Odpowiednio zaprojektowane złośliwe oprogramowanie, po przełamaniu zabezpieczeń fabryki, wyłączy jej systemy bezpieczeństwa. Maszyny ulegną zniszczeniu. Jeśli jest to fabryka, w której pracuje się z niebezpiecznymi substancjami – dojdzie do ich wycieku i skażenia środowiska, w tym także zatrucia okolicznego ujęcia wody. Jeśli mamy do czynienia z systemem, gdzie zabezpieczenia muszą utrzymywać odpowiedni poziom ciśnienia – nastąpi wybuch. Tylko cudem nie zginą ludzie.

Możemy wyobrazić sobie także cyberoperacje, które wprost wymierzone są w ludzi. Na przykład włamanie się do szpitalnego systemu i zmienienie go w taki sposób, by pacjentom przepisywano lub stosowano wobec nich niewłaściwe dawki leków, czy nawet promieniowania przy prześwietleniach promieniami X.

Tak poważne operacje, które doprowadziłyby do zniszczeń fizycznych lub ofiar, można by na gruncie prawa międzynarodowego legalnie uznać za zbrojną agresję, dającą prawo do odpowiedzi zbrojnej. W mojej ocenie szanse, by do takich operacji doszło w praktyce, są jednak obecnie niewielkie. Nadal o wiele łatwiej niszczyć bowiem cele za pomocą środków kinetycznych.

Operacje cyber (lub cyberoperacje) oferują natomiast ogromny potencjał wywiadowczy, w związku z czym struktury wielu państw istotnie rozwijają swoje zdolności w tej dziedzinie. A działania takie mogą przynosić wymierne efekty w świecie, w którym ranga technologii i cyberprzestrzeni stale rośnie.

***

Gdy w XVII wieku ówczesny pierwszy minister Francji kardynał Armand Richelieu analizował zachodzące procesy, szanse, zagrożenia i ryzyka, rozumiał doskonale potrzebę przeznaczania znacznych części budżetu państwa na budowę Armady. Chodziło o zajęcie miejsca na światowych oceanach, co naturalnie musiało wiązać się także z budową zdolności obrony i ataku na statki i porty. Podobnie jak kardynał Richelieu w XVII wieku, dziś o cyberbezpieczeństwie rozumują niektóre państwa, przeznaczając znaczne sumy na rozwój jednostek do cyberataku Są też i państwa, które świadomie lub nie, ale podjęły decyzję, by w tym procesie zmian nie uczestniczyć i oddać pole innym. Tym samym w obliczu zmiany cywilizacyjnej zajmują postawę pasywną.

Polska, kilka lat temu, także miała szansę na budowę własnych zdolności za cenę znacznie mniejszą niż koszt jednego myśliwca F-16.

Wtedy nie było jednak zainteresowania tym tematem, zdecydowano się więc czekać. Zmieniło się to dopiero niedawno.

Rozwijane są Centrum Operacji Cybernetycznych oraz Wojska Obrony Cyberprzestrzeni. Oferty pracy publikowane przez Agencję Wywiadu również nie pozostawiają wątpliwości co do charakteru budowanych tam zdolności. Nie jest jednak jasne, czy chodzi tu o kwestie obronne i analityczne, czy też ofensywne. Wbrew trendom wśród państw Zachodu, takich jak USA czy Francja, Polska nigdy nie opublikowała strategii lub doktryny cyberbezpieczeństwa z wyjaśnieniem celowości konstrukcji swoich zdolności w tym zakresie. Jak dotychczas żadna cyberoperacja nie została też przez nikogo publicznie powiązana z grupami z Polski. 

Cyberatak poniżej progu wojny

Różnego rodzaju zdolności do działania w cyberprzestrzeni buduje i rozwija w ramach swoich struktur wywiadowczych lub wojskowych wiele państw: Wielka Brytania, Francja, ale także Białoruś czy nawet Etiopia. No i Polska. Oznacza to, że wkrótce zdolności cyber ulegną rozpowszechnieniu. Dziś uznaje się, że ma je kilkadziesiąt państw, przy czym około 20 z nich może mieć w jakimś stopniu realne zdolności do cyberataku. Cyberpotęgami są oczywiście USA, Rosja i Chiny, ale pracują nad tym też inni gracze.

Cyberoperacje, czyli prowadzenie operacji ofensywnych lub defensywnych – to złożone zagadnienia. W większości przypadków ograniczają się one do rekonesansu lub zwyczajnie działań wywiadowczych, pozyskiwania informacji, szpiegostwa przemysłowego, ekonomicznego lub wojskowego. Mając odpowiednie zdolności, można też tak zaprojektować operację, by przejąć kontrolę nad infrastrukturą informatyczną wybranego celu na dłużej. To może być utrzymywanie dostępu do systemów, by monitorować wymieniane informacje, na przykład w celu ich wykradania. Może to posłużyć też do czekania na odpowiedni moment, gdy uruchomi się procedury niszczenia danych, doprowadzając do paraliżu systemów. Po przełamaniu zabezpieczeń i uzyskaniu dostępu, atakujący ugruntowują "w środku" swą pozycję w taki sposób, że usunięcie ich z systemu (ponowne zabezpieczenie go) jest trudne, a taka obecność intruzów może trwać tygodniami, miesiącami, a nawet latami.

Sformułowanie "cyberatak" jest jednak pewnego rodzaju skrótem myślowym, bo cyberataki nie stanowią działań wojennych w rozumieniu prawa międzynarodowego. Nie są tożsame z atakiem i agresją wojskową. Te, w uproszczeniu, zarezerwowane są dla poważniejszych działań, które doprowadzają do zniszczeń fizycznych, śmierci ludzi lub też długotrwałego naruszenia suwerenności państwa. Decyzje w sprawie interpretacji rangi cyberataku są w rękach ofiary. Zwykle jednak "cyberataki" prowadzone są celowo jako działania poniżej progu wojny.

Pomimo publicznych prób naginania znaczenia pewnych wydarzeń jak dotychczas nigdy nie stwierdzono, by cyberatak doprowadził do czyjejś śmierci. Ze zniszczeniami fizycznymi jest inaczej. Jak to było w przypadku, gdy cyberbroń Stuxnet, złośliwe oprogramowanie, doprowadziła do fizycznych zniszczeń wirówek w instalacjach jądrowych w Iranie. Stuxnet, w odpowiednim miejscu - tam, gdzie zidentyfikował w sieci systemy automatyki przemysłowej Siemens S7-300 i wirówki - uruchamiał specjalny algorytm, który doprowadzał do zmian częstotliwości obrotów wirówek, w efekcie doprowadzając do ich zniszczenia.

I znów, formalnie, na gruncie prawa międzynarodowego, można by takie działanie uznać za użycie siły, tak jakby to miało miejsce na przykład w przypadku bombardowania. Nikt tego jednak nie uczynił, tak jak nikt nie przyznał się do przeprowadzenia tej operacji. Są tylko podejrzenia. Eksperci wskazują w stronę USA i Izraela.

Na wojnie z ubezpieczycielem

Dziś cyberoperacje są przez różne państwa prowadzone standardowo i traktowane jako jeden z elementów siły państwowej.

W 2015 roku cyberataki faktycznie doprowadziły do wyłączenia prądu na Ukrainie, choć bez niszczenia infrastruktury. Państwa Zachodu przypisały to działanie GRU, rosyjskiemu wywiadowi wojskowemu. W 2017 roku także inny cyberatak wymierzony był w Ukrainę. Do jego przeprowadzenia wykorzystane zostało złośliwe oprogramowanie NotPetya niszczące dane systemów, które udało się zainfekować. Narzędzie to było zaprojektowane w taki sposób, że rozprzestrzeniało się w sposób automatyczny i nieograniczony. NotPetya dosięgnął również zachodnich firm w wielu państwach. To m.in. to narzędzie sparaliżowało giganta logistycznego Maersk, ale także firmę Mondelez, globalny koncern spożywczy. Ten ostatni do dzisiaj procesuje się przed amerykańskim sądem z ubezpieczycielem Zurich Insurance Group, który odmawia wypłaty odszkodowań, argumentując, że odszkodowania nie obejmują działań wojennych. Kierowany w Ukrainę cyberatak doprowadził więc w konsekwencji  do paraliżu systemów na całym świecie oraz uruchomił precedensowe procesy.

Wiadomo też, że w 2018 roku amerykańskie cyberataki doprowadziły do usunięcia danych w jednej z rosyjskich firm (części FNA, Federal News Agency, na Zachodzie czasem określanej jako "fabryka trolli"). Informacje o tym wyciekły do prasy (m.in. "New York Times"), w wypowiedziach amerykańskich oficjeli było wiele sugestii na ten temat, a w 2019 roku cyberatak ten potwierdziła też sama ofiara.

Niektóre kraje upubliczniają informacje o swych cyberoperacjach. I tak opinia publiczna mogła dowiedzieć się, że holenderskie służby zhakowały jedną z grup w Rosji (później oznaczoną jako GRU), włamując się w 2014 roku do jej systemów i nawet przejmując kontrolę nad kamerami, skąd dowiedziano się, kim są lokalni cyberoperatorzy.

Wielka Brytania i Australia w 2019 potwierdziły też prowadzenie działań cyber wymierzonych w ISIS takich jak hakowanie systemów używanych do szerzenia propagandy poprzez przejmowanie kont lub usuwanie danych.

Kto za tym stoi?

W dobie, gdy wiele procesów społeczno-politycznych ulega cyfryzacji, cyberataki i wycieki danych w ramach celowych operacji dezinformacji mogą mieć znaczący wpływ na najważniejsze wydarzenia. Tak było z wyborami prezydenckimi w USA w 2016 roku, gdy wykradziono e-maile Partii Demokratycznej i upubliczniono je. Tak było też we Francji w 2017 roku, gdy zhakowano komputery w sztabie kandydata w wyborach prezydenckich Emmanuela Macrona. Obie te operacje łączono z rosyjskim wywiadem.

W 2020 roku zhakowana została Europejska Agencja Leków, wykradziono dokumenty opisujące proces rejestracji szczepionek. Komu zależało na podkopaniu zaufania na Zachodzie do szczepień? Tego nie udało się ustalić.

Wróg nie czyha u bram, bo tu nie ma bram

Rozwój zdolności cyber w ramach struktur różnych państw może doprowadzić do wzrostu ryzyka destabilizacji. W cyberprzestrzeni pojęcie odległości fizycznej nie ma sensu. Z punktu widzenia bezpieczeństwa dojdzie więc do sytuacji, gdy "armie wielu państw są u granic swych sąsiadów w sposób ciągły". W tradycyjnie pojmowanej strategii bezpieczeństwa problem stałej obecności wojsk na granicach jest dobrze rozpoznany. Prowadzi to do destabilizacji choćby dlatego, że ewentualne pomyłki lub nieporozumienia mogą doprowadzić do eskalacji, w efekcie być może nawet do działań zaczepnych lub nawet konfliktu zbrojnego w pełnej skali.

By zrozumieć i ten problem, nie trzeba cofać się aż do czasów I wojny światowej. W ubiegłym roku świat obserwował potyczki na granicy między Indiami i Chinami, czy też Azerbejdżanu i Armenii. Podobne analogiczne punkty ryzyka były na Bliskim Wschodzie, ale także choćby w części przestrzeni nad Bałtykiem. Czy gdy w cyberprzestrzeni ten fenomen będzie zachodził w sposób ciągły, nie zrodzi to bezprecedensowego ryzyka?

Już wiele państw, z członkami NATO na czele, uznaje cyberprzestrzeń za domenę działań zbrojnych. Oznacza to, że można prowadzić w cyberprzestrzeni operacje wojskowe.

I dziś wszystkie kraje uznają, że prawo międzynarodowe ma zastosowanie do cyberprzestrzeni. Chodzi o słynny artykułu 51 Karty Narodów Zjednoczonych, który przewiduje prawo do samoobrony państw-członków ONZ: "Nic w niniejszej Karcie nie narusza przyrodzonego prawa każdego członka Organizacji Narodów Zjednoczonych, przeciwko któremu dokonano zbrojnej napaści, do indywidualnej lub zbiorowej samoobrony". Zgodnie z tą zasadą państwa mają prawo do samoobrony, a zatem odpowiedzi zbrojnej na ataki.

W praktyce oznacza to, że odpowiedź na poważne cyberataki może być różna i niekoniecznie ograniczać się do działań w cyberprzestrzeni. Państwa rezerwują sobie decyzje co do odpowiedzi i ich natury. Czasem są to sankcje ekonomiczne, a czasem tylko publiczne wskazanie winnych. Teoretycznie można także wyobrazić sobie odpowiedź obejmującą rozwiązania kinetyczne – karabiny, czołgi, bomby i rakiety.  Cyberataki mogą zatem teoretycznie doprowadzić do destabilizacji i konfliktu międzypaństwowego, także zbrojnego.

Dlatego wiele państw w ramach ONZ pracuje nad tym, by ten problem zrozumieć i docenić to ryzyko oraz dobrać środki mogące je zmniejszyć. W pracach tych, w pewnej formie, partycypuje też Polska.

I faktycznie, czasem trudno przewidzieć, do czego doprowadzi cyberatak. Bo co, gdyby złośliwe oprogramowanie na przykład wymknęło się spod kontroli i operacja - zamiast być ukierunkowaną - objęłaby swoim zasięgiem obiekty cywilne? Gdyby w jej wyniku zginęli cywile, to na gruncie prawa rodziłoby to konsekwencje dla sprawcy, nawet podczas wojny.

Firmy bez systemu obrony antyrakietowej

Nie istnieje łatwe i jakościowe porównanie cyberataków z tradycyjnymi metodami i sprzętem wojskowym. Metody i narzędzia (cyberbroń) co do swej natury nie są tożsame ze sprzętem w rodzaju wyrzutni pocisków rakietowych. Metody i narzędzia do cyberataku zwykle działają dwustopniowo. Najpierw przełamują zabezpieczenia i uzyskują dostęp do celów. Później wykonują zaprojektowane w nich działania. To mogą być najróżniejsze rzeczy, od ugruntowania pozycji w sieci firmowej, poprzez kradzież informacji, ich modyfikację lub nawet zniszczenie danych lub systemów.

W przypadku systemów przemysłowych czasem dochodzi też trzecia faza – działań wobec automatyki przemysłowej. W celu przejmowania cennych danych, ale być może także ingerencji w proces przemysłowy, taki jak produkcja fizyczna, przetapianie metali, uzdatnianie wody. Brzmi to groźnie i niestety może takie być. To tutaj może dojść do realnych zniszczeń fizycznych, skażenia środowiska, a nawet mogą być ofiary. Z takim właśnie ryzykiem muszą dziś liczyć się firmy i instytucje, w których stosuje się tzw. technologie operacyjne, czyli systemy sterowania i automatykę przemysłową. Zwykle miejsca takie nie dysponują zdolnościami pozwalającymi im się zabezpieczyć zwłaszcza przed atakującymi, którzy hakują cele zawodowo. To kwestia skali, ale nikt poważny przecież nie oczekiwałby od firm posiadania systemów obrony antyrakietowej.

Zresztą w cyberprzestrzeni ta analogia niestety nie jest właściwa i to z wielu powodów. Zwykle wiadomo, skąd nadlatuje rakieta, jaką ma trajektorię i jakie są następstwa uderzenia. Cyberataki w fazie aktywnej przebiegają szybko, ale ustalenie ich źródła, metod i zaangażowanych procesów trwa długo.

Wystarczy kilka milionów

Narzędzia do cyberoperacji są tworzone przez każdą szanującą się strukturę zajmującą się tematyką cyber. Część z nich lub ich elementów kupuje się też od dostawców komercyjnych. Wystarczy kilka milionów dolarów, co dla specjalistycznych struktur jest ceną okazyjną i nie stanowi problemu. Czasem zdarzają się wpadki. W 2016 roku doszło do publicznego wycieku ofensywnych narzędzi wykradzionych z amerykańskiej NSA. Jedno z nich przetworzono i wbudowano w złośliwe oprogramowanie NotPetya, które doprowadziło do wielkich strat finansowych w 2017 roku.

Jeńców nie biorą

Rozwój zdolności do cyberataku to też niestety w pewnym sensie militaryzacja internetu i wiąże się z tym także duże ryzyko. Kierując się tym rozumowaniem (pretekstem), państwa bloku wschodniego nie zgodziły się na uznanie, że do działań w cyberprzestrzeni ma zastosowanie międzynarodowe prawo humanitarne, znane jako prawo konfliktów zbrojnych (nad którego rozwojem i respektowaniem pieczę tradycyjnie trzyma Międzynarodowy Komitet Czerwonego Krzyża w Genewie). W uproszczeniu chodzi o konwencje genewskie i protokoły je rozszerzające. Podsumowują dziesięciolecia doświadczeń ludzkości na arenie wojskowej oraz, niestety, bardzo negatywne konsekwencje dla poszczególnych kombatantów (żołnierzy), jak i ludności cywilnej.

We współczesnej formie skodyfikowano je po II wojnie światowej i obowiązują tylko w trakcie konfliktów zbrojnych. I tak m.in. przewidują one konieczność dostosowywania zaangażowanych środków i działań w taki sposób, by zachować odpowiednie proporcje między zamierzonym celem a środkiem (nie doprowadzać do dysproporcji, np. zbyt dużych i zbędnych zniszczeń). Zakazują brania na cel ludności cywilnej. Chronią instalacje infrastruktury krytycznej zapewniające przetrwanie ludności cywilnej, np. elektrownie, szpitale, zaopatrzenie w wodę.

Nakładają też obowiązek, by stosowane metody i środki poddawać analizie przed wprowadzeniem do użycia. Chodzi przykładowo o to, by nikomu nie przyszło do głowy tworzenie, utrzymywanie i stosowanie środków niebezpiecznych, przykładowo tych równoznacznych z bronią masowego rażenia, które ze swej natury nie rozróżniają ludzi na kombatantów i cywili, a mogą też doprowadzić do szerokich zniszczeń w infrastrukturze krytycznej, niezbędnej do funkcjonowania społeczeństw. Zasady takie to zatem teoria, jednak jak najbardziej z przełożeniem na praktykę.

Nie jest łatwo przykładać istniejące zasady prawa międzynarodowego do współczesnej tematyki, tak odmiennej od tego, co znano kilkadziesiąt lat temu, gdy prawa te powstawały. Jest to jednak najlepsza droga do zapewniania stabilizacji i bezpieczeństwa w cyberprzestrzeni i nie tylko. Nie powinniśmy powielać obiegowych opinii o tym, że nie ma żadnych zasad regulujących i nakładających ograniczenia na cyberataki. Pewne zasady istnieją i to nawet jeśli nie zawsze łatwo je zrozumieć i zastosować, choć dziś nie obowiązuje żaden traktat międzypaństwowy nakładający obowiązki i gwarancje z bezpośrednim odniesieniem do obszaru cyberbezpieczeństwa.

Trzeba zatem bazować na istniejących zasadach i ich kolektywnym rozumieniu. Zapewnienie stabilności, by uniknąć nieporozumień i nieoczekiwanych konfliktów międzypaństwowych, jest w naszym wspólnym interesie. To niestabilność stanowi największe ryzyko.

Technologia ma dziś bezpośredni wpływ na społeczeństwa i to się nie zmieni. Znaczenie to z pewnością doceniłby kardynał Richelieu, odpowiednio lokując środki państwowe i dobierając zasoby ludzkie.