Łukasz Olejnik

Kryzys czasów przedwojennych

prywatnik -

Jeśli polski premier powiedział, że jesteśmy w czasach przedwojennych, to trzeba zupełnie zmienić myślenie i podejście, także do prawa i polityki. Jak dotychczas, szczęśliwie, żaden cyberatak wobec Polski nigdy nie był szczególnie poważny. To może się jednak zmienić, bo natura takich działań mocno ewoluuje. Mam wrażenie, że pośród opinii publicznej i większości polityków nie ma jeszcze właściwego rozumienia tego problemu (tutaj polecam książkę Filozofia Cyberbezpieczeństwa), nawet jeśli bardzo wiele się zmieniło w ostatnich kilku latach.

Nie możemy już jednak dłużej czekać na nadejście fali, mając świadomość sytuacji. Różnie możemy oceniać wcześniej cytowane słowa premiera (Donalda Tuska), jednak zostały one odebrane w różnych miejscach UE. Mam nadzieję, że zostaną odebrane i zastosowane także w Polsce. Bo diagnoza sytuacji jest trafna.

Czego potrzebujemy? Na początek:

  • USTAWA O CYBERODPORNOŚCI musimy wiedzieć, co robić przed i w trakcie kryzysu, również wojennego. Trzeba ostrożniej podchodzić do niektórych elementów infrastruktury uzależnionych od systemów cyfrowych.
  • ZMIANY W DZIAŁANIU SŁUŻB – potrzeba większej świadomości tematu i zdolności do adekwatnej analizy, nie tylko stawiając stempelek, ale także faktycznie rozumując. Nie zrobi tego, z całym szacunkiem, zespół złożony wyłącznie z prawników albo politologów. Nie mówię, że żaden i nigdy nie powinien być w takim zespole. Chodzi jednak o dywersyfikację wiedzy, kompetencji, doświadczenia i opinii. Obecnie Holandia jest chyba jednym z nielicznych, o ile nie jedynym krajem w Europie, gdzie w ocenie i zatwierdzaniu operacji służb wywiadowczych zaangażowana jest także osoba z odmiennym, nie tylko prawnym doświadczeniem. By nie powiedzieć – technicznym. Tylko w taki sposób można nadzorować także działania cyber.
  • SYSTEMY ŁĄCZNOŚCI – kluczowa rzecz w kryzysie, musi być możliwość połączenia, koordynacji, a nawet – prozaiczna rzecz – informowania o problemie. Ten system (lub jakiś jego komponent w przypadku niektórych fragmentów infrastruktury) nie może być jedynie cyfrowy.
  • ZMIANY W WOJSKACH OBRONY CYBERPRZESTRZENI – potrzeba nadania uprawnień. Chodzi o działania ofensywne (cyberatak), ale także działania w sferze informacyjnej (propagandowej, defensywne i ofensywne). Potrzeba zezwolenia na tworzenie, nabywanie i używanie zdolności ofensywnych. Nie tylko wywiadowczych. To potrzeba pilna.

To na początek, choć zmian potrzeba więcej. Odnoszę wrażenie, że społeczeństwo nie rozumie powagi problemu. Chodzi o kwestie infrastruktury, informacyjne i kognitywne. Ale nie tylko, te słowa klucze są „wyświechtane” i niewiele za sobą niosą. Nie mamy też przed oczami obrazów zniszczeń i to nie daje motywacji do pracy nad poprawą. Problem polega na tym, że niektóre cyberryzyka mogą być wywoływane symultanicznie. Lepiej tego nie doświadczać. To zrozumiałe, że opinia społeczna może nie rozumieć, jak działa technologia i jak kruche to wszystko jest. Ktoś jednak powinien zdawać sobie z tego sprawę. To nie jest coś wartego do poprawek już po katastrofie (dlatego też brak zainteresowania problemem). Uzależniliśmy się od technologii. W przypadku kryzysu naprawdę może być poważny problem. Obrazowo, w jednym z najgorszych scenariuszy po prostu „może przestać działać”. Zamiast powtarzać w kółko o „chmurze” i „AI” trzeba sobie powiedzieć jasno: obecnie Polska (nie tylko!) nie jest gotowa. Warto by to ulegało zmianom i to prędzej niż później.

Warto ucywilizować komunikację. Nie można już dłużej utrzymywać, że zhakowanie agencji prasowej to jakiś wielki cyberatak, skoro wystarczyło przejąć hasło. Że zhakowanie agencji sportowej to jakaś wielka operacja, gdy wewnątrz jej dane do logowania przechowywano sobie w plikach tekstowych. To nie są spektakularne działania, ani w żaden sposób zaawansowana dywersja. Żeby było jasne: nie mówię, że to nie są problemy. Są, ale tak nie wyglądałyby cyber operacje na krótko przed lub w trakcie konfliktu zbrojnego.

Zacząłem od „czasu przedwojennego”, a niektóre z moich zaleceń mogą wydawać się arbitralne. Nie są. Zakładam, że jeśli miałoby (odpukać!) dojść do konfliktu zbrojnego, to nie będzie on wyglądał jak ten na Ukrainie. I to jest niepokojące. Nasza infrastruktura jest zaprojektowana na czas pokoju. Nie da się tego zmienić ani łatwo, ani szybko – problemy, zwłaszcza w wymiarze IT, są dość systemowe. W gruncie rzeczy chodzi też o samowystarczalność, ale to temat na inną okazję.