Każdego dnia jest wykrywanych około 200 mln podejrzanych ataków na serwery NATO. W estońskim Tartu żołnierze sprawdzali, czy potrafią sobie z nimi radzić.

Ponad 670 żołnierzy i cywilów, reprezentujących 80 organizacji z 28 państw, wzięło udział między 18 a 20 listopada 2014 roku w trzydniowych ćwiczeniach w estońskim Tartu. W rzeczywistości jednak odbyły się one w cyberprzestrzeni, a Tartu było tylko miejscem, w którym „uruchamiano” kolejne scenariusze kryzysowe za pomocą specjalnej platformy do ćwiczeń z obrony przed cyberatakami, udostępnionej przez Estonię.

Pierwsza ofiara

To, że ćwiczenia przeprowadzono właśnie w Estonii, zaledwie 50 km od granicy z Rosją, nie było przypadkiem. W 2007 roku, po tym, jak władze estońskiej stolicy zdecydowały się na przeniesienie upamiętniającego żołnierzy Armii Czerwonej pomnika Wyzwolicieli Tallina oraz zbiorowej mogiły sowieckich żołnierzy z centrum miasta na cmentarz wojskowy, hakerzy doprowadzili do unieruchomienia stron internetowych estońskiego rządu, parlamentu, a także banków i serwisów informacyjnych. W kulminacyjnym punkcie kryzysu w Estonii przestała działać telefonia komórkowa, a klienci banków nie mogli korzystać z kart płatniczych. Ówczesny premier Estonii, Andrus Ansip, stwierdził wprost, że jego kraj stał się poligonem pierwszej w historii wojny cybernetycznej, a o atak na swój kraj oskarżył rosyjskie władze, sugerując, że do jego przeprowadzenia wykorzystano między innymi komputery znajdujące się na Kremlu.

Oficjalnie odpowiedzialność za rozpoczęcie całej akcji wziął na siebie zlokalizowany w Naddniestrzu oddział prokremlowskiej młodzieżowej organizacji Nasi. Jej komisarz zapewniał przy tym, że działał na własną rękę i nie otrzymał żadnych poleceń z Moskwy. Jednocześnie przedstawiciel rosyjskiej armii płk Anatolij Tsyganok oznajmił, że w cyberprzestrzeni Rosja ma przewagę nad NATO. Stwierdził między innymi, że sukces hakerów atakujących Estonię był dowodem na bezbronność sojuszu wobec Rosji w tym względzie.

Na reakcję NATO nie trzeba było długo czekać. W styczniu 2008 roku sojusz przyjął dokument regulujący kwestię polityki dotyczącej cyberobrony, a 14 maja tego roku w Tallinie otwarto Centrum Doskonalenia Cyberobrony NATO (Cooperative Cyber Defence Centre of Excellence). W ten sposób, jak głosił komunikat podsumowujący szczyt NATO w Bukareszcie, „osiągnięto gotowość do udzielania państwom członkowskim pomocy w odpieraniu ataków w sieci”.

Róg Afryki, czyli… Rosja?

Ćwiczenia „Cyber Coalition”, które mają przygotować państwa NATO do współdziałania w razie cyberataku na któreś z nich lub na całą organizację, odbywają się od 2009 roku. Od 2010 roku własne ćwiczenia (pierwotnie pod kryptonimem „Baltic Cyber Shield”, a od 2012 roku

„Locked Shields”) przeprowadza również wspomniane Centrum Doskonalenia Cyberobrony NATO. „Atak w przestrzeni wirtualnej potrafi być równie groźny jak konwencjonalny – może sparaliżować kluczową infrastrukturę danego państwa, a to z kolei negatywnie odbija się na możliwościach działania NATO. Dlatego tak ważne jest ciągłe rozwijanie zdolności obronnych w tej dziedzinie”, przekonywał sekretarz generalny NATO Jens Stoltenberg, który obserwował „Cyber Coalition ’14”, największe w historii cybermanewry sojusznicze.

„Cyber Coalition ’14” odbywały się w cieniu trwającego od wiosny konfliktu między Rosją a Ukrainą. Przedstawiciele sojuszu przyznają, że w ubiegłym roku liczba ataków na serwery NATO znacząco się zwiększyła – obecnie każdego dnia jest wykrywanych około 200 mln (sic!) podejrzanych aktywności tego typu. Około 100 spośród tych zdarzeń wymaga działań osób odpowiedzialnych za cyberbezpieczeństwo sojuszu, a około 30 jest identyfikowanych jako złożone ataki, których celem jest między innymi wykradzenie poufnych danych. O rosnącej liczbie podobnych incydentów w czasie ćwiczeń „Cyber Coalition ’14” mówił prezydent Estonii Toomas Hendrik, który stwierdził, że jego kraj był w ostatnim czasie celem kolejnego poważnego ataku w sieci, nie chciał jednak zdradzić żadnych dalszych szczegółów.

Nic dziwnego więc, że chociaż w oficjalnym scenariuszu ćwiczeń nie było mowy o zwalczaniu zagrożeń z Rosji (tłem dla cyberataków, przed którymi mieli się bronić uczestnicy, były fikcyjne operacje NATO w jednym z krajów Rogu Afryki), to jednak wszyscy zdawali sobie sprawę z tego, jaki kraj może być obecnie źródłem najpoważniejszych kłopotów dla NATO – pośrednio mówił o tym także dowódca Narodowych Sił Obrony Republiki Estonii, gen. dyw. Riho Terras. Pytany przez dziennikarza „Timesa” o to, czy przeprowadzanie cybermanewrów tuż pod rosyjską granicą, w dodatku w kraju, który oskarżał Rosję o cyberatak w 2007 roku, nie jest prowokacją pod adresem Moskwy, odpowiedział, że „Rosja w ostatnim czasie zachowuje się prowokacyjnie”, więc estoński głównodowodzący „jest gotów odpowiadać tym samym”. Gen. Terras zaznaczył, że ćwiczenia mają wyjątkowo pokojowy charakter, ponieważ ich scenariusz nie przewiduje prowadzenia żadnych działań zaczepnych, poza tym są prowadzone w rzeczywistości wirtualnej, a nie na poligonie z udziałem regularnych jednostek.

Mimo to przedstawiciele NATO obawiali się, że hakerzy mogą przeprowadzić atak na… system do symulowania cyberataków wykorzystywany w czasie „Cyber Coalition ’14”. To między innymi dlatego sojusz poinformował o organizowaniu ćwiczeń dopiero po ich rozpoczęciu, a w czasie wizyty dziennikarzy – jak relacjonował „Financial Times” – pospiesznie wyłączano monitory i wycierano tablice, aby żaden numer IP komputera używanego przez uczestników nie wydostał się z Tartu. 

Żołnierze na podsłuchu

Celem „Cyber Coalition ’14” było – jak podaje Centrum Doskonalenia Cyberobrony NATO – przetestowanie sprawności systemu przekazywania informacji o cyberzagrożeniach między strukturami NATO a poszczególnymi państwami członkowskimi oraz skoordynowanie podejmowanych przez kraje działań, mających zneutralizować zagrożenia wskazane w 15 scenariuszach przygotowanych na potrzeby ćwiczeń.

Szybki rzut oka na owe scenariusze pozwala uzmysłowić sobie, jak wiele kłopotów może sprawić sojuszowi przeciwnik sprawnie poruszający się w cyberprzestrzeni. W jednym z ćwiczonych wariantów napastnikom udaje się zainfekować wirusem prywatne smartfony żołnierzy biorących udział w misji NATO w Rogu Afryki. W rezultacie hakerzy mają możliwość podsłuchiwania rozmów. Dzięki temu dowiedzieli się, że wysoki rangą oficer NATO, biorący udział w misji, wyraża wątpliwości co do tego, czy zakończy się ona sukcesem. Co dalej? Rzecz jasna, natychmiast przekazują nagranie mediom, a te informują o nim opinię publiczną, podważając wiarygodność sojuszu.

Warto zaznaczyć, że scenariusz ten nie jest całkiem fikcyjny – do jego przygotowania wykorzystano doświadczenia z rzeczywistego kryzysu, który wybuchł po udostępnieniu w lutym 2014 roku w sieci nagrania rozmowy między amerykańską wicesekretarz stanu Victorią Nuland a ambasadorem USA na Ukrainie Geoffrey’em Pyattem. Nuland dosadnie krytykowała Unię Europejską za pasywną politykę wobec kryzysu ukraińskiego (w pewnym momencie z jej ust padają słowa „p…ć Unię”). Inne jej wypowiedzi sugerowały z kolei, że Waszyngton manipulował działaczami ukraińskiej opozycji. Amerykański Departament Stanu nie potwierdził autentyczności nagrania. Stany Zjednoczone wskazały jednocześnie, że za publikacją treści rozmowy stoi Rosja, której celem miało być zdyskredytowanie USA i poróżnienie Waszyngtonu z Unią Europejską.

Inny scenariusz sytuacji kryzysowej, z jaką musieli poradzić sobie uczestnicy ćwiczeń „Cyber Coalition ’14”, zakładał, że systemy informatyczne NATO zostają zaatakowane „od wewnątrz”. Do wykradzenia tajnych informacji, dotyczących misji NATO, zostaje zmuszony jeden z oficerów, któremu terroryści porywają żonę i dziecko. Włamał się on więc na serwery – a zadaniem ćwiczących było jak najszybsze wykrycie próby wykradzenia tajnych informacji i zabezpieczenie ich przed kolejnym atakiem.

Co ciekawe, niektóre scenariusze wykraczały poza rzeczywistość wirtualną. W jednym wypadku nowo powołany natowski zespół szybkiego reagowania do spraw cyberbezpieczeństwa został, wraz z pełnym wyposażeniem, błyskawicznie przetransportowany z Brukseli do Grecji, ponieważ hakerom udało się wykraść system kontroli powietrznej na pokładach samolotów AWACS, który należało jak najszybciej odzyskać.

„Przygotowując scenariusze, staraliśmy się nawiązywać do rzeczywistych wydarzeń. Niektóre z sytuacji kryzysowych, z którymi musieli sobie radzić uczestnicy ćwiczeń w przeszłości, były już udziałem NATO”, przyznał przedstawiciel sojuszu zajmujący się cyberbezpieczeństwem, w przeszłości oficer brytyjskiego RAF-u Robert Esposito. Sorin Ducaru, asystent sekretarza generalnego NATO, podkreślając znaczenie „Cyber Coalition ’14”, zaznaczył, że konflikty mogą się toczyć w rzeczywistości wirtualnej, ale ich skutki są jak najbardziej rzeczywiste i dotkliwe. „Nie mówimy o potencjalnym zagrożeniu. Cyberataki są dziś codziennością”, dodał.

„Jedynym sposobem na to, by sprawdzić, czy jesteśmy przygotowani na zagrożenia z sieci, jest odparcie rzeczywistego ataku lub przeprowadzanie ćwiczeń, takich jak „Cyber Coalition ’14”, podsumował Esposito.