Artykuł został opublikowany przez Tagesspiegel Background Cybersecurity: https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/nordics-under-attack-wie-skandinavien-auf-den-cyberkrieg-reagiert

Annegret Bendiek

Rosyjski atak na Ukrainę zwiększył zagrożenia cybernetyczne dla krajów nordyckich. Mimo masowych ataków często nie przypisuje się ich Rosji. Dlaczego kraje skandynawskie zachowują powściągliwość, a kraje bałtyckie działają bardziej agresywnie? Przyjrzyjmy się strategiom i wyzwaniom.

Rosyjska inwazja na Ukrainę 24 lutego 2022 r. doprowadziła do zakrojonych na szeroką skalę ataków na sieci i infrastrukturę cyfrową. Nie tylko Ukraina jest narażona na coraz częstsze ataki cybernetyczne od lutego – kraje skandynawskie (Islandia, Dania, Norwegia, Szwecja i Finlandia) również musiały przygotować się na nowy scenariusz zagrożenia w postaci rosyjskich ataków online i offline. Państwa skandynawskie zaliczają się do grupy krajów nordyckich: łączą je podobieństwa historyczne i geograficzne, a także takie same poglądy na politykę obronną, dotyczące tego, w jaki sposób ich społeczeństwa i systemy polityczne powinny reagować na złożone wyzwania zewnętrzne. Częścią strategii „Total Defence” jest proaktywne przygotowanie ludności i instytucji rządowych na wypadek konfliktu zbrojnego lub katastrofy: kraje nordyckie chcą również przeciwdziałać cyberatakom.

Całkowita obrona

Spektrum wyzwań polityki bezpieczeństwa jest szerokie: operacje informacyjne, zagłuszanie sygnału GPS na granicach, sabotaż, taki jak incydenty z kablami podmorskimi w 2023 i 2024 r., a także szpiegostwo polityczne i gospodarcze – ten ostatni dotyczy w szczególności zaawansowanych technologii informatycznych, technologii offshore i czystych technologii w sektorze energetycznym. Tę listę można by ciągnąć w nieskończoność. Jeśli prześledzimy zbiór danych EuRepoC  stanie się oczywiste, jak konflikty offline i online wzajemnie się wzmacniają.

Działania podejmowane przez CCDCOE, Stratcom w Europejskiej Służbie Działań Zewnętrznych UE oraz Hybrid CoE, dwustronne i wielostronne ćwiczenia wojskowe ze Stanami Zjednoczonymi, a także zwiększona obecność USA (na przykład bombowce B-52 i samoloty rozpoznawcze w pobliżu granicy fińsko-rosyjskiej) to wszystko inicjatywy, za pomocą których kraje nordyckie starają się wzmocnić swoją politykę bezpieczeństwa i ogólną odporność społeczeństwa. Okreslenie „Total Defence” podkreśla również gotowość na nieoczekiwane zdarzenia – w tym ataki cybernetyczne.

Tym bardziej zaskakujący jest fakt, że według danych EuRepoC kraje nordyckie są wyjątkowo niechętne do przypisywania odpowiedzialności za ataki. Niezależnie od problemu dylematu atrybucji, jest to interesujące, ponieważ poznano wiele informacji na temat poważnych ataków cybernetycznych.

Co stało się wiadome na temat cyberataków

Cyberatak na infrastrukturę krytyczną Danii, który wyszedł na jaw w 2023 r., był niezwykle trudny do wyśledzenia. W trakcie skoordynowanego ataku ominięto zaporę sieciową Zyxel i wykorzystano ją przeciwko innym celom w miarę postępu ataku. Atakujący obrócili własną sieć bezpieczeństwa firmy przeciwko samym firmom. Dane zebrane w EuRepoC pokazują, że Szwecja jest głównym celem cyberataków, zarówno pod względem wielkości, jak i intensywności. Ponadto kraje takie jak Norwegia i Dania stanowią dobre przykłady infrastruktury krytycznej stanowiącej atrakcyjny cel dla podmiotów stanowiących zagrożenie.

Chociaż świadomość społeczeństwa na temat cyberataków wzrosła w ostatnich latach, już w 2014 r. około 300 norweskich spółek naftowych padło ofiarą szeroko zakrojonego cyberataku. Podobnie jak w przypadku ataku na Danię, o którym wspomniano powyżej, opublikowano bardzo niewiele informacji na jego temat i nie podano żadnego ich źródła. Dopiero dzięki pracy dostawców usług informatycznych trop zaczął wskazywać na rosyjskich aktorów, takich jak Sandworm – grupę hakerów przypisywaną rosyjskiemu wywiadowi GRU. Tego rodzaju podmioty wielokrotnie biorą udział w cyberatakach na kraje nordyckie i ze względu na skalę przeprowadzanych przez nie ataków określa się je mianem zaawansowanego trwałego zagrożenia (ang. Advanced Persistent Threat, APT).

Co wiadomo o napastnikach

Szczególny przykład można znaleźć w kolektywie hakerów o nazwie „Akira”. Według badań WDR jest to następca grupy „Conti”, która również charakteryzuje się wykorzystaniem oprogramowania ransomware. Uderzające jest jednak to, że ataki Akiry zawsze pomijały podmioty rosyjskie i ich sojuszników. Oprócz „Akiry”, profesjonalne podejście grupy „Killnet” w szczególności ilustruje, dlaczego przypisywanie aktorów jest trudnym zadaniem.

Wiosną 2023 roku w Szwecji doszło do szeroko zakrojonego ataku na witryny korporacyjne. Odpowiedzialny aktor, „Storm-1359”, znany również jako „Anonymous Sudan”, został zdemaskowany w toku śledztwa jako podgrupa znanego prorosyjskiego kolektywu „Killnet”. Mimo to „Anonimowy Sudan” twierdzi, że walczy niezależnie od Sudanu z powodów politycznych i religijnych. Tego rodzaju kampanie pod fałszywą flagą znacznie utrudniają identyfikację sprawców i dają sprawcom cyberataków okresy ukrycia.

Dlaczego kraje nordyckie nadal zachowują powściągliwość?

Szwecja i Finlandia wzmocniły swoje zdolności obronne poprzez przystąpienie do NATO. Przystąpienie Danii do Wspólnej Polityki Bezpieczeństwa i Obrony UE świadczy również o nowej gotowości do zaangażowania się w politykę obronną. Dania na przykład zobowiązała się do szkolenia ukraińskich pilotów. Inicjatywy te narażają kraje nordyckie na ataki cybernetyczne ze strony Rosji. Tym bardziej zdumiewający jest fakt, że Norwegia i Dania prawie wcale lub wcale nie przyznają się do ataków ze strony państwa rosyjskiego.

Dostawcy usług informatycznych i ofiary cyberataków często wkraczają w tę próżnię i sami publikują informacje o tych incydentach. Na przykład w Danii około 35 procent wszystkich przypisań pochodziło z sektora prywatnego, podczas gdy tylko około dziewięć procent zostało przypisanych do sektora politycznego. W przeszłości niekiedy mijały lata, zanim publicznie przypisano sprawców ataku. Jednakże dotyczy to również wielu innych krajów UE w takim samym stopniu.

Opór przed przypisaniem komuś odpowiedzialności ma konsekwencje dla ścigania lub nieścigania takich przestępstw. Przykładowo, rzadko stosowano środki dyplomatyczne w celu ukarania grup sprawców lub członków rządu po cyberatakach. Mimo takiego narażenia kraje nordyckie są dalekie od polityki zerowej tolerancji. Niepodważalnym faktem pozostaje również to, że od czasu rosyjskiej inwazji na Ukrainę zagrożenie atakami cybernetycznymi stale rośnie, a dowody na polityczne podłoże aktywnej działalności APTS przeciwko krajom nordyckim są coraz liczniejsze.

Możliwe wyjaśnienia powściągliwego przypisywania

Aż do wybuchu wojny na Ukrainie w lutym 2022 r. Szwecja i Finlandia kierowały się środkami budowy zaufania i bezpieczeństwa w ramach odpowiednich organizacji wielostronnych. Uważały, że należy unikać jakichkolwiek bezpośrednich konfliktów. To właśnie powiązania gospodarcze między krajami nordyckimi a Rosją, zwłaszcza w sektorze handlu, stworzyły ogromną dźwignię i zwiększyły potencjał polityki gospodarczej w stosunkach dwustronnych, co miało przyćmić napięcia międzypaństwowe. Bliskość geograficzna Rosji podkreśla ambicje zachowania neutralności. Pragnienie neutralności jest głęboko zakorzenione w historii i wyjaśnia późne przystąpienie do NATO. Warto wspomnieć o tym, że decydującą rolę w cyberwojnie odgrywa technologiczna przewaga Rosji.

Jednakże dylematu atrybucji nie da się przezwyciężyć w ten sposób, ponieważ reakcja polityczna i prawna albo nie istnieje, albo jest opóźniona. Bez jasnego określenia sprawcy, państwa szczególnie narażone na ataki często wahają się, obawiając się nałożenia sankcji na niewłaściwe osoby. Istnieje ryzyko eskalacji , którego nie należy lekceważyć, jeśli błędnie przypisane ataki doprowadzą do nowych wrogich działań między państwami niezaangażowanymi.

Niemniej jednak bezkarność w cyberprzestrzeni i przestrzeni informacyjnej jest poważnym problemem, masowo wykorzystywanym przez atakujących. Sankcje nie mają efektu odstraszającego. Europejczycy jako całość wciąż są daleko od przyjęcia strategii zerowej tolerancji, egzekwowania prawa międzynarodowego i żądania należytej staranności.

Państwa bałtyckie realizują inną strategię

W przeciwieństwie do krajów nordyckich, państwa bałtyckie pokazują, w jaki sposób realizowane są strategie ofensywne przeciwko APT. Szczególnie Estonia i Litwa są uważane za pionierów aktywnego cyberbezpieczeństwa ze względu na doświadczenie w walce z zagrożeniami hybrydowymi i położenie geopolityczne. Estonia wykorzystuje technologię blockchain do ochrony baz danych rządowych przed manipulacjami. W tym celu utworzono Jednostkę Cyberobrony, platformę mobilizującą wolontariuszy-ekspertów IT w razie sytuacji kryzysowych.

Litwa uzupełnia to scentralizowanym Narodowym Centrum Cyberbezpieczeństwa (NCSC), które umożliwia szybką reakcję i skoordynowane decyzje. Przedsiębiorstwa biorą udział w atrybucji cyberataków już na wczesnym etapie: Litwa polega na przedsiębiorstwach w 40 proc. przypadków, Estonia w 24 proc., a Łotwa w 36 proc. Duże ćwiczenia cybernetyczne, takie jak estońskie „Locked Shields”, podnoszą świadomość cywilną i wojskową w zakresie problemów cyberbezpieczeństwa. Strategiczna centralizacja cyberbezpieczeństwa zapewnia szybsze podejmowanie decyzji politycznych i odporność społeczeństwa.

Podobnie jak państwa bałtyckie, które przekształciły konieczność w cnotę ścisłej współpracy, tak samo kraje nordyckie postawiły sobie za cel praktykowanie ściślejszej wspólnej koordynacji w zakresie atrybucji. Podobnie jak w innych krajach europejskich można zaobserwować odwrócenie się tendencji w przypisywaniu odpowiedzialności: przypisywanie odpowiedzialności odbywa się częściej i szybciej.

W zakresie obrony manewry wojskowe NATO mają na celu ćwiczenie wspólnej obrony. Jednakże ataki cybernetyczne jako element działań wojennych nie były dotychczas brane pod uwagę. Państwa nordyckie i bałtyckie mogą się od siebie uczyć, ale różnice w kulturze strategicznej i interesach odgrywają również rolę w europejskim cyberbezpieczeństwie. To kolejny powód, dla którego nowe kierownictwo UE uznało europejską odporność cybernetyczną i zdolności obronne za priorytet polityczny.

Niniejszy artykuł został napisany przez Paula Brehmego, Antona Funka , Hannesa Herfordta, Roberta Lakeberga, Marie Malik i Nilsa-Petera Stonjeka w ramach seminarium uniwersyteckiego „Europejskie cyberbezpieczeństwo” WS 2024/2025 na Uniwersytecie w Osnabrück pod kierownictwem Annegret Bendiek. Bendiek jest starszym badaczem w grupie badawczej UE/Europa i dyrektorem koordynującym klastra badawczego Cyberbezpieczeństwo i Polityka Cyfrowa w Niemieckim Instytucie Spraw Międzynarodowych i Bezpieczeństwa .