Biuro Bezpieczeństwa Narodowego opublikowało dokument zawierający rekomendacje dotyczące strategii bezpieczeństwa narodowego. Opracowanie obejmuje szeroki zakres działań mających na celu wzmocnienie bezpieczeństwa w obszarze cywilnym i wojskowym. Obejmuje także elementy polityki technologii, cyberbezpieczeństwa i bezpieczeństwa informacyjnego, czyli odporności na operacje cyber, informacyjne i propagandowe. To dokument ciekawy do recenzji, choć brakuje mu elementów kluczowych: budowy zdolności ofensywnych w cyberprzestrzeni i w przestrzeni informacyjnej.
Nad Wisłą pokutuje pogląd, by z możliwości finansowanych ze środków publicznych Wojsk Obrony Cyberprzestrzeni korzystać ostrożnie. Coraz większa liczba państw NATO, gdzie rozumie się potrzebę operowania cyberwojsk także poniżej progu wojny, ma inne zdanie. I nie chodzi wcale o działania hybrydowe lub obronę przed nimi ani o działania wywiadowcze. Chodzi także o analitykę aktywną, rozbrajanie sieci botów, systemów do ataków DDoS, ransomware, ośrodków propagandowych i dezinformacyjnych. BBN rozumie potrzebę wzmocnienia zdolności analizy zagrożeń, by skutecznie chronić infrastrukturę krytyczną. Potrzeba więc takie narzędzia stworzyć, przetestować i ich używać. Aktywna cyberobrona jest nieodzownym elementem strategii bezpieczeństwa. Konieczne jest stałe monitorowanie zagrożeń i adekwatne reagowanie, czyli w wyłaniającej się praktyce państw NATO także neutralizowanie źródeł zagrożeń działaniami ofensywnymi.
Obecnie polskie jednostki nie mają zdolności do cyberataku. Zdolności takie to nie tylko elementy techniczne czy strategiczne. Chodzi także o kwestie prawne. Brakuje zasad umożliwiających prowadzenie takich działań, także w czasie pokoju. Bez takich uprawnień Polska nie będzie się liczyć w konkurencji z najlepszymi jednostkami tego rodzaju i nie zmienią tego słowa ministra cyfryzacji, który się tymi sferami nie zajmuje, bo leżą one w gestii ministra obrony, a czasem i spraw zagranicznych. Wypracowanie procedur powinno być priorytetem. To tym bardziej konieczne w dobie cyberwojny za wschodnią granicą oraz zwiększającej się presji poniżej progu konfliktu zbrojnego. Polska nie jest na wojnie, a wojna hybrydowa nie istnieje. Ale stworzenie zasad dla operowania w cyberprzestrzeni to także kwestia odpowiedzialności. Szkoda by było, gdyby przez przypadek doprowadzić do niepotrzebnej eskalacji. Ścieżka decyzyjna musi być nieskomplikowana, oceny działań – precyzyjne, a jednostki powinny skutecznie ukrywać ślady działań.
Integralnym elementem dokumentu BBN jest też ochrona przestrzeni informacyjnej. Zapewnienie jednolitej komunikacji strategicznej i ochrona środowiska informacyjnego są uznane za kluczowe dla budowania odporności kognitywnej. Chodzi o to, by państwo umiało sprawnie obsługiwać kryzysy, takie jak upadek rakiety w Przewodowie, pożary i katastrofy, naruszanie granicy – i próby wpisywania tego w szersze wydarzenia, co może, ale nie musi być prawdą. Chodzi o rozpoznawanie wrogich operacji propagandowych i ich skuteczne rozbrajanie. Przykładem próba zrzucenia w styczniu 2022 r. na Polskę winy za cyberoperacje Rosji będące preludium do eskalacji wojny na Ukrainie. WOC ustaliły, że grafiki mające doprowadzić do podziałów między Polską i Ukrainą wstawiane na zhakowane ukraińskie strony zawierają nieprawdziwy element, mający wskazywać na źródło tych cyberataków w Polsce, co było niedorzeczne. WOC to opisały i wyprzedzająco rozbroiły.
BBN chce powołać StratCom do analizy i koordynacji działań informacyjnych. I dobrze, ale w obecnej sytuacji praktyka sojuszników wygląda tak, że to jednostkom cyberwojsk nadaje się zdolności działania w przestrzeni informacyjnej: analiza, obrona, ale także atak, czyli tworzenie operacji propagandowych. To są braki strategii BBN, chyba żeby uznać wstawienie tych idei w sposób ogólnikowy i eufemistyczny. Jeśli tak, to doceniam inwencję, ale trzeba powiedzieć o tym wprost. W praktyce za wdrażanie zmian odpowiada MON i można uznać, że jakieś zrozumienie takich potrzeb tam istnieje. Warto życzyć powodzenia. Dziś tracimy czas i pozostajemy bezbronni w cyberprzestrzeni, nie mając możliwości działań zwrotnych lub neutralizujących wrogie węzły ataku.
Przykładów działań aktywnych jednostek zachodnich nie brakuje
Kluczowe są jednak ostrożność, niewidzialność takich operacji i odpowiedzialność rozumiana jako ograniczanie negatywnych następstw lub zniszczeń. Nigdy jeszcze nie doszło do konfliktu zbrojnego w wyniku działań w cyberprzestrzeni i lepiej nie być tutaj prekursorem. Dokument BBN opisuje też inne potrzeby, jak stworzenie bezpiecznego systemu łączności. Jak pokazały wczesne fazy wojny na Ukrainie, cywilne komunikatory Signal czy WhatsApp są dobre, przydatne i potrafią być bezpieczne, ale warto mieć też system stricte państwowy, bo to kwestia suwerenności. Tu już się coś dzieje, rząd powołał pełnomocnika, trzeba to tylko dowieźć i nie iść przy tym na skróty.
Strategia BBN zaznacza wagę rozwoju zaplecza badawczego
Mam tu bezpośrednie obserwacje, od 2017 r. jestem członkiem (i przewodniczącym) komitetu sterującego programu cyberbezpieczeństwa Narodowego Centrum Badań i Rozwoju. Moje doświadczenia można podsumować tak: niektóre projekty są wybitnie potrzebne, a inne – różnie, choć straty da się ograniczać. Potrzeba rozwoju zaplecza, rozumianego nie tylko jako program dofinansowania, lecz także możliwość absorpcji funduszy. W skrócie: by było komu wykonywać sensowne i potrzebne prace. W nadzorze nad badaniami warto zaangażować ludzi, którzy zachowują zdrowy sceptycyzm i są wolni od naiwności. Chodzi wszak o publiczne pieniądze. Skuteczne powiązanie działalności badawczej z potrzebami przemysłu mogłoby wzmocnić międzynarodową pozycję Polski. Choć to niekoniecznie robi się jedynie funduszami publicznymi, by podać przykład niemieckiej firmy Helsing, rozwijającej wojskowe zastosowania AI. Warto także wspierać ośrodki prywatne.
W strategii są też elementy modne i standardowe, jak odporność na ataki kwantowe, czyli ryzyko deszyfracji komunikacji i danych przy założeniu pojawienia się komputera kwantowego dużej mocy. Techniki te są standaryzowane, a nowe algorytmy wdrażane. Migracje na nowe systemy bezpieczeństwa wymagają jednak pracy i pieniędzy. Istotnym punktem jest też rozwój zdolności kosmicznych podwójnego zastosowania. W przypadku Polski byłoby to obrazowanie satelitarne. Satelity mamy już zamówione i trudno wątpić w rozwój tej działki. Będzie on postępował wszędzie na świecie. Problem polega na tym, że Polska wciąż pozostaje sygnatariuszem moskiewskiej Konwencji o przekazywaniu i wykorzystywaniu danych ze zdalnego badania Ziemi z kosmosu z 1978 r. Jedną z jej konsekwencji jest to, że musielibyśmy pytać o zgodę Rosji na robienie zdjęć i filmów nad jej terytorium. Dlaczego nikt w III RP nie miał odwagi, by tę konwencję wypowiedzieć? Kiedyś spytałem o to MSZ, ale odesłało mnie do innego resortu, ten z kolei do innych i zrobiła się pętla. Nie da się? ©℗