Bezpieczeństwo informatyczne państw staje się coraz poważniejszym wyzwaniem współczesności. Eksperci wskazują jednak, że straszenie konfliktem cybernetycznym może być bardziej niebezpieczne, niż same zagrożenia.
Rozbudowa CYBERCOM-u
Amerykanie zamierzają w ciągu kilku następnych lat kilkukrotnie zwiększyć liczebność swoich sił służących obronie przed cyberatakami. Obecnie personel CYBERCOM, czyli dowództwa sił zbrojnych USA zajmującego się wyłącznie bezpieczeństwem teleinformatycznym kraju, liczy sobie zaledwie ok. 900 pracowników. To mało, jeśli weźmiemy pod uwagę w jakim stopniu przewaga militarna Stanów Zjednoczonych związana jest z wykorzystaniem nowoczesnych technologii na polu walki. Nie dziwne więc, że zdaniem amerykańskich mediów w ciągu kilku najbliższych lat Pentagon zamierza zwiększyć jego liczebność do ok. 4000 osób.
Wraz ze zwiększeniem stanu osobowego, w ramach CYBERCOM zostałyby stworzone trzy dodatkowe komórki operacyjne. Zadaniem pierwszej z nich miałaby być ochrona sieci informatycznych Departamentu Obrony i sił zbrojnych, drugiej – zapewnienie bezpieczeństwa infrastruktury krytycznej (elektrownie, sieci telekomunikacyjne sektora finansowego, itp.), zaś trzecia miałaby odpowiadać za atak na obce sieci oraz ich penetrację w celu pozyskania informacji.
Podział ten idealnie odpowiada triadzie informatycznej, ale warto zauważyć jedną zasadniczą różnicę: amerykański plan rozbudowy CYBERCOM-u zdaje się skupiać na działaniach defensywnych, a nie ofensywnych. Te ostatnie traktuje jako dodatek – ważny, ale nie aż tak jak zapewnienie ciągłości działania własnych systemów informatycznych oraz ich szczelności.
Cyberzbrojenia
Ten ambitny plan jest oczywiście odpowiedzią na coraz większe zainteresowanie innych państw i organizacji zagadnieniem cyberwojny i cyberterroryzmu. Na tym polu liderami stają się Chiny, Rosja, Indie, Iran i Izrael, które już od pewnego czasu coraz śmielej poczynają sobie w cyberprzestrzeni. Można założyć, że o ile dla większych państw priorytetem pozostanie strona defensywna, to logicznym scenariuszem dla mniejszych państw będzie inwestycja w działania o charakterze ofensywnym, pozwalające stosunkowo niewielkim kosztem zniwelować strategiczną przewagę potężniejszych od siebie przeciwników.
Problem tkwi w tym, że póki co każde państwo na Ziemi, nie wykluczając z tego grona mocarstw takich jak Chiny, Rosja czy Indie, uznaje Stany Zjednoczone za kraj zdecydowanie od siebie potężniejszy i, siłą rzeczy, będzie rozwijać ofensywne środki walki w cyberprzestrzeni.
Pentagon nie bagatelizuje tego zagrożenia; bynajmniej, nawet uznaje poważny atak cybernetyczny za casus belli! W amerykańskiej debacie publicznej coraz częściej można usłyszeć, że Stany Zjednoczone są w środku cyberwojny, którą – na domiar złego – przegrywają, i prędzej czy później czeka je “cybernetyczne Pearl Harbor”. Takie podejście ma jednak wielu przeciwników.
Histeria czy zagrożenie?
Malowane w czarnych barwach scenariusze cyberkonfliktów opisują ataki na sieci energetyczne, porty lotnicze czy systemy sterowania ruchem pociągów – a więc działania potencjalnie skutkujące ofiarami cywilnymi. Nawet popularny również w Polsce serial Homeland podjął ten temat, sugerując, że można (lub wkrótce będzie można) dokonać zamachu na życie wysoko postawionego urzędnika USA, włamując się do jego rozrusznika serca.
Problem w tym, że cyberkonflikt tak nie wygląda i nieprędko będzie wyglądał. Spektakularne operacje takie jak te wymierzone w irański program atomowy (Stuxnet i Flame) są – i będą w przewidywalnej perspektywie czasowej – odstępstwem od normy, a nie normą. Cyberwojna nie lubi bowiem rozgłosu – w swojej istocie bliższa jest operacjom służb specjalnych, niż regularnego wojska. Nawet osławiony Stuxnet zmieniał prędkość pracy wirówek w taki sposób, aby przez długie miesiące pracować niezauważonym. Podejrzewam więc, że jego wykrycie nie zostało entuzjastycznie przyjęte przez twórców, kimkolwiek nie byli.
Jest jednak coś, co łączy entuzjastów i przeciwników cyberwojny – fakt, że obie strony zdają się oczekiwać od niej zbyt wiele.
Ci pierwsi przewidują apokaliptyczne skutki cyberkonfliktów, drudzy zaś bagatelizują je, twierdząc, że nie jest równoprawny z innymi środek walki. I – paradoksalnie – obie strony mają rację. Wykorzystanie metod walki w cyberprzestrzeni jest bowiem realne i – z każdym dniem, z każdym bajtem informacji zapisanym na komputerach rządowych – coraz poważniejsze, ale postrzeganie go jako odrębnej kategorii środków walki jest jeszcze przedwczesne. Na dzień dzisiejszy, cyberwojna jest tylko przedłużeniem tradycyjnych działań (przede wszystkim tych szpiegowskich, a w drugiej kolejności sabotażowych), ich instrumentem, a nie środkiem samym w sobie.
Co więcej, dominujące w debacie przykłady cyberzagrożeń – choć na pewno nośne medialnie – są wręcz dla niej szkodliwe. Akcentując wyolbrzymione problemy, na dalszy plan spycha się temat codziennego bezpieczeństwa informatycznego w urzędach, ministerstwach czy armii, a – mając na uwadze to, że każda zamknięta sieć jest tak bezpieczna, jak jej najsłabsze ogniwo – właśnie w tej sferze upatrywałbym największych zagrożeń.
Pułapki tradycyjnego podejścia
Próba wtłaczania cyberkonfliktu w sztywne ramy konfliktów zbrojnych, chociażby poprzez uznanie agresywnych działań w cyberprzestrzeni za potencjalny powód do wypowiedzenia wojny, pokazuje z jednej strony powagę, z jaką do tych zagrożeń podchodzą mocarstwa, ale i swego rodzaju niezrozumienie sieciowej istoty tych działań. Rozproszony charakter tych zagrożeń, utrudnia, a czasem wręcz uniemożliwia, identyfikację agresorów.
W jaki zatem sposób możemy wypowiedzieć wojnę, jeśli nie mamy pewności kto nas zaatakował? Czy ta niepewność może być wykorzystana do wywołania konfliktu – to tylko jedno z pytań, które nasuwają się Podobnie jak w przypadku systemu ochrony praw autorskich, tak i tutaj po raz kolejny tradycja prawa nie przystaje do warunków XXI wieku i nie wiadomo, w jaki sposób ją zmodyfikować, aby w większym stopniu im odpowiadała. Uregulowanie tej kwestii na poziomie międzynarodowym może być jeszcze większym wyzwaniem, niż zapewnienie bezpieczeństwa informatycznego na poziomie poszczególnych państw.
Nie dziwne więc, że wielu ekspertów uznaje straszenie konfliktem cybernetycznym za bardziej niebezpieczne, niż same cyberzagrożenia. Magazyn Wired posunął się nawet do porównania ich do nagonki na Irak Saddama Husajna, jaką rozpętała administracja George’a W. Busha przed blisko dekadą i która w efekcie doprowadziła do interwencji w kraju nad Zatoką Perską. Porównanie na wyrost? Owszem, ale w nie mniejszym stopniu niż mówienie o nadchodzącej cybernetycznej apokalipsie.
