Dowódca Wojsk Obrony Cyberprzestrzeni: jesteśmy w fazie konfliktu, być może blisko fazy wojny

• Rosja i Białoruś to dziś główne źródło zagrożeń w cyberprzestrzeni - przyznaje w rozmowie z WNP gen. Karol Molenda.
• Wojska Obrony Cyberprzestrzeni prowadzą nie tylko obronę, ale i działania ofensywne.
• Karol Molenda mówi też, jak Polska buduje unikalny model cyberbezpieczeństwa w NATO. Jest oparty na współpracy, wymianie informacji i integracji z sektorem prywatnym.
• Cyberbezpieczeństwo będzie jednym z głównych tematów jesiennej konferencji Przemysł dla obronności. Już 15 października w Katowicach spotkają się liderzy przemysłu, nauki i administracji, by dyskutować o budowaniu odporności i potencjału obronnego Polski w obliczu nowych wyzwań geopolitycznych i technologicznych.

W ramach operacji "Bezpieczne Podlasie" wojsko chroni granicę polsko-białoruską. Czego bronią Wojska Obrony Cyberprzestrzeni?

- Wojskowej infrastruktury teleinformatycznej, a pośrednio ogromnej ilości wrażliwych i wartościowych z punktu widzenia bezpieczeństwa państwa danych. WOC to odpowiedź na zobowiązanie podjęte w 2016 r. Sojusz Północnoatlantycki podjął wtedy decyzję, że cyberprzestrzeń też jest domeną operacyjną, w której mogą być prowadzone działania militarne. To pociągnęło za sobą konieczność tworzenia osobnych jednostek zajmujących się cyberbezpieczeństwem.

WOC odpowiadają przede wszystkim za CyberOps, zajmujemy się przeciwdziałaniem atakom na systemy i infrastrukturę informatyczną. Jesteśmy dość wyjątkowi w porównaniu do pozostałych rodzajów sił zbrojnych, bo my nie tylko się szkolimy, ale też prowadzimy operacje tu i teraz, w czasie pokoju.

Czy mamy wojnę w cyberprzestrzeni? Generał wyjaśnia

Od polityków często słyszymy, że mamy "cyberwojnę". Pana zdaniem jednak pokój?

- W myśl prawa międzynarodowego nikt nam wojny nie wypowiedział, dlatego jako żołnierz mówię o czasie pokoju. Natomiast w moim przekonaniu w cyberprzestrzeni powinniśmy raczej mówić o stanach rywalizacji, konfliktu i wojny.

Jeśli chodzi o CyberOps, myślę, że jesteśmy już w fazie konfliktu, być może blisko fazy wojny.

Kiedy powiedziałby pan, że na sto procent trwa wojna?

- Próg wojny nie jest jasno zdefiniowany. W NATO w ogóle odchodzi się od wyznaczania sztywnej granicy, bo jeśli przeciwnik wie, gdzie ona jest, zawsze będzie działał na granicy i testował, co będzie, jak ją pokona.

Jeśli w wyniku ataku doszłoby do uszkodzenia infrastruktury krytycznej, a przez to do zranienia lub śmierci osób, ciężko byłoby mówić, że mamy jeszcze konflikt. Byłby to dość mocny argument, by uznać, że to już wojna. Póki co odpieramy ataki.

Ile jest obrony, ile ofensywnych działań w działaniu WOC?

- Nasz największy wysiłek jest ukierunkowany na to, żeby przeciwdziałać atakom, ale również rozpoznajemy infrastrukturę i działania naszych przeciwników, uczymy się ich taktyk, technik i procedur jakie wykorzystują przeciwko nam lub przeciwko naszym partnerom. Równolegle budujemy też zdolności do działań ofensywnych.

To znaczy?

- Mamy trzy jednostki dedykowane do tego, by posiadać kompetencje do pełnego spektrum operacji. W każdej z nich są zespoły gotowe do tego, by prowadzić działania aktywnej obrony i ofensywne. Posiadają niezbędną wiedzę i narzędzia, żeby uzyskiwać efekty w przestrzeni cyfrowej przeciwnika, jeżeli doszłoby do ataku na naszą infrastrukturę w taki sposób, że czynnik polityczny zadecydowałby nie tylko się bronić.

Natomiast jeśli ktoś chce myśleć o ataku, przede wszystkim musi umieć się bronić. Dla przykładu: Rosjanie w początku pełnoskalowej wojny w Ukrainie padali ofiarami np. grupy Anonymous. Okazało się wówczas, że choć są bardzo aktywni na zewnątrz, nie mają zdolności by się bronić przed narzędziami, które sami wykorzystują.

Cyberprzestępców działających w Polsce finansuje GRU i FSB

Kto dziś najbardziej nam zagraża w cyberprzestrzeni?

- W zakresie CyberOps największym wyzwaniem jest dla nas przeciwdziałanie grupom APT (Advanced Persistent Threats – zaawansowane trwałe zagrożenia – przyp. red.). Są to grupy sponsorowane przez państwa, które otrzymały konkretne zadania, żeby oddziaływać na infrastrukturę danego kraju, uzyskiwać tam efekty.

To jednostki wojskowe, czy finansowani przez państwa przestępcy?

- W różnych krajach jest do tego różne podejście. Jest kilka publicznie dostępnych raportów, które wskazują jednoznacznie, że jeden z tych zespołów działa w strukturach GRU, czyli rosyjskiego wywiadu wojskowego. Eksperci oznaczyli go jako APT28. FSB ma APT29. Dzisiaj w WOC monitorujemy blisko 20 takich grup.

Grupy APT mają przyzwolenie i parasol ochronny. Jeżeli ktoś atakuje na zlecenie Federacji Rosyjskiej, to prawdopodobieństwo, że po naszym rozpracowaniu FR go wyda jest zerowe. Dlatego FBI wciąga zidentyfikowanych członków grup APT na listy poszukiwanych – jest szansa, by ująć ich kiedy np. podróżują do innych krajów.

Co znaczą te skróty?

- Oznaczenia są nadawane przez ekspertów na podstawie sposobu działania grup, albo narzędzi jakie są przez nie wykorzystywane. Atrybucja nie jest taka łatwa, wymaga to wielu lat doświadczeń. Te grupy w większości atakują pod obcą flagą, przejmują kontrolę nad obcą infrastrukturą i dopiero za jej pomocą prowadzą działania ofensywne.

Dzisiaj bez wątpienia najwięcej aktywności mamy z kierunku rosyjskiego lub białoruskiego. Praktycznie każdego dnia próbuje się w jakiś sposób oddziaływać na infrastrukturę wojskową lub naszych partnerów.

Jakich metod używają te grupy?

- W wielu przypadkach te grupy wykorzystują łatwe rozwiązania, zazwyczaj narzędzia socjotechniczne w celu wyłudzenia danych logowania. Eksperci mówią dziś, że atakujący nie łamią zabezpieczeń, a logują się do systemu. Oczywiście, jeśli socjotechnika nie działa, a przeciwnik jest zdeterminowany, to wtedy próbuje bardziej wyszukanych taktyk, także wobec partnerów, z którymi współpracujemy. Ponieważ atakujący używają najsłabszych ogniw w systemie, musimy dbać o to, by u wszystkich podnosić poziom cyberbezpieczeństwa.

Może pan podać jakiś przykład?

- Taka prawidłowość została przez nas zauważona, chociażby w ramach systemu przekazywania wsparcia na Ukrainę. Przez nasz kraj przechodzi ok. 90 proc. całej pomocy militarnej, angażujemy do tego naszych partnerów z rynku logistyki czy transportu. Adwersarze zwrócili na to uwagę i zaczęli targetować te podmioty, z którymi dzielimy się jakimiś informacjami. Przyjmują założenie, że uda im się wydobyć jakieś istotne dane.

Dlatego właśnie mamy szereg porozumień z partnerami dotyczących wsparcia przez nasze wojska. To niespotykany dotąd model – dzięki naszym doświadczeniom zaczęliśmy budować polski punkt widzenia na cyberbezpieczeństwo.

Co oznacza polski punkt widzenia na cyberbezpieczeństwo?

Na czym dokładnie polega?

- Wojsko, zwłaszcza oddziały cyber, nie powinno się skupiać tylko na swoich systemach. Taka filozofia prowadzi do złudnego poczucia bezpieczeństwa: jeśli nasza infrastruktura jest zabezpieczona, to jesteśmy gotowi do operacji.

Tymczasem wojsko musi korzystać także z infrastruktury, która nie należy do niego – przepływ paliw, energia, transport, logistyka. Te sektory nie są odpowiednio przygotowane, by przeciwstawić się grupom APT, które mają konkretne zadanie i wyrafinowane narzędzia. Dlatego jeśli my pozyskamy ważne informacje z punktu widzenia bezpieczeństwa, to informujemy o nich także naszych partnerów. Na przykład: jeśli dowiemy się, że dostępna jest jakaś podatność, która może być wykorzystywana do ataku na infrastrukturę, to informujemy o tym.

Budujemy także w NATO zupełnie nową filozofię dzielenia się informacją.

To znaczy?

- Przez lata funkcjonowała zasada wiedzy koniecznej – "need to know". W wielu miejscach informacja była dostępna, tylko że wszyscy trzymali ją dla siebie. Natomiast my staramy się promować filozofię "need to share", czyli: jeżeli masz informację, która może być korzystna dla partnera, podziel się nią.

Podam przykład współpracy z partnerami z Ukrainy. Jeśli oni widzą atak grupy APT z wykorzystaniem przejętej infrastruktury, informują nas o tym – dzięki czemu my możemy ochronić nasze urządzenia i zapewnić, że ta sama infrastruktura nie będzie wykorzystana przeciwko nam. Jeśli wszyscy się zabezpieczą przeciwko takiemu atakowi, adwersarz będzie musiał zbudować nową infrastrukturę, co jest czasochłonne i kosztowne.

Czuje pan, że przewaga jest teraz po naszej stronie?

- Obrońca zawsze ma gorzej. Uważam, że na pewno zrobiliśmy duży postęp, znamy adwersarza znacznie lepiej niż jeszcze kilka lat temu.

Jak patrzę na nasz zespół, wydaje mi się czasem, że znamy go lepiej niż on sam. Nasi analitycy są w stanie wyłapać już kiedy adwersarz buduje infrastrukturę, która może zostać wykorzystana do ataku. Na podstawie ich rekomendacji jesteśmy w stanie z wyprzedzeniem odpowiednio się przygotować.

Oczywiście to nie zmienia faktu, że jutro może pojawić się atak z wykorzystaniem np. podatności zero-day, o której nie wiedzieliśmy. Musimy być czujni na tyle, by nawet jeśli przeciwnik przebije się przez naszą pierwszą warstwę obrony, go zatrzymać. Czujność jest kluczowa, czasem osoby odpowiedzialne za bezpieczeństwo nawet nie wiedzą, że były zaatakowane albo że mają obcych na pokładzie.

Jaki jest ostateczny cel tych grup?

- One dostają konkretne zlecenia, działają jak jednostki wojskowe. Pozyskanie informacji to na pewno jeden z głównych celów, bo kto ma informację ten ma przewagę.

Jednak w wielu przypadkach adwersarz może budować sobie tak zwane przyczółki, swoją obecność w infrastrukturze, by później doprowadzić nawet do jej uszkodzenia lub wyłączenia.

My mamy podejście proaktywne – posiadamy zespoły, które aktywnie oddziałują na naszą infrastrukturę, wyszukując w niej podatności. Prowadzą też działania socjotechniczne przeciwko naszym użytkownikom. Przedmuchujemy procedury. Sprawdzamy też, czy nasze zespoły odpowiedzialne za obronę wykryły te aktywne działania. A jednocześnie mamy zespoły polujące na adwersarzy w sieci naszej czy naszych partnerów.

Czy może pan podać jakiś przykład takiego działania?

- W ramach naszych działań cyberhuntingowych wykryliśmy przypadek wykorzystania jednej z funkcji oprogramowania Microsoftu do pozyskiwania informacji przez adwersarza. Funkcja ta była domyślnie aktywna i niewidoczna dla użytkownika. Po naszej analizie poinformowaliśmy Microsoft – firma potwierdziła nasze ustalenia i doceniła nasz wkład.

Co więcej, opracowaliśmy narzędzia i skrypty umożliwiające organizacjom samodzielne sprawdzenie, czy padły ofiarą tego typu ataku, oraz jak się przed nim chronić. Udostępniliśmy je publicznie, a nasze ustalenia zostały później cytowane w międzynarodowych raportach dotyczących działalności zagranicznych służb specjalnych.

Co powinno zaniepokoić właściciela systemu? Jakie są oznaki, że mamy u siebie "obcego"?

- Mnie najbardziej niepokoi cisza. Jeżeli każdego dnia dochodzą do nas regularnie raporty, że adwersarz próbuje oddziaływać na naszą infrastrukturę, a później przez tydzień nic by się nie działo, to to by nas najbardziej niepokoiło. Prawdopodobieństwo, że adwersarz sobie odpuścił jest zerowe, więc cisza oznacza, że zmienił sposób działania i my czegoś nie widzimy.

Spodziewa się pan, że w przyszłości będziemy mieli do czynienia z niszczeniem infrastruktury z wykorzystaniem zdobytych przyczółków?

- Myślę, że nie jest to niemożliwy scenariusz. Ja uważam, że lepiej mieć go z tyłu głowy i nieustannie przeprowadzać testy penetracyjne, budować świadomość.

W cyberprzestrzeni nie można mieć poczucia bezpieczeństwa, także dlatego że to domena nieustannie zmieniana przez człowieka. Trzeba dużo wysiłku, by nadążać za zmianami w technologii.

Polskie podejście do cyberbezpieczeństwa wzorem dla NATO

WOC podejmuje współpracę z sektorem prywatnym. Jej przykładem jest Cyber LEGION. Skąd pomysł, by zaprosić cywilnych programistów jako wasze wsparcie?

- Jest w Polsce grupa ekspertów, którzy od dawna deklarowali że chcieliby nam pomóc, ale nie zamierzają zmieniać pracy, czy zakładać na stałe munduru. Do tej pory zapraszaliśmy ich do współpracy m.in. w ramach największych ćwiczeń z cyberobrony - Locked Shields.

Cyber LEGION to pomysł, by z jednej strony uzyskać ich wsparcie, ale z drugiej ma to im dać poczucie misji. Do dziś mamy ponad tysiąc zgłoszeń, odzew jest niesamowity. Wśród chętnych są eksperci międzynarodowej sławy, także ci, którzy w 2019 r. śmiali się, kiedy mówiłem że jeszcze ich ubiorę w mundur.

Po wakacjach zaczniemy już z nimi pierwsze spotkania, na razie musimy przeprocesować tą ogromną liczbę zgłoszeń.

To współpraca z konkretnymi specjalistami. A jak jeszcze WOC współpracują z sektorem prywatnym?

- Jesteśmy jedną z nielicznych instytucji w NATO, które mają wypracowane zaufane relacje zarówno z uczelniami, jak i sektorem prywatnym. Mamy podpisane porozumienia z wszystkimi największymi dostawcami technologii – tzw. Big Techami. Wbrew niektórym narracjom, te porozumienia nie dotyczą przekazywania danych, ale zapewnienia bezpośredniego kontaktu między naszymi ekspertami a inżynierami po stronie dostawców.

To kluczowe, zwłaszcza w sytuacjach kryzysowych – kiedy nasi specjaliści wykrywają podatność, potrzebujemy szybkiego kontaktu z odpowiednimi osobami, nie działem sprzedaży. Mieliśmy przypadki, gdy luka była aktywnie wykorzystywana, a dzięki tym relacjom dostawca od razu rozpoczął prace nad poprawką lub przekazał nam rekomendacje tymczasowego zabezpieczenia.

Co więcej, dzięki zaufaniu, które zbudowaliśmy, jesteśmy dziś informowani z wyprzedzeniem o nowych podatnościach – zanim zostaną oficjalnie ogłoszone. To pozwala nam działać szybciej i skuteczniej. Taka dwustronna, ekspercka współpraca, to fundament bezpieczeństwa w dzisiejszym świecie.

Wiele razy podkreślał pan w tej rozmowie, że robicie coś w unikalny sposób na tle NATO. Czy ma pan poczucie, że po sześciu latach DK WOC jest unikalne?

- Jest. Nawet to jest poczucie graniczące z pewnością. Już w 2019 r. zdawaliśmy sobie sprawę, że jeśli chcemy zbudować silne zdolności cyber, musimy sami stworzyć talenty, a nie konkurować o nie z rynkiem. Dlatego postawiliśmy na długofalowy rozwój – od klas informatycznych w liceach, przez program CYBER.MIL, po zwiększenie liczby studentów na uczelniach wojskowych. Dziś mamy konkretne efekty – rokrocznie do służby w WOC dołącza ponad stu nowych podporuczników, absolwentów kierunków związanych z cyberbezpieczeństwem.

Równolegle wiedzieliśmy, że potrzebujemy partnera, który pomoże nam przyspieszyć rozwój – stąd współpraca ze stroną amerykańską, rozpoczęta porozumieniem z United States European Command. Dzięki temu mogliśmy czerpać z doświadczeń, które w USA budowano przez dekadę.

Na początku musieliśmy też uporządkować krajowe struktury – wcześniej różne jednostki odpowiadały oddzielnie za bezpieczeństwo i funkcjonalność systemów. To powodowało tarcia, opóźnienia i luki w ochronie. Zdecydowaliśmy się więc na nowatorski model – połączenie kompetencji w jednej strukturze. To pozwala szybciej reagować, skuteczniej analizować ryzyko i zrównoważyć funkcjonalność z bezpieczeństwem.

W NATO jest inaczej?

- W wielu krajach NATO odpowiedzialność nadal jest rozdzielona – co skutkuje wolniejszym przepływem informacji i realnym zagrożeniem. Znam przypadki, w których ataki zakończyły się sukcesem tylko dlatego, że brakowało skoordynowanego działania. My postawiliśmy na integrację.

Co więcej, aktywnie wspieramy też partnerów zewnętrznych, w tym infrastrukturę krytyczną. To nie jest jeszcze standard, ale widzimy, że coraz więcej państw – m.in. Wielka Brytania, Niemcy, USA, Francja – dostrzega wagę takiego podejścia i myśli podobnie. Jesteśmy w tej dziedzinie pionierami, ale nie idziemy tą drogą sami.

Sztuczna inteligencja i drony zmieniają pole walki. Jak odpowiada WOC?

Czyli inni już uczą się od Polski?

- Z sukcesem eksportujemy naszą wiedzę i doświadczenia. Natomiast nie jest tak, że tylko inni się od nas uczą, my też to robimy i chcemy to robić.

I dlatego – znowu - wymyśliliśmy coś wyjątkowego. Słyszeliśmy, że na wielu konferencjach wszyscy mówili o współpracy, o dzieleniu się informacją. Tylko jak ktoś powiedział: "OK, ale co dokładnie zrobiliście w tym przypadku?", wtedy zapadało milczenie, bo to informacje bardzo wrażliwe. Dlatego każdego roku organizujemy w Legionowie konferencję CSIRT Summit, czyli przestrzeń do wymiany informacji o klauzuli NATO SECRET. Jednak aby wejść na spotkanie jest dla kraju warunek: trzeba przywieźć własne studium przypadku. Tylko wtedy można posłuchać innych. Pomysł podchwycili Amerykanie, więc nasze wydarzenie ma teraz naprawdę wysoką rangę.

Nieustannie wyciągamy wnioski, dlatego też nasza struktura podlega ciągłym zmianom. Dyrektor Departamentu Kadr pewnie jest średnio zadowolony, że co chwilę trafiają do niego na biurko jakieś wnioski organizacyjno-etatowe z naszej strony, ale to wynika z faktu, że technologia dynamicznie się zmienia. W 2019 r. szyjąc strukturę Wojsk Obrony Cyberprzestrzeni, nie podchodziliśmy tak aktywnie do sztucznej inteligencji. Teraz nie sposób sobie wyobrazić, żeby tego elementu nie wprowadzić, więc zbudowaliśmy Centrum Implementacji Sztucznej Inteligencji, które ma zaadresować tę technologię przełomową i jej obecność w naszej infrastrukturze.

Czym ono się zajmuje?

- Sztuczna inteligencja może realnie wspierać dowódców – analizując ogromne zbiory danych z sensorów i systemów, podpowiadając decyzje, które kiedyś opracowywał sztab. Przewagę zdobędzie ten, kto będzie umiał szybciej przetwarzać te dane i przekuwać je na decyzje operacyjne. My chcemy wdrażać rozwiązania już dostępne na rynku, ale też mieć zespół inżynierów, który te technologie rozumie, potrafi trenować modele na danych niejawnych i wdrażać je w naszych systemach.

Jestem przekonany, że nasi adwersarze też nad tym pracują, więc jeżeli byśmy tego nie robili, to moglibyśmy wyobrazić sobie scenariusz, w którym spotkają się dwie siły: jedna będzie wykorzystywała algorytmy sztucznej inteligencji do wypracowania decyzji, a druga nie. Łatwo sobie wyobrazić, która będzie miała przewagę.

Pracujemy również nad autonomicznymi systemami uzbrojenia, rojami dronów czy analizą danych satelitarnych – wszędzie tam AI zwiększa skuteczność i odporność na zakłócenia.

Do CISI trafiają najlepsi młodzi oficerowie – magistrzy i inżynierowie – którzy zdobywali już doświadczenie na wojskowych uczelniach technicznych. Naszym celem jest stworzenie zespołu, który nie tylko rozumie technologię, ale też potrafi ją bezpiecznie i skutecznie wdrażać, uwzględniając zagrożenia takie jak np. zatruwanie danych. To inwestycja w zdolności, które będą kluczowe na przyszłym polu walki.