Podejście państwa do działań w cyberprzestrzeni to temat rzeka i przedmiot dyskusji zarówno na poziomie politycznym i akademickim. Tym bardziej interesujące jest, jak różne państwa rozwijają swoje doktryny i mierzą się choćby z problemem tego, jak reagować na incydenty, jak traktować te których źródłem jest działalność przestępcza, a jak te będące efektem działań grup sponsorowanych przez inne państwa. W zakresie państw Europy jednym z bardziej interesujących przykładów próby kompleksowego podejścia do tematu i formalizacji doktryny jest Francja. W styczniu 2019 roku bowiem ogłoszona została doktryna ofensywnych i defensywnych operacji cyber, a w październiku 2021 roku doktryna cyber operacji wpływu. Przyjrzymy się więc temu jak dokumenty te kształtują podejście do działań w cyberprzestrzeni i jak wpływają na funkcjonowanie poszczególnych agencji.
Zacznijmy więc od dokumentów z 2019 roku czyli Publicznych Elementów Doktryny Operacji Cyber. Dokument ten formalizował operacje cyber jako część działań francuskich sił zbrojnych, stwierdzając, że Ministerstwo Sił Zbrojnych posiada zdolności i doktrynę użycia ofensywnych operacji cyber związanych z zadaniami sił zbrojnych. Zaczynając od preambuły możemy przyjrzeć się motywacji powstania polityki. Dokument sytuuje zdolności te na równi z innymi elementami systemu obronności, wymieniając je w jednym ciągu z siłami konwencjonalnym i atomowymi. Dalej wskazuje się na konieczność realizowania przez Francję zobowiązań w zakresie porządku międzynarodowego i rolę Ministerstwa Sił Zbrojnych w sytuacji geopolitycznej, w której coraz częściej występują sytuację kryzysowe, zagrożenia terrorystyczne, konwencjonalne i hybrydowe. Jako konkretne przykłady zagrożeń wskazane są natomiast ataki cyber przeciwko Estonii w 2007 roku, ataki na ukraińskie sieci energetyczne, atak na stację telewizyjną TV5 Monda i efekty Wannacry i NotPetyi. Dalej podkreślona zostaje rola cyber operacji jako coraz częstszego narzędzia oddziaływania w konfliktach i kryzysach oraz związanego z tym rosnącego znaczenia działań hybrydowych i asymetrycznych. Warto też cofnąć się na chwilę do 2017 roku kiedy to zostało utworzone COMCYBER – dowództwo cyber obrony. W preambule doktryny, znajdziemy bowiem stwierdzenie, że komponent ten jest odpowiedzialny za działania ofensywne i defensywne w cyberprzestrzeni zapewniające prawidłowe działanie ministerstwa i efektywność sił zbrojnych.
Przechodząc do treści dokumentu, już sam początek wskazuje na pozycję zdolności cyber wśród innych możliwości wojskowych. Doktryna stwierdza bowiem, że zdolności prowadzenia defensywnych i ofensywnych działań w cyberprzestrzeni są częścią gwarancji suwerenności państwa poprzez zapewnianie przewagi operacyjnej w rejonach działań sił zbrojnych i zapewnianie im ochrony informatycznej. Doktryna wskazuje na trzy najważniejsze założenia operacji cyber:
Po pierwsze, ofensywne operacje w cyberprzestrzeni obejmują wszystkie działania, uwzględniając te prowadzone wyłącznie w wymiarze cyber jak i w połączeniu z siłami konwencjonalnymi. Co ważne, wskazana jest tutaj również definicja założeń „cyber broni” (l’arme cyber) – ma ona w sposób zgodny z prawem międzynarodowym wywoływać skutki przeciwko wrogim systemom w zakresie dostępności i poufności danych. Dalej opisane zostają trzy wymiary operacji cyber:
- Warstwa fizyczna – obejmująca sprzęt komputerowy i sieciowy, istniejący fizycznie i w spektrum elektromagnetycznym – jak komputery, routery, przewody, łącza satelitarne.
- Warstwa logiczna – składająca się z danych przechowywanych w formie cyfrowej, procesów i narzędzi służących ich zarządzaniu i wymianie i zapewniających określoną funkcjonalność. Jako przykłady wskazane są tutaj pilik, protokoły, aplikacje.
- Warstwa semantyczna i społeczna – informacje będące wymieniane w cyberprzestrzeni i tożsamości osób operujących tam. Twórcy wskazują tutaj na cyfrowy wymiar istnienia jako osoba w serwisach wymiany informacji i podają pseudonimy, adresy email, adresy IP, blogi jako przykłady tej warstwy.
Doktryna zwraca również uwagę na czasowy aspekt operacji, zauważając, że o ile efekty mogą być wywołane błyskawicznie, to przygotowanie i integracja operacji z innymi formami działań może trwać bardzo długo ze względu na konieczność długiego i precyzyjnego planowania. W zakresie efektów operacji podkreślane są dwa punkty. Z jednej strony możliwość wywołania zarówno materialnych (jak neutralizacja systemów uzbrojenia) oraz niematerialnych (zbieranie danych wywiadowczych) skutków. Z drugiej natomiast, rola elementów cyber w kompleksowym zwiększaniu efektywności sił zbrojnych jako całości i jak najszerszego wykorzystania tego jak w dużym stopniu połączone sieciowo są systemy wojskowe.
Jak widać, Francja traktuje operacje cyber w bardzo kompleksowy sposób, wskazując również na warstwę wymiany informacji, a nawet konkretnych tożsamości osób w internecie. Dodatkowo, podkreślanie roli efektywności sił zbrojnych jako całości świadczy o woli głębokiej integracji i ograniczenia „silosowania” operacji rozdzielającego siły konwencjonalne i jednostki cyber. O tym zresztą szerzej mówi drugi z głównych punktów.
Drugi punkt jest poświęcony bowiem celowi operacji cyber jako środkowi zapewniania przewagi wojskowej w cyberprzestrzeni. Znajdziemy tutaj wskazanie na rolę jaką mogą pełnić działania cyber – od wspomagania oceny zdolności i świadomości sytuacyjnej, poprzez ograniczanie i neutralizacje wrogich zdolności wojskowych, aż do wprowadzania w błąd wrogich sił poprzez modyfikacje danych dostępnych przeciwnikowi. Doktryna wspomina również o roli środków cyber jako niezależnych działań, jak i komplementarnych do innych operacji innych rodzajów sił zbrojnych. Podkreślone jest tutaj, że cele mogą być osiągalne poprzez połączenie z internetem czy inną siecią więc nie jest konieczny fizyczny kontakt do osiągnięcia celów. A dalej, że operacje mogą wspierać działania defensywne jeżeli wrogie operacje są skierowane przeciwko systemom sił zbrojnych poprzez zatrzymanie ataku, bądź co warte uwagi, skierowanie ataku przeciwko celom bez wartości. Francja uznaję więc cały wachlarz dostępnych działań od zmylenia napastnika po aktywne zakłócanie ich operacji za równorzędne. Jak więc widzimy, nacisk na skutki operacji i ich rolę we wspieraniu całości sił zbrojnych przewija się przez cały dokument.
W końcu trzeci punkt dotyczy organizacji jednostek odpowiedzialnych za operacje cyber i łańcucha dowodzenia w tym zakresie. Doktryna mówi o wspominanym już COMCYBER jako odpowiedzialnego za planowanie koordynację działań na mocy urzędu Prezydenta Republiki i decyzji Szefa Sztabu Sił Zbrojnych. Rola ta ma zapewnić sprawną współpracę w planowaniu i prowadzaniu operacji z poszczególnymi jednostkami i rodzajami sił zbrojnych, a także agencjami wywiadowczymi. Dodatkowo COMCYBER ma nawiązywać i rozwijać współpracę z siłami sojuszniczymi. Następnie wskazywane są cele operacji cyber w wymiarze taktycznym i strategicznym. Jako przykłady działań na poziomie taktycznym wskazane są:
- Dostarczanie informacji o bezpośrednim i natychmiastowy znaczeniu dla działań sił zbrojnych.
- Neutralizacja systemów uzbrojenia bądź ośrodka dowódczego.
- Zmiana danych we wrogim systemie dowodzenia.
I odpowiedniki tych działań na poziomie strategicznym:
- Pozyskiwanie informacji dla przygotowania operacji bądź rozwijania zdolności.
- Neutralizacja wrogich zdolności jak działania propagandowe czy neutralizacja systemu dowodzenia na poziomie strategicznym
- Zakłócenie działania wrogich ośrodków propagandy.
W końcu doktryna podkreśla konieczność prowadzenia operacji przez wyspecjalizowane jednostki, których umiejętności zapewniają powodzenie wysoce złozonych działań.
Kolejna część dokumentu opisuje metody zarządzania ryzykiem związanym z działaniami cyber. Operacje te zrównane są tutaj z działaniami konwencjonalnymi, co przekłada się na konieczność oceny proporcjonalności, jus in bello, efektywności i kontekstu politycznego. W szczególności, zdaniem autorów zagrożenia związane z operacjami cyber wynikają z natychmiastowości wywoływanych skutków, dwojakiej naturze celów i stopniu informatyzacji współczesnej infrastruktury. Dwa ostatnie punkty szczególnie podkreślane są w doktrynie, która mówi o konieczności dokładnego monitorowania skutków operacji i unikania szkód ubocznych w kontekście tego, że operacja może wywołać skutki poza zakładanymi celami. Wynika to z konieczności uwzględnienia nieznanych zmiennych w zakresie konfiguracji i połączenia z innymi systemami atakowanych celów. Tak samo, dokument wskazuje na możliwość wycieku narzędzi służących do działań ofensywnych, które jak to bywa z oprogramowaniem, mogą zostać skopiowane lub odtworzone na podstawie przechwyconych artefaktów. Zwraca on również uwagę na asymetryczny wymiar działań i proporcjonalnie większą podatność dużych państw o wysoce zinformatyzowanej gospodarce. Dlatego też, należy uwzględniać zagrożenie związane z możliwością eskalacji ze strony podmiotu o mniejszej powierzchni ataku, a więc ponoszącego mniejsze ryzyko. W końcu bardzo ważny punkt wieńczy tę część doktryny – zastrzeżenie co do poufnego charakteru operacji. Wszystkie operacje cyber mają mieć co do zasady tajny charakter, aby zapewnić ich efektywność i ograniczać ryzyko eskalacji. Decyzja o upublicznieniu działań ma charakter polityczny i może zostać podjęta przez organy polityczne i wojskowe na podstawie oceny okoliczności przemawiających za i przeciw.
Dalej doktryna mówi o konieczność operowania w ramach reżimu prawnego obejmującego prawo krajowe jak i międzynarodowe w tym prawo konfliktów zbrojnych. Dokument wskazuje w szczególności na działania obronne podejmowane w ramach odpowiedzialności Szefa Sztabu Sił Zbrojnych, które podlegają prawu o obronności (code de la defense) i rozporządzeniom premiera w zakresie ich stosowania. Francja zobowiązuje się również wspierać odpowiedzialne praktyki stosowania działań w cyberprzestrzeni w celu zapewnienia stabilności i zapobiegania konfliktom, a także budowaniu praktyki prawa międzynarodowego w tym zakresie.
W kolejnym punkcie dokument wspomina o roli Francji w NATO i partnerstwie w Europie związanym z zapewnianiem bezpieczeństwa cyberprzestrzeni, w którym odwołuje się do zobowiązania państw NATO z 2016 w zakresie wzmacniania zdolności do obrony przed cyberatakami. Rozwijanie francuskich możliwości w zakresie operowania w cyberprzestrzeni ma więc służyć również wzmacnianiu obrony kolektywnej, przy zastrzeżeniu krajowej kontroli nad ostatecznym kształtem stosowania operacji.
Ostatnim punktem doktryny jest zaznaczenie dalszego kierunku działań. Wskazanych jest tutaj pięć głównych wyzywań:
- Zwiększenie tempa rozwijania zdolności obronnych sił zbrojnych w zakresie zwalczania operacji cyber,
- kształtowanie polityki kadrowej umożliwiającej pozyskanie personelu o odpowiednich kwalifikacjach do tworzenia i wdrażania nowych możliwości,
- prowadzenie ćwiczeń w zakresie stosowania operacji cyber w kontekście działań zbrojnych i operacji połączonych rodzajów siłę zbrojnych,
- przystosowanie możliwości pozyskiwania zdolności do tempa rozwoju technologii informatycznych,
- współpraca z partnerami, z naciskiem na Europę, w zakresie działań sojuszniczych.
Jak więc widzimy Francja sytuuje operacje cyber jako zintegrowaną cześć możliwość sił zbrojnych, podkreślających ich rolę zarówno pomocniczą jak i możliwość samodzielnej realizacji celów. W kontekście organizacji jednostek odpowiedzialnych za prowadzenie operacji warto zauważyć wyraźny podział na część ofensywną i defensywną. O ile COMCYBER ma w swoich zadaniach również operacje obronne zapewniające bezpieczeństwo sił zbrojnych, to nie znajdziemy tutaj agencji, która podobnie jak amerykańskie NSA czy brytyjskie GCHQ miałaby w swoich strukturach departamenty odpowiedzialne za ofensywę i wspomaganie obrony na poziomie cywilnej infrastruktury państwa. ANSSI czyli krajowy podmiot odpowiedzialny za cyberbezpieczeństwo nie jest częścią społeczności wywiadu Francji, zachowując zakres zadań skupiony ściśle wobec działań obronnych. Podkreślenie dyskrecji i tajności operacji jest widoczne również w preferencji innego modelu wyciągania odpowiedzialności niż charakterystyczne choćby dla USA bezpośrednie wskazywanie sprawców. Francja unika publicznej atrybucji, jednak podejście to nie ma bezwzględnego charakteru. ANSSI nie wskazywała konkretnych jednostek wojskowych czy wywiadowczych odpowiedzialnych za ataki jednak przypisywała działania do grup aktywności, co biorąc pod uwagę atrybucje przez inne podmioty może być odczytywane jako element sygnalizacji, że Francja jest świadoma tego kto stoi za atakami. Z drugiej jednak strony, nie znajdziemy publicznego przyznania się do przeprowadzenia operacji ofensywnych jakie widzieliśmy choćby w czerwcu ze strony Stanów w związku z wojną w Ukrainie. A w kontekście wysyłania sygnałów nie sposób też nie wspomnieć o publicznej deklaracji Florence Parly, która do niedawna przewodziła Ministerstwu Sił Zbrojnych, i która powiedziała, że Francja jest w stanie zidentyfikować sprawców ataków i nie boi się używać środków ofensywnych do działań odwetowych. Stanowisko to wyraźnie wpisuje się w określony w doktrynie zakres użycia operacji cyber uwzględniający zarówno wspierające jak i samodzielne działania.
Współdziałanie, efektywność, odpowiedzialność. Te trzy słowa najlepiej chyba charakteryzują doktrynę operacji cyber którą przyjęła Francja. Podkreślane wciąż miejsce takich działań jako części arsenału środków sił zbrojnych, nacisk na współpracę na arenie międzynarodowej i rozgraniczenie odpowiedzialności za poszczególne elementy systemu cyberbezpieczeństwa to filary, które definiują podejście do funkcjonowania i przyszłości komponentów cyber tego kraju. Jak jednak zaznaczyłem we wstępie, Francja zdefiniowała również swoje doktryny w zakresie operacji obronnych i informacyjnych, o czym zapewne niebawem na counterintellignce.pl.