– Odpowiadamy za bezpieczeństwo sieci resortu obrony narodowej, w której mamy powyżej 100 tysięcy hostów, w kolejnej sieci – 80 tysięcy hostów. Są grupy, które próbują oddziaływać na nasze systemy, są one sponsorowane przez służby specjalne z niekoniecznie przyjaznych nam krajów. W wielu przypadkach, kiedy monitorujemy nasze sieci, tak naprawdę szukamy igły w stogu igieł. Analityka danych jest niezbędna do wyszukiwania anomalii, ale też, aby budować sobie obraz sytuacji. Żeby poznawać techniki, taktyki i procedury, jakimi operują nasi adwersarze – wyjaśnia generał Karol Molenda, dowódca Komponentu Wojsk Obrony Cyberprzestrzeni.

Karol Molenda jest generałem brygady. W 2019 roku został Pełnomocnikiem Ministra Obrony ds. utworzenia Wojsk Obrony Cyberprzestrzeni. DKWOC pełną zdolność bojową ma osiągnąć do końca 2024 roku. Wcześniej Karol Molenda przez 12 lat pracował w Służbie Kontrwywiadu Wojskowego. Za osiągnięcia w zakresie cyberkontrwywiadu otrzymał od Departamentu Obrony USA – The Army Commendation Medal. Generał jest absolwentem Wojskowej Akademii Technicznej (kierunki: elektronika oraz cyberbezpieczeństwo), a także Wyższej Szkoły Menadżerskiej.

Ilu analityków danych pracuje w Komponencie Wojsk Obrony Cyberprzestrzeni?

Liczby nie są tutaj najbardziej istotne, bo w przeciwieństwie do wojsk konwencjonalnych, nie chodzi tylko o liczbę, ale o jakość naszych inżynierów. Nie informujemy szczegółowo, m.in. dlatego, żeby nie skupiać uwagi na tym aspekcie, bo od razu pojawi się pytanie, jaka w takim razie liczba jest dobra. A ona oczywiście będzie uzależniona od zadań. My natomiast skupiamy się na kompetencjach, które potwierdzają budowane od niedawna zdolności. Weryfikują je wyniki osiągane w ramach ćwiczeń natowskich, np. takich, jak skomplikowane ćwiczenia Locked Shields, gdzie zajęliśmy 2 miejsce, a w gruncie rzeczy 1 w NATO, bo wygrała Finlandia. Ostatnio w Cyberdefence Index, opracowywanym przez think tank współpracujący z Massachusetts Institute of Technology, Polska znalazła się na 6 miejscu wśród 20 największych gospodarek świata – docenione zostały nasze wysiłki właśnie w zakresie budowania cyberobrony.

Czym dokładnie zajmują się cyberwojska? To po prostu obrona przed atakami internetowymi?

Jesteśmy odpowiedzialni nie tylko za działania w cyberprzestrzeni, nasze obowiązki są podzielone na 3 domeny. Mówimy tutaj o informatyce, o cyberbezpieczeństwie i kryptologii. Jeżeli chodzi o informatykę, organizujemy wszystkie systemy teleinformatyczne funkcjonujące we wszystkich rodzajach sił zbrojnych. To coś, co nie jest często spotykane, gdyż na przykład nasi partnerzy zagraniczni, choćby Stany Zjednoczone, w każdym rodzaju sił zbrojnych mają swojego organizatora. Co ma plusy i minusy. W zakresie kryptologicznym, co też nie często spotykane, odpowiadamy za wszelkie aspekty badań i rozwoju, związane z kryptografią. Budujemy własne algorytmy kryptograficzne, szyfratory do wszystkich klauzul, odpowiadamy za dokumenty kryptograficzne. Rozwijamy własne kompetencje w zakresie szyfrowania. A pod kątem cyberbezpieczeństwa mamy w strukturach CSIRT MON (ang. Computer Security Incident Response Team Ministerstwa Obrony Narodowej - red.). Zespół na poziomie krajowym jest odpowiedzialny za koordynowanie obsługi incydentów komputerowych w naszych sieciach. Mamy też jednostki do działań w cyberprzestrzeni, które budują swoje kompetencje, a niektóre już są w pewnym zakresie zdolne do prowadzenia działań w pełnym spektrum, a mianowicie zgodnie z taksonomią NATO.

Jaką rolę analitykę danych spełnia w tych działaniach?

Proszę sobie wyobrazić teraz, że odpowiadamy za bezpieczeństwo sieci resortu obrony narodowej, w której mamy powyżej 100 tysięcy hostów, w kolejnej sieci mamy 80 tysięcy hostów. Są grupy, które próbują oddziaływać na nasze systemy, są sponsorowane przez służby specjalne z niekoniecznie przyjaznych nam krajów. W wielu przypadkach tak naprawdę szukamy igły w stogu igieł. Analityka danych jest niezbędna chociażby do wyszukiwania anomalii, ale też, aby budować sobie obraz. Żeby poznawać techniki, taktyki i procedury, jakimi operują nasi adwersarze. Żeby z jednej strony móc im przeciwdziałać, ale z drugiej strony, by te nasze działania pozwoliły wymieniać się informacjami, które zdobywamy, z partnerami - zarówno w kraju, z innymi ośrodkami CSiRT, jak i z zagranicznymi partnerami. Żeby ograniczać oddziaływanie naszych adwersarzy, ważna jest tak zwana zdefiniowana koncepcja piramidy bólu, jeżeli chodzi o cyberbezpieczeństwo. Chodzi w niej o to, że im więcej infrastruktury przeciwnika zostanie odkryte, ujawnione, w tym większym zakresie musi on ponosić koszty, musi odbudowywać swoją infrastrukturę, musi zmieniać taktyki, by dalej móc oddziaływać na sieci. Stąd istotna rola analityki, czyli przetwarzania informacji pod kątem zapewnienia odpowiedniego bezpieczeństwa naszym systemom.

A może pan generał powiedzieć, jakie narzędzia, jakie techniki są przez cyberwojsko wykorzystywane do działań analitycznych?

Nie mówimy o tym publicznie, bo, wiadomo, każdy nasz przeciwnik analizuje wszystkie pojawiające się na ten temat  informacje. Zresztą my sami też tak robimy, ucząc się potencjalnego przeciwnika — analizujemy wszystko, co jest możliwe, by poznać jego kompetencje. Zatem nie upubliczniamy informacji o narzędziach, które stosujemy. Natomiast mogę górnolotnie powiedzieć, korzystając z przywileju, który mamy, czyli że jesteśmy strukturą wojskową, że nasz budżet pozwala mieć w portfolio wszelkie narzędzia dostępne komercyjne, które są definiowane, jako najnowocześniejsze. Są to technologie "state of the art", czyli dysponujemy najbardziej zaawansowanymi rozwiązaniami na świecie, które są zaimplementowane w naszej infrastrukturze. Dodatkowo, nasze zespoły programistyczne opracowują własne narzędzia i skrypty, aby tę analitykę wzbogacić o nowe dane. Niemniej, nie ma co ukrywać, że jednym z najważniejszych aspektów jest ten ludzki, stąd inwestycja w analityków ma zakres niespotykany w innych miejscach. Naprawdę można zazdrościć zespołom, które u nas funkcjonują. Inwestujemy w wiedzę, bo to równocześnie inwestycja w struktury, czyli nie traktujemy tego jak zwykły wydatek. Nasi specjaliści uczestniczą w szkoleniach międzynarodowych, w szczególności w treningach prowadzonych przez partnerów zagranicznych, którzy mają ogromne doświadczenie w analizie danych i jej metodach — mam na myśli takie kraje, jak Stany Zjednoczone czy Izrael.

W jaki sposób analityka zagrożeń, wpływa w cyberwojskowości na podejmowanie decyzji?

To, o co pan pyta, ma związek z konsolidacją, jaką przeprowadziliśmy. Ona wynikała z biznesowego typu podejścia do zagrożeń. W przeszłości funkcjonowało w ramach struktur wojskowych kilka jednostek, które odpowiadały za informatykę, transformację cyfrową, cyberbezpieczeństwo itd. Mieliśmy dla przykładu Inspektorat Informatyki, odpowiedzialny za budowanie systemów sieci informatycznych i Narodowe Centrum Kryptologii, które odpowiadało za cyberbezpieczeństwo. I jak to w życiu często bywa, problematyczne okazywało się pogodzenie tych dwóch wartości, czyli bezpieczeństwa i funkcjonalności. Jak jest się kierownikiem jednostki, która odpowiada typowo za bezpieczeństwo, to wiadomo, że ma się punkt widzenia okrojony do bezpieczeństwa. A dla kogoś, kto jest kierownikiem jednostki, zapewniającej funkcjonowanie systemów, najistotniejszy będzie przepływ danych. Stąd może wynikać konflikt czy współzawodnictwo albo rozbieżność interesów w zakresie bezpieczeństwa i funkcjonalności. Decyzja o konsolidacji zasobów była po to, żeby odpowiedzialność spoczywała na jednej osobie, zarówno w zakresie zapewnienia funkcjonowania systemów, czyli właśnie "biznesu", jaki i w zakresie bezpieczeństwa. Obecnie analiza ryzyka i definiowanie ryzyk, określanie poziomu ryzyk szczątkowych, zakresu ryzyka akceptowalnego jest na naszych, moich i mojego zespołu, barkach. Wszelkie informacje są niesamowicie istotne i wpływają na nasze inwestycje oraz w pewien sposób na podejmowane decyzje. Co nie zmienia faktu, że najbardziej bezpiecznym systemem jest ten, który nie funkcjonuje, jest wyłączony z zasilania. Natomiast nasza odpowiedzialność polega na tym, żeby dostarczyć możliwie najbardziej bezpieczne rozwiązanie w oparciu o analizę ryzyka. Ten proces przeprowadzamy w oparciu o dane, którymi dysponujemy, tak, by rozwiązanie pozwalało bezpiecznie komunikować się naszym żołnierzom, wymieniać efektywnie dane, a z drugiej strony, by te rozwiązania były na tyle odporne na oddziaływanie nieprzyjaciela, na ile jest to tylko możliwe. Dzięki analitykom szacowanie ryzyka jest pełniejsze i widzimy więcej.

Jakie dostrzega pan ryzyka związane z podejmowaniem decyzji na podstawie danych?

To przede wszystkim kwestia wiarygodności danych. Można sobie wyobrazić, że ktoś próbuje zmieniać je, modyfikować czy manipulować nimi. Zresztą tak dokładnie dzieje się w operacjach w cyberprzestrzeni. Są np. podejmowane tzw. działania pod obcą flagą, czy mające na celu zmylenie przeciwnika, czy zmylenie odbiorcy co do intencji. I można sobie wyobrazić taką sytuację, że dane są niepełne lub nie odzwierciedlają rzeczywistości. Czyli mamy do czynienia z false positivami, które mogą przyczynić się do podjęcia takiej, a nie innej decyzji. Zatem na pewno skłaniałbym się do tego, aby, bazując przy podejmowaniu decyzji na analityce, przede wszystkim określić, jak wiarygodne są dane, którymi dysponujemy. Dość istotne jest to przy prowadzeniu procesu tzw. atrybucji. Zazwyczaj po próbie ataku, czyli incydencie, jest pytanie, które zadają nasi przełożeni: "kto za tym stoi?" Atrybucja jest bardzo skomplikowana w przypadku braku dostępu do wiarygodnych danych lub gdy ktoś próbuje wykorzystać dane ogólnodostępne i na przykład podszywać się, czyli prowadzić wspomnianą operację "pod obcą flagą".

A na ile jest możliwe stwierdzenie z dużą dozą pewności, kto stał za konkretnym cyberatakiem?

W moim przekonaniu jest to możliwe, aczkolwiek cyberbezpieczeństwo to gra zespołowa. Często mówimy, że w naszej strukturze nie ma miejsca dla "samotnych wilków", ale zespołowość dotyczy też szerszego kręgu, czyli na przykład naszych partnerów, w tym zagranicznych firm lub vendorów rozwiązań. I tak naprawdę łatwiej jest zamknąć atrybucję, czyli wskazać konkretną grupę, choć może ona być opatrzona dość dużym błędem, gdy zespoły odpowiadające za analitykę dokonają jej w szerszym zakresie, czyli wymienią informacje z partnerami, przeanalizują wiele kryzysów i skonsultują się również z dostawcami usług, z których korzystamy.

W jaki sposób dane o wykrytych incydentach są przetwarzane na przyszłość, jak są potem wykorzystywane?

Tu też staramy się naszą kuchnię i przepisy na nasze ciasta trzymać w naszej książce. Mogę powiedzieć tyle, że głównym celem teraz jest zapewnienie takiej analityki, która pozwoli na identyfikowanie taktyk, technik i procedur, którymi operują nasi obecni lub potencjalni adwersarze lub grupy APT (ang. Advanced Persistent Threat - red.), które działają pod egidą służb specjalnych różnych krajów. Uczymy się ich sposobu działania, funkcjonowania, zachowań — na tyle, by móc implementować mechanizmy zaradcze w systemach i sieciach, ale też informować o nich partnerów, bo, tak jak mówiłem, cyberbezpieczeństwo jest grą zespołową.

Ta gra zespołowa podobno koncentruje się teraz zwłaszcza w jednym regionie Polski. Niedawno podczas konferencji na temat wykorzystywania analityki w sektorze publicznym, organizowanej przez firmę SAS, Krzysztof Malesa z Microsoftu mówił, że centrum incydentów cyberbezpieczeństwa stanowi obecnie Podkarpacie. Może pan generał potwierdzić?

Odpowiem tak - jesteśmy krajem, który bardzo aktywnie wspiera Ukrainę, przyjmujemy uchodźców. Dziwnym by było, gdyby grupy APT, działające pod egidą rosyjskich służb specjalnych, nie skupiały się na próbie interakcji z systemami, które mają związek z tym wsparciem. Od razu zakładaliśmy, właśnie bazując na analizie ryzyka, że ono będzie dość duże. Aktywność grup hakerskich, nie ma co ukrywać, skupia się na siłach zbrojnych państw, które wspierają Ukrainę. Mamy do czynienia z ogromem różnych działań — z infoopsem (ang. information operations - red.) prowadzonym w portalach społecznościowych, z kampaniami, które mają na celu uzyskanie efektu podziałów w społeczeństwie, z kreowaniem Ukraińców, jako tych, którzy "zabiorą pracę Polakom", czy z przypominaniem naszej trudnej historii związanej z Wołyniem. Wszystkie wrogie aktywności w cyberprzestrzeni służą osiąganiu przez Federację Rosyjską zaplanowanych celów. Na naszym terenie dotyczy to przeszkadzania w udzielaniu pomocy Ukrainie.