Część 1 – wokabularz.
Jeszcze niedawno niektórzy eksperci wieszczyli, iż następna wojna będzie „cyberwojną” i większość, jeżeli nie całość działań zbrojnych przeniesie się do cyberprzestrzeni. Rzeczywistość dość ewidentnie zweryfikowała te „proroctwa” , co widzimy na przykładzie obecnej wojny na Ukrainie. Niezbyt często słychać o skutecznych operacjach w cyberprzestrzeni prowadzonych w trakcie tej wojny. czy to oznacza, iż nie mają one miejsca? Otóż najprawdopodobniej w cyberprzestrzeni toczą się dość intensywne, acz niekoniecznie spektakularne działania prowadzone jednak raczej we wsparciu operacji w konwencjonalnych, fizycznych domenach, aniżeli samodzielnie, a przyczyn „ciszy” w tej kwestii może być kilka.
O przyczynach tej „ciszy”, na końcu, spróbujmy po pierwsze usystematyzować nieco nomenklaturę, która będzie się pojawiała w niniejszym wpisie, po drugie zidentyfikować głównych „aktorów” prowadzących działania w cyberprzestrzeni w toku toczącej się aktualnie wojny, a następnie ocenić charakter i rodzaj prowadzonych w cyberprzestrzeni działań.
USA już w 2008 r. uznały cyberprzestrzeń za domenę operacyjną i stworzyły US CYBERCOM. Przyjęta w 2011 r. Strategia Operacji w Cyberprzestrzeni delegowała z US STRATCOM na US CYBERCOM odpowiedzialność za synchronizację i koordynację komponentów usług w ramach wszystkich rodzajów sił zbrojnych (U.S. Army Cyber Command, U.S. Fleet Cyber Command/10th Fleet, 24. Air Force, U.S. Marine Corps Forces Cyber Command, and U.S. Coast Guard Cyber Command). Kluczową koncepcją organizacyjną stojącą za powołaniem US CYBERCOM była jego kolokacja z Agencją Bezpieczeństwa Narodowego (NSA) i powierzenie Dyrektorowi NSA również dowódcy US CYBERCOM.
Jeszcze niedawno niektórzy eksperci wieszczyli, iż następna wojna będzie „cyberwojną” i większość, jeżeli nie całość działań zbrojnych przeniesie się do cyberprzestrzeni. Rzeczywistość dość ewidentnie zweryfikowała te „proroctwa” , co widzimy na przykładzie obecnej wojny na Ukrainie. Niezbyt często słychać o skutecznych operacjach w cyberprzestrzeni prowadzonych w trakcie tej wojny. czy to oznacza, iż nie mają one miejsca? Otóż najprawdopodobniej w cyberprzestrzeni toczą się dość intensywne, acz niekoniecznie spektakularne działania prowadzone jednak raczej we wsparciu operacji w konwencjonalnych, fizycznych domenach, aniżeli samodzielnie, a przyczyn „ciszy” w tej kwestii może być kilka.
O przyczynach tej „ciszy”, na końcu, spróbujmy po pierwsze usystematyzować nieco nomenklaturę, która będzie się pojawiała w niniejszym wpisie, po drugie zidentyfikować głównych „aktorów” prowadzących działania w cyberprzestrzeni w toku toczącej się aktualnie wojny, a następnie ocenić charakter i rodzaj prowadzonych w cyberprzestrzeni działań.
USA już w 2008 r. uznały cyberprzestrzeń za domenę operacyjną i stworzyły US CYBERCOM. Przyjęta w 2011 r. Strategia Operacji w Cyberprzestrzeni delegowała z US STRATCOM na US CYBERCOM odpowiedzialność za synchronizację i koordynację komponentów usług w ramach wszystkich rodzajów sił zbrojnych (U.S. Army Cyber Command, U.S. Fleet Cyber Command/10th Fleet, 24. Air Force, U.S. Marine Corps Forces Cyber Command, and U.S. Coast Guard Cyber Command). Kluczową koncepcją organizacyjną stojącą za powołaniem US CYBERCOM była jego kolokacja z Agencją Bezpieczeństwa Narodowego (NSA) i powierzenie Dyrektorowi NSA również dowódcy US CYBERCOM.
Nieco już przestarzała amerykańska doktryna operacji informacyjnych posługiwała się terminem Computer Network Operations (Komputerowe operacje Sieciowe lub Operacje w Sieciach Komputerowych), na które składały się:
1) Ataki sieciowe (Computer Network Attacks) czyli działania podejmowane za pośrednictwem sieci komputerowych w celu zakłócania, uniemożliwiania dostępu, degradacji lub niszczenia informacji w komputerach i sieciach komputerowych i/lub samych komputerach/sieciach;
2) Obrona sieciowa (Computer Network Defence) czyli działania podejmowane za pośrednictwem sieci komputerowych w celu ochrony, monitorowania, analizowania, wykrywania i reagowania na ataki sieciowe, włamania, zakłócenia lub inne nieautoryzowane działania, które naruszyłyby lub sparaliżowały wojskowe systemy i sieci informacyjne;
3) „Wyzyskiwanie” sieciowe (Computer Network Exploitation) czyli umożliwianie działań i zbieranie danych wywiadowczych za pośrednictwem sieci komputerowych, które wykorzystują dane zebrane z systemów lub sieci informacyjnych celu lub przeciwnika.
Aktualna doktryna USA, w tym ostatnia wersja „Cyberstrategii” Departamentu Obrony USA posługuje się już pojęciem „cyberspace operations” czyli operacji w cyberprzestrzeni i jest to termin, który będzie używany w niniejszym wpisie, aczkolwiek w sposób zdefiniowany przez Sojusznicza Doktrynę Operacji w Cyberprzestrzeni (AJP-3.20).
Zanim jednak definicje uzgodnione w doktrynie NATO, krótki rys historyczny ewolucji podejścia Sojuszu do kwestii działań w cyberprzestrzeni.
NATO przeszło długą drogę w rozwoju swojej polityki dotyczącej operacji cybernetycznych. Trzy kolejne szczyty w Walii (2014 r.), Warszawie (2016 r.) i Brukseli (2018 r.) stanowią prawdziwe kamienie milowe w tym zakresie. W Walii, państwa członkowskie Sojuszu potwierdziły (na rok przed raportem konsensusu GGE ONZ z 2015 r.) pełne zastosowanie prawa międzynarodowego do cyberprzestrzeni. Obejmuje to również międzynarodowe prawo humanitarne konfliktów zbrojnych (MPHKZ). Uwzględnienie w tej deklaracji MPHKZ jest szczególnie ważne, ponieważ podczas szczytu w Walii NATO zadeklarowało również, iż incydenty w cyberprzestrzeni o określonej wadze mogą zostać uznane za atak zbrojny i wywołać reakcję Sojuszu na podstawie art. 5 (obrona zbiorowa). Tym samym NATO potwierdziło, iż cyberobrona jest częścią podstawowego zadania NATO, jakim jest kolektywna samoobrona. Ocena, kiedy dany incydent w cyberprzestrzeni przekroczy prób ataku zbrojnego podejmowana będzi 'case-by-case’, czyli indywidualnie dla wszystkich konkretnego przypadku. Jedną z możliwości kwalifikacji jest zastosowanie kryteriów wymienionych w pierwszej edycji tzw. „Podręcznika talińskiego”, czyli uznanie za atak zbrojny takiego incydentu w cyberprzestrzeni, którego skutkiem będzie śmierć/zranienie osób, zniszczenie/uszkodzenie mienia bądź średnio- lub długofalowe zakłócenie funkcjonowania infrastruktury krytycznej (lub dowolna kombinacja kilku lub wszystkich powyższych skutków).
Kolejny przełom nastąpił podczas szczytu w Warszawie dwa lata później. Cyberprzestrzeń została uznana za domenę operacyjną, równoważną powietrzu, lądowi i morzu. Państwa członkowskie zostały wezwane do budowania swoich zdolności w zakresie cyberobrony tak skutecznych, jak te w domenach „fizycznych”. Znalazło to odzwierciedlenie w Zobowiązaniu na rzecz Cyberobrony (Cyber Defence Pledge) przyjętym podczas Szczytu Warszawskiego, w którym potwierdza się iż obowiązki wynikające z art. 3 Traktatu Waszyngtońskiego (budowanie zdolności obronnych zarówno indywidualnie, jak i we współpracy z innymi sojusznikami) mają również zastosowanie do zdolności w zakresie cyberobrony. Członkowie Sojuszu zobowiązali się również do priorytetowego wzmocnienia cyberobrony krajowych sieci i infrastruktury,
a także do poprawy ich odporności i umiejętności szybkiego i skutecznego reagowania na cyberataki.
W nawiązaniu do decyzji podjętych w Warszawie Rada Północnoatlantycka przyjęła 10-punktową „Cyber as a Domain Implementation Roadmap”, która odnosi się do wymagań przyjęcia m.in. doktryny i polityki, prowadzenia szkoleń i ćwiczeń, planowania operacji, komunikacji strategicznej (także w ramach cyberodstraszania). Wezwała również do rewizji ROE, tak aby uwzględniały one specyfikę operacji w cyberprzestrzeni („nowe” ROE obejmujące również operacje w cyberprzestrzeni przyjęto we wrześniu
2019 r.).
W listopadzie 2017 r. na posiedzeniu ministrów obrony NATO podjęto decyzję o włączeniu narodowych zdolności cybernetycznych Sojuszu do misji i operacji NATO. Podczas gdy państwa członkowskie zachowują pełną własność tych zdolności, tak jak członkowie Sojuszu są właścicielami czołgów, okrętów i samolotów w misjach NATO, umiejętności działań w cyberprzestrzeni oferowane przez nie w celu wsparcia operacji i misji sojuszniczych mają pozostawać pod ścisłym nadzorem politycznym i w zakresie zgodności z prawem międzynarodowym.
Szczyt w Brukseli w 2018 r. przyniósł znaczący impuls procesowi adaptacji NATO do współczesnych wyzwań w zakresie bezpieczeństwa, w tym cyberbezpieczeństwa. Wzmocnione (rozbudowane) struktury dowodzenia NATO obejmują w tej chwili również Centrum Operacji w Cyberprzestrzeni (Cyberspace Operations Centre – CyOC). Będąc „oczami i uszami” odpowiednich dowódców w cyberprzestrzeni, CyOC ma zwiększać świadomość sytuacyjną w cyberprzestrzeni i pomagać w integracji działań w cyberprzestrzeni z planowaniem operacyjnym i operacjami NATO na wszystkich szczeblach. CyOC nie jest jednak „dowództwem komponentu cybernetycznego”. Podczas gdy CyOC ma działać w istniejących ramach NATO, jego głównym celem jest wyposażenie Naczelnego Dowódcy Sił Sojuszniczych w Europie (SACEUR) we wszystkie niezbędne narzędzia do działania w cyberprzestrzeni. CyOC jest m.i.n odpowiedzialne za koordynację tzw. suwerennych efektów cybernetycznych zapewnianych dobrowolnie przez sojuszników (Sovereign Cyberspace Effects Provided Voluntarily by Allies – SCEPVA). Drugim głównym zadaniem CyOC jest zapewnienie świadomości sytuacyjnej i koordynacji działań operacyjnych NATO w cyberprzestrzeni. Nieco szerzej o SCEPVA będzie w ostatniej części cyklu, traktującej o „ciszy” wokół operacji w cyberprzestrzeni prowadzonych równolegle z konwencjonalnymi działaniami zbrojnymi na Ukrainie.
Wracając do definicji, AJP-3.20 definiuje cyberprzestrzeń jako:
„Globalną domenę obejmującą wszystkie wzajemnie połączone systemy komunikacyjne, informatyczne i inne systemy elektroniczne, sieci i dane w nich przechowywane, w tym sieci odseparowane (enklawy sieciowe), które przetwarzają, przechowują lub przesyłają dane.”
Z kolei operacje w cyberprzestrzeni w ujęciu doktryny sojuszniczej to
„Działania w cyberprzestrzeni lub za jej pośrednictwem, mające na celu zachowanie swobody działania w cyberprzestrzeni sił własnych i sojuszniczych i/lub wywołanie efektów dla osiągnięcia celów założonych przez dowódców.”
Operacje w cyberprzestrzeni dzielą się na:
1) ofensywne (Offensive Cyberspace Operations – OCO), czyli działania w cyberprzestrzeni lub za jej pośrednictwem, zapewniające projekcję siły dla wywołania efektów umożliwiających osiągnięcie określonych celów wojskowych; oraz
2) defensywne (Defensive Cyberspace Operations – DCO) zmierzające do zapewnienia swobody operowania w cyberprzestrzeni siłom własnym i sojuszniczym.
Z perspektywy Sojuszu podstawowym celem prowadzenia operacji w cyberprzestrzeni jest tzw. Mission Assurance (zapewnienie wykonania misji) czyli proces mający na celu ochronę lub zapewnienie nieprzerwanego funkcjonowania i odporności zdolności i zasobów (w tym personelu, wyposażenia, obiektów, sieci, informacji i systemów informacyjnych, infrastruktury i łańcuchów dostaw), krytycznych dla wykonywania kluczowych dla misji NATO funkcji w dowolnym środowisku operacyjnym, w każdych warunkach. Warto w tym miejscu wspomnieć, iż NATO odeszło od koncepcji „Information Assurance”, czyli zapewnienia dowódcom niezakłóconego dostępu do wszelkich niezbędnych informacji bez względu na okoliczności na rzecz „mission assurance”, czyli możliwości wykonania misji choćby w środowisku, w którym normalny dostęp do informacji jest zdegradowany lub wręcz uniemożliwiony.
Operacje w cyberprzestrzeni wykorzystują „cyberzdolności” do tworzenia efektów, które wspierają operacje zarówno w domenach fizycznych, jak i w cyberprzestrzeni. Podczas gdy niektóre operacje w cyberprzestrzeni mogą wspierać operacje informacyjne, inne będą prowadzone w celu wsparcia operacji
w domenach fizycznych w celu osiągnięcia celów misji. Operacje informacyjne dotyczą w szczególności zintegrowanego wykorzystania zdolności związanych z informacjami podczas operacji wojskowych w celu takiego oddziaływania na proces decyzyjny przeciwnika, aby można było na ów proces wpływać, zakłócać go, lub wręcz przejmować nad nim kontrolę, przy jednoczesnej ochronie własnych procesów decyzyjnych. Tak więc cyberprzestrzeń jest medium, dzięki którego można zastosować pewne zdolności i techniki związane z informacjami, takie jak operacje psychologiczne lub podstępy (fortele). Jednak działania informacyjne/operacje informacyjne mogą również wykorzystywać możliwości z domen fizycznych. Operacje w cyberprzestrzeni, w tym SCEPVA, są zintegrowane w ramach operacji połączonych (wielodomenowych), wchodzą w skład tzw. pełnego spektrum efektów w domenach fizycznych, informacyjnej i kognitywnej.
W kolejnej części cyklu próba zidentyfikowania aktorów (podmiotów) prowadzących operacje
w cyberprzestrzeni w ramach działań zbrojnych w wojnie ukraińsko-rosyjskiej oraz rodzajów operacji najczęściej prowadzonych w cyberprzestrzeni podczas tej wojny.