Na ćwiczeniach „Anakonda” symulowano cyberataki, które miały utrudnić żołnierzom działania na poligonie.

Cyberprzestrzeń została uznana na szczycie NATO w Warszawie za pole walki, ale żołnierze z państw sojuszu już miesiąc wcześniej połączyli ćwiczenia na poligonie z manewrami w sieci. Podczas „Anakondy ’16” po raz pierwszy wojsko nie tylko dbało o funkcjonowanie systemów dowodzenia i tych umożliwiających komunikację, lecz także prowadziło działania operacyjne w sieci, którą stworzono na potrzeby manewrów. Za cyberepizod odpowiadał zespół Polish Mission Network Operations Center, który składał się z przedstawicieli Węgier, Estonii, Łotwy, Stanów Zjednoczonych i Hiszpanii. Pieczę nad całością sprawowali jednak Polacy. Osoby działające w tym centrum łączności przydzielono do zespołów zadaniowych, monitorujących działanie sieci, obserwujących zachowania użytkowników, a także… odpierających ataki.

W manewrach Czerwoni (red team) atakowali, czyli np. wprowadzali do sieci wirusy, które zaburzały działanie zarówno infrastruktury, jak i systemów dowodzenia. Niebiescy (blue team) natomiast bronili się przed taką inwazją. Nad przebiegiem wszystkich działań, tak jak w manewrach poligonowych, czuwał rozjemca, czyli Biali (white team), pełniący funkcję kierownictwa ćwiczeń. To oni opracowywali scenariusze, z którymi ćwiczący musieli się zmierzyć w sieci.

Polska gola

Czerwoni stosowali w czasie ćwiczeń takie metody socjotechniczne, jakimi posługują się cyberprzestępcy. Użytkownicy sieci wojskowej dostawali np. e-maile z zainfekowanymi plikami lub gdy wchodzili na konkretną stronę, byli przekierowywani na inną, imitującą tę prawdziwą. Do jednego ze scenariuszy wykorzystano nawet trwające wówczas mistrzostwa Europy w piłce nożnej. „Wysłaliśmy do użytkowników wiadomość z prośbą o wytypowanie wyniku meczu Polska – Irlandia. Każdy, kto próbował udzielić odpowiedzi, aktywował załączonego do komunikatu wirusa”, wyjaśnia płk Mirosław Gruszka, komendant Centrum Wsparcia Systemów Dowodzenia DGRSZ, zastępca szefa zespołu zabezpieczenia teleinformatycznego ćwiczeń „Anakonda ’16”. Podkreślił także, że nikt nie powinien reagować na takie e-maile: „Przecież zgodnie ze scenariuszem manewrów trwała wówczas wojna”. Tajemnicą pozostaje, ilu żołnierzy złapało się w tę pułapkę. „Możemy tylko powiedzieć, że solidarnie typowali zwycięstwo Polski”, żartował zastępca kierownika łącznościowców.

Przedstawiciel Polish Mission Network Operations Center zaznacza także, że używali metod, które pomogły uświadomić żołnierzom, w jakim stopniu błąd każdego z nich wpływa na działanie całego systemu. „Często mówi się, że sieć funkcjonuje dzięki komponentom, z których jest zbudowana. Oczywiście jest to bardzo ważne, ale znacznie więcej zależy od osób, które w niej pracują”, mówi. „Użytkownicy często się zmieniają, a ich wiedza z dziedziny cyberbezpieczeństwa nie zawsze jest wystarczająca. Przy czym należy pamiętać, że rola konkretnego użytkownika w systemie określa też dostęp do jego zasobów – im jest ona większa, tym więcej jeden człowiek może wyrządzić szkód”, zaznacza.

Siła sojuszu

Konieczne było utworzenie specjalnej sieci, aby w ogóle te manewry mogły dojść do skutku. I nie była ona zwyczajna, bo kierownictwo zdecydowało, że wojsko nie będzie korzystało ze standardowych rozwiązań. Postanowiono zbudować z zasobów państw biorących udział w manewrach federację, będącą najwyższą formą działania w cyberprzestrzeni (Polish Mission Network – PMN). „Idea sieci federacyjnych jest taka, aby utworzyć je jak najmniejszym nakładem finansowym. Wojska, które by do nas przyjechały, w zwyczajnych warunkach musiałyby działać z wykorzystaniem naszego sprzętu lub mieć własny tożsamy z polskim. Dzięki federacji natomiast każdy używał swoich zasobów, co znacznie zmniejszyło koszty całej operacji”, mówi płk Gruszka.

Zbudowana przez sojusznicze wojska PMN zasięgiem obejmowała cały kraj. Do jej zbudowania użyto fizycznie 283 serwerów (jeden serwer to 38 maszyn wirtualnych) i 3 tys. stacji roboczych. Dzięki temu zapewniono obsługę systemów wykorzystywanych na polu walki oraz umożliwiono dowódcom bieżący wgląd w to, co dzieje się na poligonach. Z sieci federacyjnej korzystali też wszyscy uczestnicy manewrów. Na ich potrzeby utworzono 4,5 tys. kont e-mailowych, wyszukiwarkę, komunikator oraz portal, na którym zamieszczano wszystkie dokumenty związane z przebiegiem ćwiczeń.

Podczas budowania sieci federacyjnej żołnierze opierali się na swoich wcześniejszych doświadczeniach, m.in. z Afganistanu. Uczestniczyli tam bowiem w tworzeniu struktur organizacyjnych i sieci teleinformatycznej Afghanistan Mission Network (AMN) oraz sieci White Eagle Network (WEN) na potrzeby sił wydzielanych w ramach polskiego kontyngentu wojskowego. Skala tego przedsięwzięcia była jednak o wiele mniejsza niż w czasie „Anakondy” – wówczas wojska pracowały zaledwie na 30 fizycznych serwerach. „Poza tym w Afganistanie byliśmy tylko częścią federacji, a tu nią dowodziliśmy”, podkreśla komendant centrum. Chociaż PMN musiała sprostać potrzebom 30 tys. żołnierzy, kwestie techniczne nie sprawiały organizatorom problemów. „Żołnierze z naszego centrum są bardzo dobrze wyszkoleni, bo budują takie sieci od lat. Tym razem, ze względu na liczbę wykorzystanych komponentów, musieliśmy po prostu zaangażować więcej osób do jej obsługi”, tłumaczy pułkownik. Przyznaje także, że najtrudniejsze okazały się… formalności.

Kłopotliwe procedury

Ponieważ w sieci przetwarzano informacje niejawne, konieczne było zawarcie wielu umów i porozumień. A wszystko dlatego, że poszczególne państwa nie mają tożsamych klauzul bezpieczeństwa. „U Amerykanów nie istnieje np. klauzula »zastrzeżone«, a NATO posługuje się certyfikatami »NATO restricted«. Wszystko zostało zatem ujednolicone”, wyjaśnia pułkownik. Dodaje, że „ostatecznie na manewrach posługiwano się informacjami niesklasyfikowanymi, czyli jawnymi do użytku służbowego, oraz sklasyfikowanymi, które oznaczały dokumenty niejawne, od klauzuli »zastrzeżone« wzwyż”.

Podczas „Anakondy” pierwszy raz wszyscy użytkownicy pobierali też mapy ze specjalnych geoserwerów, a te zostały ujednolicone i przystosowane do systemów używanych przez żołnierzy. „Dotychczas mapy, z których korzystano na ćwiczeniach, pochodziły z różnych źródeł i nie zawsze były takie same. Teraz na nasze potrzeby specjalnie zmieniliśmy nazwy i granice państw, tylko teren pozostawiliśmy bez zmian”, wyjaśnia płk Gruszka.

Ze względu na klauzulę tajności rezultaty cybernetycznego epizodu „Anakondy” są owiane tajemnicą. „Mamy szczegółowe statystyki z wynikami ćwiczeń, ale nie będziemy ich na razie upubliczniać”, mówi płk Gruszka. Wyjaśnia także, że „Anakonda” to były pierwsze ćwiczenia przeprowadzane na taką skalę, więc analizowanie wyniku nie byłoby miarodajne: „Raport z tych manewrów porównamy z wynikami »Dragona ’17«. Dopiero po zestawieniu rezultatów będziemy wiedzieli, na czym stoimy”. Przy czym już samo zbudowanie i utrzymanie wspólnej sieci pułkownik uznaje za sukces: „To pierwsza taka federacja na ścianie wschodniej NATO”, podkreśla. „Poza tym ona cały czas funkcjonuje, a żołnierze korzystają z jej zasobów. Nam pozostaje tylko dalej ją rozwijać”.