O tym, kiedy przeprowadzono pierwszą akcję szpiegowską w sieci, czy grozi nam cyfrowe Pearl Harbor i czym może się skończyć starcie dwóch państw w cyberprzestrzeni – opowiada Piotr Trąbiński, ekspert w dziedzinie cyberbezpieczeństwa. W wywiadzie dla najnowszej „Polski Zbrojnej” mówi także o potrzebie powołania zespołów do walki z cyberzagrożeniami.

Gwałtownie rośnie liczba cyberataków na świecie. Eksperci w dziedzinie bezpieczeństwa ostrzegają przed tzw. cyfrowym Pearl Harbor – cyberatakiem, który rzuciłby konkretny kraj na kolana, np. niszcząc jego system bankowy. To realne?

Przykład Pearl Harbor idzie za daleko. Takiego porównania użyto po raz pierwszy w USA publicznie w 1991 roku i jest ono przywoływane za każdym razem, gdy pojawią się większe problemy w sieci. Gdyby doszło do takiego ataku, to byłoby dość oczywiste, kto go przeprowadził, co przełożyłoby się na relacje między stronami. Ataki w cyberprzestrzeni są efektywne w kilku wypadkach. Gdy państwa są już w stanie konfliktu – przypomnę atak Rosji na węzły energetyczne na Ukrainie. Gdy jest prowadzona działalność szpiegowska w celu pozyskania informacji i pozostawienia jak najmniejszych śladów – przykładem chińskie działania wobec przemysłu zbrojeniowego USA. I wreszcie, gdy chodzi o celową eskalację napięć między państwami i demonstrację siły – jako przykład można wskazać atak na Estonię w 2007 roku czy ostatnie ataki na siedzibę Partii Demokratycznej w USA. Oczywiście w przyszłości ktoś może dojść do wniosku, że należy zorganizować coś na kształt Pearl Harbor, ale de facto strona atakująca ryzykuje, że dojdzie do akcji odwetowej, która może przynieść skutki podobne do wybuchu bomby nuklearnej. Dlatego uważam, że każda strona dobrze się zastanowi, zanim podejmie taką decyzję.

Jaki rodzaj cyberataku byłby zatem równoznaczny z wypowiedzeniem wojny? Na razie termin „cyberwojna” jest stosowany dość dowolnie.

Mamy wiele definicji tych samych terminów związanych z cyberprzestrzenią, zresztą nawet ona nie jest jednoznacznie interpretowana. Dzisiaj możemy jedynie domniemywać, kiedy moglibyśmy mieć do czynienia z cyberwojną. Prawdopodobnie jedną z przesłanek byłby atak w sieci, w wyniku którego powstałyby trwałe szkody w świecie realnym: zniszczenie mienia, śmierć ludzi. Jak jednak podejść do kradzieży danych wartych miliony? Jak wycenić szkody powstałe w wyniku penetracji systemów, co spowodowało, że przez wiele miesięcy trzeba było utrzymywać w pogotowiu zespoły specjalistów? Dziś cała cyberprzestrzeń to Dziki Zachód i wielu państwom taki stan rzeczy odpowiada, gdyż pozwala na realizację własnych celów strategicznych. Długofalowo, wraz ze wzrostem liczby i jakości cyberataków, stan prawny zacznie się zmieniać.

Widzi Pan zagrożenie cybernetyczną wojną hybrydową?

Myślę, że wojna hybrydowa w pewnym aspekcie toczy się cały czas, a cyberprzestrzeń jest jednym z elementów prowadzenia kampanii hybrydowych. Niektóre państwa utrzymują zespoły, które penetrują obce sieci. Jest to działanie stałe i długofalowe. Wszystkie kraje zachodnie są celem ataków o charakterze szpiegowskim, wiele z nich musi się zmagać również z pokrewnym zagrożeniem, jakim jest prowadzenie wojny informacyjnej, która w obecnym świecie toczy się głównie w cyberprzestrzeni. Jeśli prześledzimy ostatnie 30 lat prowadzenia działań w cyberprzestrzeni – licząc od czasu operacji „Cukoo’s Egg”, pierwszego odnotowanego przypadku szpiegowania Stanów Zjednoczonych przez internet w celu pozyskania danych o charakterze militarnym, wykonanego przez niemieckich hakerów na rzecz KGB – zauważymy pewną prawidłowość: większość działań w cyberprzestrzeni sprowadzała się do szpiegostwa, niektóre tylko miały charakter ofensywny, tak jak Stuxnet, lub zmierzały do prowadzenia akcji politycznej, jak w czasie ataku na Estonię, kiedy chodziło o reakcję na przeniesienie pomnika żołnierzy Armii Czerwonej.

Dlaczego postuluje Pan budowanie zespołów do walki z cyberzagrożeniami?

W zespołach chroniących cyberprzestrzeń powinny istnieć trzy piony. Pierwszy, techniczny, z inżynierami i informatykami, którzy aktywnie przeciwdziałaliby atakom. To zespół pracujący na poziomie operacyjnym, który można porównać do strażaków jadących ugasić pożar. Drugi pion to grupa analityczna. Jej zadaniem jest zbieranie danych dotyczących chronionego podmiotu – od wydarzeń o charakterze geopolitycznym do analizy tzw. dark web, czyli części internetu ukrytego, pozwalającego zachować anonimowość i zawierającego dane, których nie znajdzie się metodą standardowego wyszukiwania. Można ją porównać do dyspozytorni zbierającej informacje o wszystkich zdarzeniach oraz potrafiącej prawidłowo ocenić zagrożenia i przedstawić propozycję przeciwdziałania atakom. Trzeci pion to C+, z menedżerami podejmującymi ostateczne decyzje.

W skład tych zespołów mają wchodzić specjaliści z różnych dziedzin. Jak na przykład lingwista może powstrzymać hakerów?

W zespołach analitycznych są potrzebne osoby o różnym wykształceniu: specjaliści od bezpieczeństwa, prawnicy, lingwiści. Dzięki tej różnorodności łatwiej prawidłowo rozpoznać hakerów. Przestępcy z różnych krajów działają na swój sposób. Amerykanin, szukając informacji w sieci, będzie posługiwał się nie tyle innym językiem niż, na przykład Hiszpan, ile specyficzną składnią. Użycie konkretnych zwrotów też wiele powie o autorze. Dla dobrego lingwisty jest to łatwe do odgadnięcia, ale niekoniecznie będzie zrozumiałe dla inżyniera czy technika. W zespołach są potrzebne także osoby myślące strategicznie. Eksperci mający wiedzę o aktualnej sytuacji geopolitycznej, rozumiejący specyfikę i kulturę środowisk, z których pochodzą przestępcy. Sztuką jest pełna współpraca pionu analitycznego z technicznym. Dopóty nie wykształcimy zintegrowanych zespołów specjalistów z różnych dziedzin, dopóki nie zrozumiemy szerszego kontekstu ataku. A bez tego będziemy skazani na porażkę.

Cały wywiad o cyberbezpieczeństwie w grudniowym numerze „Polski Zbrojnej”.