Comandante das Forças de Defesa do Ciberespaço: Estamos numa fase de conflito, talvez próxima de uma fase de guerra

• Rússia e Bielorrússia são atualmente a principal fonte de ameaças no ciberespaço, admite o general Karol Molenda em entrevista ao CIS.
• As Forças de Defesa do Ciberespaço realizam não apenas operações de defesa, mas também ofensivas.
• Karol Molenda também discute como a Polônia está construindo um modelo de segurança cibernética único dentro da OTAN, baseado em cooperação, troca de informações e integração com o setor privado.
• A segurança cibernética será um dos principais temas da conferência de outono "Indústria para a Defesa". Líderes da indústria, da ciência e do governo se reunirão em Katowice em 15 de outubro para discutir a construção da resiliência e do potencial de defesa da Polônia diante dos novos desafios geopolíticos e tecnológicos.

Como parte da Operação "Podlasia Segura", os militares estão protegendo a fronteira entre a Polônia e a Bielorrússia. O que as Forças de Defesa do Ciberespaço estão defendendo?

Infraestrutura militar de TIC e, indiretamente, uma vasta quantidade de dados sensíveis e valiosos do ponto de vista da segurança nacional. As Forças de Defesa Militar (FDM) são uma resposta a um compromisso assumido em 2016. Naquela época, a Aliança do Atlântico Norte decidiu que o ciberespaço também era um domínio operacional no qual operações militares poderiam ser conduzidas. Isso exigiu a criação de unidades separadas dedicadas à segurança cibernética.

As Forças de Defesa Civil são as principais responsáveis pelas Operações Cibernéticas, combatendo ataques a sistemas e infraestrutura de TI. Somos bastante singulares em comparação com outros ramos das Forças Armadas, pois não apenas treinamos, mas também conduzimos operações aqui e agora, em tempos de paz .

Estamos em guerra no ciberespaço?, explica o general.

Muitas vezes ouvimos de políticos que temos uma "guerra cibernética". Mas, na sua opinião, paz?

Segundo o direito internacional, ninguém declarou guerra contra nós, então, como soldado, estou falando de tempos de paz. No entanto, na minha opinião, no ciberespaço, deveríamos falar de estados de competição, conflito e guerra.

Quando se trata de CyberOps, acho que já estamos na fase de conflito, talvez perto da fase de guerra.

Quando você diria que definitivamente há uma guerra acontecendo?

O limiar da guerra não está claramente definido. A OTAN está, em geral, se afastando da definição de uma fronteira rígida, porque, se um adversário souber onde ela fica, sempre operará na fronteira e testará o que acontece ao cruzá-la.

Se um ataque danificasse infraestruturas críticas, resultando em feridos ou mortos, seria difícil dizer que ainda estamos em conflito. Seria um argumento forte o suficiente para considerar uma guerra. Por enquanto, estamos repelindo os ataques.

Quanta defesa e quanta ação ofensiva há nas operações WOC?

Nosso maior esforço é direcionado ao combate a ataques, mas também identificamos a infraestrutura e as atividades de nossos adversários, aprendendo suas táticas, técnicas e procedimentos que utilizam contra nós ou nossos parceiros. Ao mesmo tempo, também estamos desenvolvendo capacidades ofensivas.

Significado?

Temos três unidades dedicadas a fornecer competências para todo o espectro de operações. Cada unidade conta com equipes prontas para conduzir operações ativas de defesa e ofensivas. Elas possuem o conhecimento e as ferramentas necessárias para alcançar resultados no espaço digital do adversário caso nossa infraestrutura seja atacada de tal forma que fatores políticos decidam não apenas nos defender.

No entanto, se alguém quiser considerar atacar, deve, antes de tudo, ser capaz de se defender. Por exemplo, no início da guerra em larga escala na Ucrânia, os russos foram vítimas de grupos como o Anonymous . Descobriu-se que, embora fossem muito ativos externamente, não tinham a capacidade de se defender das ferramentas que eles próprios utilizavam.

Os cibercriminosos que operam na Polónia são financiados pelo GRU e pelo FSB

Quem representa a maior ameaça para nós no ciberespaço hoje?

Em termos de CyberOps, nosso maior desafio é combater grupos APT (Ameaças Persistentes Avançadas) . São grupos patrocinados por estados que receberam tarefas específicas para impactar a infraestrutura de um determinado país e obter resultados.

Eles são unidades militares ou criminosos financiados pelo Estado?

Diferentes países têm abordagens diferentes em relação a isso. Há vários relatórios disponíveis publicamente que indicam claramente que um desses grupos opera dentro do GRU, o serviço de inteligência militar russo . Especialistas o designaram como APT28. O FSB o designou como APT29. Hoje, monitoramos quase 20 desses grupos na Agência de Inteligência Estrangeira.

Os grupos APT têm autorização e um guarda-chuva de proteção. Se alguém atacar em nome da Federação Russa, a probabilidade de a Federação Russa extraditá-lo após nossa investigação é zero. É por isso que o FBI coloca membros identificados do grupo APT em listas de procurados – há uma chance de que eles sejam presos se viajarem para outros países, por exemplo .

O que essas abreviações significam?

Essas designações são atribuídas por especialistas com base no modus operandi dos grupos ou nas ferramentas que utilizam. A atribuição não é fácil; requer anos de experiência. Esses grupos normalmente atacam sob uma bandeira estrangeira , tomando o controle da infraestrutura estrangeira e só então conduzindo operações ofensivas com ela.

Hoje, sem dúvida, vemos a maior atividade vindo da Rússia ou da Bielorrússia. Praticamente todos os dias, há tentativas de influenciar de alguma forma a infraestrutura militar ou nossos parceiros.

Que métodos esses grupos usam?

Em muitos casos, esses grupos usam soluções fáceis, geralmente ferramentas de engenharia social, para roubar credenciais de login. Especialistas agora afirmam que os invasores não violam a segurança, mas sim acessam o sistema. É claro que, se a engenharia social não funcionar e o adversário estiver determinado, eles tentam táticas mais sofisticadas, inclusive contra nossos parceiros. Como os invasores exploram os elos mais fracos do sistema, precisamos garantir que aprimoremos a segurança cibernética em todas as nossas redes.

Você poderia me dar um exemplo?

Percebemos esse padrão, por exemplo, no sistema de apoio à Ucrânia. Aproximadamente 90% de toda a ajuda militar passa pelo nosso país, e interagimos com nossos parceiros nos setores de logística e transporte . Adversários perceberam isso e começaram a atacar entidades com as quais compartilhamos informações. Eles presumem que conseguirão extrair dados importantes.

É por isso que temos uma série de acordos com parceiros em relação ao apoio militar. Este é um modelo sem precedentes – graças à nossa experiência, começamos a desenvolver uma perspectiva polonesa sobre segurança cibernética.

O que significa a perspectiva polonesa sobre segurança cibernética?

O que exatamente isso envolve?

As forças armadas, especialmente as forças cibernéticas, não devem se concentrar apenas em seus próprios sistemas. Essa filosofia leva a uma falsa sensação de segurança: se nossa infraestrutura estiver segura, estamos prontos para as operações.

Enquanto isso, as Forças Armadas também precisam utilizar infraestrutura que não lhes pertence — fluxo de combustível, energia, transporte , logística. Esses setores não estão adequadamente preparados para combater grupos APT com missões específicas e ferramentas sofisticadas. Portanto, se obtivermos informações importantes do ponto de vista da segurança, também as compartilhamos com nossos parceiros. Por exemplo, se tomarmos conhecimento de uma vulnerabilidade que possa ser explorada para atacar a infraestrutura, nós a reportamos.

Também estamos construindo uma filosofia completamente nova de compartilhamento de informações dentro da OTAN.

Significado?

Durante anos, o princípio da "necessidade de saber" prevaleceu. A informação estava facilmente disponível em muitos lugares, mas todos a guardavam para si. No entanto, nos esforçamos para promover a filosofia da "necessidade de compartilhar": se você tem informações que podem ser benéficas para o seu parceiro, compartilhe-as.

Deixe-me dar um exemplo de trabalho com parceiros na Ucrânia. Se eles virem um ataque de um grupo APT usando infraestrutura comprometida, eles nos informam – isso nos permite proteger nossos dispositivos e garantir que a mesma infraestrutura não seja usada contra nós. Se todos se protegerem contra esse tipo de ataque, o adversário terá que construir uma nova infraestrutura, o que é demorado e caro.

Você acha que a vantagem agora está do nosso lado?

"Um zagueiro sempre tem uma situação pior. Acho que definitivamente fizemos muito progresso; conhecemos nossos adversários muito melhor do que há alguns anos."

Quando olho para a nossa equipe, às vezes tenho a impressão de que os conhecemos melhor do que eles próprios. Nossos analistas conseguem identificar quando um adversário está construindo uma infraestrutura que pode ser explorada para um ataque. Com base nas recomendações deles, podemos nos preparar adequadamente com antecedência.

Claro, isso não muda o fato de que amanhã um ataque pode ocorrer, explorando, por exemplo, uma vulnerabilidade de dia zero da qual não tínhamos conhecimento. Devemos permanecer vigilantes o suficiente para garantir que, mesmo que um adversário penetre nossa primeira camada de defesa, possamos detê-lo. A vigilância é crucial; às vezes, os responsáveis pela segurança nem sabem que foram atacados ou que há alienígenas a bordo.

Qual é o objetivo final desses grupos?

Eles recebem ordens específicas e operam como unidades militares. Obter informações é definitivamente um dos principais objetivos, porque quem tem informações leva vantagem.

Entretanto, em muitos casos, o adversário pode construir os chamados pontos de apoio, sua presença na infraestrutura, e depois até mesmo danificá-la ou desativá-la.

Adotamos uma abordagem proativa – temos equipes impactando ativamente nossa infraestrutura, buscando vulnerabilidades. Elas também realizam atividades de engenharia social contra nossos usuários. Reformulamos nossos procedimentos. Também verificamos se nossas equipes de defesa detectaram essas atividades ativas. Ao mesmo tempo, temos equipes caçando adversários em nossas redes e nas de nossos parceiros.

Você pode dar um exemplo de tal ação?

Como parte de nossos esforços de caça cibernética, descobrimos uma ocorrência em que um adversário estava explorando um recurso de software da Microsoft para coletar informações. Esse recurso estava habilitado por padrão e invisível para o usuário. Após nossa análise, notificamos a Microsoft , e a empresa confirmou nossas descobertas e agradeceu nossa contribuição.

Além disso, desenvolvemos ferramentas e scripts que permitem que organizações determinem de forma independente se foram vítimas desse tipo de ataque e como se proteger. Disponibilizamos essas ferramentas publicamente, e nossas descobertas foram posteriormente citadas em relatórios internacionais sobre as atividades de agências de inteligência estrangeiras.

Com o que o proprietário de um sistema deve se preocupar? Quais são os sinais de que temos um "alienígena" entre nós?

O que mais me preocupa é o silêncio. Se recebêssemos relatórios regulares todos os dias de que um adversário estava tentando impactar nossa infraestrutura e nada acontecesse por uma semana, essa seria nossa maior preocupação. A probabilidade de o adversário ter desistido é zero, então o silêncio significa que ele mudou seu modus operandi e não estamos vendo nada.

Você espera que no futuro tenhamos que lidar com a destruição de infraestrutura usando pontos de apoio capturados?

"Não acho que esse seja um cenário impossível. Acho melhor manter isso em mente e realizar testes de penetração constantemente e aumentar a conscientização."

O ciberespaço é notoriamente inseguro, principalmente por ser um domínio em constante transformação humana. Acompanhar as mudanças tecnológicas exige muito esforço.

A abordagem polaca à cibersegurança como modelo para a NATO

O WOC está colaborando com o setor privado. A Cyber LEGION é um exemplo disso. De onde surgiu a ideia de convidar programadores civis para apoiá-lo?

Há um grupo de especialistas na Polônia que há muito tempo expressa sua disposição em nos ajudar, mas eles não têm intenção de mudar de emprego ou de vestir uniforme permanentemente. Até agora, nós os convidamos para colaborar, inclusive como parte do Locked Shields, o maior exercício de ciberdefesa.

A Cyber LEGION é uma ideia criada para conquistar o apoio deles, mas também para lhes dar um senso de missão. Até o momento, recebemos mais de mil inscrições e a resposta tem sido incrível. Entre os voluntários, há especialistas de renome internacional, incluindo aqueles que riram em 2019 quando eu disse que ainda os vestiria de uniforme.

Depois das férias de verão, começaremos as primeiras reuniões com eles, pois agora precisamos processar esse grande número de inscrições.

Isso envolve a colaboração com especialistas específicos. De que outras formas as WOCs colaboram com o setor privado?

Somos uma das poucas instituições na OTAN que desenvolveu relações de confiança tanto com universidades quanto com o setor privado. Firmamos acordos com todos os maiores fornecedores de tecnologia – as chamadas Big Techs . Ao contrário de algumas narrativas, esses acordos não se referem à transferência de dados, mas sim à garantia de contato direto entre nossos especialistas e os engenheiros dos fornecedores.

Isso é crucial, especialmente em situações de crise – quando nossos especialistas detectam uma vulnerabilidade, precisamos entrar em contato rapidamente com as pessoas certas, não com o departamento de vendas. Tivemos casos em que uma vulnerabilidade foi ativamente explorada e, graças a esses relacionamentos, o fornecedor imediatamente começou a trabalhar em uma correção ou nos forneceu recomendações para proteção temporária.

Além disso, graças à confiança que construímos, agora somos informados com antecedência sobre novas vulnerabilidades — antes mesmo de serem anunciadas oficialmente. Isso nos permite agir com mais rapidez e eficácia. Essa colaboração bilateral e especializada é a base da segurança no mundo atual.

Você enfatizou muitas vezes nesta conversa que está fazendo algo único em comparação com a OTAN. Você acha que, depois de seis anos, o WOC DK é único?

"É verdade. Mesmo esse sentimento beira a certeza. Em 2019, percebemos que, se quiséssemos desenvolver fortes capacidades cibernéticas, teríamos que criar os talentos nós mesmos, e não competir por eles no mercado. Por isso, focamos no desenvolvimento de longo prazo – desde aulas de ciência da computação no ensino médio, passando pelo programa CYBER.MIL, até o aumento do número de alunos em universidades militares. Hoje, estamos vendo resultados tangíveis – mais de cem novos segundos-tenentes, formados em programas relacionados à segurança cibernética, ingressam nas Forças de Defesa Militar a cada ano."

Ao mesmo tempo, sabíamos que precisávamos de um parceiro que nos ajudasse a acelerar nosso desenvolvimento – daí a colaboração com o lado americano, iniciada por um acordo com o Comando Europeu dos Estados Unidos. Isso nos permitiu aproveitar a experiência adquirida nos EUA ao longo de uma década.

Inicialmente, também tivemos que otimizar as estruturas nacionais. Anteriormente, diferentes unidades eram responsáveis pela segurança e funcionalidade do sistema separadamente. Isso causava atritos, atrasos e lacunas na proteção. Portanto, optamos por um modelo inovador – combinando competências em uma única estrutura. Isso permite uma resposta mais rápida, uma análise de risco mais eficaz e um equilíbrio entre funcionalidade e segurança.

É diferente na OTAN?

Em muitos países da OTAN, a responsabilidade ainda é fragmentada, resultando em um fluxo de informações mais lento e uma ameaça real. Conheço casos em que ataques foram bem-sucedidos unicamente por falta de ação coordenada. Nos concentramos na integração.

Além disso, também apoiamos ativamente parceiros externos, incluindo infraestrutura crítica. Isso ainda não é padrão, mas vemos que cada vez mais países — incluindo Reino Unido, Alemanha, Estados Unidos e França — reconhecem a importância dessa abordagem e compartilham visões semelhantes. Somos pioneiros nessa área, mas não estamos sozinhos nesse caminho.

A inteligência artificial e os drones estão mudando o campo de batalha. Como as Forças Armadas da Coreia (WOC) respondem?

Então outros já estão aprendendo com a Polônia?

Exportamos com sucesso nosso conhecimento e experiência. No entanto, não são apenas os outros que aprendem conosco; nós também fazemos isso e queremos fazer.

E assim – mais uma vez – criamos algo único. Ouvimos que em muitas conferências todos falavam sobre colaboração e compartilhamento de informações. Somente quando alguém perguntava: "Ok, mas o que exatamente você fez neste caso?", havia silêncio, pois a informação era muito sensível. É por isso que todos os anos organizamos a Cúpula CSIRT em Legionowo, um espaço para troca de informações sobre a NATO SECRET . No entanto, para participar da reunião, há uma condição para o país: você precisa trazer seu próprio estudo de caso. Só então você pode ouvir os outros. A ideia foi adotada pelos americanos, então nosso evento agora tem um perfil verdadeiramente alto.

Estamos constantemente tirando conclusões, e é por isso que nossa estrutura está em constante mudança. O Diretor do Departamento de Recursos Humanos provavelmente não está particularmente satisfeito com o fato de recebermos constantemente propostas organizacionais e de pessoal, mas isso decorre do fato de que a tecnologia está mudando rapidamente. Em 2019, quando estávamos moldando a estrutura das Forças de Defesa do Ciberespaço, não éramos tão ativos em inteligência artificial. Agora, é impossível imaginar não implementar esse elemento, então construímos o Centro de Implementação de Inteligência Artificial para abordar essa tecnologia inovadora e sua presença em nossa infraestrutura.

O que ele faz?

A inteligência artificial pode realmente apoiar os comandantes, analisando vastos conjuntos de dados de sensores e sistemas, sugerindo decisões que antes eram tomadas pela equipe de comando. Aqueles que conseguirem processar esses dados mais rapidamente e traduzi-los em decisões operacionais terão vantagem. Queremos implementar soluções já disponíveis no mercado, mas também contar com uma equipe de engenheiros que entenda essas tecnologias, possa treinar modelos com base em dados confidenciais e implementá-los em nossos sistemas.

Estou convencido de que nossos adversários também estão trabalhando nisso, então, se não estivéssemos, poderíamos imaginar um cenário em que duas forças se chocariam: uma usaria algoritmos de IA para tomar decisões, e a outra, não. É fácil imaginar qual delas teria a vantagem.

Também estamos trabalhando em sistemas de armas autônomas, enxames de drones e análise de dados de satélite, todos os quais usam IA para aumentar a eficácia e a resistência à interrupção.

O CISI recruta os melhores jovens oficiais — mestres e engenheiros — que já adquiriram experiência em universidades técnicas militares. Nosso objetivo é criar uma equipe que não apenas entenda de tecnologia, mas também possa implementá-la com segurança e eficácia, levando em consideração ameaças como a contaminação de dados. Este é um investimento em capacidades que serão cruciais no futuro campo de batalha.