Krymu przez Rosję. Aneksji towarzyszyła bowiem intensywna kampania propagandowa mająca uzasadnić czy też usprawiedliwić działania Rosji na gruncie prawa międzynarodowego. Obecnie w NATO stopniowo przechodzi się na termin „legal operations”, co powinno się tłumaczyć jako „operacje prawne”, choć w języku angielskim jest dwuznaczny, może być bowiem rozumiany jako „legalne operacje”.
Czy dezinformacja jest immanentną cechą lawfare?
Nie, ponieważ lawfare można prowadzić w formie pozytywnej, informując opinię publiczną o legalności własnych działań, np. w oparciu o mandat Rady Bezpieczeństwa ONZ.
Czy do tworzenia takiej narracji niezbędny jest udział mediów?
Tak, udział mediów jest póki co nieodzowny, choć w sferze informacyjnej coraz bardziej zaczynają dominować serwisy społecznościowe czy szeroko rozumiane media elektroniczne. Łatwiej jest je bowiem zaprząc do machiny informacyjnej niż media tradycyjne. Należałoby jednak odróżnić propagandę jako sposób na manipulowanie percepcją czy kreowanie alternatywnych wersji rzeczywistości od operacji informacyjnych, których celem jest dotarcie do jak najszerszego grona odbiorców z prawdziwymi informacjami opisującymi rzeczywistość. Oczywiście, celem operacji informacyjnych również będzie wpływanie na opinię publiczną, ale bez uciekania się do manipulacji i dezinformacji.
Skoro obracamy się wokół wątku cyberprzestrzeni, to chciałabym żebyśmy weszli teraz nieco głębiej – w Dark Net, Deep Web. Sformułowania te usłyszałam po raz pierwszy kilka lat temu na jednym z Pańskich seminariów. Gdy chciałam dowiedzieć się czegoś więcej od programistów, spotkałam się z bardzo dziwną reakcją. Odniosłam wówczas wrażenie, że nie powinnam pytać, nie powinnam wiedzieć. Czy z tym głęboko schowanym, ciemnym obszarem Internetu wiąże się coś niebezpiecznego?
Deep Web to część Internetu nieindeksowana przez standardowe wyszukiwarki internetowe. Ukryta za specjalnymi protokołami wymiany danych, ale wcale nie tak niedostępna, jak może się wydawać. Niektóre usługi poczty elektronicznej czy bankowości elektronicznej schowane są przed standardowymi wyszukiwarkami, ale dotyczyć to może również serwisów np. typu VOD, wymagających uiszczenia płatności i podania stosownych danych logowania. Uważa się, że Dark Net, choć właściwsze byłoby używanie liczby mnogiej, jest częścią Deep Web.
Początki Dark Netu wcale nie wiążą się z nielegalną działalnością czy próbą ukrycia obecności przed agendami rządowymi. To właśnie rządowy projekt badawczy zapoczątkował stworzenie ARPANET (Advanced Research Projects Agency Network), w której komputery dla zapewnienia bezpieczeństwa danych tylko gromadziły dane, nie transmitując żadnych od siebie, by w ten sposób nie ujawniać swojego istnienia.
Obecnie owszem, znaczna część Dark Netów wykorzystywana jest w celach przestępczych, tym niemniej służą też innym zastosowaniom, np. dla anonimizacji ruchu sieciowego dysydentów, osób podlegających inwigilacji, wymiany plików pomiędzy zaufanymi użytkownikami, ujawniania informacji o nielegalnych działaniach oficjeli (whistleblowing) czy omijania restrykcyjnych polityk filtrowania treści albo cenzury internetu (np. w Chinach).
A pod względem bezpieczeństwa informatycznego, czy to właśnie Deep Web jest dla użytkowników Internetu największym zagrożeniem, czy jesteśmy nim my sami? Klikając w nieodpowiednie linki, nie zmieniając haseł dostępu do poczty elektronicznej czy do stacji roboczych – choć to w niektórych przypadkach jest na nas wymuszane przez systemy operacyjne.
Nie demonizowałbym ani Deep Web, ani nawet Dark Netów. Wiele usług, z których korzystamy na co dzień, osadzonych jest w Deep Web. Niektóre „sieci w sieciach”, mają na celu przede wszystkim gwarantować prywatność ich użytkownikom, jednocześnie usuwając lub blokując wszelkie przejawy nielegalnej działalności.
Użytkownicy powinni pamiętać, iż nie ma absolutnie pewnych rozwiązań, nie do złamania. Ale w swym dążeniu do ochrony prywatności nie powinni posuwać się do działań z pogranicza prawa. Przesadne dążenie do ochrony prywatności może de facto wzbudzić zainteresowanie służb ochrony porządku publicznego. Stosowanie najlepszych narzędzi szyfrujących na nic się zda, jeśli nie będą przestrzegane podstawowe zasady cyberhigieny. Jeżeli smartfon zostanie zainfekowany złośliwym oprogramowaniem albo ze względu na nieaktualną wersję systemu lub zabezpieczeń będzie sam w sobie „zbiorem podatności”, szyfrowany komunikator nie ochroni użytkownika przed wyciekiem danych lub ich utratą.
Zmieniajmy hasła, nie cyklicznie, ale nieregularnie, nie wtedy, gdy wymusi to na nas system czy aplikacja. Warto też poświęcić kilka minut na indywidualne skonfigurowanie uprawnień aplikacji czy ustawienie zasad polityki prywatności systemu operacyjnego.
Tworzenie wewnętrznych, nie mających punktów styczności z Internetem, sieci? To jeden z gwarantów bezpieczeństwa, czy gra pozorów i sytuacja, w której nadal najsłabszym ogniwem będzie użytkownik?
Nawet sieci kompletnie odizolowane od świata zewnętrznego nie są całkowicie bezpieczne. Owszem, najczęściej za penetrację takiej sieci przez osoby niepożądane odpowiada użytkownik. Zazwyczaj dochodzi do tego wskutek nieprzestrzegania zasad bezpieczeństwa, np. poprzez używanie prywatnych nośników danych. Czasem, jak prawdopodobnie miało to miejsce w przypadku gruzińskich systemów obrony przeciwlotniczej, zainfekowany nośnik podłącza szpieg (skorumpowany oficer). Czasem jednak, jak w przypadku syryjskiej obrony przeciwlotniczej podczas operacji „Orchard” w 2007 r., infiltracja następuje przy użyciu zaawansowanych systemów walki radioelektronicznej. A czasem, jak w przypadku pewnej huty stali w Niemczech, atak typu Advanced Persistent Threat (APT) przeprowadza się dzięki danym podstępnie uzyskanym od administratora systemu przy pomocy kombinacji działań socjotechnicznych i OSINT (Open-Source Intelligence).
Kmdr por. Wiesław Goździewicz jest szefem Biura Prawnego JFTC w Bydgoszczy. 1 kwietnia 2019 roku obejmie stanowisko zastępcy szefa Biura Prawnego JWC w Stavanger.
autor zdjęć: Fotolia, Radosława Kubiczek
komentarze