Za Granicą
Co na nas czyha w cyberprzestrzeni w 2016 roku?
Jak powszechnie wiadomo – zgodnie z prawem Moore’a - moc obliczeniowa każdego roku podwaja się. Zagrożenia, wyzwania i możliwości, jakie w związku z tym stwarza cyberprzestrzeń, rosną w podobnym tempie.
Wiele z tych zmian zachodzi w Stanach Zjednoczonych Ameryki, chociaż właściwiej byłoby stwierdzić, że przydarza się temu państwu. Być może nie jest to najbardziej skomputeryzowany i zdigitalizowany czy wyrafinowany pod względem technologicznym kraj świata (dla porównania: tylko 87 proc. Amerykanów używa Internetu, podczas gdy w Korei Południowej jest to aż 92 proc. mieszkańców, a w Wielkiej Brytanii - 91 proc.), jednakże USA chlubią się unikatową kombinacją, na którą składają się takie pierwiastki jak zastosowanie high-tech, największa gospodarka świata z wiodącymi markami z dziedziny technologii i informatyki, oraz globalny zasięg. To wszystko sprawia, że USA są szczególnie narażone na wszelkiego rodzaju wrogą aktywność w cyberprzestrzeni – począwszy od kradzieży tożsamości w sieci, przez szpiegostwo korporacyjne, po bardziej podstępne formy ataków. Zarazem jednak Ameryka to najgroźniejszy i posiadający największe kompetencje cyberaktor, który jest coraz bardziej skupiony na rozwijaniu procedur służących „uszczelnianiu” swej podatności na ataki i wykorzystywaniu własnych umiejętności.
W niniejszej rubryce będę starał się prześledzić gwałtowny wzrost cyberataków, a także rozwiązania bezpieczeństwa cybernetycznego z perspektywy Stanów Zjednoczonych. W szczególności skupię się na tym jak postrzega te zagadnienia Waszyngton, gdzie polityka cyberbezpieczeństwa tworzona jest przez wiele instytucji. To nie tylko takie miejsca jak Kongres, Biały Dom, Departamenty Obrony i Bezpieczeństwa Wewnętrznego czy NSA, ale także mniej oczywiści gracze jak np. Departament Energii. Rzecz jasna, kwestia cyberbezpieczeństwa USA nie ogranicza się wyłącznie do stolicy. Dotyczy także centrów przemysłu amerykańskiego – jak Nowy Jork w przypadku finansów czy Dolina Krzemowa, jeśli chodzi o technologię. Nie można w tym kontekście pominąć zagranicznych stolic – zarówno sprzymierzeńców z Brukseli, jak i konkurentów z Moskwy i Pekinu. Są wreszcie odległe, pozostające poza wpływem USA, regiony Bliskiego Wschodu, skąd ISIS i Al-Kaida publikując na Twitterze i Facebooku prowadzą swój cyberdżihad.
Omawiając podatność na ataki i rozwiązania, jakie opracowuje się w USA wobec wyzwań związanych z bezpieczeństwem cyberprzestrzeni, chciałbym poprzez ten felieton przedstawić spostrzeżenia i konkluzje, które mogą dopomóc innym krajom ocenić poziom zagrożenia bezpieczeństwa narodowego, z jakim mogą się zetknąć u siebie. Tą drogą pragnę też przyjść tym państwom z pomocą w znalezieniu ich własnych sposobów zmierzenia się z tym niebezpieczeństwem.
Ważniejsze jednak może być to, że cyberprzestrzeń przypomina globalną prerię, na której dopiero teraz zaczyna się ustanawiać międzynarodowe rządy prawa, a gdzie nadal czai się niebezpieczeństwo.
Szyfrowanie end-to-end, w ramach którego tylko nadawca i adresat wiadomości są zdolni do jej odczytania, jest dominującą cechą przebiegłości takich grup jak ISIS. Nasza praca w coraz większym stopniu odbywa się po omacku.
W znacznej mierze USA, które uważają się tradycyjnie za gwaranta wolności żeglugi na morzach i oceanach, będą odgrywały istotną rolę w kształtowaniu przyszłości cyberprzestrzeni czy to dobierając sobie sojuszników, by udzielić odpowiedzi wrogim siłom, czy też tworząc kodeks drogowy, który będzie regulował ruch danych dookoła świata.
Każde państwo zachodnie, które chce poważnie traktować swoje bezpieczeństwo narodowe w XXI w., będzie musiało być zdolne do efektywnej współpracy ze Stanami Zjednoczonymi, a kraj, który chce rozwijać nowoczesną zdigitalizowaną gospodarkę, zmuszony będzie opanować nawigację zgodnie ze światowym ładem cyfrowym, którego ustanowienie wspierają USA.
Urzeczywistnienie tych priorytetów oznacza tym samym wyrozumiałość dla często zawiłego i chwiejnego podejścia, jakie Stany Zjednoczone reprezentują w kwestii cyberbezpieczeństwa. Aspiracją tych felietonów będzie rzucenie światła nie tylko na ostatnie wydarzenia w cyberświecie, ale także przybliżenie czytelnikom polskim amerykańskich instytucji, prawa i wartości, które wytyczają kurs polityki cyberbezpieczeństwa w USA.
Zatem zacznijmy od szybkiego przeglądu największych przedsięwzięć w dziedzinie cyberbezpieczeństwa w 2015 r. i rozważmy, które trendy i zagadnienia będą określały bieżący rok. W 2015 r. USA doświadczyły nie tylko jednych z największych, najgłośniejszych i najbardziej destrukcyjnych cyberataków w historii. W zeszłym roku byliśmy też świadkami najdonioślejszej debaty publicznej i pierwszych realnych działań zmierzających do uchwalenia prawa, które będzie odpowiedzią na pojawienie się zagrożeń. Rok rozpoczął się od przykrych następstw ataku - prawdopodobnie ze strony Korei Północnej - na Sony Pictures i irańskiego ataku na Sands Casinos. W kolejnych miesiącach miały miejsce włamania do wielu firm sektora ochrony zdrowia (Anthem, CareFirst). Wyciekły też dane mnóstwa klientów portalu dla niewiernych małżonków, Ashley Madison. Doszło również do kradzieży milionów dokumentów z wrażliwymi informacjami dotyczącymi pracowników amerykańskiej administracji z Office of Personnel Management, który odpowiada za politykę kadrową służby cywilnej. Finałem roku 2015 było przyjęcie Cybersecurity Information Sharing Act.
Wydarzenia, które miały miejsce poza granicami USA, były niemniej poważne. Europejski Trybunał Sprawiedliwości wydał wyrok w sprawie programu Safe Harbour, który zakwestionował transferowanie przez firmy do USA danych osobowych obywateli Unii Europejskiej. Postawiło to pod znakiem zapytania fundamenty wartej wiele milionów dolarów transatlantyckiej gospodarki cyfrowej. Daesh przeprowadziło morderczy atak w Paryżu, co wysunęło na plan pierwszy kwestię wyjaśnienia metod komunikacji i koordynacji działań terrorystów, a także ustalenia, czy w związku z rozwojem łączności szyfrowanej ugrupowania terrorystyczne i przestępcy zdolni są skutecznie ukrywać się w Internecie. Koniec roku przyniósł również falę cyberataków, których skutkiem był blackout energetyki na Ukrainie.
Biorąc pod uwagę jak wiele wydarzyło się w zeszłym roku, wydaje się nieuniknione, że cyberbezpieczeństwo będzie palącym problemem 2016 roku. Z pewnością czekają nas nie tylko poważne ataki, ale także istotne debaty na temat polityki cyberbezpieczeństwa. Poniżej przedstawiam na co warto zwrócić szczególną uwagę:
Bitwa o szyfry
Po tym jak ujawniono, że terroryści, którzy przeprowadzili zeszłoroczne ataki w Paryżu, komunikowali się pomiędzy sobą używając szyfrowanych aplikacji, dyrektor FBI James Comey ostrzegł, że szyfrowanie end-to-end, w ramach którego tylko nadawca i adresat wiadomości są zdolni do jej odczytania, jest „dominującą cechą przebiegłości takich grup jak ISIS”. Zaalarmował, że rozprzestrzenianie takich technologii stanowi znaczące wyzwanie dla wywiadu i organów ścigania, których celem jest tropienie potencjalnych terrorystów. „Nasza praca w coraz większym stopniu odbywa się po omacku” – dodał Comey.
Jednak ze strony firm z sektora IT istnieje tylko niewielka gotowość do zainstalowania we wprowadzanych rozwiązaniach „kuchennych drzwi” („backdoor”), które ułatwiłyby rządowi podsłuchiwanie osób podejrzewanych o działalność przestępczą i terroryzm. Z Doliny Krzemowej rozległy się głosy, że takie działanie osłabiłoby bezpieczeństwo branży zagrażając prywatności jej klientów i narażając firmy na potencjalne problemy z innymi rządami, np. rosyjskim czy chińskim, które mogłyby również domagać się dostępu do „backdoor”. W rezultacie tego sprzeciwu Comney oświadczył, że „administracja nie szuka w tej chwili rozwiązań prawnych”.
Nie łudźmy się jednak, że temat nie powróci. Żywotnie zainteresowany tą kwestią jest Kongres, a republikański kongresmen Michael McCaul, przewodniczący Komisji Bezpieczeństwa Wewnętrznego Izby Reprezentantów, i demokratyczny senator Mark Warner zaproponowali utworzenie komisji, która miałaby za zadanie ocenić, czy rząd powinien zażądać od firm instalowania „kuchennych drzwi” w rozwiązaniach służących do komunikacji szyfrowanej. Pewne jest jedno: bez względu na to, który wariant się urzeczywistni – czy dojdzie do powołania wspomnianej komisji czy też nastąpi kolejny atak, temperatura debaty publicznej szybko wzrośnie.
Wzrost działań ofensywnych
Chociaż administracja waszyngtońska daje do zrozumienia, iż posiada godne podziwu zdolności do przeprowadzenia cyberofensywy, publicznie od dawna woli koncentrować się na celu, jakim jest obrona własnych sieci. O ile mało prawdopodobne jest, że USA przyznają się kiedykolwiek, że stały za takimi operacjami ofensywnymi jak np. Stuxnet, o tyle przedstawiciele administracji coraz otwarciej mówią o rozwijaniu zdolności państwa do penetracji i atakowania sieci teleinformatycznych. Rozszerzanie tych zdolności jest bezdyskusyjnym faktem.
W kwietniu 2015 r. Departament Obrony po raz pierwszy opublikował cyberstrategię, która wśród 5 celów strategicznych wymienia, m.in. „przygotowania do obrony kraju i żywotnych interesów państwa przed destrukcyjnymi cyberatakami, które wywołują poważne konsekwencje”. Z kolei 2 lutego bieżącego roku dyrektor Narodowej Agencji Bezpieczeństwa (NSA), admirał Mike Rogers, ogłosił reorganizację możliwości działania tej tajnej służby w cyberprzestrzeni, łącząc jej obronne i ofensywne struktury pod jednym kierownictwem Zarządu Operacyjnego.
Biznes: Trzecia noga zydla
Większość dotychczasowych debat o polityce bezpieczeństwa cyberprzestrzeni w USA odzwierciedlała konflikt pomiędzy tymi, którzy domagają się więcej bezpieczeństwa, a tymi, którzy żądają większej ochrony praw obywatelskich i prywatności. Biznes rzadko odgrywał widoczną rolę w tych bataliach. Jego rola ograniczała się do blokowania nowych regulacji, które mogłyby wprowadzić ograniczenia dla jego działalności. Lobby biznesowe wolało też unikać bezpośredniego uwikłania w spór z rządem. Taka postawa skutkowała tym, co Stewart Baker, były główny radca prawny w NSA, określił jako „piekielną koalicję biznesu i aktywistów walki o ochronę prywatności”.
Cyberprzestrzeń przypomina globalną prerię, na której dopiero teraz zaczyna się ustanawiać międzynarodowe rządy prawa, a gdzie nadal czai się niebezpieczeństwo.
Ale ta sytuacja powoli się zmienia i amerykański biznes zaczął dostrzegać, że ma zupełnie inne priorytety niż rząd i obrońcy wolności obywatelskich. Dlatego coraz chętniej zabiera głos w debacie publicznej. Pierwszym sygnałem tej zmiany był list podpisany przez 34 głównych radców prawnych największych firm amerykańskich, w którym wezwali oni kongresmenów do przegłosowania prawa umożliwiającego przekazywanie informacji o zagrożeniu cybernetycznym pomiędzy sektorami publicznym i prywatnym, ponieważ – jak argumentują sygnatariusze apelu - „cyberataki, nasilające się pod względem liczebności i wyrafinowania, stanowią poważne ryzyko dla naszego bezpieczeństwa narodowego i ekonomicznego”.
Tym, co sprawiło, że amerykański biznes przemówił, nie była jedynie potrzeba własnej ochrony przez cyberatakami. Coraz większe wyzwanie, jakim stało się prowadzenie działalności gospodarczej w nieuregulowanym ciągle środowisku zdigitalizowanego świata, sprawia, że biznes czeka aż Waszyngton przetrze szlak tworząc jednolity międzynarodowy kod, który będzie dla innych rządów wzorem regulacji, jakim należałoby poddać dane. Liczba spraw sądowych, żeby tylko wspomnieć o spektakularnym unieważnieniu amerykańsko-europejskiej umowy o programie Safe Harbour, skupia uwagę opinii publicznej na tych problemach. W rezultacie głos biznesu jako trzeciej strony debaty o polityce wobec cyberprzestrzeni ma szanse wpłynąć na jej przebieg w tym roku.
Cyberbezpieczeństwo i wybory
Chociaż wybory 2016 w USA odbędą się dopiero za 9 miesięcy, kampania trwa już na dobre, a bezpieczeństwo narodowe cyberprzestrzeni należy do jej wiodących tematów. Kandydaci szukają możliwości pozyskania pieniędzy na swoje kampanie i coraz częściej spoglądają nie tylko na Nowy Jork czy Hollywood, ale też na Dolinę Krzemową jako źródło wielkiego bogactwa i wpływów. Te dwa trendy oznaczają, że po raz pierwszy debata o polityce cyberbezpieczeństwa będzie odgrywać istotną rolę w wyborach. Już dziś kilkoro pretendentów do nominacji na oficjalnych kandydatów (Jeb Bush, Carly Fiorina i Ben Carson) opublikowało swoje strategie cyberbezpieczeństwa. Ciąg dalszy z pewnością nastąpi.
Blaise Misztal zajmuje się kwestiami bezpieczeństwa narodowego, ze szczególnym uwzględnieniem cyberbezpieczeństwa, w jednym z prominentnych waszyngtońskich think tanków, gdzie opracował m.in. symulację strategiczną Cyber ShockWave. Jest stałym ekspertem Cyberdefence24.pl