Szef BBN dla "Polski": Nie jesteśmy gotowi na cyberwojnę - Wydarzenia - Biuro Bezpieczeństwa Narodowego

Szef BBN podkreślił, że przygotowanie Polski na potencjalny atak jest stale analizowane, a mechanizmy obronne są doskonalone. - Biuro Bezpieczeństwa Narodowego w będącym już na ukończeniu Strategicznym Przeglądzie Bezpieczeństwa Narodowego uwzględnia również zagrożenia dla cyberbezpieczeństwa - poinformował.

- Także z inicjatywy BBN nastąpiła nowelizacja ustaw o stanach nadzwyczajnych, która wprowadziła do obiegu prawnego kategorię cyberprzestrzeni. W jej rezultacie powinna następować stopniowa aktualizacja pod tym kątem właściwych planów operacyjnych - dodał.

Jednak szef BBN zaznaczył, że mimo wszystkich działań, Polska wciąż nie jest gotowa na cyberwojnę. - Nie jesteśmy jeszcze przygotowani na odparcie cyberagresji na dużą skalę, gdyby taka nastąpiła. W razie cyberwojny ponieślibyśmy duże straty. Nawet mniejsze operacje cyberwojenne lub akty cyberdywersji byłyby bardzo niebezpieczne - przyznał.

Zaznaczył jednak, że "dziś nikt na świecie nie ma pewnej, gwarantowanej obrony przez agresją w cyberprzestrzeni". Ale jego zdaniem nie jest to zaskoczenie. - Atak dzięki możliwości zaskoczenia jest zawsze łatwiejszy, obrona jest o wiele trudniejszą dziedziną sztuki wojennej - wyjaśnił.

Zdaniem S. Kozieja wszystkie struktury państwa, zarówno publiczne, jak i niepubliczne, powinny być zaangażowane w system zabezpieczeń. - Cyberbezpieczeństwo, podobnie jak nowoczesne bezpieczeństwo w ogóle, musi być działaniem kompleksowym, zintegrowanym - zaznaczył.
 

S. Koziej: Nie jesteśmy gotowi na cyberwojnę, wywiad przeprowadził A. Koziński, "Forum" Tygodnik idei dziennika "Polska", nr 70 (1119), 31 sierpnia - 2 września 2012 r., s. 5,  http://www.polskatimes.pl/artykul/648683,gen-koziej-nie-jestesmy-przygotowani-
na-cyberwojne-nawet,id,t.html (dostęp: 1 września 2012 r.).

1 września 1939 r. Polska okazała się nieprzygotowana do wojny. Dziś ważną areną konfliktu są sieci informatyczne. Jak byśmy sobie poradzili, gdyby 1 września 2012 r. wybuchła cyberwojna?

- Pytanie jest o tyle zasadne, że jedną z naj­istotniejszych cech cyberwojny jest to, że może ona wybuchnąć nagle, bez widocz­nych zewnętrznie przygotowań. W związ­ku z tym nawet pytanie o jutro ma strate­giczny sens. Ale odpowiedź nie jest łatwa - wymaga nieco szerzej refleksji.

Zamieniam się w słuch.

- Charakter konfliktów uległ ogromnej zmianie od czasów II wojny światowej. Przestrzeń wirtualna i zasoby informa­tyczne stanowią obecnie jeden z istotniej­szych elementów naszego życia, a rozwój technologii związanych z eksploatacją sieci coraz częściej wykorzystywany jest do wrogich działań poprzez atakowanie infrastruktury krytycznej państw lub dokonywanie cyberataków mających na celu wykrycie i zniszczenie danych. Przykładem jest chociażby atak z wyko­rzystaniem zaawansowanej broni cyber­netycznej na elektrownie atomowe w Ira­nie. Przyszłe konflikty prawdopodobnie będą się toczyć również w cyberprzestrzeni jako naturalnym obszarze walki zbrojnej. Już obecnie niektóre z państw deklarują, że cyberataki traktowane będą na równi z naruszeniem suwerenności kraju i obywateli.

Trochę ucieka Pan od pytania. Pyta­łem, jak Polska jest przygotowana na odparcie takich cyberataków.

- Zdajemy sobie sprawę z wagi i złożoności zagrożeń występujących w cyberprzestrzeni, dlatego też sukcesywnie budowany jest zintegrowany system bezpieczeństwa uwzględniający bezpieczeństwo zasobów informatycznych. Biorąc pod uwagę przy­padki podejmowania wrogich działań także przez podmioty państwowe, należy w najbliższej przyszłości uwzględnić konieczność rozpoczęcia budowy także ofensywnych zdolności cybernetycznych jako wsparcia działań konwencjonalnych. Przygotowanie Polski na potencjalny cyberatak jest stale analizowane, a mechanizmy ochronne są doskonalone.

Jak mogłyby wyglądać takie ofensyw­ne zdolności cybernetyczne? Mieliby­śmy mieć przygotowane np. wirusy komputerowe, za pomocą których infe­kowalibyśmy sieci informatyczne inne­go państwa?

- Powiedzmy na początku, że budowa zdolności ofensywnych to bardzo wrażli­wy temat i żaden kraj nie jest skłonny o nim konkretnie opowiadać. To problem o wiele trudniejszy niż rozmowa o włas­nym, konwencjonalnym potencjale ude­rzeniowym. Bo tak naprawdę środki ofensywne stosowane w cyberprzestrzeni są co do swej istoty inne niż klasyczne środki uderzeniowe. Proszę zauważyć, że sama rozmowa o nich już jest jakąś ofensywą w infosferze. A dzia­łania w cyberprzestrzeni są integralną, nieodłączną częścią działań w szerszym środowisku, jakim jest infosfera, wręcz przeplatają się z innymi operacjami informacyjnymi. Dlatego gdy mówimy o ofensywie czy kontrofensywie w razie cyberwojny, musimy mieć na uwadze zintegrowane operacje destrukcyjne w stosunku do przeciwnika prowadzone za pomocą środków zarówno o charakte­rze cybertechnicznym, jak i czysto infor­macyjnym, np. dezinformowanie przy wykorzystaniu mediów, ale także środków oddziaływania kinetycznego, np. przy pomocy sił specjalnych.

Wiadomo, że najlepszą obroną jest atak. Ale czy jesteśmy w stanie odeprzeć uderzenia cybernetyczne innych krajów?

- Biuro Bezpieczeństwa Narodowego w będącym już na ukończeniu Strategicz­nym Przeglądzie Bezpieczeństwa Narodo­wego uwzględnia również zagrożenia dla cyberbezpieczeństwa. Także z inicjatywy BBN nastąpiła nowelizacja ustaw o sta­nach nadzwyczajnych, która wprowadziła do obiegu prawnego kategorię cyberprzestrzeni. W jej rezultacie powin­na następować stopniowa aktualizacja pod tym kątem właściwych planów ope­racyjnych. Mimo tych wszystkich działań nie ulega wątpliwości, że nie jesteśmy jeszcze przygotowani na odparcie cyberagresji na dużą skalę, gdyby taka nastąpiła. W razie cyberwojny ponieśliby­śmy duże straty. Nawet mniejsze operacje cyberwojenne lub akty cyberdywersji byłyby bardzo niebezpieczne. Ale też trzeba pamiętać, że dziś nikt na świecie nie ma pewnej, gwarantowanej obrony przed agresją w cyberprzestrzeni. Trzeba raczej mówić o minimalizacji strat. Ale to nie jest coś zaskakującego. To jest ogólna zasada sztuki wojennej. Atak dzięki moż­liwości zaskoczenia jest zawsze łatwiejszy, obrona jest o wiele trudniejszą dziedziną sztuki wojennej. Od czasów najdawniej­szych nie się tutaj nie zmieniło: zawsze prościej i łatwiej było rzucić kamieniem, niż się przed nim osłonić.

Dziennik „Kommiersant" donosi, że rosyjski wywiad testuje sposoby mani­pulowania rzeczywistością za pomocą portali społecznościowych. Niewyklu­czone, że te testy obejmą też Polskę. Jak sobie radzić z takimi - potencjal­nymi na szczęście - zagrożeniami?
- Tego rodzaju działania stanowią jeden z elementów coraz bardziej intensywnej i niemal codziennej walki informacyjnej. Już starochiński filozof i teoretyk wojen Sun-Tzu podkreślał ogromną rolę mani­pulacji. Dzisiaj te klasyczne reguły zyskują większe możliwości wcielenia ich w życie dzięki rewolucji informacyjnej. W zmaga­niach w infosferze czysto defensywne środki są wyjątkowo mało efektywne. Bierna obrona przed manipulacją, podstę­pem, fortelem, dezinfbrmacja na niewiele się zda. Ochrona cyberprzestrzeni musi więc obejmować nie tylko obronę przed istniejącymi lub potencjalnymi zagrożeniami, ale także zdolności ofen­sywne: potrzebne czy to w taktycznym kontrataku lub większej kontrofensywie, czy też w strategicznych działaniach uprzedzających, prewencyjnych. Dodajmy do tego, że mówimy nie tylko o zmaga­niach między wyspecjalizowanymi siłami i środkami dwóch przeciwstawnych stron. Rewolucja informacyjna włącza w nie całe społeczeństwa. Z tego względu wobec wykorzystywania internetu i portali społecznościowych do cyberszpiegostwa, przestępstw ekonomicznych, kradzieży tożsamości czy właśnie manipulacji opi­nią publiczną szczególnego znaczenia nabiera jak najszersza edukacja o bezpie­czeństwie informacyjnym.

Jak wygląda system zabezpieczeń na wypadek cyberataków na Polskę? Kto odpowiada za cyberbezpieczeństwo kraju: wojsko czy policja?

- I wojsko, i policja, i wszystkie służby. Ale nie tylko. Tak naprawdę wszystkie struk­tury państwa - publiczne i niepubliczne - muszą być w to zaangażowane. Muszą działać w swoim interesie i działać w imię bezpieczeństwa państwa. Cyberbezpieczeństwo, podobnie jak nowoczesne bezpieczeństwo w ogóle, musi być działaniem kompleksowym, zintegrowanym. W świecie wirtualnym widzimy lustrzane odbicie tych wszyst­kich wyzwań, potrzeb i problemów bez­pieczeństwa, które występują w realu. A dzisiaj podstawowym wyzwaniem wobec bezpieczeństwa jest konieczność zintegrowanego doń podejścia. Mówię o konieczności, bo niestety w praktyce dopiero takie podejście zaczynamy kształtować. Jesteśmy na początku drogi. Wierzę, że Strategiczny Przegląd Bezpie­czeństwa Narodowego, który na polece­nie prezydenta prowadzimy, będzie momentem przełomowym. Także w podejściu do cyberbezpieczeństwa. Bo dziś mamy na tym polu działania raczej rozproszone, resortowe, agencyjne, instytucjonalne.

Jak ten system działa w praktyce? Kto tak naprawdę odpowiada za cyberbezpieczeństwo w Polsce?

- Oczywiście za całość odpowiada władza wykonawcza. To przede wszystkim kompetencje rządu. Realizowane są głównie przez ministra spraw wewnętrznych, ministra obrony narodowej, szefa Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu oraz dyrektora Rządowego Centrum Bezpieczeństwa. Należy też pamiętać, że Polska posiada ogólnokrajo­we systemy przeciwdziałania atakom, które stanowią sektorowe punkty kon­taktowe systemu. Z punktu widzenia wzmacniania zdolności sojuszniczych i procesu dostosowywania instytucjonal­nego w zakresie cyberobrony ważnym jest przystąpienie w ubiegłym roku Polski do Centrum Obrony Cybernetycznej NATO w Tallinie. Ale powtórzę raz jesz­cze kwestię, moim zdaniem, najważniej­szą - potrzebna jest integracja zarządza­nia bezpieczeństwem w cyberprzestrzeni, stopniowe scalanie różnych działań różnych instytucji wokół jednego strategicznego planu i programu.

Bardzo groźne byłoby uderzenie na sieci informatyczne polskich insty­tucji finansowych - zablokowanie wir­tualnego obiegu pieniędzy między bankami mogłoby kompletnie sparaliżować Polskę. Jak jesteśmy przed tym zabezpieczeni?

- Należy pamiętać, że większość instytucji finansowych to przedsiębiorstwa prywat­ne, tak więc trudno jest określić stopień przygotowania poszczególnych podmio­tów na tego typu zdarzenia. Niepokojąca jest także ogólna niechęć niektórych pod­miotów do ujawniania informacji o naru­szeniach bezpieczeństwa w ich sieci. O skali ujawnionych ataków możemy dowiedzieć się z raportów CERT Polska opracowanych na podstawie zgłoszonych naruszeń przestrzeni wirtualnej, nato­miast ochrona zasobów własnych i pono­szenie nakładów na doskonalenie syste­mów ochronnych leży w kompetencjach samych podmiotów gospodarczych. W przypadku małych i średnich przedsię­biorstw wygospodarowanie środków na zabezpieczenie sieci, w połączeniu ze zbyt niską świadomością o potencjalnych zagrożeniach stanowią newralgiczny ele­ment całości infrastruktury, który może zostać wykorzystany przy planowaniu cyberataków na wielką skalę. Jednak sek­tor bankowy wydaje się jednym z najlepiej przygotowanych w tym zakresie.

Jak Pan przed chwilą zauważył, duża część newralgicznych instytucji w kraju, na przykład banki, znajduje się w rękach prywatnych. W jak! sposób państwo dba o ich bezpieczeństwo w internecie? Czy to w ogóle rola państwa?

- Z atakami na zasoby informatyczne ban­ków mamy do czynienia od wielu lat. Sto­pień informatyzacji tego sektora jest bar­dzo wysoki, dlatego też jest to obszar wyjątkowo atrakcyjny dla cyberprzestępców. Chociażby na począt­ku tego roku mieliśmy do czynienia z dużym atakiem hakerskim w Izraelu, gdzie skradziono i upubliczniono tysiące danych z kart kredytowych. Wzrasta też liczba skutecznych ataków na duże przedsiębiorstwa handlowe i korporacje. Niektóre z państw zapowiadają, że cyberataki także na zasoby gospodarcze będą traktowane jako naruszenie suwe­renności kraju i obywateli. Jednak jak dotychczas rola państwa - będącego gwa­rantem bezpieczeństwa ekonomicznego - polega w głównej mierze na zapewnie­niu właściwych podstaw prawnych mechanizmów efektywnego ścigania sprawców przestępstw w cyberprzestrzeni, a także dążeniu do rozszerzania współpracy w sferze ochrony przed atakami na sektor prywat­ny. Biorąc pod uwagę elementy infrastruk­tury krytycznej będące własnością pry­watnych kontrahentów, a mających często strategiczne znaczenie dla bezpieczeń­stwa kraju, współpraca na tej płaszczyźnie stanowi kluczowy element skuteczności zintegrowanego systemu bezpieczeństwa. To wszystko też pokazuje konieczność integracji spraw cyberbezpieczeństwa.

Jest to możliwe?

- Wierzę, że tak. Dlatego chciałbym zakoń­czyć apelem o zrozumienie dla idei wdra­żania zintegrowanego podejścia do spraw bezpieczeństwa narodowego w ogóle, a w tym stosownie także do spraw cyberbezpieczeństwa. Myślę, że właściwą do wdrażania tej idei instytucją na szczeb­lu rządowym, wokół której mogłoby następować ponadresortowe spinanie i koordynowanie spraw cyberbezpieczeństwa, mogłoby być podległe bezpo­średnio premierowi Rządowe Centrum Bezpieczeństwa o poszerzonych w sto­sunku do dzisiejszych kompetencjach.