AMERYKAŃSKA ZAPORA

Stany Zjednoczone, jako najbardziej zagrożony podmiot w cyberprzestrzeni, mają zaawansowany system ochrony infrastruktury krytycznej. Czy jest on skuteczny i czy można wykorzystać te rozwiązania w innych państwach?

 

Kilkanaście lat temu ataki komputerowe na elementy infrastruktury krytycznej (IK) były wytworem wyobraźni autorów science fiction. Dzisiaj, po doświadczeniach związanych z użyciem pierwszej cyberbroni – Stuxnetu, który był przeznaczony do zniszczenia irańskich wirówek wzbogacania uranu, po doniesieniach prasowych o  tym, że dwudniowy blackout w Brazylii pozbawił dostępu do prądu 3 mln osób oraz zmusił największego producenta żelaza do zaprzestania prac, czy po ostatnich informacjach o  udziale hakerów w uszkodzeniu gazociągu Baku–Tbilisi–Ceyhan tuż przed wojną z 2008 roku, widać, jak realne są tego rodzaju zagrożenia.

Stany Zjednoczone jako najbardziej zinformatyzowane państwo na świecie, jednocześnie są też najbardziej narażone na cyberataki. Część z nich jest wymierzona w infrastrukturę krytyczną, której ochrona, w opinii wielu specjalistów, wciąż jest daleka od doskonałości. Richard Clarke, były doradca ds. cyberbezpieczeństwa w administracji prezydenta George W. Busha, twierdzi, że atak cybernetyczny może w ciągu 15 min. zdezorganizować całą amerykańską infrastrukturę krytyczną. Wprawdzie tego typu wizje apokaliptyczne mają niewiele wspólnego z rzeczywistością, ale takie zagrożenie nie powinno być lekceważone.

W 2007 roku przeprowadzano operację „Aurora”, zakładającą symulowanie ataków na systemy nadzorujące przebieg procesu technicznego (SCADA). Wiele z nich zakończyło się sukcesem i pokazało, że amerykańska infrastruktura krytyczna jest podatna na takie uderzenia. Gdy weźmie się pod uwagę wyniki symulacji, nie powinny dziwić doniesienia prasowe o nieustannych cyberatakach rosyjskich i chińskich hakerów, którym udaje się przeniknąć przez zabezpieczenia i umieścić w amerykańskich systemach bomby logiczne – złośliwe oprogramowanie, które może zostać zdalnie aktywowane. To niejedyne informacje świadczące o podatności amerykańskiej IK na zagrożenia. Pojawiły się na przykład spekulacje prasowe, których źródłem są pracownicy CIA, że za największym blackoutem z 2003 roku stali hakerzy chińscy.

 

Tworzenie fundamentów

Początki amerykańskiego systemu ochrony infrastruktury krytycznej były trudne i wcale nie chodziło o zapobieganie cyberatakom. Pierwsze prace nad nim stanowiły odpowiedź administracji Billa Clintona na zamachy terrorystyczne w 1993 roku na World Trade Center i na budynek federalny w Oklahomie dwa lata później. Powołano wtedy Prezydencką Komisję ds. Ochrony Infrastruktury Krytycznej, skupiającą wyspecjalizowane agencje rządowe oraz przedsiębiorstwa sektora prywatnego, do których należała IK.

Komisja wyznaczyła osiem sektorów kluczowych dla bezpieczeństwa państwa: telekomunikację, dostawy wody, bankowość i finanse, energię elektryczną, służby ratownicze, systemy dystrybucji oraz magazynowania ropy naftowej i gazu, transport, a także usługi rządowe. W toku dalszych prac zidentyfikowano pięć sektorów, do których obrony była konieczna bliska współpraca trzech stron: podmiotów rządowych, właścicieli oraz operatorów infrastruktury krytycznej – sektor energetyczny, finanse i bankowość oraz najważniejsze usługi dla ludności, czyli dostawy wody, działanie służb ratowniczych oraz funkcjonowanie rządu. W raporcie przedstawionym wówczas prezydentowi Clintonowi zwrócono uwagę na wysokie prawdopodobieństwo przeprowadzenia cyberataku na elementy infrastruktury krytycznej, ale jednocześnie podkreślono, że ryzyko wywołania w ten sposób poważnego kryzysu jest minimalne.

W odpowiedzi na raport administracja Clintona wydała dyrektywę prezydencką nr 63. Celem tego dokumentu było stworzenie takich systemów infrastruktury krytycznej, żeby ich zakłócenia rzadko się zdarzały, żeby łatwo było je kontrolować i  żeby nie stanowiły zagrożenia dla obronności USA. Między innymi przypisano do każdego sektora instytucję odpowiedzialną za jego zabezpieczenie. Organ rządowy wybiera urzędnika łącznikowego, który odpowiada za kontakty z sektorem prywatnym. Ten z kolei wskazuje koordynatora sektorowego, pełniącego podobną funkcję.

Powołano również koordynatora do spraw bezpieczeństwa, ochrony infrastruktury i przeciwdziałania terroryzmowi. Miał on odpowiadać za implementację zasad dyrektywy, dbanie o spójność polityki ochrony IK prowadzonej przez wyznaczone ośrodki, planowanie na ten cel wydatków w budżecie oraz za przegląd operacji kryzysowych. W praktyce – jak oceniała to pierwsza osoba na tym stanowisku, czyli Richard A. Clarke – ta funkcja istniała tylko na papierze. Koordynator nie miał bowiem żadnych praktycznych możliwości decyzyjnych, a członkowie administracji nie byli chętni, żeby z nim współpracować.

Administracja Billa Clintona przywiązywała również ogromną wagę do współpracy publiczno-prywatnej. Dlatego też powołano centra wspólnego korzystania z informacji i ich analizowania. Celem było gromadzenie danych dotyczących bezpieczeństwa informacyjnego i udostępnianie ich instytucjom współtworzącym konkretne centrum. Przedsiębiorstwa powinny przesyłać do analizy informacje dotyczące ruchu w swoich sieciach. W razie wykrycia anomalii ogłoszono by alarm. Początkowo zakładano utworzenie jednego centrum dla wszystkich sektorów gospodarki. W praktyce okazało się to niemożliwe, a więc każdy z nich otrzymał własne. Sektor prywatny, dążąc do zwiększenia standardów bezpieczeństwa przez efektywniejszą wymianę informacji, pod koniec lat dziewięćdziesiątych powołał Partnerstwo dla Bezpieczeństwa Infrastruktury Krytycznej.

Ostatnim przejawem działalności administracji Billa Clintona było przyjęcie narodowego planu zabezpieczenia systemów informacyjnych, w którym na poprawę bezpieczeństwa zaplanowano 2 mld dolarów, z czego ponad 600 mln przeznaczono na badania i rozwój.

 

W cieniu zagrożenia terrorystycznego

Administracja Billa Clintona zbudowała fundamenty ochrony infrastruktury krytycznej przed cyberzagrożeniami, tworząc odpowiednie instytucje oraz strategie działania, które były rozwijane przez następców. Działania George W.  Busha na tym polu stanowiły kontynuację tych przedsięwzięć. Ochrona IK przed zagrożeniami płynącymi z wirtualnego środowiska nie była jednak priorytetem dla republikańskiej administracji, zajętej wojną z terroryzm. Uchwalono wprawdzie w 2003 roku narodową strategię ochrony cyberprzestrzeni, ale zdaniem Richarda A. Clarke’a stanowiła ona tylko rozwinięcie rozwiązań zaproponowanych w narodowym planie Clintona oraz dyrektywie nr 63. Zawierała jednak też kilka innowacyjnych rozwiązań, do których należy zaliczyć zlecenie Departamentowi Bezpieczeństwa Krajowego przygotowanie planu odparcia ataku w cyberprzestrzeni oraz rozwinięcie współpracy między sektorem publicznym i prywatnym z jasnym podziałem ról. Rząd miał odpowiadać za tworzenie prawa oraz ram współpracy i finansowania prac badawczych, a  sektor prywatny – za udostępnienie swojego know-how.

Działania administracji Busha cechowała niechęć do wprowadzania nowych regulacji oraz tworzenia stanowisk. Republikanie bardziej skupiali się na zagrożeniu fizycznym dla infrastruktury krytycznej niż atakach cyfrowych.

 

Priorytety Obamy

Kiedy Barack Obama objął w 2009 roku władzę, bardzo szybko zaznaczył, że kwestie cyberbezpieczeństwa będzie traktował priorytetowo. Potwierdził to w swoim przemówieniu, w  którym zadeklarował, że „dobrobyt gospodarczy USA w  XXI wieku będzie zależał od cyberbezpieczeństwa”. Jedną z pierwszych decyzji było powołanie koordynatora do spraw cyberprzestrzeni, potocznie nazywanego cybercarem. Miał on odgrywać rolę najważniejszego doradcy prezydenta w tej branży, odpowiadającego za poprawę zharmonizowania wysiłków różnorodnych instytucji. Z czasem jednak jego rola została zmarginalizowana.

Do głównych inicjatyw nowego prezydenta w kwestii ochrony IK należało wydanie rozporządzenia wykonawczego nr 13636, zatytułowanego „Poprawić cyberbezpieczeństwo infrastruktury krytycznej”, oraz dyrektywy prezydenckiej „Bezpieczeństwo i odporność infrastruktury krytycznej”. Dokumenty te nakładają zobowiązania na agencje federalne, ale nie robią tego w stosunku do podmiotów prywatnych, aczkolwiek zachęcają do ich przyjęcia. Jednym z najważniejszych postanowień w nich zawartych jest decyzja o rozwinięciu inicjatywy Departamentu Bezpieczeństwa Krajowego „Ulepszony program usług cyberbezpieczeństwa”. Dzięki temu rząd udziela tajnych informacji, dotyczących cyberzagrożeń, operatorom oraz instytucjom odpowiedzialnym za infrastrukturę krytyczną. Interesującym rozwiązaniem jest identyfikacja najbardziej zagrożonych elementów IK i powiadomienie o tym jej operatorów (z zachowaniem półrocznego terminu przewidzianego w rozporządzeniu amerykańskie instytucje dokonały takiego przeglądu i powiadomiły o tym zainteresowanych; informacje ten temat nie są jednak dostępne publicznie).

Zgodnie z postawieniami rozporządzenia Narodowy Instytut Standaryzacji i Technologii opracował „Podstawy poprawy cyberbezpieczeństwa infrastruktury krytycznej”. Zostały one opublikowane w lutym 2014 roku. Zawierają najlepsze praktyki oraz standardy zarządzania ryzykiem w kwestii cyberbezpieczeństwa. Twórcy podkreślili, że nie jest to ostateczna wersja dokumentu i zachęcili sektor prywatny do jego rozwijania.

Warto dodać, że w Kongresie utknął projekt ustawy regulującej kwestię wymiany informacji między sektorem prywatnym a publicznym (The Cyber Intelligence Sharing and Protection Act – CISPA). Jest ona ostro krytykowana przez obrońców prawa do prywatności, którzy twierdzą, że nowa ustawa pozwoli przedsiębiorcom na udostępnianie danych osobowych agencjom rządowym.

 

Podglądanie systemu

Stany Zjednoczone z pewnością mają najbardziej rozbudowany system ochrony infrastruktury krytycznej przed cyberatakami. Kiedy w latach dziewięćdziesiątych był tworzony, mało kto zdawał sobie sprawę z tego zagrożenia. Powołane wtedy instytucje i wprowadzone rozwiązania istnieją do dziś, rozwinięte przez kolejne dwie administracje. Nie oznacza to jednak, że amerykańska IK jest zabezpieczona. Testy i doniesienia prasowe temu zaprzeczają. Dzieje się tak między innymi z powodu nierozwiązanego problemu partnerstwa publiczno-prywatnego, który zidentyfikowano już za czasów administracji Clintona, ale do dzisiaj nie znaleziono remedium na tę bolączkę.

Warto obserwować zmiany w systemie ochrony infrastruktury krytycznej w Stanach Zjednoczonych, ponieważ pojawia się tam wiele innowacyjnych rozwiązań. Należy jednak przeprowadzić staranną analizę przed ich wdrożeniem na przykład u nas. Nie wszystkie bowiem będzie można wprowadzić, chociażby ze względu na inny system prawny czy kulturę polityczną.

 

Andrzej Kozłowski jest doktorantem w Katedrze Studiów Transatlantyckich i Mediów Masowych na Wydziale Studiów Międzynarodowych i Politologicznych Uniwersytetu Łódzkiego oraz ekspertem Instytutu Kościuszki i Fundacji Aleksandra Kwaśniewskiego „Amicus Europae”.

Andrzej Kozłowski

autor zdjęć: 123dartist/fotolia





Ministerstwo Obrony Narodowej Wojsko Polskie Sztab Generalny Wojska Polskiego Dowództwo Generalne Rodzajów Sił Zbrojnych Dowództwo Operacyjne Rodzajów Sił Zbrojnych Wojska Obrony
Terytorialnej
Żandarmeria Wojskowa Dowództwo Garnizonu Warszawa Inspektorat Wsparcia SZ Wielonarodowy Korpus
Północno-
Wschodni
Wielonarodowa
Dywizja
Północny-
Wschód
Centrum
Szkolenia Sił Połączonych
NATO (JFTC)
Agencja Uzbrojenia

Wojskowy Instytut Wydawniczy (C) 2015
wykonanie i hosting AIKELO