Czym owa suwerenność miałaby być? Jeśli definiować ją jako zdolność do samodzielnego, niezależnego od innych podmiotów, sprawowania władzy to można odnieść wrażenie, że dziś w Polsce zawdzięczamy ją przede wszystkim znakomitym specjalistom rozsianym po różnych instytucjach i firmach, którzy… są patriotami i zależy im na bezpieczeństwie kraju. Instytucje państwa, mające bronić naszej suwerenności w cyberprzestrzeni są bowiem albo w powijakach albo na papierze.
Polska armia cyfrowa
Najlepszym tego przykładem może być nasza cyberarmia. Na początek o tym, jak to wygląda na świecie: Amerykanie pod parasolem US Cyber Command mają 133 zespoły liczące łącznie 6,2 tys. żołnierzy i budżet przekraczający 647 mln dol. (CIA i NSA mają swoje własne zespoły, ale ich liczebność jest niejawna). Rząd w Paryżu twierdzi, że francuskie siły cybernetyczne w przyszłym roku będą liczyć 2,6 tys. żołnierzy służby czynnej i 4,4 tys. rezerwistów. Brytyjskie Joint Forces Cyber Group, prowadzone wspólnie przez ministerstwo obrony i wywiad elektroniczny GCHQ, ma około 2 tys. żołnierzy i 250 mln funtów budżetu. Szwecja wydaje na cyberobronę, realizowaną przez wywiad radiowy FRA i wywiad wojskowy MUST 510 mln euro rocznie. Powołane w roku niemieckie wojskowe cyberdowództwo CIR to 13,5 tys. żołnierzy i pracowników cywilnych.
U nas też tak może być. Za jakiś czas. Teoretycznie. Nie dalej, jak w ubiegłym tygodniu pojawiła się informacja o tym, że Ministerstwo Obrony Narodowej chce budować „cyberwojsko”. Wicedyrektor Narodowego Centrum Kryptologii, podczas posiedzenia Komisji Obrony Narodowej w Sejmie, prezentując stanowisko MON, przekonywał, że ochrona cyberprzestrzeni „wynika zarówno z polskiej racji stanu”, jak i ze zobowiązań sojuszniczych m.in. wobec NATO. Paweł Dziuba zapowiedział, że najważniejszymi zadaniami wojsk ochrony cyberprzestrzeni będą: „wykrywanie, rozpoznawanie i zapobieganie cyberzagrożeniom; wsparcie, ochrona oraz obrona sieci i systemów teleinformatycznych, prowadzenie cyberrozpoznania, wsparcie operacji militarnych prowadzonych przez siły zbrojne w domenie cyberprzestrzeni oraz planowanie i prowadzenie działań militarnych w cyberprzestrzeni w wymiarze narodowym”. Ponadto MON chce dostosowywać i ćwiczyć procedury oraz szkolić kadry.
Pieniądze się znajdą
Na sejmowym posiedzeniu informowano również, że pieniądze na tak ambitny cel się znajdą. Sekretarz stanu Wojciech Skurkiewicz zauważył, że tylko w „jednej zakładce” mamy 42 mln zł, a zakładek jest ponoć wiele, bo na przykład Narodowe Centrum Kryptologii ma budżet 111 mln zł, a z programów operacyjnych można uzyskać 700 mln zł. Skoro pieniądze są, to na jakim etapie jest budowa naszej cyberarmii? Finalizowane są prace nad decyzją o jej utworzeniu, choć – jak można wnioskować ze słów przedstawicieli MON – wcale nie jest pewne, czy będzie to zupełnie nowy rodzaj sił zbrojnych, obok marynarki czy lotnictwa, czy też nie, choć przy powoływaniu nowej służby to kwestia kluczowa. Mało tego, tego dnia, gdy w Sejmie przedstawiano wizję naszej cyberarmii, mowa była też o modernizacji sił zbrojnych. Temat cyberwojska tam się jednak nie pojawił.
Te wszystkie zapowiedzi brzmią znajomo, prawda? Gdy na czele Ministerstwa Obrony stał Antoni Macierewicz regularnie powtarzano, że cyberarmia powstanie. Miała mieć nawet komponent informacyjno-psychologiczny. Dezinformację miała zwalczać jednostka INFOOPS, wchodząca obok CYBEROPS, w skład naszego cyfrowego wojska. Minister Macierewicz zapowiadał nawet, że będzie ona liczyć około tysiąca żołnierzy, a państwo przeznaczy na tę formację około dwóch miliardów złotych. To między innymi z tego powodu miało dojść do sporu kompetencyjnego między MON a Ministerstwem Cyfryzacji.
W lipcu 2017 r. do dymisji podał się wiceminister cyfryzacji gen. Włodzimierz Nowak (oficjalnie z przyczyn prywatnych), a pół roku później zdymisjonowano jego szefową, minister Annę Streżyńską, która w międzyczasie popadła w konflikt dotyczący cyberbezpieczeństwa z ówczesnym ministrem spraw wewnętrznych Mariuszem Błaszczakiem. Jakby tego było mało, gdy awantura między ministrami trwała w najlepsze, ówczesna premier Beata Szydło ogłosiła, że odpowiedzią na propagandowe i dezinformacyjne zagrożenia w Internecie będzie powołany przez nią Departament Cyberbezpieczeństwa w KPRM. Na jego czele miał stanąć Paweł Szefernaker, obwołany niegdyś „cyfrowym szogunem” zwycięskich kampanii wyborczych Prawa i Sprawiedliwości. Tyle, że po rekonstrukcji rządu Szefernaker trafił do MSWiA, a projekt departamentu zaistniał tylko na papierze.
Projektami ustaw państwa nie ochronimy
W listopadzie 2017 r. zaprezentowano projekt ustawy o cyberbezpieczeństwie. Służba Kontrwywiadu Wojskowego wskazywała wówczas, że warto „rozważyć wprowadzenie funkcji koordynatora krajowego (o stosownych uprawnieniach)”. Biuro Bezpieczeństwa Narodowego uznało, że „nie można stwierdzić, że ustawa kształtuje krajowy system cyberbezpieczeństwa. Reguluje ona jedynie fragment systemu”. Najostrzejszą opinię wystawiła jednak Najwyższa Izba Kontroli, która ostrzegała, że „w praktyce regulacja nie kreuje nowych, kompleksowych rozwiązań, a tylko przenosi na grunt prawny funkcjonujące już struktury oraz »zapożycza« rozwiązania z zakresu zarządzania kryzysowego”. Pół roku później pojawiła się nowa wersja ustawy. Zaproponowano w niej, by za koordynację strategiczną i polityczną ochrony Polski w cyberprzestrzeni odpowiadał Pełnomocnik Rządu ds. Cyberbezpieczeństwa w randze sekretarza stanu podlegający bezpośrednio szefowi rządu. Premier oddzielnym rozporządzeniem powołał pełnomocnika, gwarantując mu finansowanie z budżetu ministerstwa obrony. Ustawa powołująca pełnomocnika, Kolegium ds. Cyberbezpieczeństwa i wyznaczająca trzy zespoły CSIRT (Computer Security Incident Response Team) odpowiadające za tworzenie systemu przeciwdziałania i zwalczania internetowych zagrożeń (zespoły stworzą NASK, ABW i MON) – 5 lipca została w nieśpiesznym tempie przegłosowana przez Sejm i skierowana do Senatu, który zajął się nią równie “dynamicznie”. Cała struktura pozostawała w tym czasie na papierze. Prezydent ustawę podpisał w sierpniu, dzięki czemu cyberbezpieczeństwo zyskało państwowe ramy.
Unia naciska
Eksperci, z którymi rozmawialiśmy, zwracają uwagę, że ustawę wdrożono przede wszystkim dlatego, że wymusiła ją na państwach członkowskich Unia Europejska dyrektywą NIS, pierwszą w historii wspólnoty dotyczącą cyberbezpieczeństwa. Jej celem jest zagwarantowanie równego poziomu zabezpieczeń sieci i systemów informatycznych w całej UE. Jednym z kluczowych założeń dyrektywy i ustawy jest to, że powstanie lista podmiotów, które mają kluczowe znaczenie dla utrzymania najważniejszej działalności społecznej lub gospodarczej i będą one w cyberprzestrzeni chronione w sposób szczególny. W konsekwencji wprowadzenia tych przepisów na liście – wedle osób, z którymi rozmawialiśmy – znalazło się, jak dotąd… zaledwie około 20 podmiotów.
Zgodnie z koncepcją wynikającą z dyrektywy NIS pod szczególną ochroną powinny się znaleźć sektor publiczno-rządowy, energetyczny, telekomunikacyjny, transport i logistyka oraz finanse i bankowość. Dla każdego z tych sektorów powinien powstać sektorowy CERT. Takie zespoły rzeczywiście są tworzone i zaczynają działać w sektorze energetycznym i bankowym. – Kompletnie leży telekomunikacja i transport. Jednocześnie należałoby między tymi CERT-ami wypracować metody współpracy, ich koordynacji – mówi specjalista, z którym rozmawialiśmy. Jednocześnie niewiadomą jest kwestia zwierzchności nad nimi ogólnokrajowego CERT, szczególnie, że część podmiotów, których działanie “ma kluczowe znaczenie” dla działalności państwa znajduje się w rękach prywatnych.
Na następnej stronie piszemy, jak to jest z naszym cyberbezpieczeństwem.
Ukraiński przykład
W 2014 r. grupa CyberBerkut włamała się do komputerów ukraińskiej centralnej komisji wyborczej i podmieniła wyniki wyborów prezydenckich tak, by zwycięzcą został ogłoszony lider skrajnie prawicowego „Prawego Sektora”, Dmytro Jarosz. Włamanie wykryto na zaledwie godzinę przed ogłoszeniem wyników. 23 grudnia 2015 r., również na Ukrainie, bezprecedensowy atak hakerski powalił na kolana trzy wielkie sieci energetyczne, Kyivobloenergo, Prykarpattyaoblenergo i Chernivtsioblenergo. Ćwierć miliona osób zostało bez prądu na sześć godzin. Po raz pierwszy w historii hakerski atak wyłączył część krytycznej infrastruktury całego państwa. W sierpniu 2016 r. nadeszła kolejna fala ataków. Hakerzy wyczyścili dyski komputerów dziennikarzy kilku stacji telewizyjnych, wywołując chaos tuż przed porannymi wydaniami wiadomości. Zaatakowali państwowe koleje, tuż przed wakacjami paraliżując na kilka dni internetowy system rezerwacji biletów. Uderzyli w państwowy fundusz emerytalny PFU, ministerstwa skarbu, finansów, infrastruktury, obrony. Blokowali systemy i niszczyli twarde dyski. Ministerstwo Finansów, zajęte przygotowywaniem budżetu na kolejny rok, straciło nagle terabajty danych.
Prezydent Petro Poroszenko o ataki oskarżył Rosję. Twierdził, że w ciągu zaledwie dwóch ostatnich miesięcy 2016 r. doszło do 6,5 tys. cyberataków na ważne cele na Ukrainie. Trudno mówić o bezpieczeństwie, pełnej suwerenności czy niezagrożonej niepodległości, kiedy obce siły na zawołanie wyłączają światło w parlamencie czy kancelarii prezydenta.
Zachód jest świadomy problemu. NCIA, Agencja Łączności i Informacji NATO, ma dziś 1500 cywilnych i 1000 wojskowych “cyberwojowników” i budżet rzędu miliarda euro rocznie. A to tylko początek. Sojusz tworzy w belgijskim Mons internetowe centrum dowodzenia: Centrum Operacji w Cyberprzestrzeni, CYOC. 70-osobowa załoga będzie na bieżąco monitorować sytuację w sieciach wszystkich państw członkowskich Sojuszu. CYOC ruszy pełną parą dopiero w 2023 r. W Internecie to wieczność.
Naszym celem jest całkowita świadomość wszystkiego, co dzieje się w naszej cyberprzestrzeni. Pełne zrozumienie stanu naszych sieci tak, by nasi dowódcy mogli na nich polegać
Ian West, szef cyberbezpieczeństwa NCIA, fragment z wywiadu dla portalu Euroactive.
W jaki sposób – poza atakami odwetowymi i wzmożeniem środków cyberbezpieczeństwa – można odpowiedzieć na hakerskie zagrożenie? Ciekawą odpowiedź ma Estonia, może najbardziej zinformatyzowany kraj świata (pisaliśmy o tym w artykule pt. “Estoński cud informatyczny”), a jednocześnie państwo bardzo narażone na ataki ze strony rosyjskich internetowych infiltratorów. Estonia postanowiła zrobić backup w chmurze całego państwa. Służą temu “ambasady danych”. Kluczowe dla funkcjonowania państwa bazy są przechowywane na terytoriach zaprzyjaźnionych państw – pierwsza taka “ambasada” powstała w Luksemburgu. W przypadku wymazania danych przez hakerów, ale także wojny, okupacji czy innego kataklizmu, wszystkie informacje niezbędne dla funkcjonowania administracji państwowej powinny nadal być dostępne, z serwerów leżących daleko od strefy geograficznego zagrożenia. Oczywiście, jeśli wrodzy hakerzy nie dosięgną ich wcześniej.
Odpowiedzialność zbiorowa
Tymczasem na horyzoncie pojawiają się kolejne przeszkody. Na przykład dezinformacja, powszechnie uważana dziś za jedno z najpoważniejszych zagrożeń. W Polsce w zasadzie nie wiadomo, kto w strukturach państwa jest odpowiedzialny za jej zwalczanie. Oczywiście można twierdzić, że wszyscy. Jeśli jednak dojdzie do zmasowanego ataku dezinformacją, czy również wszyscy wezmą za to odpowiedzialność i honorowo, jako współodpowiedzialni, podadzą się do dymisji? A co z konsekwencjami prawnymi wobec „wszystkich”? Nie ma nawet przepisów, które w sytuacjach kryzysowych umożliwiały szybką i skuteczną odpowiedź na atak. ABW dzięki tzw. ustawie antyterrorystycznej może za zgodą sądu blokować jedynie strony propagujące treści terrorystyczne, a jest wysoce wątpliwe, by za takie uznano na przykład fejkowe informacje o zamachu czy największym nawet pożarze.
Pytani przez nas eksperci nie są zgodni, czy w naprawdę krytycznej sytuacji, w której gwałtownie rozprzestrzeniająca się dezinformacja grozi paraliżem państwa można szybko odciąć w Polsce Internet. Większość skłania się ku opinii, że raczej nie.
– W takiej sytuacji mógłby się sprawdzić np. sprawnie działający Regionalny System Ostrzegania, za pomocą którego można by było informować panikujących ludzi, że nie ma zagrożenia – wyjaśniał nam Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl. RSO powinien za pomocą specjalnych aplikacji na smartfony i przez SMS-y rozsyłać komunikaty formułowane przez wojewódzkie centra zarządzania kryzysowego. O tym, czy system działa mogli się przekonać latem 2017 r. mieszkańcy Pomorza podczas nawałnic. Sześć osób zginęło, 55 zostało rannych.
Na początku stycznia 2018 r. prof. Andrzej Zybertowicz zaproponował stworzenie mechanizmu, który odpowiadając na zagrożenia świata cyfrowego zsynchronizuje działania komunikacyjne rządu. Jak na ironię, profesor sam wpędził się w komunikacyjną pułapkę. Projekt nazwał MaBeNa, Maszyna Bezpieczeństwa Narracyjnego, co natychmiast zostało wykpione, przede wszystkim w Internecie. Internauci natychmiast uznali, że MaBeNa w założeniu przypomina orwellowskie ministerstwo prawdy. Ekspertów o zdanie w zasadzie nikt nie zapytał.
Czyj internet, tego władza
Tymczasem globalna walka o internetową suwerenność i niepodległość toczy się też na innym polu i rywalizują w niej także inni gracze. Nie tylko państwa, ale korporacje i ekonomiczno-polityczne ideologie. Stawką jest to, czym tak naprawdę ma być sieć, i komu ma służyć. Z jednej strony, autorytarne i totalitarne reżimy dążą do pełnej kontroli nad tym, co dzieje się w sieci funkcjonującej na ich terytorium. Chcą, by internet w pierwszej kolejności służył państwu, które ma być absolutnym suwerenem także w cyberprzestrzeni. Chiny stworzyły w miarę szczelną “wielką zaporę ogniową” i zaprzęgają operujących na ich terytorium internetowych gigantów, takich jak Tencent i Alibaba, do współtworzenia quasi-orwellowskiego “systemu zaufania społecznego”, oceniającego obywateli na podstawie ich zachowań i znajomości w realu i w necie. Pisaliśmy o tym w marcu w tekście pt. “Jak Chiny oceniają obywateli”.
Do podobnego “ideału” dążą też inne państwa, a Chiny chętnie eksportują swoje technologie: w kolejce po chiński system nadzoru ustawiły się już choćby Zimbabwe, Malezja i Egipt. Z drugiej strony są Amerykanie, którzy w Internecie widzą przede wszystkim pole gry dla wielkich korporacji. Najlepiej amerykańskich. Ich Internet to na pierwszy rzut oka libertariańska utopia, gdzie rządzą kapitał i śmiałe pomysły. Ten cukierkowo-kapitalistyczny obraz zaburzyły przecieki Edwarda Snowdena który pokazał współpracującą z korporacjami państwową machinę, która nadzoruje wszystkich i wszystko, choć robi to dyskretniej i nie uciekając się do jawnej, fizycznej czy symbolicznej przemocy.
https://www.youtube.com/watch?v=EDhB-A23IUk
Unia Europejska obawia się, że amerykańska hegemonia prowadzi do formy internetowego kolonializmu, w którym zyski płyną tylko w jedną stronę: do Doliny Krzemowej. UE stara się więc, z pewnymi sukcesami, wywierać własną presję na kształt światowej sieci wykorzystując instrumenty administracyjne i prawne. W tym słynne RODO, które jest dziś najsilniejszym instrumentem chroniącym pojedynczych użytkowników sieci przed działaniami komercyjnych gigantów. I które, paradoksalnie, broniąc Europejczyków przed amerykańskimi koncernami jednocześnie wzmacnia te koncerny, bo utrudnia rozwój ich potencjalnych europejskich konkurentów. Jedyną europejską spółką wśród największych internetowych graczy jest dziś szwedzkie Spotify. Które i tak jest notowane na nowojorskiej giełdzie.
Wszyscy pozostali są zdani na własne siły. Drobne państwa, choćby Ameryki Łacińskiej nie mają siły przebicia Unii Europejskiej i nie mogą walczyć o swoją suwerenność nie tylko z mocarstwami, ale i z koncernami technologicznymi. A te, walcząc o swoje, nie ograniczają się do marketingu czy lobbingu. W 2015 r. słynny fundusz inwestycyjny Y Combinator za pośrednictwem organizacji pozarządowej DemocracyOS sfinansował działalność… nowo założonej partii politycznej, startującej w tamtejszych wyborach pod hasłami budowy systemu politycznego opartego o Internet.
Ci, którzy rezygnują z Wolności w imię bezpieczeństwa, nie zasługują na żadne z nich.
Benjamin Franklin
Problemem dla małych państw jest też to, że samo funkcjonowanie ich rządów jest często uzależnione od działań korporacji, na które nie mają wpływu. Kiedy 14 kwietnia 2008 r. Microsoft ogłosił, że firma nie będzie już aktualizować systemu Windows XP, kilka krajów Ameryki Łacińskiej znalazło się w potrzasku, bo na tym systemie operowała część ich kluczowej infrastruktury, na przykład przejścia graniczne. Bez aktualizacji zostały pozostawione na pastwę napastników. Atrakcyjna finansowo alternatywa, czyli korzystanie z usług opartych na chmurze, pozbawia państwo kontroli nad własnymi danymi, które są przechowywane na serwerach zagranicznych firm i podlegają jurysdykcji innego państwa, które w zasadzie może w każdej chwili odciąć państwo – dawcę na przykład od bazy podatników. To jeden z powodów, dla którego zwłaszcza w państwach rozwijających się rośnie udział programów open source w administracji państwowej. Indie nakazały stosowania otwartego oprogramowania przez urzędy państwowe w 2005 roku. Brazylia i Wenezuela – w 2004, Ekwador w 2008 a Urugwaj i Boliwia w 2013. Kuba i Korea Północna opracowały wręcz własne systemy operacyjne oparte na Linuxie – nie tylko w celu obejścia sankcji, ale także po to, by zapewnić sobie pełną kontrolę nad własnymi systemami i zawartymi w nich danymi.
Dziś bez kontroli przepływu danych – publicznych, prywatnych czy korporacyjnych – trudno mówić o sprawnym funkcjonowaniu jakiegokolwiek państwa czy instytucji. Dane to gospodarka, polityka, życie – i suwerenność. Gra o to, kto będzie je kontrolował jest w rzeczywistości grą o to, jak będzie wyglądał świat. | CHIP
Agata Kaźmierska i Wojciech Brzeziński są autorami wydanej właśnie przez oficynę 4eM książki zatytułowanej Strefy cyberwojny. Opracowanie analizuje m.in. potencjał narzędzi internetowych do wpływu na politykę oraz rolę fake newsów w naszej rzeczywistości. Kaźmierska i Brzeziński to dziennikarze stacji Polsat News, przygotowujący program popularnonaukowy “Horyzont zdarzeń”.