Amerykańska strategia odstraszania w cyberprzestrzeni

Senator Sullivan: Oni [nasi przeciwnicy] się nas nie boją.

Generał Nakasone: Nie boją się nas.

Senator Sullivan: Czy to dobrze?

Generał Nakasone: Niedobrze, senatorze.

(Fot. Wikipedia)

Senator Sasse zapytał: „Trzy lata temu po włamaniu do OPM mieliśmy tu szefów wywiadu z administracji Obamy […] i zadaliśmy im dokładnie te same pytania: czy jest jakaś odpowiedź ze strony rządu Stanów Zjednoczonych, która jest wystarczająca, aby zmienić chińskie zachowanie? I powiedzieli: Absolutnie nie. Czy uważa Pan, że jest jakiś powód, dla którego Chińczycy powinni martwić się obecną reakcją USA?”. Generał Nakasone odpowiedział: „[…] Sądzę, że nasi przeciwnicy nie widzieli naszej odpowiedzi na odpowiednim poziomie, aby zmienić swoje zachowanieˮ [1].

 

Przytoczone powyżej cytaty pochodzą z przesłuchania generała Nakasone przed Senacką Komisją Sił Zbrojnych USA z początku marca 2018 r., kiedy to jeszcze jako kandydat na szefa National Security Agency (NSA) oraz US Cyber Command (USCYBERCOM) odpowiadał na pytania senatorów. Powołane w maju 2010 r. Cyberdowództwo Stanów Zjednoczonych to jedno ze zunifikowanych dowództw bojowych Departamentu Obrony Stanów Zjednoczonych (Department of Defense – DoD), którego zadania dotyczą prowadzenia operacji w cyberprzestrzeni, integracji i wzmacniania zdolności oraz wiedzy DoD w dziedzinie cyber. USCYBERCOM ściśle współpracuje z NSA, szef dowództwa stoi również na czele agencji, a siedziba obu mieści się w tym samym miejscu – Fort Meade w stanie Maryland.

 

Zanim przejdziemy do tego, jak doszło do owego posiedzenia, warto naszkicować jego kontekst i wyjaśnić, w jakim położeniu Ameryka znalazła się w ostatnich kilku latach.

 

NARASTAJĄCY PROBLEM CYBERBEZPIECZEŃSTWA

Od lat 90. XX w. Ameryka padała ofiarą wielu ataków na swoje sieci, zarówno cywilne, jak i rządowe. W kwietniu 2015 r. wykryto jeden z najpoważniejszych – włamano się do Biura Zarządzania Personelem (Office of Personnel Management – OPM) i wykradziono w przybliżeniu 22 miliony rekordów dotyczących personelu rządowego, służb federalnych i wojska. Z wywiadoczego punktu widzenia dane, które wykradziono, były swoistą żyłą złota – obejmowały informacje zbierane w czasie weryfikacji w procesie uzyskiwania certyfikatu bezpieczeństwa – poza personaliami, adresami zamieszkania, datami urodzenia zawierały także dane o członkach rodziny, współlokatorach ze studiów, kontaktach zagranicznych czy też informacje psychologiczne. Wykradziono również dane biometryczne ponad pięciu milionów osób. Atak przypisano służbom chińskim.

 

W grudniu 2015 r. Biały Dom przedstawił politykę odstraszania cybernetycznego (cyber deterrence), określającą, w jaki sposób Stany Zjednoczone zareagują na cyberataki ze strony adwersarzy. Zgodnie z tą polityką Stany Zjednoczone „wprowadzą środki odstraszające […] mające na celu zarówno grożenie, jak i nakładanie kar i kosztów przeciwko wrogom, którzy zdecydują się przeprowadzić cyberataki lub inną złośliwą działalność przeciwko Stanom Zjednoczonymˮ. Środki te obejmowały egzekwowanie prawa, nakładanie sankcji na cyberprzestępców, prowadzenie ofensywnych i defensywnych operacji cybernetycznych oraz użycie siły militarnej. Co warto podkreślić, strategia wskazywała wprost, że odpowiedzią na ataki będzie eskalacja poza domeną cyber, włączając w to kinetyczne ataki odwetowe. W konsekwencji w kwietniu 2016 r. prezydent Obama wydał zarządzenie wykonawcze upoważniające Departament Skarbu do nakładania sankcji na osoby lub podmioty odpowiedzialne za złośliwe cyberataki i cyberszpiegostwo.

 

Dwa miesiące później (czerwiec i lipiec 2016 r.) serwis DCLeaks, rzekomo powiązany z rosyjskim wywiadem wojskowym GRU (Главное разведывательное управление), zaczyna publikację tysięcy e-maili i dokumentów, wykradzionych z Krajowego Komitetu Partii Demokratycznej (Democratic National Committee– DNC). Zdaniem „The Washington Post” służby wywiadu amerykańskiego określiły to jako operację służb rosyjskich mającą na celu wpłynięcie na wynik wyborów prezydenckich w 2016 roku [2]. Jak wiemy, Hillary Clinton nie udało się zdobyć fotela prezydenckiego, a zwycięstwo odniósł Donald Trump.

 

Również w sierpniu tego samego roku anonimowa grupa nazywająca siebie Shadow Brokers rozpoczyna publikację narzędzi hakerskich rzekomo należących do agencji NSA (tzw. Shadow Brokers leak). Część z nich zostanie później użyta w 2017 r. w atakach Wannacry (przypisanym Korei Północnej) oraz Notpetya (ze wskazaniem na Rosję), kosztujących w sumie kilkanaście miliardów dolarów strat, jakie poniosły firmy na całym świecie, m.in. duński operator kontenerowy Maersk czy amerykański koncern farmaceutyczny Merck & Co. Do dziś nie ma pewności, kim była osoba lub osoby podające się za Shadow Brokers.

 

W marcu 2017 r. serwis Wikileaks publikuje kolejny zestaw narzędzi ofensywnych, tym razem należący do CIA (tzw. Vault 7 leak). O wyciek oskarżono byłego programistę, który przez pewien czas pracował dla agencji.

 

W Stanach zaczęła narastać temperatura dyskusji, jak należy zareagować na rosnącą liczbę i skalę ataków. Ewidentnie przyjęty sposób odstraszania się nie sprawdzał.

 

ZMIANA PODEJŚCIA

Michael Sulmeyer, późniejszy doradca generała Nakasone, w marcu 2018 r. pisał:

 

„Skupienie się na cyberodstraszaniu jest zrozumiałe, ale chybione. Odstraszanie ma na celu zmianę kalkulacji przeciwników poprzez przekonanie ich, że ryzyko ataku przeważa nad korzyściami lub że odmówi im się korzyści, których szukają. Ale usiłując jedynie odstraszyć wrogów, Stany Zjednoczone stale znajdują się w tyle. Zamiast tego Stany Zjednoczone powinny prowadzić bardziej aktywną cyberpolitykę, której celem nie jest odstraszanie wrogów, ale zakłócanie ich zdolności. W cyberwojnie Waszyngton powinien uznać, że najlepszą obroną jest dobra ofensywa.

 

[…]

Jeśli subtelne środki okażą się niewystarczające, Stany Zjednoczone powinny być gotowe do podjęcia bardziej ofensywnych działań. W sytuacjach, w których w grę wchodzi obrona narodu, hakerzy amerykańscy mogą prowadzić kampanię masowego niszczenia systemów komputerowych, wyłączania kont i danych uwierzytelniających używanych przez hakerów do ataków […] Taka kampania miałaby na celu ich utrudnienie; ponieważ hakerzy często ponownie wykorzystują komputery, konta i infrastrukturę, atakowanie ich mogłoby sabotować ich możliwości lub czynić je bezużytecznymi.

 

Takie działania nie muszą od razu pokazywać, że hakowanie Stanów Zjednoczonych nie popłaca. Zamiast tego powinny wspierać bardziej ograniczony, ale zarazem bardziej osiągalny cel: powstrzymać przeciwników przed atakowaniem USA. Niezależnie od tego, czy zagraniczni przywódcy uznają, że warto przeprowadzać cyberataki na Stany Zjednoczone, Waszyngton może im to w pierwszej kolejności uniemożliwićˮ [3].

 

Właśnie wtedy, w marcu 2018 r., generał Nakasone zeznaje przez senacką komisją, która ostatecznie zatwierdza jego kandydaturę i w konsekwencji obejmuje on stery agencji NSA i dowództwo USCYBERCOM dwa miesiące później.

 

We wrześniu 2018 r. administracja prezydenta Trumpa wydaje w końcu nową wersję Narodowej Strategii Cybernetycznej (ang. National Cyber Strategy), która określa, w jaki sposób Ameryka będzie:

 

(1) bronić ojczyzny, chroniąc sieci, systemy, funkcje i dane;

(2) promować amerykański dobrobyt poprzez pielęgnowanie bezpiecznej, dobrze prosperującej gospodarki cyfrowej i wspieranie silnych krajowych innowacji;

(3) zachowywać pokój i bezpieczeństwo poprzez wzmocnienie zdolności – we współpracy z sojusznikami i partnerami – do odstraszania i, jeśli to konieczne, karania tych, którzy wykorzystują narzędzia cybernetyczne do złych celów;

(4) zwiększać wpływy za granicą, aby rozszerzyć kluczowe zasady otwartego, interoperacyjnego, niezawodnego i bezpiecznego Internetu [4].

 

Strategia miała być realizowana przez USCYBERCOM przy wsparciu innych służb i agencji. Cała idea opierała się na tzw. obronie wyprzedzającej (Defend Forward) oraz ciągłym zaangażowaniu (Persistent Engagement). Tak je komentował sam Nakasone: „Musimy […] płynnie manewrować w połączonej przestrzeni, globalnie, jak najbliżej przeciwników i ich operacji, oraz stale kształtować przestrzeń konfliktu, aby stworzyć dla nas przewagę operacyjną, jednocześnie odmawiając tego samego naszym przeciwnikomˮ [5].

 

W strategii wyróżniono trzy obszary cyberprzestrzeni: niebieską, czerwoną i szarą. Termin „niebieska cyberprzestrzeńˮ oznacza obszary chronione przez Stany Zjednoczone, ich partnerów i te, które Departament Obrony nakaże osłaniać. „Czerwona cyberprzestrzeńˮ odnosi się do tych jej części, które są w posiadaniu lub są kontrolowane przez przeciwnika. W tym wypadku „kontrolowanyˮ oznacza coś więcej niż tylko „obecność w danym systemieˮ, ponieważ adwersarze mogą posiadać skryty dostęp do elementów globalnej sieci (serwerów, routerów etc.), a ich działania są niewidoczne i nie mają jawnego wpływu na pracę systemu. Cała cyberprzestrzeń, która nie odpowiada opisowi „niebieskiegoˮ lub „czerwonegoˮ, została określona jako „szaraˮ.

 

Taki podział sugeruje, że Stany Zjednoczone dążą do osiągnięcia zakładanych efektów, operując zarówno poza własnymi sieciami, jak i poza sieciami swoich przeciwników. Co warte podkreślenia, ten rozległy obszar nie jest w końcu przestrzenią niezarządzaną. Wręcz przeciwnie, leży on w określonych jurysdykcjach pod kontrolą jednostek i organizacji państwowych i prywatnych nie będących stronami konfliktu. Obejmuje przykładowo routery w Kopenhadze, serwery w Kanadzie czy infrastrukturę operacyjną w każdym innym kraju na świecie.

 

SUKCESY STRATEGII

Jeszcze w lipcu 2018 r. wypróbowano nową koncepcję strategiczną. US Cyber Command, pracując za pośrednictwem świeżo utworzonej grupy zadaniowej, Russia Small Group, podjęło szereg działań, aby zakłócić działania cyberprzestępców, których celem było ingerowanie w wybory śródokresowe w 2018 r. Działania obejmowały tymczasową operację wyłączenia rosyjskiej farmy trolli, znanej jako Internet Research Agency, a także wysyłanie bezpośrednich wiadomości do rosyjskich agentów.

 

Natychmiast po wyborach, na początku listopada 2018 r., Cyber National Mission Force, operacyjne ramię USCYBERCOM, ogłosiło, że rozpoczęło udostępnianie próbek złośliwego oprogramowania (ang. malware) na VirusTotal, witrynie internetowej, która zapewnia wymianę informacji o cyberbezpieczeństwie. Pierwszą przesłaną próbką był malware związany z grupą APT28, przypisywaną rosyjskiemu GRU. USCYBERCOM do dziś zasila VirusTotal nowymi znalezionymi próbkami malware należącymi do działających adwersarzy, pomagając tym samym sektorowi prywatnemu i publicznemu wykrywać i przerywać toczące się operacje.

 

Jesienią 2020 r. pojawiły się doniesienia, że zarówno amerykańskie US Cyber Command, jak i Microsoft – rzekomo działające niezależnie od siebie – próbowały zakłócić działanie TrickBota, dużego botnetu powiązanego z rosyjskojęzycznymi cyberprzestępcami.

 

Również w październiku 2020 r. wysocy urzędnicy administracji prezydenta Trumpa zorganizowali konferencję prasową, na której ujawnili, że zarówno Rosja, jak i Iran aktywnie starają się ingerować w wybory poprzez operacje informacyjne oraz cybernetyczne.

 

Warto w tym miejscu dodać, że USCYBERCOM liczy ponad 6100 osób aktywnego personelu, podzielonego na ponad 130 zespołów operacyjnych [6].

 

OTRZEŹWIENIE?

Wydawało się, że nowa strategia zaczyna powoli przynosić spodziewane efekty. Jeszcze wiosną 2020 r. pisano umiarkowanie optymistycznie: „Ofensywne operacje cybernetyczne mogą prowadzić do znaczących korzyści strategicznych dla państw, zarówno dla Stanów Zjednoczonych, jak i ich przeciwników. Trwałe zaangażowanie może być najlepszą szansą na ograniczenie konfliktu i powrót do bezpieczniejszej cyberprzestrzeni. Jednak brakuje zbyt wielu wymaganych elementów, aby czuć się szczególnie pewnie. Chociaż Stany Zjednoczone mają silne przywództwo wojskowe i budują skuteczne siły cybernetyczne, istnieją niedociągnięcia w sygnalizacji, budowaniu zaufania z partnerami i ustanawianiu koordynacji międzyagencyjnejˮ [7].

 

I nagle, w grudniu 2020 r., „zdarzył się Solorigateˮ.

 

FireEye, firma z branży cyberbezpieczeństwa, 8 grudnia ogłosiła, że padła ofiarą ataku sponsorowanego przez służby obcego państwa. W toku śledztwa odkryto, że pierwotnym wektorem wejścia była kompromitacja oprogramowania firmy SolarWinds, używanego do zarządzania i monitoringu infrastruktury. Operacja zatem należała do kategorii ataków łańcucha dostaw (supply chain attack), kiedy to adwersarz, celując w jedną organizację, włamuje się do drugiej, z której usług lub produktów korzysta ta pierwsza. Taki scenariusz umożliwia wykorzystanie naturalnej relacji zaufania, jaka istnieje pomiędzy klientem a dostawcą. Z produktów SolarWinds korzystają tysiące firm na całym świecie, więc w efekcie modyfikacji konkretnego pakietu oprogramowania atakujący potencjalnie uzykali dostęp do wszystkich organizacji, które taki software u siebie zainstalowały. Według raportów w samych tylko Stanach Zjednoczonych atak dotknął wiele agencji i departamentów rządowych, władze stanowe i lokalne oraz sektor prywatny [8]. Nie bez powodu został on określony jako włamanie dekady.

 

Co warte odnotowania, według Sudhakara Ramakrishny, prezesa i dyrektora generalnego firmy SolarWinds, już w styczniu 2019 r. hakerzy wykonywali „bardzo wczesne działania rozpoznawcze” [9], co oznaczałoby, że operowali w tej firmie co najmniej kilka lub nawet kilkanaście miesięcy, zanim doszło do ostatecznej implantacji złośliwego kodu (co nastąpiło pod koniec lutego 2020 r.). Co jeszcze ciekawsze, kod ten został usunięty z oryginalnego oprogramowania w początkach czerwca 2020 r., co może sugerować, że albo uzyskano dostęp do zakładanych organizacji-celów albo, co też możliwe, próbowano ograniczyć skalę włamania ze względu na liczbę uzyskanych dostępów i związany z tym wzrost ryzyka wykrycia całej operacji.

 

Powszechnie uważa się, że za Solorigate (nazywaną też Sunburst) stały rosyjskie służby specjalne ze wzkazaniem na Służbę Wywiadu Zagranicznego (Служба Внешней Разведки – СВР/SWR).

 

Niezależnie od tego, kto przeprowadził atak, faktem jest, że żadne służby amerykańskie (i nie tylko) ani sektor prywatny nie zdołały go wykryć przez siedem miesięcy lub nawet niemal dwa lata, w zależności od tego, od kiedy liczyć jego początek lub rozległość. Na przesłuchaniu przed Kongresem USA w marcu 2021 r. generał Nakasone powiedział, że „nie chodzi o to, że nie możemy połączyć kropek. Nie możemy zobaczyć wszystkich kropekˮ. Przeciwnicy „rozumieją, że mogą przybyć do Stanów Zjednoczonych, korzystać z naszej infrastruktury, a my mamy martwy obszar, w którym ich nie widzimyˮ [10]. Ta wypowiedź sugeruje, że zdolności wywiadowcze oparte są głównie na NSA, która z definicji ma zakaz operowania na terenie USA.

 

2 marca 2021 r. spada kolejna bomba. Firma Volexity zajmująca się cyberbezpieczeństwem informuje, że wykryła aktywnie wykorzystywaną lukę w systemie pocztowym Microsoft Exchange Server. Wyglądało na to, że już w styczniu cyberprzestępcy umieszczali złośliwy kod, który umożliwiał dostęp administracyjny i kradzież danych. Skala ataku była zadziwiająca. Początkowo kampania skupiała się tylko na konkretnych, ważnych celach, jednak z biegiem czasu – i gdy Microsoft odkrył dziurę w zabezpieczeniach swojego produktu – liczba ataków eksplodowała. Wydaje się, że wiele grup hakerskich zostało o niej poinformowanych wcześniej, a inne dowiedziały się już po publikacji poprawki. Co gorsza, hakerom udało się zautomatyzować swoje kampanie, co pozwoliło szybko rozszerzyć działania na cały świat – od organizacji non-profit przez producentów lodów po domy starców czy banki – żaden sektor nie został oszczędzony. Na początku marca liczba ofiar sięgała 60 tysięcy organizacji. Za włamaniem rzekomo stała sponsorowana przez państwo chińska grupa hakerska, nazywana przez Microsoft – Hafnium.

 

W niespełna dwa miesiące później, w piątek 7 maja, operator Colonial Pipeline, systemu rurociągów naftowych, który transportuje benzynę i paliwo lotnicze głównie do południowo-wschodnich Stanów Zjednoczonych, ogłosił, że jego działalność została wstrzymana w wyniku incydentu z oprogramowaniem ransomware. Zamknięto główny rurociąg i kilka pomniejszych. Spadek dostępności paliwa na stacjach benzynowych wywołał panikę zakupową, co tylko powiększyło problem. Wiele linii lotniczych zostało zmuszonych do zmiany trasy lub zaplanowania dodatkowych międzylądowań w celu uzupełnienia paliwa. Braki dotknęły Alabamę, Florydę, Georgię oraz Karolinę Północną i Południową. Colonial Pipeline powrócił do normalnej pracy sześć dni później, 12 maja, po zapłaceniu okupu w wysokości ponad czterech milionów dolarów (w postaci bitcoinów) grupie przestępczej DarkSide, operującej ze Wschodniej Europy lub Rosji. Co ciekawe, część okupu została później odzyskana, jak poinformował amerykański Departament Sprawiedliwości [11].

 

Jak można się było spodziewać, na amerykańską administrację wylała się fala krytyki (np. [12], [13]). Wskazywano błędne założenia (odstraszanie w cyberprzestrzeni), zmieniający się charakter szpiegostwa i jego powiązania z domeną cyber czy nieadekwatną komunikację z sektorem prywatnym. Te głosy dołączyły się do wcześniejszych zastrzeżeń, że „strategia może prowadzić do negatywnych implikacji dla sojuszu”, takich jak „utrata zaufania z powodu operacji ofensywnych o skutkach cybernetycznych w sojuszniczych systemach lub sieciach, narażenie na szwank sojuszniczych operacji i zdolności wywiadowczych” czy też „zastosowanie filozofii ciągłego zaangażowania przez inne kraje” [14].

 

OCENA STRATEGII

Obecnie wygląda na to, że bilans amerykańskiej strategii jest niejasny. Z jednej strony podniesiono koszty operacyjne przeciwników, ale jeden z głównych celów, tj. odstraszanie, nie został zrealizowany.

 

Aby odstraszanie było skuteczne, państwo broniące się musi być w stanie oprzeć się żądaniom politycznym czy też wojskowym przeciwnika. Gdy za cenę uniknięcia konfliktu poddaje się tym żądaniom, okazuje słabość, a nie realizuje strategię odstraszania.

 

Jak zatem pokazać, że ma się siłę? Odstraszanie to gra psychologiczna. Przeciwnik musi zostać przekonany, że nasze intencje są prawdziwe i że nie blefujemy. Uzyskać to można poprzez odpowiednią sygnalizację zdolności, ale co ważniejsze – wolę ich użycia. To sine qua non odstraszania. Dobrym tego przykładem jest włamanie do Sony Pictures z 2014 r., kiedy to Korea Północna, próbując wymusić, aby wytwórnia wycofała się z publikacji filmu „Interviewˮ, prześmiewczo przedstawiającego Kim Dzong Una, zaatakowała sieć firmy, wykasowując dużą część infrastruktury, publikując dane pracowników, nie wypuszczone wcześniej filmy czy plany i scenariusze kolejnych. Po tym incydencie żadna wytwórnia filmowa na świecie nie podjęła do tej pory podobnego tematu.

 

W podobnych kategoriach traktować można działania ofensywne Chin wymierzone w Australię, która słowami premiera Morrisona domagała się wszczęcia postępowania wyjaśniającego pochodzenie wirusa SARS-CoV-2. Od kwietnia 2020 r. rozpoczął się zmasowany atak na australijską infrastrukturę i próba przełamania zabezpieczeń. Chiny zastosowały ostracyzm również na innych polach (np. handlowym). Hugh White, profesor studiów strategicznych z Australijskiego Uniwersytetu Narodowego, skwitował to następująco: „Traktowanie Australii przez Chiny było charakterystyczne, jeśli nie wyjątkowe. Nie byłem w stanie zidentyfikować innego kraju, na który wywierano by presję w tak szerokim zakresieˮ.

 

To swoiste „odstraszanie przez zastraszanie” wydaje się mieć na celu ukaranie „winnychˮ, ale jednocześnie ma dać jasny sygnał, że poza określonymi zdolnościami służby danego państwa wykazują również determinację w ich stosowaniu, gdy zajdzie taka potrzeba. To buduje wiarygodność odstraszania.

 

Czy można powiedzieć o tym samym w kontekście działań USCYBERCOM? Niewątpliwie USA posiadają najlepsze zdolności cyber, a wola ich użycia była niejednokrotnie pokazywana (np. Stuxnet). Jednakże operacje te kierowane są na wąsko określony cel i nie wpływają znacząco na działalność firm czy nastroje społeczne przeciwnika. W szczególności strategia USA ma za zadanie podwyższyć koszty operacji adwersarzy i zniechęcić do dalszych działań. Ale jaki jest koszt uruchomienia nowej infrastruktury służącej do ataku lub napisania nowych narzędzi ofensywnych w porównaniu z kradzieżą własności intelektualnej i technologii wartych miliardy dolarów? Czy w ogóle można porównać techniczne przerwanie operacji z kosztem wywołania niepokojów społecznych? Wydaje się, że strategia nie odpowiada na te pytania.

 

Inną sprawą jest zdolność do odróżniania operacji wywiadowczych (CNE – Computer Network Exploitation) od operacji destrukcyjnych (CNA – Computer Network Attack) w domenie cyber. Te pierwsze należą do kategorii szpiegostwa – profesji milcząco uznawanej za dopuszczalną; te drugie – mają na celu sabotaż, zniszczenie infrastruktury bądź danych. Problem w tym, że nie trywialnym jest wskazanie, czy wykryta operacja należy do pierwszego czy drugiego rodzaju. Od strony technicznej i stosowanych taktyk są one identyczne (poza skrajnymi wyjątkami, które tutaj pominiemy). Nie sposób zakazać szpiegostwa, a bez znajomości intencji przeciwnika nie wiemy, czy mamy do czynienia z CNE czy CNA. Co więcej, to pierwsze prawie zawsze poprzedza drugie, a przejście z operacji wywiadowczej do sabotażu może być bardzo płynne i niespodziewane – decyzja i wykonanie leży całkowicie poza kontrolą strony zaatakowanej. Strategia USA zakłada zatem, że wszystkie operacje należy przerywać, co nie jest ani wykonalne ze względów technicznych i zasobowych, ani wskazane ze względów politycznych czy wywiadowczych.

 

Można pokazać jeszcze jedną słabość podejścia USCYBERCOM – nie wyznaczono wyraźnych granic, których przekroczenie wywoła eskalację strony amerykańskiej. To wręcz zachęta dla adwersarzy, aby testować, gdzie owe granice się znajdują (co jest kompletnie sprzeczne z założeniami odstraszania). Własnie tak interpretować można działania rosyjskie na Ukrainie w 2015 i 2016 r., kiedy wyłączono sieci energetyczne, czy też przypadek rurociągu Colonial Pipeline z tego roku. Co znamienne, żadne z tych zdarzeń nie spotkało się (przynajmniej oficjalnie) z adekwatną odpowiedzią ze strony USA.

 

CO DALEJ?

Warto pochylić się nad tym, jak adwersarze USA, w szczególności Rosja, podchodzą do operacji w domenie cyber. Rosyjskie myślenie strategiczne posługuje się pojęciem operacji informacyjnych, na które składają się dwa komponenty: techniczny oraz kognitywny. Definicja przytoczona przez Ministerstwo Obrony Federacji Rosyjskiej z 2011 r. jasno określa, że jest to: „konfrontacja w przestrzeni informacyjnej między dwoma lub więcej państwami w celu wyrządzenia szkód systemom, procesom, zasobom informacyjnym, strukturom krytycznym i innym, podważająca systemy polityczne, gospodarcze i społeczne, masowo manipulująca ludnością w celu destabilizacji państwa i społeczeństwa, a także zmuszenia go do podejmowania decyzji na korzyść siły przeciwnej” [15].

 

Keir Giles, ekspert ds. Rosji, uważa, że rosyjscy stratedzy „nie widzą różnicy między informacjami przechowywanymi w komputerze i ludzkim umyśle, tak jak nie ma różnicy między sposobem przesyłania informacji między tymi przestrzeniami przechowywaniaˮ. Rosja postrzega „konfrontację informacyjnąˮ jako szeroką i inkluzywną koncepcję, która obejmuje operacje w sieciach komputerowych wraz z dyscyplinami takimi jak operacje psychologiczne, komunikacja strategiczna, wpływy, wywiad i kontrwywiad, oszustwo, dezinformacja, wojna elektroniczna i niszczenie zdolności informatycznych wroga. Giles opisuje to jako tworzenie „systemów całościowychˮ, w których mieszanie i koordynacja między różnymi narzędziami informacyjnymi jest charakterystyczną cechą rosyjskiego sposobu prowadzenia wojny informacyjnej [16]. Co więcej, Chińczycy mają podobne podejście w swojej koncepcji operacji informacyjnych [17].

 

Na tym polu ujawnia się spora asymetria w podejściu Amerykanów. Strategia przewiduje, że cyberprzestrzeń stanowi osobną domenę niezwiązaną z operacjami psychologicznymi, co najwyżej wykorzystywanymi w działaniach socjotechnicznych, ale mającą tylko związek z uzyskaniem dostępu do zasobów informacyjnych. Kompletnie pomija wszelkie aspekty wpływania na postrzeganie rzeczywistości i tym samym decyzje adwersarzy.

 

Ta ułomność zaczyna być dostrzegana m.in. przez Cyberspace Solarium Commission (CSC), specjalną radę powołaną w 2018 r. w celu opracowania strategicznych wytycznych przeciwko zagrożeniom w cyberprzestrzeni. Patrick Murphy i Erica Borghard, oboje z CSC, sugerują, że „operacje informacyjne powinny być włączone w strategię Defend Forward”. Co ciekawe, „rząd USA [nie] powinien powielać kampanii przeciwnika, które wykorzystują cyberprzestrzeń do prowadzenia szeroko zakrojonej dezinformacji przeciwko ludności cywilnej. Byłoby to niezgodne z wartościami demokratycznymi, zwłaszcza gdy tego typu kampanie odbywają się poza kontekstem aktywnych działań wojennych lub konfliktów. Zamiast tego zakładamy, że celowane operacje informacyjne prowadzone w połączeniu z operacjami cybernetycznymi przeciwko wybranym wrogim jednostkom wojskowym mogą wzmocnić efekty kampanii Defend Forwardˮ [18]. Jednakże w artykule brak wyraźnych konkretów, co należy pod tym rozumieć.

 

PODSUMOWANIE

Amerykańska strategia cyber bez wątpienia jest próbą bardziej aktywnego reagowania na zachodzące zmiany na arenie międzynarodowej, w szczególności na wzrost cyberaktywności swoich głównych rywali. W ciągu ostatnich trzech lat USCYBERCOM odniósł pewne sukcesy w przeciwdziałaniu operacjom ofensywnym, ale nawet jego techniczna i zasobowa przewaga (czy nawet dominacja, jeśli dodać zdolności agencji NSA) nie jest w stanie powstrzymać kolejnych prób destabilizacji, kradzieży i szpiegostwa, jakich dokonują Rosja, Chiny, Iran czy Korea Północna. Cyberodstraszanie jako leitmotiv strategii poniosło kompletne fiasko i nie spowodowało zaprzestania ataków lub znaczącego ograniczenia ich liczby czy skali. Czas pokaże, czy kolejne modyfikacje podejścia, w tym zastosowanie aspektów psychologicznych w cyberoperacjach, zmienią wieloletni niekorzystny trend.

 

LITERATURA

[1] Nakasone Hearings, https://www.c-span.org/video/?441917-1/nsa-nominee-testifies-senate-armed-services-committee
[2] Adam Entous, Ellen Nakashima and Greg Miller, „Secret CIA assessment says Russia was trying to help Trump win White Houseˮ, „The Washington Postˮ
[3] https://www.foreignaffairs.com/articles/world/2018-03-22/how-us-can-play-cyberoffense
[4] National Cyber Strategy of the United States of America, wrzesień 2018 r.
[5] https://ndupress.ndu.edu/Media/News/News-Article-View/Article/1736950/a-cyber-force-for-persistent-operations/
[6] https://www.c4isrnet.com/cyber/2021/05/14/will-the-cyber-mission-force-soon-receive-more-personnel/
[7] Jason Healey, Stuart Caudill, „Success of Persistent Engagement in Cyberspace”
[8] https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach#List_of_confirmed_connected_data_breaches
[9] https://apnews.com/article/hacking-business-technology-government-and-politics-b221968496ed498457ab56aae7970c90
[10] https://breakingdefense.com/2021/03/nakasone-warns-adversaries-hack-unseen-in-us/
[11] https://abcnews.go.com/Politics/doj-seizes-millions-ransom-paid-colonial-pipeline/story?id=78135821
[12] https://www.newsweek.com/defend-forward-amid-new-era-cyber-espionage-opinion-1585854
[13] https://www.orfonline.org/expert-speak/the-solarwinds-hack-pokes-holes-in-defend-forward/
[14] Max Smeets, „U.S. Cyber strategy of Persistent Engagement & Defend Forward: Implications for the Alliance and Intelligence Collection”
[15] Bilyana Lilly, Joe Cheravitch, „The Past, Present, and Future of Russia’s Cyber Strategy and Forces”
[16] Keir Giles, „NATO Handbook of Russian Information Warfare”
[17] Timothy L. Thomas, „Dragon Bytes: Chinese Information-War Theory and Practice”
[18] Patrick J. Murphy, Dr. Erica Borghard, „To Defend Forward, US Cyber Strategy Demands a Cohesive Visionˮ
Materiały do pobrania
Amerykańska strategia odstraszania w cyberprzestrzeni
Autor Błażej Kantak
inżynier, przedsiębiorca, inwestor. Założyciel SEKTOR7 i współtwórca konferencji x33fcon.
Ta strona używa cookies i innych technologii. Korzystając z niej, wyrażasz zgodę na ich używanie, zgodnie z Polityką prywatności.