Wiele krajów traktuje cyberbezpieczeństwo coraz poważniej. Prowadzone są debaty, analizy, ekspertyzy, prace. Mają one znaczenie, gdy prowadzą w jakimś konkretnym kierunku. Francja nie jest tu wyjątkiem, a właśnie opublikowany dokument REVUE STRATÉGIQUE DE CYBERDÉFENSE, czyli Przegląd Strategiczny Cyberbezpieczeństwa to ciekawa lektura. Ten dokument strategiczny jest złożony, choć spójny. Obejmuje wiele aktualnych i być może przyszłych kierunków. Jestciekawy, wizjonerski.

Nie będę analizował go w całości. Skupię się na kilku wybranych, ciekawych punktach. Sam dokument jest bardzo interesujący. Poza rozważaniami technicznymi, organizacyjnymi i strategicznymi, prezentuje też specyficzną agendę. Nazwijmy to francuskim podejściem do cyberbezpieczeństwa.

Dokument mocno zaznacza, że we Francji działania w sferze cyberobrony i ataku są odseparowane. To podejście jest pokazane w świadomej opozycji do modelu anglosaskiego. Jest przedstawione jako duża zaleta (przewaga) gwarantująca poszanowanie wolności obywatelskich.

Dokument podkreśla też sześć ogólnych zasad cyberobrony. Konkretniej: zapobieganie (prewencję), przewidywanie, ochronę, wykrywanie, atrybucję i reakcję. Sama strategia jest kompleksowa i skupia się na obszarach cywilnych, wojskowych, wewnętrznych, zewnętrznych, jak i na uregulowaniach międzynarodowych. To rzadkość w obszarze strategicznym cyberbezpieczeństwa. Czy Francja będzie chciała przyjąć aktywną rolę w tworzeniu uwarunkowań, zasad i regulacji w prawie międzynarodowym, jeśli chodzi o cyberprzestrzeń i cyberwalkę? Strategia sugeruje, w którą stronę mogą pójść te działania. Cyberbezpieczeństwo to przecież istotny obszar na politycznym poziomie międzynarodowym.

Cyberataki na Francję

W dokumencie rozważa się wiele istotnych punktów ryzyka, na różnych poziomach. Mówi się m.in. o destabilizacji i sabotażu. Dokument zwraca uwagę na fakt, że Francja doświadczyła już cyberataków o dużym znaczeniu. Mówi o tym otwarcie i tu wymienia bezpośrednio dwa zdarzenia.

• cyberatak o dużej skali na telewizję TV5Monde w 2015.

• nawiązuje też do cyberoperacji w wyborach prezydenckich w 2017 we Francji, gdzie celem był sztab jednego z kandydatów (obecnego prezydenta Macrona).

O cyberoperacji wymierzonej w Macrona pisałem w maju 2017, przed drugą turą wyborów. To wciąż aktualny opis, mimo że od tego czasu oczywiście wiadomo nieco więcej na ten temat.

Przejdę do konkretnych wybranych ciekawych punktów.

Firmy bez prawa do ataku

Francja bardzo mocno sprzeciwia się daniu prywatnym firmom praw do odpowiedzi na cyberataki. Z tego punktu widzenia takie działania stanowiłyby ryzyko niestabilności w cyberprzestrzeni. Szczególnie jeśli wziąć pod uwagę graczy znajdujących się w różnych państwach. Francja chce postawić ten problem w negocjacjach na poziomie międzynarodowym.

Tekst strategii mówi też o niektórych państwach, gdzie rozważano umożliwienie firmom takich działań. Punkt ten może stanowić więc odpowiedź pośrednią na propozycje w USA (1, 2), gdzie się o tym mówiło dość bezpośrednio.

Odpowiedzialność

Punkt raczej kontrowersyjny i ciekawy. Francja najwyraźniej sugeruje chęć przekazania odpowiedzialności firmom produkującym i dostarczającym sprzęt i oprogramowanie.

Innymi słowy, firmy miałyby być odpowiedzialne za bezpieczeństwo produktów które oferują na rynku. Tak długo, jak są one dostępne komercyjnie. Strategia wymienia tu, że jedną z możliwości byłoby np. wymuszenie publikacji dokumentacji i kodu źródłowego w przypadku gdy jakiś system już nie byłby wspierany. To będzie interesujące. Problem do podniesienia na szczeblu międzynarodowym.

Gorąca linia

Zidentifykowano kluczowych graczy w cyber-grze. Są m.in. Wielka Brytania, Chiny, Rosja, USA. Dokument wskazuje na konieczność ustanowienia kanałów komunikacyjnych. Chodzi o zabezpieczenie przed ryzykiem destabilizujących działań oraz następstw po takich niewymienionych z nazwy zdarzeniach.

Cyberatak zwrotny, po francusku

Jeden z aneksów tego dokumentu strategicznego rozważa akcje zwrotne, w odpowiedzi na cyberatak. Dokument oczywiście stwierdza, że wszelkie odpowiedzi to ostateczność i można je rozważać jedynie gdy inne próby zawiodą (np. prewencja, współpraca, czy negocjacje).

Podkreśla, że w uzasadnionych przypadkach możliwość odpowiedzi nas cyberataki może nastąpić metodami zarówno “cyber”, jak i “nie-cyber”. Cyberatak dużej skali mógłby być bowiem interpretowany jak zbrojna agresja. W tym kontekście przywoływany jest Artykuł 51 Karty Narodów Zjednoczonych. Zwracam uwagę na fakt, że to umocowanie prawne wskazujące na legalność odpowiedzi wyraźnie zaznaczono. Bardzo ciekawy sygnał.

Artykuł zaadaptowałem z mojego bloga anglojęzycznego.