Zagrożenia w cyberprzestrzeni to jedne z największych współcześnie i przyszłych wyzwań dla państw. Chociaż działania w tej sferze wymagają utworzenia wojsk ds. cyberprzestrzeni, to ani w Polsce, ani we Francji nie doszło wyodrębnienia tego rodzaju sił zbrojnych. Pomimo, iż są to operacje daleko wychodzącego poza działania na lądzie, wodzie czy w powietrzu. Jednocześnie stałe zagrożenia w cyberprzestrzeni narażają państwa, ich obywateli, administrację publiczną oraz sektor prywatny na ryzyko szkód ogromnych rozmiarów.
Operacje informacyjne w mediach cyfrowych i sieciach społecznościowych wpływają na instytucje demokratyczne, przyczyniając się bardzo często do ich destabilizacji. Widząc rosnące znaczenie tego teatru działań, około 30 państw posiada lub buduje swoje zdolności do operowania w cyberprzestrzeni. Upublicznienie przez Francję elementów doktryny ofensywnych operacji cybernetycznych pomaga w informowaniu opinii publicznej, zarówno krajowej jak i międzynarodowej, o stanie i kierunku rozwoju cyberbezpieczeństwa. We francuskiej doktrynie cyberprzestrzeń jest definiowana przez trzy warstwy:
- fizyczną (docelowe urządzenia sieciowe lub sprzęt; routery, łącza satelitarne);
- logiczną (protokoły, oprogramowanie, aplikacje)
- społeczną (informacje wymieniane między punktami końcowymi lub użytkownikami, a więc obejmuje adresy, e-maile, blogi).
W Strategicznym przeglądzie cyberobrony z 2018 roku (fr. Revue stratégique de cyberdéfense) zostały spójnie przedstawione elementy francuskiej strategii bezpieczeństwa cybernetycznego. W tym dokumencie rozdzielono pojęcia cyberobrony na cyberdefence i cyberoffence, co jest pewnym novum wobec systemu anglosaskiego. Francja podkreśla, że taki podział respektuje wolności i swobody obywatelskie. Wymienione zostało sześć ogólnych celów cyberobrony, tj. zapobieganie, przewidywanie, ochrona, wykrywanie, atrybucja, reakcja (remediacja). Strategia obejmuje zagadnienia z wielu poziomów tj. cywilnego, wojskowego, krajowego, zewnętrznego oraz międzynarodowym.
Analizując dokument, należy skupić się na jego najważniejszych punktach. Wskazując na konkretne problemy i wydarzenia (MacronLeaks, negocjacje w sprawie GGE), Francja wykazuje chęć aktywnego udziału w międzynarodowych regulacjach dotyczących cyberprzestrzeni i cyberwojny. Stanowczo negatywnie określone jest stanowisko wobec hack-backu[1] dla prywatnych firm, gdyż groziłoby to znaczną destabilizacją w sferze cyfrowej. Paryż chce rozważyć tę kwestię na poziomie regulacji międzynarodowych. W strategii wskazano również, że poważny atak cybernetyczny może, zgodnie z art. 51 Karty Narodów Zjednoczonych, być interpretowany jako napaść zbrojna.
Kolejnym istotnym dokumentem składającym się na francuską doktrynę jest opracowane w 2019 roku ,,Zastosowanie zasad prawa międzynarodowego do działań w cyberprzestrzeni” (fr. Droit international appliqué aux opérations dans le cyberspace[2]). Chociaż większość państw zgadza się, że prawo międzynarodowe ma zastosowanie do cyberprzestrzeni, w tym do operacji cybernetycznych, czyli cyberataków, pojawia się często pytanie o to, co to tak naprawdę oznacza. Jeśli przyjrzeć się francuskim planom cybernetycznym, można zauważyć, iż zdefiniowany jest kontekst, kiedy cyberataki mogą być interpretowane jako poważne zagrożenie, uzasadniające reakcję państwa lub to, jak sytuacja wygląda w istniejącym konflikcie. Rozdzielona została zatem implementacja wytycznych w okresie pokoju i trwającego konfliktu.
Francja twierdzi, że nieautoryzowane operacje państwowe naruszają suwerenność kraju, a większość ofensyw ma miejsce w czasach pokoju. Co za tym idzie, Francja zastrzega sobie prawo do reagowania na takie działania, jak również do przypisywania ich odpowiedzialnym za nie podmiotom, a w tym przypadku: odpowiedzialnym państwom. Takie przypisanie jest zawsze decyzją polityczną. Ataki cybernetyczne wymagają reakcji dyplomatycznej, a najlepszą odpowiedzią są środki zaradcze. Francuska doktryna wskazuje, że choć operacje cybernetyczne same w sobie mogą nie być nielegalne, to ich skutki mogą stanowić naruszenie prawa międzynarodowego. To stanowi clue zrozumienia zapisów – ważne są skutki. Jeśli konsekwencje są niewielkie lub w inny sposób pomniejszone, zwykle nie uzasadnia to zdecydowanej reakcji. Kryteria uznania cyberataku za użycie siły obejmują okoliczności ataku, jego charakter, źródło operacji, poziom ingerencji, zamierzone skutki, a także charakter atakującego – np. czy była to jednostka wojskowa. Warto zauważyć skumulowanie efektów działań ofensywnych, co oznacza, że łączne konsekwencje wielu operacji mogą również osiągnąć próg istotności. Skutki i działania muszą być starannie przemyślane. Zawsze należy dokonywać oceny ryzyka operacyjnego. Konieczne jest zatem zrozumienie, że przewidzenie z wyprzedzeniem niektórych efektów operacji cybernetycznych może być trudne, należy jednak dołożyć najwyższych starań, by je ograniczyć. W doktrynie słusznie podkreślono, że dokonywanie oceny ryzyka jest często wyzwaniem. Wymienia się m.in. dwoistą naturę Internetu (jako obszar działań zarówno systemów wojskowych, jak i cywilnych) i związaną z tym ogromną liczbę połączeń między sieciami. Ponadto istnieje ryzyko, że narzędzia wojskowe (cybernetyczne) mogą zostać skradzione i ponownie wykorzystane do innych lub wrogich działań.
Francja zajmuje oddzielne stanowisko wobec cyberataków towarzyszących konwencjonalnym konfliktom. W domenie cybernetycznej nie ma linii frontu, a w ujęciu francuskim konflikt czysto cybernetyczny jest hipotezą. Jednak w niektórych przypadkach, operacje takie mogą także nosić znamiona zbrodni wojennych[3]. W ogólnym rozumieniu, zastosowanie mają, jak w przypadku konfliktów zbrojnych, wszystkie zasady międzynarodowego prawa humanitarnego.
Kwestie odpowiedzialności za bezpieczeństwo powinny również znajdować się na agendzie rozważań na szczeblu międzynarodowym. Szczególne znaczenie będzie tu miał głos Unii Europejskiej. Francja wskazała, że należy uczynić przedsiębiorstwa odpowiedzialnymi za bezpieczeństwo produktów, które wprowadzają na rynek tak długo, jak długo produkty te są dostępne dla konsumentów.
Oprócz powyższych Paryż podkreślił potrzebę poszukiwania kanałów komunikacyjnych, które miałyby stanowić ośrodek współpracy, by ograniczyć ryzyko ruchów destabilizujących. Już we wspomnianym wyżej dokumencie z 2018 roku, Francja zidentyfikowała kluczowych graczy w cyberprzestrzeni, tj. Wielką Brytanię, Chiny, Rosję, USA. Zdaje się to być zgodne z głosem Pałacu Elizejskiego, który silnie zarysowuje idee wspólnej kultury strategicznej, której rozwój podkreśla powstała w 2016 roku ICE (ang. The Intelligence College in Europe)[4] czy program La fabrique defénce[5] (skierowana do europejskiej młodzieży inicjatywa mająca na celu budowanie większego zrozumienia w sferze działań obronnych).
Zmieniający się model korzystania z sieci społecznościowych i innych platform wpływa na przetwarzanie informacji przez użytkowników cyberprzestrzeni. Dokument dot. działań w cyberprzestrzeni z 2021 roku[6] wyraźnie wskazuje, że sytuacja ta nie pozostaje bez wpływu na operacje wojskowe, szczególnie jeśli chodzi o operacje dezinformacyjne (tj. propagandę)[7]. Elementy francuskiej doktryny operacji informacyjnych podkreślają, że podmioty – państwa i zorganizowane grupy zbrojne, włączają operacje informacyjne do swoich działań, szczególnie za pośrednictwem sieci lub portali społecznościowych. Takie działania mogą być zaliczane do operacji hybrydowych. Szczególna uwaga skupiona jest na działaniach mających na celu werbowanie ludzi na potrzeby działalności terrorystycznej.
Zagadnienie L2I (fr. lutte informatique d’influence), również ujęte w dokumencie z 2021 roku, może być rozumiane jako ,,komputerowe operacje/wojna o wpływy”. Teatrem działań jest ,,przestrzeń informacyjna”, a związane one są z defensywnymi lub ofensywnymi operacjami cybernetycznymi. Do zadań defensywnych możemy zaliczyć wykrywanie operacji przeciwnika i podejmowanie przeciwko nim działań, np. dyskredytowanie ich, wskazywanie nieprawdy bądź niespójności. Niewiele natomiast mówi się o samych działaniach ofensywnych. Brak zdefiniowania kwestii potencjalnego ataku ze strony Francji, pozostawia jej duże pole do manewru, niejako otwierając opcję do szerokorozumianej ofensywy.
Na podstawie analizy francuskich strategii należy stwierdzić, iż Paryż nie marginalizuje kwestii obronności w cyberprzestrzeni oraz transparentnie informuje o swoich celach[8]. Takie postępowanie, w dobie rosnącego zaangażowania wielu użytkowników w sieci, zdaje się być nie tyle innowacyjne, co rozsądne. Ponadto wydzielenie wojsk cyberprzestrzeni jako oddzielny rodzaj sił zbrojnych, jest kwestią kilku miesięcy, gdyż rekrutacja ekspertów i specjalistów już się rozpoczęła.
Obecnie należy patrzeć ponad potrzeby narodowe, budując chociażby wspólną europejską strategię działań, aby rozwijać możliwości zarówno odstraszania, jak i reagowania. Takie zaangażowanie jest niezbędne w ramach Unii Europejskiej oraz NATO, których Polska jest członkiem. W związku z tym głównym celem Warszawy powinno być inwestowanie we własne zdolności do operowania w cyberprzestrzeni, aby w przyszłości mój reagować na zagrożenia w cyberprzestrzeni.
Dr Aleksander Olech – ekspert Portalu i Fundacji Trójmorze, a także Dyrektor Programu Bezpieczeństwa Europejskiego w Instytucie Nowej Europy. Specjalizuje się w tematyce zagrożeń dla bezpieczeństwa międzynarodowego.
[1] To działanie podjęte przez organizacje pozarządowe mające na celu utrudnienie cyberprzestępcom dostępu do zasobów technicznych lub systemów, które nie są własnością lub nie są dzierżawione przez osobę podejmującą działanie. Można to zatem sklasyfikować jako kontratak w cyberprzestrzeni. Jest to zasadniczo nielegalne w krajach, w których obowiązują przepisy antyhakerskie.
[2] Mistere des Armees, Droit international appliquéaux opérationsdans le cyberespace. Délégation à l’informationet à la communication de la défense, Paris 2019.
[3] Konwencjonalne rozumienie terminu powinno zostać przełożone na dyskurs cybernetyczny. Podstawowym wyznacznikiem uznania zbrodni jest naruszenie konwencji genewskich z 1949 roku czy też praw i zwyczajów wojennych stosowanych do konfliktów międzynarodowych. Tortury czy nieludzkie traktowanie w przestrzeni materialnej przełożyć zatem należy na cyberprzestrzeń. To samo tyczy się dokonywania bezprawnie i samowolnie poważnych zniszczeń i przywłaszczenie mienia nieusprawiedliwione koniecznością wojenną. Każde takie działania niosą za sobą interpretacje prowadzące do rozpatrywania ich właśnie w kategorii zbrodni wojennych. Za: O. Niewiada, Katalog Zbrodni w świetle statutu stałego Międzynarodowego Trybunału Karnego, Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach, Instytut Nauk Społecznych i Bezpieczeństwa, https://web.archive.org/web/20171017202818if_/http://www.desecuritate.uph.edu.pl/images/De_Securitate_nr_11_2015_Niewiada.pdf
[4] A. Olech, ICE – akademia oficerów wywiadu, https://trimarium.pl/ice-akademia-oficerow-wywiadu/ dostęp: 1.12.2021.
[5] Ministere des Armees La Fabrique Défense revient pour sa deuxième édition, https://www.defense.gouv.fr/actualites/articles/la-fabrique-defense-revient-pour-sa-deuxieme-edition, dostęp: 1.12.2021.
[6] Ministere des Armees, Éléments publics de doctrine militaire de lutte informatiqued’influence (L2I), COMCYBER, Paris 2021.
[7] Jej stosowanie podczas konfliktów jest legalne w świetle prawa międzynarodowego.
[8] L. Olejnik, French doctrine of information operations – engaging over information space, https://blog.lukaszolejnik.com/french-doctrine-of-information-operations-engaging-over-information-space/?fbclid=IwAR3QJwPjd8MJCDLij3CFlBlaYBGRwa-PREuv3E00fBeWYc9Zvh_PDJxRH7I, dostęp: 4.11.2021