Łukasz Olejnik

Bezpieczeństwo, cyberbezpieczeństwo, prywatność, ochrona danych

Cyberoperacja jako preludium i wstęp do wojny na Ukrainie 2022? Rok później

Ta analiza i ocena dotyczy cyberoperacji i może mieć wartość dla szerszej analizy zagrożeń cyber (cyber threat intelligence).

Lądowa inwazja wojsk rosyjskich na Ukrainę 24.02.2022 była poważną eskalacją. Wydarzenie poprzedziła fala cyberataków, których swoista  kulminacja przypadła na styczeń i luty.

Na samym początku coś co musi poprzedzić ten wpis. Podkreślam, że zbyt wielu decydentów/ekspertów/analityków z Zachodu/UE wykazywało tendencję do pewnego rodzaju przesadnych reakcji, np. w styczniu, ryzykując niezdolność do postrzegania rzeczy we właściwych proporcjach, a tym samym potencjalną utratę sposobów dla proporcjonalnych działań w przyszłości, gdyby sytuacja stała się jeszcze poważniejsza (a niestety, stała się). To powiedziawszy, obecna pomoc humanitarna i wojskowa jest reakcją adekwatną; jednak taka skala działań nie była (przynajmniej publicznie) rozważana na początku 2022 r.; ponieważ jest to inny temat - nie będę go kontynuował. Ten wpis dotyczy jednej, konkretnej cyber operacji z elementem operacji informacyjnej wykorzystującej cyberprzestrzeń, oceny wpływu i potencjalnego oglądu, jaki możemy mieć w przyszłości.

To gdzie jest to preludium do wojny? Jeśli mielibyśmy rozważyć potencjalne powiązanie lub ścieżkę z początkowej próby wymuszenia metodami dyplomatycznymi, w stronę która mogłaby wykorzystać cyberoperację, to musimy wziąć pod uwagę jedno wydarzenie, które miało miejsce 13.01.2022 r., kiedy wiele ukraińskich stron rządowych zostało zhakowanych i zamieszczono na nich tę wiadomość (po rosyjsku, białorusku i polsku).

Cyber operacja z operacją informacyjną


To była operacja informacyjna z wykorzystaniem cyberataku. Element operacji cyber polegał na wykorzystaniu luki w zabezpieczeniach  aby uzyskać dostęp do systemu zarządzania treścią (OctoberCMS, wykorzystujący tę lukę) w celu opublikowania na stronie. Tego wpisu:

"Ukrainiec! Wszystkie Twoje dane osobowe zostały przesłane do wspólnej sieci. Wszystkie dane na komputerze są niszczone, nie można ich odzyskać. Wszystkie informacje o Tobie stały się publiczne, bój się i czekaj na najgorsze. To dla ciebie za twoją przeszłość, teraźniejszość i przyszłość. Za Wołyń, za OUN UPA, Galicję, Polesie i za tereny historyczne”.

To fałszywke i to jest jasne...

Dla Polaka od razu widoczne są wyraźne błędy językowe i gramatyczne w wersji w j. polskim. Tego komunikatu nie pisał Polak. Albo inaczej. Oryginalny tekst wejściowy został napisany w języku, który nie ma gramatycznej struktury wołacza. Takim językiem jest np. język rosyjski.

Autor tej wiadomości zamieszczonej na zhakowanych stronach rządowych użył do stworzenia wersji polskiej tłumaczenia maszynowego. Stąd te oczywiste i na kilometr widoczne błędy w polskiej wersji (ale też nie przeprowadzam tutaj pełnej analizy leksykalnej; nie ma takiej potrzeby). Także sam obraz został zmanipulowany, aby zawierał sztucznie dodane metadane potencjalnie wskazujące na lokalizację (GPS: 52.208630, 21.009427) Sztabu Głównego Sił Zbrojnych RP w Warszawie (ze względów możliwych do wyobrażenia, analiza polskiego wojska wskazuje, że chodzi o parking SGH; formalnie to prawda, no ale przecież nie o to chodzi?).

W żaden sposób takie metadane nie są uwzględniane podczas normalnego tworzenia pliku graficznego (nie było to zdjęcie zrobione smartfonem, kiedy możnaby to dopuścić), więc jest to nieudana próba. Albo jakiegoś rodzaju wiadomość, sygnał. Tego nie wiemy.




Co ciekawe, niektóre duże media, takie jak Financial Times, miały trudności z prawidłowym zważeniem, analizą i postrzeganiem wydarzenia. Zauważyłem to bardzo szybko:

Na podstawie powyższego wpisu odnotowały to też niektóre inne osoby, choć nie zaznaczyły, że obserwacja pochodzi ode mnie. Co nie ma tu większego znaczenia: biorę to  za dobrą monetę, bo najważniejsze jest zupełnie co innego. Co? O tym poniżej.

Zaznaczę wyraźnie, że w pełni rozumiem potrzeby i uzasadnienie mediów, na przykład potrzebę oddania głosu wielu stronom, przedstawiania różnych punktów widzenia. Jednak uwiarygodnienie i udostępnienie dla szerokiego grona odbiorców komunikacji od potencjalnych sprawców jako "strony sporu" (jakiego? to kto jest drugą stroną?), być może pochodzących z wywiadu wojskowego kraju planującego poważną agresję zbrojną brzmi dla mnie nieco ekscentrycznie. Chociaż ja, osobiście, nie jestem dziennikarzem. Jak jednak zaznaczyłem, ja nie jestem tu autorytetem. Poddaję to pod osąd czytelnika.

Mimo to, jednoznacznie, wysłany sygnał w zamieszczonej grafice istotnie dotykał historycznych urazów, resentymentów między Polską a Ukrainą. Twarde i trudne fakty, wydarzenia historyczne. Nie wnikam w to - chodzi mi o coś innego. To powiedziawszy, biorąc pod uwagę fakt, że Polska jest de facto ośrodkiem dystrybucji (hubem) pomocy dla Ukrainy, przez który przepływa pomoc z Zachodu (wojskowa, humanitarian), waga problemu – próba wczesnego zaszczepienia wiadomości negatywnej, być może podziałów, takiego oglądu sprawy, wzmocnienia go – jest oczywista. I należy to ocenić adekwatnie, negatywnie.

Kilkakrotnie zwracałem na to uwagę. Szczęśliwie, powyższa treść została usunięta z tego artykułu. Dobre i to. Lepiej później niż wcale. I w tym miejscu zdecydowanie warto pochwalić redakcję i autorów z Financial Times za tę zmianę.


Jednak w przyszłości konta z dużą liczbą obserwujących lub duże media powinny uważać na takie ryzyko instrumentalizacji w próbach operacji informacyjnych. W tym przypadku być może nawet użycie (zbyt często nadużywanego) terminu „wojna informacyjna” jest w pełni uzasadnione. Na szczęście niektóre inne redakcje światowe były bardziej ostrożne, jak francuski Le Monde.

Ocena, analiza


Późniejsza inwazja lądowa nie była oczywiście „spowodowana”, “wywołana” przez cyberatak.

Ten cyberatak również z pewnością nie był początkiem działań zbrojnej agresji.

Ale gdybyśmy mieli wskazać pojedyncze, jedno wydarzenie związane z działaniem w cyberprzestrzeni, które jest wyraźnie związane z późniejszą inwazją lądową i agresją, byłoby to właśnie to.

Ranga zdarzenia

Jaka jest dotkliwość, wpływ, ranga tego zdarzenia, gdy postrzega się je jako pojedynczą interwencję? W tym miejscu zachęcam do skorzystania z miary  wyjaśnionej we wcześniejszym wpisie, wyjaśniającym model drabiny eskalacji cyber  i oceny opartej na skutkach, choćby dlatego, że jest on obiektywny i oparty na istniejących od (wielu wielu) lat ramach, które wciąż obowiązują.

Biorąc więc pod uwagę poziom rangi cyberataku wg. tego modelu, zdarzenie opisane w tej analizie niewątpliwie zasługuje na ocenę w skali 1 (naruszenie suwerenności) a być może wyższej, skali 2 (ingerencja w sprawy wewnętrzne).

Nie przekracza tego poziomu, nie jest to ewidentnie np. użycie siły. Ogranicza to zakres wszelkich ‘rozsądnych’ reakcji lub działań odwetowych do pojedynczego zdarzenia tego typu. Jak wiemy, później nastąpiła cała inwazja lądowa i agresja. I to pojedyncze wydarzenie może być z nim powiązane.

Interpretacja - podchwytliwa rzecz

Interpretacja tego zdarzenia powinna podkreślić, że cyberataki/cyberoperacje są integralną częścią sztuki rządzenia państwem, zarówno ataku, obrony, jak i sygnalizowania intencji/eskalacji. Trudne jest również ocenienie tego rodzaju zdarzeń i zmierzenie ich wagi, wpływu, konsekwencji. Chociaż powyższe od razu potraktowałbym za poważne i niepokojące zdarzenie, na przykład niektórych innych czynności już nie sklasyfikowałbym z podobną powagą, z wielu powodów.

To także dla nas lekcja innej natury. Całe to wydarzenie uwydatniło brak przygotowania ze strony wielu decydentów, polityków z Zachodu/UE. W tym ich analityków lub asystentów. Wydaje się, że w wielu przypadkach ich wypowiedzi mijały się z celem, niestety.

Co więcej: powyższe, pojedyncze, wydarzenie zostało w dużej mierze pominięte samo w sobie, a skupiono się na „bardziej ogólnym” fakcie “cyberataków”. Niesłusznie.

Jak sobie z tym poradzić, to już nie leży w mojej gestii. Są szanse, że stopniowo będziemy zdobywać kompetencje w tej stosunkowo nowej dziedzinie. Więc problem być może w końcu “sam się rozwiąże”? Miejmy tylko nadzieję, że „w międzyczasie” nie spowoduje to żadnych niezamierzonych problemów.

Ten przypadek oczywiście wymieniłem także w książce Filozofia Cyberbezpieczeństwa. Nie mogłem go pominąć.

Podobała Ci się ocena i analiza? Masz pytania, uwagi, skargi lub oferty zaangażowania? Zapraszam do kontaktu: me@lukaszolejnik.com.


Comments is loading...

Comments is loading...