Rola Polski w budowaniu cyberbezpieczeństwa NATO

Geneza zainteresowania NATO cyberbezpieczeństwem sięga 2002 r. i Szczytu w Pradze. Wcześniejsze doświadczenia z Bałkanów i zamachy terrorystyczne z 2001 r. pokazały, że bezpieczeństwu państw Sojuszu grożą nie tylko konwencjonalne niebezpieczeństwa, ale, także nowe wyzwania, na czele z cyberzagrożeniami.

Prawdziwy przełom nadszedł jednak w wyniku zmasowanych cyberataków  z 2007 r. w Estonii i z 2008 r. w Gruzji. W związku z estońskimi wydarzeniami rozważano nawet uruchomienie artykułu 5 traktatu waszyngtońskiego o zbiorowej obronie. Choć ostatecznie nie zdecydowano się na takie działania, od tej pory kwestie związane z cyberbezpieczeństwem stały się jednym z najważniejszych działań Sojuszu. Z tego względu w nowej Koncepcji Strategicznej NATO z 2010 r., cyberbezpieczeństwo zostało wymienione jako jedno z podstawowych wyzwań dla organizacji. W 2011 r. zaakceptowana została nowa, zaktualizowana Polityka Cyberobrony i Plan Działań – dokumenty stanowiące wykładnię tego jak NATO zamierza walczyć cyberzagrożeniami.

Na przestrzeni lat Sojusz aktywnie rozwijał swoje zdolności w zakresie cyberdziałań i trend ten trwa nadal. Wspomniane wcześniej, tegoroczne - czerwcowe spotkanie ministrów obrony narodowej, wniosło znaczący wkład w te wysiłki. Zapadła na nim decyzja o powołaniu do życia Grup Szybkiego Reagowania na ataki z cyberprzestrzeni. W związku z rozpoczynającym się we wtorek spotkaniem polska delegacja powinna wspierać politykę dalszego zwiększenia cyberbezpieczeństwa NATO, co przełoży się na większe bezpieczeństwo i naszego kraju.

Po pierwsze, należy zauważyć, że NATO, w odróżnieniu od innych międzynarodowych organizacji takich jak np. UE, skupia się wyłącznie na tych rodzajach cyberzagrożeń, które w istotny sposób mogą zaszkodzić bezpieczeństwu poszczególnych państw. Sednem zainteresowań są zatem cyberwojna i cyberterroryzm, natomiast inne problemy jak np. zarządzanie internetem czy cyberprzestępstwa nie są przedmiotem zaangażowania Sojuszu. Specyfika ta wynika z polityczno – militarnego charakteru organizacji, której głównym celem jest zapewnianie twardego bezpieczeństwa państw do niej należących. W interesie Polski jest zatem, aby cyberbezpieczeństwo na stałe stało się jednym z najważniejszych elementów wspólnej obrony państw Sojuszu.

Potrzebne są także konkretne rozwiązania i praktyczne instrumenty, za pomocą których NATO realnie wzmocni cyberbezpieczeństwo swoich członków - Grupy Szybkiego Reagowania stanowią dobry przykład. Jednak i w tym przypadku wiele zależeć będzie od decyzji politycznych, bowiem wokół kwestii wykorzystania owych Grup zauważalna jest znacząca różnica poglądów. Według jednej z rozważanych opcji zadaniem jednostek Szybkiego Reagowania winna być wyłącznie obrona systemów samej organizacji, według drugiej w przyszłości należy zaprogramować ich cele także w odniesieniu do potrzeb pojedynczych państw znajdujących się w niebezpieczeństwie. Polska winna wspierać tę drugą możliwość, tak abyśmy mogli liczyć na pomoc sojuszników w razie ataku.

Kolejną cechą charakterystyczną polityki NATO w odniesieniu do cyberprzestrzeni jest wyraźny podział zadań: Sojusz skupia się głównie na zabezpieczeniu swoich własnych systemów teleinformatycznych, a za narodowe cyberbezpieczeństwo odpowiedzialne są państwa członkowskie. Jednocześnie obecnie obowiązująca wykładnia mówi, że w razie poważnego cyberataku na któregokolwiek z członków, decyzja o uruchomieniu artykułu 5 każdorazowo podejmowana będzie przez Radę Północnoatlantycką. Polska powinna mobilizować Sojusz do czytelnej deklaracji mówiącej, że NATO nie zawaha się skorzystać z zasady „trzech muszkieterów” w razie gdy cyberatak będzie miał znaczące konsekwencje dla bezpieczeństwa zaatakowanego. Wizja zdecydowanych działań NATO w sytuacji cyberataku ma szansę stać się ważnym narzędziem odstraszającym potencjalnych agresorów. Obok możliwości uruchomienia artykułu 5, równie istotnym instrumentem jest artykuł 4 traktatu. Odnosi się on do wsparcia w postaci m.in. koordynacji wysiłków oraz mechanizmów konsultacji. W interesie Polski jest wzmacnianie stanowiska, w ramach którego elastycznie można podjąć decyzję o formie zaangażowania Sojuszu w pomoc jego członkom.

Konieczne jest także podjęcie decyzji o tym w jakim kształcie podejmowane powinny być potencjalne działania odwetowe. Czy powinny one ograniczać się do akcji podejmowanych w cyberprzestrzeni, czy powinno się rozważać użycie działań kinetycznych? Z punktu widzenia Polski silniejsze zaangażowanie Sojuszu idzie w parze z naszym większym bezpieczeństwem. Jednocześnie decyzja o przeprowadzeniu uderzenia wiąże się z koniecznością rozwiązania problemu atrybucji działań w cyberprzestrzeni.

Dotychczas NATO wyraźnie skupia się na budowaniu swoich defensywnych zdolności. W interesie Polski leży zatem także zapoczątkowanie dyskusji o budowaniu potencjału ofensywnego. Skuteczna obrona to fundament wszelkich działań, jednak możliwość dokonania ataku na potencjalnego rywala w niedalekiej przyszłości stanie się koniecznością.

Istotne jest także wypracowanie synergii między działaniami w zakresie cyberbezpieczeństwa między UE a NATO. W grudniu br. będzie miało miejsce posiedzenie Rady Europejskiej poświęcone Wspólnej Polityce Bezpieczeństwa i Obrony. Na tym spotkaniu zapaść powinny istotne decyzje związane z działaniami UE w dziedzinie bezpieczeństwa – także związanego z cyberprzestrzenią. Ostatnio UE przedstawiła m.in. unijną strategię bezpieczeństwa cybernetycznego oraz propozycję dyrektywy w sprawie bezpieczeństwa sieci i informacji. Wszystko to pokazuje wzrastające zaangażowanie tej organizacji w obszarze cyberbezpieczeństwa. NATO powinno opracować strategię współpracy z UE w tematach, gdzie ich pola aktywności mogą być zbieżne. Celem powinno być także uniknięcie duplikacji działań. Przedmiotem rozmów powinna być także wizja podziału ról, odpowiedzialności jak i wzajemnego uzupełniania. Polska powinna odgrywać aktywną rolę w tym zakresie, tym bardziej, że na grudniowym spotkaniu mamy szansę stać się liderem dyskusji o europejskim systemie bezpieczeństwa.

Dodatkowo, podjęcie skutecznych działań przez obie organizacje jest szczególnie ważne w obliczu zintensyfikowanych działań konkurencyjnych podmiotów. Przykładem może być tutaj wzrastające zaangażowanie Szanghajskiej Organizacji Współpracy w kwestie bezpieczeństwa informacyjnego. UE i NATO powinny mieć większe ambicje niż dotrzymywanie innym kroku.

W końcu, w czasach kiedy wydatki na obronę są ograniczane, a cyberbezpieczeństwo wciąż nie jest traktowane przez wiele państw jako priorytet, włączenie tego działania jako elementu polityki Smart Defence ma szansę zwiększyć potencjał obronny członków. Ważnym instrumentem rozwiązującym problem braków finansowych ma szansę stać się współpraca międzynarodowa oraz specjalizacja krajów w wybranych elementach zapewniania cyberbezpieczeństwa – co leży u podstaw założeń polityki „inteligentnej obrony”. Polska mogłaby zapoczątkować rozmowy, np. w ramach państw Grupy Wyszehradzkiej, w zakresie stworzenia bloku państw wspólnie uzupełniających się w wysiłkach zmierzających do zapewniania cyberbezpieczeństwa.

Wdrożenie w życie powyższych rekomendacji ma szansę spełnić dwojakie cele. Po pierwsze, wpłynąć na wzmocnienie bezpieczeństwa Sojuszu, a po drugie, zrealizować narodowe interesy Polski. Nasz kraj aktualnie nie jest sam w stanie w pełni zagwarantować sobie maksymalnego poziomu cyberbezpieczeństwa. Warto skorzystać z możliwości jakie daje członkowstwo w NATO, aby możliwie najlepiej zniwelować nasze słabości. Nadchodzące spotkanie ministrów jest jedną z okazji, aby powyższy postulat wcielić w życie.

Joanna Świątkowska - ekspert Instytutu Kościuszki w zakresie bezpieczeństwa i obrony, koordynatorka projektu Cel: Cyberbezpieczeństwo. Autorka licznych artykułów i analiz dotyczących bezpieczeństwa oraz stosunków międzynarodowych.