To, co obecnie dzieje się na Ukrainie, dowodzi, że dzisiejsze konflikty toczą się nie tylko w powietrzu, na lądzie i morzu, lecz także w cyberprzestrzeni – mówi płk Mariusz Chmielewski, zastępca dyrektora NCBC i zastępca dowódcy wojsk obrony cyberprzestrzeni. Oficer podkreśla, że cyberwojna nie jest wojną ludzi, ale wojną stworzonego przez ludzi oprogramowania.

Polska Zbrojna: Premier Mateusz Morawiecki tydzień temu ogłosił trzeci stopień alarmowy CRP. Obowiązuje on na terenie całego kraju do 4 marca, a być może zostanie przedłużony. Co de facto oznacza Charlie-CRP?

Płk Mariusz Chmielewski: Ostrzeżenie zostało wprowadzone, by przeciwdziałać zagrożeniom w cyberprzestrzeni. Jest to trzeci w czterostopniowej skali alert dotyczący bezpieczeństwa. Zgodnie z przepisami po wprowadzeniu tak wysokiego alarmu należy całodobowo dyżurować przy systemach kluczowych dla funkcjonowania danej organizacji. Chodzi o zapewnienie ciągłego nadzoru i odpowiednio szybkiej reakcji na incydenty, które mogą zostać zarejestrowane przez systemy.

Czy wprowadzenie alarmu Charlie w jakikolwiek sposób wpłynęło na działania Dowództwa Komponentu WOC i NCBC?

To jest poważne zagrożenie i każdy powinien mieć tego świadomość. WOC i NCBC, a w szczególności zespół CSIRT MON (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego), który działa w strukturach Centrum, zawsze pracują całą dobę przez siedem dni w tygodniu. Teraz jednak dodatkowo wsparliśmy te służby. Przygotowaliśmy naszych pracowników i żołnierzy do wzmocnienia i zabezpieczenia działania systemu. Oznacza to, że uwrażliwiliśmy system na wykrywanie, rozpoznawanie i identyfikację zagrożeń.

Czy w związku z prowadzoną na Ukrainie wojną w polskiej sieci jest teraz więcej zagrożeń?

To nie są dane, którymi mogę się dzielić. Ale chyba dla nikogo nie jest tajemnicą, że jeśli premier ogłasza trzeci poziom alarmu, to incydentów w strefie cyber jest więcej niż wcześniej. NCBC-DKWOC odpowiada za jawne i niejawne systemy teleinformatyczne, czyli wszystko to, co wykorzystują żołnierze i pracownicy resortu obrony w codziennej pracy. Ale jako MON jesteśmy tylko jednym z użytkowników polskiej cyberprzestrzeni. Znacznie więcej działań w tej strefie dotyczy zwykłego obywatela.

I tu znowu odwołam się do wojny na Ukrainie. Zdaje się, że ostatnio Polacy stali się w jakiś sposób celem dezinformacji, a nawet wojny informacyjnej.

Jako obywatel i użytkownik internetu rzeczywiście muszę przyznać, że jesteśmy zalewani informacjami dotyczącymi konfliktu zbrojnego i pewnie jesteśmy świadkami operacji informacyjnej. Dlatego tak ważne jest, by odpowiednio filtrować informacje, które do nas docierają, właściwie je dystrybuować i adekwatnie oceniać to, co oglądamy. Trzeba pamiętać, że drastyczne doniesienia, filmy i zdjęcia mogą być używane celowo, by wywierać wpływ na odbiorców. Zachowajmy zimną krew, korzystajmy ze sprawdzonych źródeł wiadomości.
Zresztą właśnie taka pogoń za informacją to często dla strony przeciwnej dobra sposobność do zdobywania wiedzy na temat społeczeństwa i okazja do dystrybuowania złośliwego oprogramowania. Trzeba być uważnym.

Słyszeliśmy o brakach pieniędzy w bankach, nieczynnych bankomatach czy długich kolejkach na stacjach benzynowych. To celowa zagrywka?

Nie mam takich danych, być może odpowiedź zna SKW czy ABW. W tym wypadku myślę, że po prostu ludzie sami wzniecili te obawy, wiedząc, że za ich granicą zaczęła się wojna. Mogę jednak przypuszczać, że szum informacyjny, który powstał przy tej okazji czy przy innych fake newsach, sprzyja konfliktowi.

Eksperci od cyberobrony, m.in. dowódca WOC gen. Karol Molenda, uważają, że we współczesnych konfliktach zbrojnych to pierwsze uderzenie może nadejść właśnie w sferze cyber. Czy tak właśnie zaczął się konflikt w Ukrainie? W połowie stycznia Ukraińcy poinformowali o ataku hakerskim na swoje strony rządowe. Celem ataku były różne ministerstwa i służby, a także rządowa aplikacja Dija, która umożliwia posługiwanie się dokumentami w formie cyfrowej. Hakerzy zadali cios także bankom.

Rzeczywiście, jest bardzo prawdopodobne, że pierwsze ataki mogą odbywać się w cyberprzestrzeni. Nie wiem, czy tak właśnie było w wypadku Ukrainy, ale z pewnością to, o czym pani mówi, było nie tyle zwiastunem wojny, ile intensyfikacją działań przygotowawczych do niej. W ten sposób zbudowano narrację pod działania kinetyczne. Proszę pamiętać, że walcząc w strefie cyber, można uzyskać dostęp do dokumentów i obnażyć przygotowanie państwa na wypadek konfliktu.

Co Pan rozumie przez działania przygotowawcze w sferze cyber?

W cyberprzestrzeni można prowadzić działania wyprzedzające, czyli rozpoznawcze i wywiadowcze. Chodzi o użycie środków technicznych do prowadzenia operacji informacyjnych i wyłudzenia informacji. Pamiętajmy, że paraliż systemów technicznych może doprowadzić do zdegradowania zdolności do kierowania państwem i dowodzenia operacją zbrojną.

Ukraińcy poinformowali, że stali się obiektem ataków typu DDoS. Co to znaczy?

DDoS, czyli distributed denial of service. To są ataki typowo sieciowe. Polegają one na tym, że przeciwnik buduje sieć botów, czyli komputerów zombi, które w skoordynowany sposób w ściśle ustalonym przedziale czasowym mają generować zapytania do stron. Mówiąc prościej, te sztucznie stworzone sieci udają duże grupy użytkowników, które jednocześnie próbują odczytać stronę. Jeśli dostawca danej usługi nie umie sobie poradzić z zablokowaniem ruchu botów, to strona internetowa przestaje działać.

Jak taki atak może wpłynąć na system bezpieczeństwa państwa?

DDoS to raczej forma ośmieszenia przeciwnika. To jakby powiedzieć: udało nam się, potrafimy zablokować wam stronę, a wy nic nie możecie zrobić. To obnażanie niedoskonałości technologicznej i braku wiedzy. Trzeba jednak powiedzieć, że ukraińskie strony rządowe były nieczynne tylko chwilowo.

Co innego jeśli DDoS stosowany jest przeciwko bankom. Brak dostępu do kont wywołuje u ludzi silną reakcję psychologiczną. I właśnie o wzbudzenie niepokoju tu chodzi.

Czy my też jesteśmy narażeni na tego typu ataki?

Zapewniam, że jesteśmy w stanie skutecznie się im przeciwstawić. Zarówno w sferze cywilnej, jak i wojskowej zabezpieczenia krajowe budowane są wielowarstwowo.

Kilka dni temu Ukraina ogłosiła, że buduje Armię IT. Jak Pan ocenia ten pomysł?

Wojna w cyberprzestrzeni to pojęcie dyskusyjne, bo choć dochodzi do walki, to jednak mamy do czynienia z dużą anonimowością w sieci. Każda ze stron konfliktu zabezpiecza swoją obecność i widoczność. W wypadku wojny na Ukrainie dzieje się coś szalenie ciekawego: do walki z reżimem rosyjskim przystępują grupy hakerskie, a oprócz tego budowana jest wspomniana Armia IT. Efekty jej działań były widoczne bardzo szybko: wyłączono telewizję, zablokowano dziesiątki stron, w tym te rządowe, podmieniono treści na różnego rodzaju portalach i kanałach informacyjnych. I to z pewnością nie koniec. Można się spodziewać ataków typu ransomware, takich jak blokowanie kluczowych usług, wyłączenie serwerów albo ataki na automatykę przemysłową.

Aktywność tego rodzaju w ujęciu konwencjonalnego konfliktu porównałbym do działalności grup partyzanckich. To partyzantka w cyberprzestrzeni. Skryta, cicha walka z reżimem. Armia IT Ukrainy przyciągnęła specjalistów z zakresu IT, ludzi niezwykle zmotywowanych, by walczyć z agresją Kremla.