Komentarze prosimy nadsyłać bezpośrednio na redakcja@dgtl.law

Zeszłoroczne zamieszanie spowodowane atakiem hakerskim SolarWinds, którego ofiarami padło m.in. kilka agencji rządowych Stanów Zjednoczonych, ponownie wywołało temat cyberbezpieczeństwa. Eksperci, wskazując na bezprecedensową skalę ataku, podkreślają jednocześnie, że trudno powiedzieć, ile i jakie informacje zostały wykradzione. Co więcej, Thomas Rid w wypowiedzi dla brytyjskiego The Guardian uważa, że na dobrą sprawę sami sprawcy ataku mogą jeszcze tego nie wiedzieć.

Odchodząca administracja Trumpa - na ogół powściągliwa, jeżeli chodzi o pokazywanie palcem na Rosję - tym razem oficjalnie przypisała atak temu właśnie krajowi, a nowy Prezydent podkreśla, że wymaga on stanowczej odpowiedzi. Czy tak faktycznie się stanie? Czy jesteśmy właśnie świadkami rodzącego się konfliktu pomiędzy dwoma mocarstwami?  W odpowiedzi na te pytania mogą pomóc lektury dwóch książek: „Cyber war will not take place” wspomnianego wyżej Thomasa Rida oraz „Countdown to Zero Day” Kima Zettlera.

"Nadchodzi wojna cybernetyczna"

Niespełna 30 lat temu dwóch analityków Think Tanku RAND Corporation, John Arquilla oraz David Ronfeld, opublikowało w czasopiśmie „Comperative Strategy” artykuł zatytułowany „Cyberwar is coming!”. Był to pierwszy taki materiał zawierający poważną analizę możliwości wykorzystania ataku na systemy informacyjne przeciwnika (w tym systemy zarządzania) dla uzyskania przewagi militarnej. Autorzy artykułu uważali, że cyberwojna stanie się w XXI wieku odpowiednikiem tego, czym dla wieku XX był niemiecki blitzkrieg. Od tamtego czasu jesteśmy „bogatsi” o setki, tysiące praktycznych przykładów tego, w jaki sposób narzędzia cyfrowe mogą być wykorzystywane do dopuszczania się aktów szpiegostwa, dywersji czy sabotażu. Pojęć, które wywołują oczywiste skojarzenia z działaniami militarnymi, choć w dzisiejszych czasach równie dobrze pasują do innego rodzaju walki – walki o gospodarczą dominację.

Tak to my!

Agencje rządowe już w przeszłości padały ofiarami ataków hakerskich. W roku 1996 U.S. Navy, U.S. Air Force, NASA, Departament Energii i kilka innych agend rządów Stanów Zjednoczonych stały się przedmiotem powtarzających się cyberataków, a w ręce hakerów wpadły dokumenty o najwyższym stopniu poufności, zawierające m.in. dokumentacje uzbrojenia, kodów szyfrujących, planów wojskowych. Także wówczas wszystkie tropy prowadziły do Moskwy, a działo się to jeszcze w burzliwych latach, kiedy Prezydentem tego kraju był Borys Jelcyn.

Delegacja amerykańska wybrała się więc w podróż, aby całą sprawę wyjaśnić na drodze dyplomatycznej. Jakież było zdziwienie śledczych, kiedy ich gospodarz – w randze generała – otwarcie przyznał, że Moonlight Maze (taki kryptonim nadano temu atakowi) to fak-tycznie ich dzieło. Dokładnie chodziło o bliżej nieokreślone służby specjalne rosyjskiego imperium w przebudowie, które miały jakoby działać na własną rękę. Kolejnego dnia ów generał już się nie pojawił, a rozmowy zeszły na boczne tory, co zdaniem amerykańskiej delegacji, wyraźnie świadczyło o tym, że byli po prostu świadkami sytuacji, w której niepo-dejrzewający niczego generał okazał się albo naiwny, albo niedoinformowany.

Wirus kontra bomba jądrowa

Jednak prawdziwym przełomem w myśleniu o militarnym zastosowaniu narzędzi cyfrowe-go sabotażu był Stuxnet - złośliwe oprogramowanie, które opóźniło rozwój irańskiego programu atomowego o kilka lat. Książkę Zettera, poświęconą temu właśnie wirusowi, czyta się jak prawdziwy kryminał, z jedną różnicą. Rolę genialnego detektywa rozpisano na przedstawicieli kilku specjalistycznych firm komputerowych, które miały swój udział w odkryciu i zdemaskowaniu Stuxnetu, no i tak naprawdę do końca tej opowieści nie wiadomo kto „zabił”, choć przypisanie atrybucji wspólnemu wysiłkowi służb amerykańskich i izraelskich nie budzi już dzisiaj większych wątpliwości.

To, co w tej opowieści wydaje się uderzające, to dwie kwestie. Sam pomysł polegający na dokonania sabotażu specjalnych wirówek wykorzystywanych przez Iran do uzyskiwania Plutonu tak, aby nikt nie domyślił się działania osób trzecich (nawet niewielka destabilizacja procesu przetwarzania w tych wirówkach prowadziła do uzyskania całkowicie bezwartościowych rezultatów). Druga kwestia to fakt odkrycia wirusa (a także sposobu i celu jego działania), nie przez agendy rządowe, a przez wiele mniejszych i większych firm komputerowych, które odkrywały tajemnice Stuxnetu cierpliwie, warstwa po warstwie, pracując niezależnie, ale upubliczniając wyniki swoich prac.

Zaczęło się od niewielkiej białoruskiej firmy Virus BlokAda, która wykryła nieznane oprogramowanie złośliwe na komputerach swoich irańskich klientów. Co więcej, opro-gramowanie to korzystało z tzw. luki dnia zero (ang. Zero Day), czyli błędu w oryginalnym oprogramowaniu firmy trzeciej (w tym przypadku w oprogramowaniu firmy Microsoft), wykorzystywanego niczym boczna furtka pozwalająca na wprowadzenie do systemu złośliwego oprogramowania. Później dołączyła słowacka firma ESET, rosyjska Kaspersky i amerykański Symantec oraz mniejsze firmy specjalizujące się w oprogramowaniu przemysłowym firmy Siemens.

Jak podkreślali zgodnie wszyscy eksperci, Stuxnet był prawdziwym dziełem sztuki hackerskiej. W świecie, w którym oprogramowanie złośliwe wypuszcza się w świat, nie zdając sobie do końca sprawy, kto stanie się jego końcową ofiarą, Stuxnet działał z chirurgiczną wręcz precyzją. Atakował wyłącznie określoną konfigurację oprogramowania przeznaczonego do obsługi wirówek. W innych środowiskach był całkiem niegroźny. Twórcy Stuxnetu udało się stworzyć narzędzie niezmiernie trudne do wykrycia, choć jak się okazało także w dziedzinie cyberbezpieczeństwa trudno o zbrodnię doskonałą.

Druga lekcja była nie mniej ważna. Cyberprzestrzeń może zostać wykorzystana do aktów sabotażu przemysłowego, choć niektórzy eksperci zdawali sobie z tego sprawę już wcześniej. Projekt Aurora, przeprowadzany w połowie pierwszej dekady XXI stulecia w Stanach Zjednoczonych, pokazał dobitnie, że odpowiednio dobrane narzędzia w postaci oprogramowania złośliwego mogą umożliwić atak prowadzący do zniszczenia przemysłowego generatora prądu. Późniejsze ataki dokonywane na terytorium Ukrainy przez "nieznanych sprawców", na system energetyczny tego kraju, udowodniły, że także wywołanie blackout-u przy wykorzystaniu oprogramowania złośliwego jest nie tylko możliwe, ale nie wymaga nawet setnej części nakładów, jakie poświęcono na skonstruowanie Stuxnetu.

Cyberprzestrzeń może okazać się „zbyt poważną rzeczą, by powierzyć ją wojskowym”

No i lekcja numer 3. Jeżeli z jednej strony mówimy o eliminowaniu cyberzagrożeń, jedno-cześnie formując jednostki specjalne, które mają zajmować się nie tyle obroną przed atakami, co atakami przeciwko innym krajom, to cała retoryka związana z przedstawianiem środowisk hakerskich w negatywnym świetle zaczyna lekko szwankować. A jeśli do tego okazuje się, że organizacja hakerska o kryptonimie Shadow Brokers włamuje się do komputerów tajnych służb Stanów Zjednoczonych i ujawnia publicznie "tonę" narzędzi hakerskich skrupulatnie przez te służby gromadzonych (w tym wiele luk Dnia Zero),o których nie wiedzą nawet amerykańskie firmy komputerowe, które są twórcami zagrożonego podatnością oprogramowania - to, parafrazując powiedzenie Georges Clemenceau, należałoby powiedzieć że cyberprzestrzeń może okazać się „zbyt poważną rzeczą, by powierzyć ją wojskowym”.

Jeśli jednak cyberprzestrzeń już od dobrych kilkunastu lat stała się areną zmagań służb specjalnych oraz agencji wojskowych różnych mocarstw, to skąd przekonania w tytule pracy Thomasa Rida "do wojen w cyberprzestrzeni nie dojdzie" ? Jego zdaniem, narzędzia cyfrowe odgrywają - i będą odgrywać - coraz większą rolę, także na nowoczesnym polu walki, ale trudno im przypisać rolę inną niż pomocnicza. Nie ulega wątpliwości, że za pomocą oprogramowania złośliwego można prowadzić działalność szpiegowską na nieznaną do niedawna skalę, wykradając przykładowo części planów technicznych najnowszego myśliwca F-35, jak to miało miejsce w 2017 roku. Można również prowadzić akcje sabotażowe, które mogą doprowadzić do chaosu i destabilizacji na zapleczu wroga (przykładem niech będą tu ataki DDoS przeprowadzone przez na terytorium Estonii, co doprowadziło w praktyce do odcięcia tego kraju od internetu, a także opisywane wyżej ataki na Ukrainie). Można w końcu prowadzić działania dezinformacyjne, a nawet wpływać na przebieg wyborów prezydenckich. Trudno jednak doprowadzić za pomocą tych narzędzi do zniszczenia określonych celów militarnych. Oczywiście Thomas Rid, pisząc swoje opraco-wanie na początku drugiej dekady XXI stule-cia (drugie, poprawione wydanie ukazało się w roku 2017), nie analizował jeszcze możliwości, które stwarzają autonomiczne systemy uzbrojenia (tzw. LAWS) i choć sygnatariusze deklaracji Sztokholmskiej z 2018 roku prze-ciwstawiają się pracom nad rozwojem takich systemów wykorzystujących sztuczną inte-ligencję, wydaje się niemal pewne, że broń taka już obecnie jest stosowana w praktyce.

W świetle tych wszystkich faktów, trudno byłoby się spodziewać, żeby afera SolarWinds doprowadziła do szeroko zakrojonych działań odwetowych nowej administracji amerykańskiej. Afery szpiegowskie w stosunkach pomiędzy tymi dwoma krajami to w końcu nic nowego, a rodzaj wykorzystanych tym razem narzędzi nie zmieni zapewne wypracowanego przez lata podejścia w tej mierze (wydalenie części personelu dyplomatycz-nego, ograniczone sankcje gospodarcze). Po aferze z wirusem NotPetya, którego ofiarą padły firmy, takie jak: Maersk Line, Merck, Saint-Gobain, Reckitt Benckiser, Beiers-dorf, DHL (ale też rosyjski Rosneft), a straty przekroczyły 1 mld USD, Jens Stoltenberg, Sekretarz Generalny NATO, po raz pierwszy w historii sojuszu wspomniał co prawda, że atak na cyberprzestrzeń może być w niektórych okolicznościach podstawą do uruchomienia art. 5 traktatu NATO, ale SolarWinds z pewnością takich okoliczności nie stwarza. Bardziej prawdopodobne, że afera ta wpłynie na kolejną eskalację i wyścig zbrojeń w cyberprzestrzeni.

Równie oczywistym jest jednak to, że cyberprzestrzeń przestała być już strefą zdemilita-ryzowaną. John Hamre –przemawiając swego czasu jeszcze jako zastępca Sekretarza Obrony Rządu Stanów Zjednoczonych powiedział, że cyberprzestrzeń nie jest już miejscem wyłącznie dla komputerowych maniaków. Cyberprzestrzeń stała się także miejscem dla wojowników. Choć w świetle lektury książek Rida i Zettera trudno sobie wyobrazić konflikt militarny wywołany atakiem hakerskim, to niewątpliwie cyberprzestrzeń stała się kolejną areną starć pomiędzy mocarstwami. Hannes Alven, szwedzka laureatka Nagrody Nobla, powiedziała, że „Atomy dla pokoju i atomy dla wojny są jak syjamscy bracia”. Wydaje się, że powiedzenie to pasuje, jak ulał, również do cyberprzestrzeni.

Oryginalny artykuł ukazał się w nr 2 Magazynu ITWIZ

Kim Zetter "Countdown to Zero Day" , Boradway Book, New York, 2014

Thomas Rid "Cyber War will not take place", Oxford Univerity Press, 2017