Cyberbezpieczeństwo wymaga współpracy
Od czasu pełnoskalowej inwazji na Ukrainę powiązani z Rosją przestępcy nieustannie prowadzą na Zachodzie operacje w cyberprzestrzeni. 48 proc. ataków rosyjskich grup wymierzonych jest w Ukrainę, a 36 proc. w kraje członkowskie NATO, głównie w Polskę, Wielką Brytanię i USA. Na celowniku są głównie rządowe agendy, organizacje pozarządowe, a także firmy z takich sektorów jak transport oraz energetyka. To kluczowe wnioski z „Microsoft Digital Defense Report 2023”.
Jak przypominają autorzy raportu, członkowie jednej ze zidentyfikowanych przestępczych grup w maju ub.r. podszywali się pod byłego urzędnika wysokiego szczebla, by wysyłać maile do amerykańskiego personelu dyplomatycznego, który wcześniej służył na Ukrainie. Celem było uzyskanie informacji wywiadowczych. Podobne modus operandi miała inna grupa. Związani z nią przestępcy wysyłali wiadomości do pracowników organizacji międzynarodowych, m.in. NATO. Podobne ataki idą w dziesiątki tysięcy.
Celem operacji prowadzonych w Polsce przez powiązane z Rosją grupy jest między innymi wzbudzanie nieufności wobec Ukraińców. Chodzi o to, by osłabić w społeczeństwach wsparcie dla Kijowa. Co ciekawe, na terenie Polski stosowanych jest wiele technik wykorzystujących zarówno działania w sieci, jak i w świecie realnym. Jedną z kampanii, które w ten sposób przeprowadzono, było rozpowszechnianie narracji o tym, że urzędnicy państwowi mogą dążyć do przymusowej repatriacji Ukraińców. Informacje rozsyłano za pomocą poczty elektronicznej, ale również rozklejając ulotki na ulicach polskich miast. Umieszczane na nich kody QR odsyłały do oszukańczych stron. W tym samym czasie przekaz wzmacniała sieć sfabrykowanych kont w mediach społecznościowych.
W odpowiedzi na rosnące zagrożenia, w Unii Europejskiej od kilku lat trwa zacieśnianie współpracy w dziedzinie cyberbezpieczeństwa. W maju 2020 r., tuż po wybuchu pandemii COVID-19, została przyjęta Strategia Cyberbezpieczeństwa, która miała zapewnić budowę otwartej, ale i dobrze zabezpieczonej przestrzeni internetowej. Dokument wyznaczał trzy główne obszary zainteresowania instytucji unijnych: budowę odporności i suwerenności technologicznej, rozwijanie zdolności operacyjnej do zapobiegania, odstraszania i reagowania na wrogich aktorów oraz współpracę na rzecz rozwoju globalnej i otwartej cyberprzestrzeni. Horyzont jej realizacji wyznaczono do roku 2027. Za strategią miały pójść inwestycje.
Przyjęcie strategii było jednak dopiero pierwszym krokiem na drodze do budowy europejskiej współpracy w dziedzinie cyberbezpieczeństwa. Zgodnie z jej duchem urzędnicy przygotowali również akt o cyberodporności, czyli regulację, która miała poprawić bezpieczeństwo w związku z rozwojem internetu rzeczy (IoT). Akt staje się podstawą do ujednolicenia przepisów regulujących wprowadzanie na rynek produktów lub oprogramowania z komponentem cyfrowym oraz określa ramy wymogów w zakresie cyberbezpieczeństwa regulujących planowanie, projektowanie, rozwój i konserwację takich produktów. Kolejnym krokiem była aktualizacja dyrektywy NIS, czyli pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa. Do jej wdrożenia właśnie szykuje się Polska.
W ubiegłym roku Komisja Europejska przedstawiła natomiast propozycję aktu o cybersolidarności UE, który już wprost odpowiadał na wyzwania związane z rosyjską agresją. „Agresja militarna Rosji przeciwko Ukrainie została poprzedzona i towarzyszy jej strategia wrogich operacji cybernetycznych, co zmienia postrzeganie i ocenę zbiorowej gotowości UE do zarządzania kryzysowego w zakresie cyberbezpieczeństwa i jest wezwaniem do podjęcia pilnych działań” – napisano w uzasadnieniu propozycji.
Według Komisji, pomimo potencjalnego transgranicznego zagrożenia związanego z incydentami w sieci, obecnie wymiana istotnych informacji jest ograniczona. Akt ma więc poprawić wymianę doświadczeń między krajami członkowskimi. Na mocy nowej regulacji zostanie stworzona sieć krajowych centrów operacji bezpieczeństwa (SOC).
Utworzenie krajowych SOC będzie zadaniem państw członkowskich. Mają się zajmować pozyskiwaniem informacji na temat zagrożeń lub incydentów bezpieczeństwa sieci. Później mają je przekazywać na poziom transgranicznego SOC.
Akt zakłada także utworzenie „rezerwy cybernetycznej”, z której można będzie sfinansować sieć certyfikowanych osób reagujących na incydenty w sektorze prywatnym. Tarcza ma więc uzupełnić istniejącą sieć zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).
W akcie zaproponowano również nowy mechanizm przeglądu, w ramach którego Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) formalnie analizowałaby incydenty cyberbezpieczeństwa. Wniosek o taką interwencję mogłyby składać KE lub kraje członkowskie. Po analizie ENISA dzieliłaby się płynącymi z niej wnioskami. Aktem zajmą się teraz europarlamentarzyści.
Jednak europejskie regulacje to niejedyne partnerstwo na rzecz cyberbezpieczeństwa, do którego przystępuje Polska. Nasz kraj jest również w gronie sygnatariuszy deklaracji Pall Mall Process. To przyjęte 7 lutego w Londynie porozumienie przedstawicieli rządów i instytucji rządowych, firm oraz reprezentantów świata nauki oraz organizacji pozarządowych – łącznie ok. 50 różnych podmiotów. Sygnatariusze deklaracji zobowiązali się do wspólnej walki z zagrożeniami wynikającymi z wykorzystania komercyjnych narzędzi do cyberataków.
Deklaracja jest odpowiedzią na rosnącą popularność „hakerów do wynajęcia” oraz upowszechnianie się oprogramowania szpiegującego, które pozwala między innymi na kradzież danych, a co za tym idzie, stwarza wiele zagrożeń dla bezpieczeństwa narodowego, praw człowieka i podstawowych wolności.
„Zdajemy sobie sprawę, że na całym tym rynku wiele z tych narzędzi i usług może być wykorzystywanych do legalnych celów, ale nie powinny one być rozwijane ani wykorzystywane w sposób zagrażający stabilności cyberprzestrzeni lub prawom człowieka i podstawowym wolnościom, ani w sposób niezgodny z obowiązującym prawem międzynarodowym, w tym międzynarodowym prawem humanitarnym i międzynarodowym prawem dotyczącym praw człowieka. Nie powinny być również wykorzystywane bez odpowiednich zabezpieczeń i nadzoru” – czytamy w deklaracji.
W deklaracji Pall Mall Process wytyczono cztery filary mające stanowić fundament dla współpracy sygnatariuszy w dziedzinie cyberbezpieczeństwa. Kluczowe zasady obejmują odpowiedzialność za rozwój technologii w cyberprzestrzeni, który powinien odbywać się z poszanowaniem praw człowieka i zgodnie z obowiązującym prawem. Dokument kładzie również nacisk na dokładność, aby rozwój i wykorzystanie narzędzi cybernetycznych nie prowadziły do niezamierzonych, nielegalnych skutków. Podkreślono w nim również potrzebę międzynarodowego nadzoru, który ma na celu weryfikację działań państw i innych podmiotów pod kątem ich zgodności z prawem oraz odpowiedzialności, a także dążenie do wprowadzenia transparentnych rozwiązań w biznesowych interakcjach związanych z cybernarzędziami.
Kolejne spotkanie sygnatariuszy deklaracji zaplanowano na 2025 r.