Zagrożenia cybernetyczne dla bezpieczeństwa NATO stają się coraz częstsze, bardziej złożone, niszczące i powiązane z przymusem. Jego państwa członkowskie w ostatnim dziesięcioleciu podjęły istotne posunięcia w dziedzinie cyberobrony. Ostatnio, w 2018 roku, uzgodniły, jak integrować suwerenne środki cybernetyczne dostarczane na zasadzie dobrowolności przez członków Sojuszu na potrzeby jego operacji i misji. Zdecydowały również o powołaniu Centrum Operacji w Cyberprzestrzeni. Jednak, czy NATO robi wystarczająco dużo, aby mierzyć się ze złożonymi i ewoluującymi wyzwaniami w cyberprzestrzeni?
Zagadnienia cybernetyczne w centrum uwagi
Konieczność wzmocnienia zdolności do obrony przed atakami cybernetycznymi po raz pierwszy została uznana przez przywódców Sojuszu podczas ich szczytu w Pradze w 2002 roku. Od tego czasu zagadnienia cybernetyczne zajmowały coraz bardziej poczesne miejsce w programach szczytów NATO. W 2008 roku przyjęto pierwszą politykę NATO w dziedzinie cyberobrony. W 2014 roku członkowie Sojuszu uczynili cyberobronę nieodłączną częścią obrony zbiorowej deklarując, że cyberataki mogą prowadzić do powołania się na Artykuł 5 traktatu założycielskiego NATO mówiący o obronie zbiorowej. Co więcej, w 2016 roku członkowie Sojuszu uznali przestrzeń cybernetyczną za obszar działań zbrojnych i w większym stopniu zobowiązali się do wzmacniania cyberobrony w odniesieniu do swoich krajowych sieci i infrastruktury oraz traktowania jej jako priorytet.
Członkowie NATO są zdeterminowani, aby stosować pełen wachlarz zdolności, w tym środki cybernetyczne do odstraszania, obrony oraz przeciwdziałania pełnemu spektrum zagrożeń cybernetycznych, w tym wprowadzanych w ramach kampanii hybrydowej.
NATO i jego państwa członkowskie podjęły znaczące kroki strategiczne, operacyjne i techniczne, aby przeciwdziałać złośliwym działaniom cybernetycznym. Niemniej jednak, przywódcy Sojuszu ostrzegali podczas ostatniego szczytu w Brukseli w 2018 roku, że cybernetyczne zagrożenia bezpieczeństwa Sojuszu stają się coraz częstsze, bardziej niszczące i powiązane z przymusem.
Trwałe wyzwanie stwarzane przez zagrożenia cybernetyczne, a jednocześnie ich ewoluujący charakter wymagają od Sojuszu nieustannej oceny, czy adaptuje się on i reaguje w odpowiedni sposób. Trzy kwestie są kluczowe dla oceny roli NATO w cyberprzestrzeni:
- Jaki jest główny cel NATO w cyberprzestrzeni?
- Z jakimi wyzwaniami zderza się NATO w realizacji tego celu?
- Czy NATO robi wystarczająco dużo, aby reagować na złożoność cyberprzestrzeni?
Cel i wyzwania
Najbardziej jednoznaczne stwierdzenie celu NATO, jako Sojuszu działającego w cyberprzestrzeni padło po raz pierwszy podczas szczytu w Warszawie i zostało powtórzone w Brukseli: „Musimy być zdolni do równie skutecznego działania w cyberprzestrzeni, jak działamy w powietrzu i na lądzie, aby wzmacniać i wspierać całą sojuszniczą postawę odstraszania i obrony.”
Być może największe zagrożenie dla tej wizji polega na tym, że chociaż jest to cel definiowany w kategoriach militarnych, nie może on być osiągnięty wyłącznie za pomocą środków wojskowych. Wszystkie operacje i misje NATO w jakimś stopniu zależą od instytucji cywilnych lub prywatnego przemysłu, czy to w kontekście łączności, infrastruktury, logistyki, sprzętu, czy infrastruktury krytycznej państwa goszczącego.
Wspomniane zaplecze umożliwiające działania, a także tradycyjne cele wojskowe było już przedmiotem ataków cybernetycznych – i z pewnością byłoby takim celem podczas kryzysu lub konfliktu. Co więcej, złośliwe działania cybernetyczne nie były jak dotąd domeną sił zbrojnych, ale publicznie były przypisywane różnym podmiotom, od haktywistów po państwowe służby wywiadowcze. Zatem to, co może być wyzwaniem o charakterze wojskowym jest w rzeczywistości nierozerwalnie powiązane zarówno z instytucjami cywilnymi, jak i z prywatnym przemysłem, a nawet z pojedynczymi osobami.
Przezwyciężanie zagrożeń cybernetycznych jest także skomplikowane przez fakt, iż intensywne działania prowadzone są poniżej progu konfliktu zbrojnego. Chociaż ustalenie proporcjonalnych i skutecznych reakcji na takie złośliwe działania cybernetyczne jest złożonym zadaniem, poszczególni członkowie Sojuszu realizują różne strategie.
Niektórzy członkowie NATO – w tym Dania, Estonia, Litwa, Holandia, Wielka Brytania i Stany Zjednoczone – od pewnego czasu starają się stosować publiczne przypisywanie złośliwych działań cybernetycznych konkretnym sprawcom, aby zmienić ich postępowanie. Stany Zjednoczone zasygnalizowały również nową politykę mającą być próbą redukowania złośliwych działań cybernetycznych. Dowództwo Cybernetyczne Stanów Zjednoczonych uznaje obecnie, że „przeciwnicy w sposób ciągły działają poniżej progu konfliktu zbrojnego, żeby osłabić instytucje i uzyskać przewagi strategiczne” i Stany Zjednoczone będą obecnie prowadzić nieustępliwe zaangażowanie i tym samym nieustannie wchodzić w reakcje z tymi, którzy staraliby się wykorzystać słabości Stanów Zjednoczonych w cyberprzestrzeni.
Chociaż NATO często utożsamia się z jego Artykułem 5 dotyczącym zobowiązania do zbiorowej obrony, ma ono również bogatą historię zaangażowania poniżej progu konfliktu zbrojnego. Natowska Koncepcja Strategiczna wymienia trzy podstawowe zadania dla Sojuszu: obronę zbiorową, zarządzanie kryzysowe oraz bezpieczeństwo oparte na współpracy. Na przykład, obecnie NATO ma misję szkoleniową w Iraku oraz angażuje się w operacje zapewniania bezpieczeństwa obszarów morskich na Morzu Śródziemnym. NATO musi nadal odkrywać i badać najlepsze metody podobnego zaangażowania w cyberprzestrzeni, ponieważ nawet ataki przeprowadzane podprogowo mogą być wysoce niszczące, zakłócające i destabilizujące.
“Internet rzeczy” zwiększa podatność na ataki. © Eppenbergerdigital.com
Na koniec, te wyzwania – wielu interesariuszy, mnogość podmiotów stwarzających zagrożenie dla bezpieczeństwa oraz działania prowadzone w szarej strefie – są spotęgowane przez coraz szybsze tempo zmian - technika nieustannie się rozwija, a podatność na ataki rośnie wraz ze zwiększaniem się różnorodności i liczby urządzeń połączonych wzajemnie ze sobą i z internetem. Samo nadążanie za zagrożeniami wymaga znaczącego zasobu informacji, inwestycji i zdolności technicznych.
Tak rozumiejąc fundamentalny cel NATO w cyberprzestrzeni oraz pamiętając o cechach cyberprzestrzeni, które utrudniają jego osiągnięcie, przyjrzyjmy się programowi prac związanych z cyberprzestrzenią, które już zostały podjęte, zanim przejdziemy do pytania, czy NATO jest adekwatnie ambitne zarówno pod względem założeń, jak i działań.
Bieżący stan prac
NATO poświęciło wiele uwagi osiąganiu celu militarnego założonego wobec działań w cyberprzestrzeni, chociaż nie może polegać wyłącznie na wojskowych środkach i interesariuszach. Dwa główne kierunki działań NATO polegają po pierwsze na wdrażaniu cyberprzestrzeni, jako kolejnej domeny działań, a po drugie na realizowaniu „Zobowiązania w dziedzinie cyberobrony”.
Cyberprzestrzeń, jako domena działań
Od czasu, gdy członkowie Sojuszu uznali cyberprzestrzeń za domenę działań w 2016 roku, NATO osiągnęło kilka ważnych kamieni milowych. Może najważniejsze, że w październiku 2018 roku NATO ogłosiło wstępną gotowość do działania Centrum Operacji w Cyberprzestrzeni (Cyberspace Operations Centre - CyOC), w jego próbnej strukturze. CyOC służy, jako komponent poziomu operacyjnego w odniesieniu do cyberprzestrzeni i odpowiada za zapewnienie świadomości sytuacyjnej w tym zakresie, scentralizowanego planowania cybernetycznych aspektów operacji i misji Sojuszu, a także koordynacji zagadnień operacyjnych dotyczących cyberprzestrzeni.
Równolegle do tej niezwykle ważnej adaptacji organizacyjnej, podczas szczytu w Brukseli członkowie Sojuszu uzgodnili, jak integrować środki cybernetyczne dostarczane dobrowolnie przez państwa członkowskie na potrzeby operacji i misji NATO. Jest to w pełni zgodne z mandatem NATO w zakresie obronności i ujednolica metody wykorzystywane przez NATO do samoobrony w cyberprzestrzeni analogicznie do działań w pozostałych domenach, gdzie państwa członkowskie Sojuszu udostępniają czołgi, samoloty i okręty na potrzeby operacji i misji NATO.
Rozwijana jest także strategia i wytyczne. W czerwcu 2018 roku członkowie Sojuszu przyjęli „Wizję i strategię w odniesieniu do cyberprzestrzeni, jako domeny operacyjnej” (Vision and Strategy on Cyberspace as a Domain of Operations). Oczekuje się, że w 2019 roku wypracowana zostanie pierwsza natowska doktryna działań w cyberprzestrzeni, która będzie zawierać wytyczne dla dowódców NATO, pod warunkiem jej zaakceptowania przez państwa członkowskie.
Wspomniane struktury i koncepcje mają wartość jedynie wtedy, jeżeli zostaną wdrożone i będą wykorzystywane. W tym celu NATO dostosowuje programy edukacyjne, szkoleniowe i dotyczące ćwiczeń. Natowskie Centrum Doskonalenia Cyberobrony stało się odpowiedzialne za identyfikowanie i koordynowanie rozwiązań edukacyjnych i szkoleniowych w dziedzinie operacji cyberobronnych wszystkich instytucji natowskich w całym Sojuszu.
Co roku Cyber Koalicja, największe i najważniejsze ćwiczenia cyberobronne NATO, angażują ponad 700 uczestników z państw członkowskich i partnerskich NATO, Unii Europejskiej, przemysłu i środowisk akademickich. © NATO
Specjalistyczne ćwiczenia cybernetyczne są nieustannie aktualizowane w świetle zmieniającej się polityki i doktryny. W 2018 roku Cyber Koalicja – flagowe natowskie ćwiczenia cyberobronne z udziałem ponad 700 uczestników z państw członkowskich Sojuszu, partnerów i NATO – trenowała integrowanie suwerennych środków cybernetycznych dobrowolnie dostarczanych przez państwa członkowskie NATO. Inne ćwiczenia NATO – np. Ćwiczenia Zarządzania Kryzysowego (Crisis Management Exercise) przeznaczone dla dowództw NATO oraz Trident Juncture przeznaczone dla całego łańcucha dowodzenia, już obejmowały i będą nadal obejmować rozbudowane scenariusze cybernetyczne.
Zobowiązanie w dziedzinie cyberobrony
Równolegle do tych postępów na poziomie NATO, „Zobowiązanie w dziedzinie cyberobrony” (Cyber Defence Pledge) promuje ogólnorządowe dostosowania w każdym z państw członkowskich. Zobowiązanie to zostało przyjęte w kontekście Artykułu 3 Traktatu Waszyngtońskiego, który stwierdza, że „Strony (…) będą utrzymywały i rozwijały swoją indywidualną i zbiorową zdolność do odparcia zbrojnej napaści”. Jako że niemożliwe jest całkowite oddzielenie wojskowych, cywilnych i przemysłowych zagadnień w tej przestrzeni, NATO jest bardzo zainteresowane w doskonaleniu cyberobronnych zdolności organizacji spoza establishmentu obrony.
Zobowiązanie uwypukla konieczność rozwoju w takich obszarach, jak zapewnianie właściwych środków na cyberobronę w całym rządzie, wymiana informacji i najlepszych praktyk oraz wykorzystanie praktyk innowacyjnych pojawiających się w środowiskach akademickich i w sektorze prywatnym. Członkowie Sojuszu corocznie dokonują samooceny według wspólnego zestawu miar porównawczych. W swoim ostatnim raporcie przedstawionym na szczycie w Brukseli podkreślali oni ciągłą użyteczność Zobowiązania – zwróciło ono uwagę wysokich rangą polityków na kwestie cyberobrony i zachęciło do rozwijania międzysektorowej współpracy w państwach Sojuszu.
Reagowanie na podprogowe ataki cybernetyczne
Członkowie Sojuszu podejmują również kroki w celu wypracowania bardziej systemowych reakcji na złośliwe działania cybernetyczne, które mieszczą się poniżej progu konfliktu zbrojnego. Podczas szczytu Sojuszu w Brukseli jego członkowie wyrazili swoje zdeterminowanie, aby „wykorzystywać cały wachlarz zdolności, w tym cybernetycznych, do odstraszania, obrony i przeciwdziałania pełnemu spektrum zagrożeń cybernetycznych, w tym takich, które są realizowane w ramach kampanii hybrydowej”.
Poza tym, członkowie Sojuszu zdecydowali się „nadal współpracować nad rozwijaniem środków, które umożliwiłyby nam wyciąganie konsekwencji wobec tych, którzy wyrządzają nam szkodę.” To pełne spektrum reakcji, zawsze stosowanych zgodnie z prawem międzynarodowym oraz z zachowaniem zasady umiaru i proporcjonalności, jest niezbędne do skutecznego reagowania na ogrom problematycznych działań cybernetycznych realizowanych poniżej progu konfliktu zbrojnego.
Współpraca z partnerami
Wreszcie, aby z sukcesem adaptować się w tym szybko zmieniającym się środowisku, NATO bliżej współpracuje z ciągle rosnącym gronem partnerów. W 2016 roku sekretarz generalny NATO wystąpił wspólnie z przewodniczącymi Rady UE i Komisji Europejskiej, wydając wspólną deklarację o współpracy NATO i Unii Europejskiej. Na mocy tej deklaracji, a także umów technicznych zawartych pomiędzy zespołami z NATO i Unii Europejskiej do spraw reagowania na incydenty, obie organizacje zwiększyły współpracę, zwłaszcza w obszarach takich, jak wymiana informacji, szkolenie, badania naukowe i ćwiczenia.
Wysocy rangą przedstawiciele NATO i Unii Europejskiej obradują, nad podsumowaniem najnowszych działań oraz badają kolejne potencjalne obszary zaangażowania w cyberobronę – 10 grudnia 2018 roku. © NATO
NATO pogłębia również swoje więzi z przemysłem za pośrednictwem natowskiego Partnerstwa z Przemysłem w dziedzinie Cybernetyki. Ten ramowy program zapewnia liczne platformy wymiany informacji, trendów zagrożeń i najlepszych praktyk. Współdziałania te pomagają NATO budować oparte na zaufaniu stosunki z przemysłem oraz lepiej umożliwiają wszystkim stronom zapobieganie atakom cybernetycznym i reagowanie w ich przypadku.
Poziom ambicji
Na wszystkie te sposoby Sojuszu i jego członkowie aktywnie doskonalą swoją cyberobronę, umożliwiając NATO samoobronę równie skuteczną, jak na lądzie, morzu i w powietrzu – stwarzając warunki do tego, aby działania w cyberprzestrzeni przyczyniały się do ogólnej natowskiej postawy obrony i odstraszania.
Jednak, czy Sojusz i jego członkowie robią wystarczająco dużo?
Ze względu na centralną rolę, jaką cyberprzestrzeń odgrywa we współczesnej metodzie walki, konieczne jest, żeby Sojusz dysponował w tej domenie równymi zdolnościami, jak w pozostałych. To podejście Sojuszu ma sens - stara się odpowiadać na najważniejsze wyzwania związane z działaniami w cyberprzestrzeni. Ostatecznie jednak Sojusz musi nieustannie rozważać sposoby intensyfikacji działań, ponieważ skala zagrożeń cybernetycznych będzie jedynie rosnąć.
Zatem, co jeszcze powinien robić Sojusz?
Członkowie Sojuszu mogliby zechcieć zastanowić się, jakie aspekty ich bieżących prac winny mieć największy priorytet i największe środki. Na przykład, CyOC jest najważniejszym aspektem dostosowywania struktury dowodzenia NATO do cyberprzestrzeni. Gdy CyOC przejdzie przez próg najpierw wstępnej, a potem ostatecznej zdolności operacyjnej, decydujące znaczenie będzie miało wyposażenie go w dostateczny – i dostatecznie wyspecjalizowany – personel.
Poziom złośliwych działań cybernetycznych poniżej progu konfliktu zbrojnego pozostanie nieustannym wyzwaniem; gdy członkowie Sojuszu będą zastanawiać się, jak najlepiej reagować, zarówno indywidualnie, jak i wspólnotowo w Sojuszu, mogą oni rozważyć istniejące już narzędzia. Oprócz Artykułu 5, który jest powszechnie najlepiej znaną częścią Traktatu Waszyngtońskiego, członkowie NATO dysponują także Artykułem 4, który pozwala na konsultacje kiedykolwiek któryś z nich będzie przekonany, że jego „integralność terytorialna, niezależność polityczna lub bezpieczeństwo” są zagrożone.
Wreszcie, starając się dotrzymać kroku zmianom w tej domenie, członkowie Sojuszu mogliby dostrzec korzyść we wnoszeniu wkładu do oceny, jak mogłaby się rozwijać współpraca z przemysłem – zarówno w zakresie udostępniania informacji przez kręgi przemysłowe, jak i pod względem ich metod pozyskiwania zdolności.
W skrócie, Sojusz powinien dalej iść obecnie obraną drogą gwarantując, że poprzez nieustanne zapewnianie uwagi i środków, cyberprzestrzeń może stać się naturalnym obszarem jego działania.