Gdy chińscy hakerzy w 2014 roku włamali się do amerykańskiego Biura ds. Zarządzania Personelem (U.S. Office of Personnel Management) i pozyskali wrażliwe dane osobowe Amerykanów posiadających rządowe poświadczenia bezpieczeństwa, eksperci byli zgodni, że incydent ten był bardzo szkodliwy, ale wciąż znajdował się w pewnych granicach. „To nie jest wstyd dla Chin. To wstyd dla nas, że nie ochroniliśmy takich informacji” – tłumaczył wówczas Michael Hayden, były szef National Security Agency (NSA).

Byłoby wielkim błędem zareagowanie w taki sam sposób na niedawny i bardziej spektakularny atak ze strony domniemanych rosyjskich hakerów przy użyciu oprogramowania SolarWinds. Atak ten reprezentuje już wyższy poziom cyberszpiegostwa i pokazuje nowy wymiar wrażliwości demokratycznych państw oraz ambicji państw autorytarnych.

Cyberszpiegostwo wchodzi na wyższy poziom

Według doniesień medialnych rosyjscy hakerzy powiązani z Kremlem mieli wstawić szkodliwe kody do oprogramowania tworzonego przez amerykańską firmę SolarWinds. Zainfekowane aktualizacje zostały następnie ściągnięte przez prywatne firmy i amerykańskie agencje rządowe, korzystające z tego oprogramowania. Dało to rosyjskim służbom wywiadowczym ukryty dostęp do amerykańskich sieci.

Takie ataki na „łańcuchy dostaw” nie są czymś bezprecedensowym. W 2018 roku istniały już raporty (którym zaprzeczały wszystkie strony) mówiące o tym, że chińscy hakerzy stosowali ataki na łańcuchy dostaw sprzętu, co osłabiało wiele sieci. Ale właśnie takie podejście sprawia, że rosyjski gambit jest tak niepokojący. Moskwa bowiem nie zaatakowała pojedynczego, lukratywnego celu, tak jak zrobił to Pekin w 2014 roku, uzyskując dostęp do informacji z Biura ds. Zarządzania Personelem. Zamiast tego rosyjscy agenci zabrali się za cały łańcuch dostaw oprogramowania i poprzez to uzyskali potencjalny dostęp do wielu jednostek, które polegają na tym łańcuchu.

Reklama

Naruszenie to miało ponoć dotknąć setek rządowych i prywatnych sieci, w tym National Nuclear Security Administration (która zarządza zasobami amerykańskiej broni atomowej) oraz wielu kluczowych agencji federalnych. Jak ujął to były doradca ds. bezpieczeństwa wewnętrznego Tom Bossert na łamach „New York Timesa”: „Zajmie nam całe lata, zanim dowiemy się, które sieci Rosjanie kontrolują, a które tylko zajmują”.

Wiąże się to z drugą wartą odnotowania cechą tego ataku. Celem cyberszpiegostwa jest często nie tylko pozyskanie informacji, ale także zasiewanie podatności na ataki. Gdy Pekin uzyskał dostęp do milionów zapisów o osobistych poświadczeniach bezpieczeństwa, mógł również uzyskać dostęp do potężnych narzędzi szantażu. Sprawa z atakami przy pomocy SolarWinds stwarza znacznie głębsze i szersze ryzyka dalszych wrogich działań wobec społeczeństwa obywatelskiego i rządu niż miało to miejsce kiedykolwiek wcześniej w historii USA.

Podczas gdy same intencje Rosji przy okazji penetracji tych sieci pozostają niejasne, to rząd Władimira Putina ma teraz możliwości zakłócenia działań sieci i agencji bardzo wielu jednostek, od Departamentu Bezpieczeństwa Wewnętrznego po Departament Energii. Moskwa może bowiem kasować wrażliwe dane w sieciach sektora prywatnego czy państwowego lub wykorzystać je do tworzenia dezinformacji w taki sposób, że będą miały pozór pochodzenia z wiarygodnych źródeł.

Potencjał wrogich działań zapiera dech w piersiach. Jak ujął to Tom Bossert, prezydent elekt Joe Biden musi założyć, że wszystko co czyta o tym ataku, jest też czytane przez rosyjskie służby oraz że jakakolwiek komunikacja może być zafałszowana. Nawet jeśli Władimir Putin nie wykorzysta we wrogi sposób dostępów, które uzyskał, to prawdopodobnie zaufanie do amerykańskiej cyfrowej infrastruktury krytycznej mocno ucierpi.

Sama ocena tych szkód, nie mówiąc już o ich naprawie, będzie monumentalnym przedsięwzięciem. Pojawia się jednak przy tej okazji trzy duże implikacje strategiczne.

Trzy strategiczne implikacje

Po pierwsze, nie można zasypiać na odcinku rosyjskim, nawet jeśli chińskie zagrożenie będzie pochłaniało większość amerykańskiej uwagi geopolitycznej. Rosja Putina może słabnąć, może być coraz słabsza gospodarczo, ale wysoka tolerancja Putina na ryzyko, połączona z talentem Moskwy do identyfikacji i wykorzystywania słabości Zachodu oznacza, że Waszyngton nie docenia rosyjskiego zagrożenia na swoje własne ryzyko.

Po drugie, efektywna cyberstrategia musi łączyć środki unilateralne z multilateralnymi. Wydaje się prawdopodobne, że wiele innych krajów również padło ofiarą ataków przy okazji sprawy SolarWinds. USA muszą zatem bliżej współpracować z innymi zaawansowanymi demokracjami aby wzmocnić wspólne sieci ostrzegania, koordynować ocenę szkód oraz nałożyć dotkliwe koszty i kary na głównych sprawców. Jak argumentuje szef Microsoftu Brad Smith: „W świecie, gdzie kraje autorytarne prowadzą ataki przeciw krajom demokratycznym, ważniejsza niż zwykle dla demokratycznych rządów jest wzajemna współpraca”.

Po trzecie, odpowiedzi na ataki nie mogą mieć tylko defensywnego charakteru. Sprawa SolarWinds ukazuje podstawową asymetrię w obszarze ofensywy i defensywy. Otóż mądry i sprytny atak będzie wymagał odpowiedzi o znacznie wyższym koszcie niż zwykły atak. Co więcej, stosunkowo otwarta natura demokratycznego Internetu oraz fakt, że odpowiedzialność za cyberbezpieczeństwo jest rozdysponowana na wielu aktorów publicznych i prywatnych, stwarza określone pola podatności, które zawsze będą kuszące dla reżimów autorytarnych.

Dowództwo amerykańskich wojsk cybernetycznych stosuje koncepcję strategiczną „defend forward”. W ramach tej koncepcji podkreśla się utrzymywanie równowagi wobec przeciwnika poprzez penetrację jego sieci oraz okazjonalne zakłócanie działania tych sieci. Incydent z SolarWinds sprawił, że potencjalne korzyści ze stosowania takiej koncepcji dodatkowo wzrosły. Otóż w odpowiedzi na ten atak, USA muszą znaleźć subtelny sposób na pokazanie, że Ameryka może przeprowadzić taki sam lub nawet większy atak na sieci rosyjskie – na przykład te, których używają rosyjskie służby bezpieczeństwa lub organy propagandy bądź te używane przez jednostki finansowe powiązane z Kremlem, które zarządzają przepływem brudnych pieniędzy zasilających reżim.

Działanie takie nie jest bezkosztowe, gdyż wymaga ujawnienia, gdzie znajdują się amerykańskie jednostki cyberofensywy. Niekiedy jednak konieczne jest ujawnienie części kart, aby osiągnąć pożądany efekt psychologiczny.

USA, najlepiej wraz ze swoimi sojusznikami, mogą także nałożyć punktowe sankcje dyplomatyczne i finansowe. Ich celem byłoby nie tyle wywołanie określonych szkód, ile pokazanie, że Ameryka zachowuje prawo do reagowania na poważne ataki w cyberprzestrzeni i wykorzysta takie narzędzia, jakie uzna za stosowne. Taka odpowiedź wywołałaby w krótkim terminie wzrost napięcia. Z czasem jednak przyczyniłaby się do promowania wzajemnej powściągliwości w obszarze cyberataków, które mają potencjał poważnego zakłócenia funkcjonowania nowoczesnych społeczeństw.

Takie układy można zawrzeć. W czasie zimnej wojny Moskwa i Waszyngton zawarły milczące porozumienie, że nie będą zestrzeliwały swoich satelitów szpiegowskich, odkąd stało się jasne, że każda ze stron może zareagować na to w poważny sposób i nieograniczona konkurencja nie przyniesie korzyści żadnej ze stron. Dziś, tak jak w przeszłości, osiągnięcie deeskalacji wymaga jasnego pokazania, że eskalacja się nie opłaci.