Bezpieczeństwo informacji wojskowej
(security of military information) – sięga swymi początkami imperiów starożytnych. Już wówczas kierujący armiami zwracali uwagę na osiąganie i utrzymywanie poufności informacji wojskowych, niezawodności ich przesyłania, użyteczności, autentyczności i integralności otrzymywanych tą drogą informacji, ich dostępności dla odbiorców oraz rozliczalności (m.in. jednoznacznego określenia jej nadawcy).
Od wielu stuleci władze państwowe zwracały uwagę na unormowania legislacyjne pozwalające na zabezpieczenie określonych danych przed nieuprawnionymi odbiorcami. Kładziono m.in. bardzo duży nacisk na kary, które miały odstraszyć niepowołane osoby pragnące wejść w posiadanie informacji wojskowych.
Obecnie na potencjalnych sprawców przestępstw zagrażających bezpieczeństwu informacji wojskowej wpływa dodatkowo aktywność służb specjalnych. Mają one m.in. zapobiegać, rozpoznawać oraz przeciwdziałać wrogiej działalności innych państw (i podmiotów pozapaństwowych) wymierzonej w potencjał obronny danego kraju. Chodzi m.in. o ochronę informacji o strukturach i obiektach (np. gospodarczych) o istotnym znaczeniu wojskowym i zapobieganie wykorzystaniu przez zewnętrznych wrogów informacji wojskowych państwa i związanych z nimi systemów łączności utajnionej do działań zmierzających do obniżenia jego zdolności obronnych. Stąd wynika ważna rola służb specjalnych w wielu państwach przy organizacji, kontroli i nadzorze nad bezpieczeństwem informacji wojskowych.
Współcześnie badacze skupiają jednak największą uwagę na ochronie informacji wojskowej przed dostępem osób nieuprawnionych. Chodzi nie tylko o utratę informacji, wrogie wykorzystanie i uszkodzenie zasobów informacji wojskowej, którą dysponuje państwo. W związku z rozwojem techniki w XXI w. wzrosło także znaczenie ochrony przed zafałszowaniem i zmanipulowaniem informacji wojskowej, uniemożliwieniem dalszego jej przetwarzania, uzyskaniem dostępu przez siły wrogie państwu do poufnych kanałów łączności i wojskowych systemów dowodzenia i wykorzystywaniem ich do rozsyłania nieprawdziwych treści. To ostatnie grozi państwu utratą zdolności dystrybucji informacji wojskowej i/lub jej ograniczoną wiarygodnością dla odbiorców.
Współcześnie bezpieczeństwo informacji wojskowej definiuje się jako stan i proces. Ten ostatni obejmuje ogół działań podejmowanych przez uprawnione do tego podmioty, w tym stosowane metody i procedury, w celu zabezpieczenia informacji wojskowych przed ich utratą, dostępem osób nieuprawnionych, nieplanowaną modyfikacją oraz dystrybucją informacji uzyskanej drogą nielegalną. Obejmuje on zapewnienie integralności tworzonych, gromadzonych, przetwarzanych, przesyłanych, odebranych, przechowywanych, kopiowanych oraz niszczonych informacji o charakterze wojskowym dotyczących np. poszczególnych struktur Sił Zbrojnych czy infrastruktury krytycznej. Działania te podejmowane są zasadniczo wewnątrz kraju, jak również częściowo na arenie międzynarodowej, czego przykładem jest kontrolowanie zbliżonego stopnia zabezpieczenia informacji wojskowej w państwach tworzących niektóre sojusze wojskowe (np. NATO).
Mimo znacznego zróżnicowania poziomu ochrony informacji wojskowej w różnych krajamch współcześnie zasoby informacyjne są przechowywanie w zdecydowanej większości na innego rodzaju nośnikach niż np. 50 lat temu. Niemniej bezpieczeństwo informacji wojskowej obejmuje nadal również informacje umieszczone np. na papierze czy na mikrofilmach.
W XXI w. elementy kluczowe dla bezpieczeństwa informacji wojskowej można podzielić na cztery grupy: zasoby informacyjne, systemy informacyjne, wybrane elementy krytycznej infrastruktury państwa, a także urządzenia techniczne oraz systemy informatyczne, które są wykorzystywane przez osoby pełniące ważne funkcje w sferze militarnej.
Wraz z rozwojem sił zbrojnych, postępem technologicznym i zróżnicowaniem zagrożeń militarnych rośnie ilość informacji wojskowych, które podlegają ochronie. Wzrasta w związku z tym znacznie stosowania przy ochronie informacji wojskowych określonych procedur. W XX w. w wielu państwach obejmowały one nadawanie, przyjmowanie, wydawanie, przewożenie, przechowywanie, użytkowanie, dystrybucję, oznakowanie i niszczenie informacji wojskowej. Nie tylko w krajach demokratycznych zwracano coraz większą uwagę na to, by procedury były precyzyjne, jednoznaczne i oparte na trafnie skonstruowanych, przejrzystych aktach prawnych wyższego rzędu. Troszczono się o jasne dla upoważnionych użytkowników informacji wojskowych zasady klasyfikowania tych ostatnich. Dbano o spójność i szczelność powstającego stopniowo w wielu krajach systemu zabezpieczeń informacji wojskowych. Doprecyzowano procedury określające sposób zamiany informacji jawnej w zaszyfrowaną. Opracowano również procedury regulujące dostęp do miejsc, w których są przechowywane, tworzone i przetwarzane informacje wojskowe. Równocześnie zadbano o bezpieczne miejsce składowania kluczy do pomieszczeń, w których znajdują się informacje wojskowe oraz klucze do szyfrów. Procedury nakierowane na bezpieczeństwo informacji wojskowej regulują powyższe kwestie do dziś.
W XXI w. ze względu na powszechne zastosowanie komputerów duże znaczenie ma określenie szczegółowych wymogów odnośnie do wielopoziomowej ochrony systemów teleinformatycznych przetwarzających informacje wojskowe, a także doprecyzowanie trybu i sposobów ich eksploatacji. Podstawą dopuszczenia danego systemu informacyjnego do stosowania przy informacjach o znaczeniu wojskowym jest wdrożenie określonych procedur bezpieczeństwa i osiągnięcie dzięki nim odpowiedniego poziomu ochrony informacji. Procedury zabraniają stosowania pożyczonego oprogramowania i regulują sposób zabezpieczania dominujących obecnie nośników informacji wojskowej, oprogramowania antywirusowego i tworzenia kopii zapasowych. Odpowiednie niszczenie niepotrzebnych informacji (np. zbędnych kopii tajnych dokumentów) ma zapobiec ich dostaniu się w niepowołane ręce.
W związku z postępem technologicznym i rosnącą ilością informacji wojskowych w XXI w. duży nacisk kładzie się na normalizację i standaryzację wymagań wobec służb zajmujących się wytwarzaniem i wykorzystywaniem informacji wojskowej. Ważne jest dostosowanie środków ochrony informacji wojskowej do wagi chronionych informacji i ich ilości. By efektywnie przekazywać informacje wojskowe sojusznikom, omawiane procedury muszą być zgodne ze standardami obowiązującymi w strukturach państw sojuszniczych.
Ponieważ dane wojskowe podczas wpisywania lub przetwarzania z reguły nie są zaszyfrowane, niepożądany odbiorca często docierał (i dociera) do informacji wojskowych, włamując się do miejsc, w których są one przechowywane, albo dzięki przechwyceniu ich w trakcie przesyłania. W związku z tym powołano kancelarie tajne; w wielu krajach są one zlokalizowane w osobnych pomieszczeniach. Najczęściej są to odrębne komórki organizacyjne, odpowiadające za właściwe zarejestrowanie dokumentów wojskowych, ich przechowywanie, obieg i wydawanie osobom uprawnionym. W wypadku szczególnie ważnych danych niektóre państwa mają możliwość zastosowania m.in. kosztownej osłony elektromagnetycznej. Promieniowanie komputerów z danymi wojskowymi staje się wtedy dla przeciwnika niewidoczne.
Jednocześnie zwraca się uwagę na fizyczne zabezpieczenie pomieszczeń i pracowników w czasie, gdy mają oni bezpośredni dostęp do niejawnych informacji wojskowych. Wykorzystuje się do tego celu m.in. służby wewnętrzne i warty. Wokół miejsc, w których są przechowywane i wytwarzane dane wojskowe, powstają wydzielone strefy bezpieczeństwa. Wstęp do nich jest uregulowany przepustkami lub ich odpowiednikami, które określają uprawnienia osób do wejścia i pobytu w strefie bezpieczeństwa oraz opuszczenia jej. Stosuje się także kontrolę dostępu przy pomocy ludzi (np. strażnika sprawdzającego przepustki) i/lub urządzeń sterowanych przez program (np. na podstawie danych biometrycznych). Równocześnie wykorzystuje się programy pośredniczące, pozwalające na monitorowanie wymiany informacji między wewnętrzną siecią wojskową a światem zewnętrznym.
Poza działaniami wrogich państwu struktur bezpieczeństwu informacji wojskowej zagrażają także inne, nieplanowane przez wojskowych zdarzenia, które także mogą m.in. doprowadzić do utraty informacji lub ich modyfikacji bądź zmienić techniczne parametry działania nośników i przetworników informacji. Można je podzielić na cztery grupy: uchybienia organizacyjne, błędy ludzkie, błędy techniczne oraz nieprzewidziane zjawiska przyrody i siły natury.
O końcowym efekcie skuteczności systemów zabezpieczeń informacji wojskowej często decyduje najsłabsze ogniwo. Badacze wielokrotnie zwracali uwagę na to, że są nim ludzie mający styczność z informacją wojskową i ich kultura bezpieczeństwa. Na tę ostatnią składają się poziom etyczny i kompetencje personelu oraz odbiorców informacji wojskowej, z użytkownikami systemów teleinformatycznych na czele. Jak wskazuje R. Szandrocho, jeszcze w XXI w. można było spotkać w Europie wojskowych przechowujących „małe kancelarie tajne” na niezarejestrowanych nośnikach poza przeznaczonymi przeznaczonymi do tego budynkami.
Według unormowań prawnych np. w Polsce za ochronę informacji wojskowej najczęściej odpowiadają zwierzchnicy jednostek, w których są wytwarzane i przetwarzane materiały tego typu. Nie dziwi więc znaczenie odpowiedniego kierowania przez nich bezpieczeństwem informacji wojskowej w podległych strukturach: odpowiednie monitorowanie, systematyczne, okresowe kontrole stanu zabezpieczenia, regularne sprawdzanie poziomu sprawności systemów monitorujących poziom bezpieczeństwa, w miarę potrzeb wykorzystanie zewnętrznej pomocy i przeznaczenie na tę sferę niemałych środków finansowych.
Sytuacja w tym zakresie wygląda w poszczególnych państwach bardzo różnie. Nie licząc nielicznych, najlepiej rozwiniętych gospodarczo krajów, do najważniejszych uchybień organizacyjnych w zakresie bezpieczeństwa informacji wojskowej należą niejasny podział odpowiedzialności, brak należytej troski zwierzchników w odniesieniu do komórek organizacyjnych zajmujących się przetwarzaniem i magazynowaniem informacji, niestosowanie obowiązujących procedur, wadliwie zorganizowane administrowanie systemami (szczególnie teleinformatycznymi) i ich zasobami, wadliwie zorganizowane albo/i niewystarczające monitorowanie, niezapewnienie pracownikom odpowiednich kwalifikacji i brak dopilnowania właściwego i starannego wypełniania przez nich obowiązków, niedopasowanie środków ochrony informacji wojskowej do rzeczywistego poziomu zagrożeń, wadliwe lub niedostateczne działania w zakresie profilaktyki, diagnostyki oraz prognozowania technicznego prowadzące do zwiększenia ilości uszkodzeń urządzeń oraz złe zarządzanie kluczami szyfrującymi.
Zwierzchnicy muszą nie tylko na bieżąco czuwać na ochroną informacji wojskowej, ale także uwzględniać to, że przyszłość w omawianej dziedzinie na pewno nie będzie jedynie przedłużeniem dnia dzisiejszego. Przy planach wprowadzania rzeczywistych zmian w zakresie bezpieczeństwa informacji wojskowych zwierzchnicy muszą brać pod uwagę m.in. ograniczenia kadrowe i dotychczasowe przyzwyczajenia podległych pracowników.
By ustalić, czy cechy charakteru osoby mającej mieć dostęp do informacji wojskowej, jej stosunek do wykonywanej pracy, przeszłość i kontakty zapewniają bezpieczeństwo, stosowane są postepowania sprawdzające. Ich rodzaj zależy od tego, do jak ważnych dokumentów, z punktu widzenia obronności państwa, zostanie dopuszczony przyszły pracownik.
W tej sytuacji w XXI w. wzrosło znaczenie odpowiedniego przeszkolenia pracowników mających dostęp do omawianych danych. Opisane podnoszenie kwalifikacji obejmuje pogłębienie wiedzy z zakresu m.in. zarządzania informacją wojskową w instytucji, zasad i sposobów ochrony informacji wojskowej, rzeczywistego poziomu bezpieczeństwa omawianych systemów, obsługi systemów przesyłania informacji wojskowej i jej właściwego odbioru, zachowania tajności danych dotyczących funkcjonowania systemów informacyjnych, przepisów prawnych oraz odpowiedzialności karnej i służbowej za zaniedbania w tej sferze.
Jeśli szkolenia i kontrole są odpowiednio przeprowadzone, obniżają one nie tylko ryzyko zagrożeń wynikających z celowej wrogiej działalności lub sił natury. Redukują także prawdopodobieństwo wystąpienia zagrożeń będących następstwem zaniedbań wewnątrz struktur militarnych, które mają styczność z informacją wojskową. Nie chodzi tu jedynie o jej nieumyślną nieautoryzowaną zmianę. Przykładowo kontrola okresowa urządzeń kryptograficznych zmniejszy liczbę przypadków słabej jakości uwierzytelnienia, a to z kolei podniesie skuteczność komputerowych systemów kontroli dostępu.
Regularne sprawdzanie stanu oprogramowania i aplikacji pozwala zmniejszyć np. liczbę ukrytych błędów w aplikacjach. Należy brać pod uwagę to, że stosowanie oprogramowania odpowiedniego do poziomu zabezpieczeń i specyfiki informacji wojskowej zwiększy poziom poufności i sprawności systemów służących do przesyłania, odbioru i przechowywania informacji, pod warunkiem jednak, że nowy sprzęt jest kompatybilny z dotychczas używanymi w systemie.
Dostęp do zasobów informacji wojskowej powinni mieć tylko użytkownicy uwierzytelnieni i autoryzowani. W programach kontrolujących dostęp do komputera lub programu niekiedy wykorzystywane są biometryczne metody zapewnienia dostępu do samego systemu (rozpoznawanie np. dłoni, głosu, twarzy).
Potwierdzeniem wiarygodności, rzetelności i autentyczności informacji wojskowej jest jej uwierzytelnienie. W tym celu stosuje się nadal różne warianty: od tradycyjnych podpisów i pieczęci, po certyfikaty kluczy publicznych, podpisy cyfrowe, podpisy lokalizacyjne i znaki wodne (dołączane np. do obrazu wideo czy nagrania).
Pracownicy mają przypisane uprawnienia umożliwiające przegląd, odczytanie, modyfikację, zapis i usuwanie zasobów informacji wojskowej opatrzonych klauzulą tajności tylko na tym poziomie, na jaki zezwala kategoria dokumentów, które są im potrzebne. W wielu krajach klauzule przyznaje i zmienia osoba, która jest wytwórcą dokumentu, lub jej zwierzchnik. Zdarza się, że poszczególne części dokumentu mają różne klauzule tajności. Utajnianie informacji wojskowej polega jednak nie tylko na nadawaniu klauzul tajności, ale też przede wszystkim na praktycznym wyegzekwowaniu tego stopnia dostępności informacji.
Wobec tego, że nie da się zapobiec wszystkim wrogim ingerencjom, ważne jest ich szybkie wykrywanie. Może ono pozwolić na ograniczenie skali szkód i wskazać słabe punkty systemów bezpieczeństwa informacji wojskowej. Przykładowo integralność danych można sprawdzić, stosując sumę kontrolną integralności, która jest obliczana na podstawie chronionych danych. Ważną rolę pełnią w tym zakresie systemy zautomatyzowanego wykrywania nieuprawnionych ingerencji w systemach. Ich słabą stroną jest konieczność ciągłej aktualizacji, stale bowiem pojawiają się nowe metody ataku. Zbyt często systemy nie są w stanie rozpoznać zagrożeń nieznanych tym, którzy je aktualizowali.
Należy także zabezpieczyć informację wojskową przed konsekwencjami nieprzewidzianych zjawisk przyrody i sił natury. Przykładem jest fizyczne uszkodzenie lub zniszczenie urządzeń oraz systemów służących do przetwarzania informacji przez katastrofy techniczne, zakłócenia w dostawach z sieci energetycznej, wyładowania atmosferyczne (groźne szczególnie dla elementów systemów teleinformatycznych), pożary (np. temperaturę), zalanie wodą, wystąpienie silnego pola magnetycznego ziemi oraz, w wypadku niektórych systemów, także burz radiacyjnych, burz magnetycznych i rozbłysków słonecznych. Chodzi tu także o zabezpieczenie przed „zwykłą” wilgocią. Obniża ona poziom niezawodności urządzeń i systemów teleinformatycznych.
Poza ochroną do zakresu bezpieczeństwa informacji wojskowej trzeba zaliczyć konieczność równoczesnej dbałości o dostępność tego rodzaju informacji dla określonych kategorii odbiorców. Najważniejszym jej aspektem jest zapewnienie strukturom państwa wysokiej jakości informacji na temat wojska. Istotne są więc aktualność, wiarygodność, użyteczność, kompletność i rzetelność informacji przekazywanych właściwym organom państwa (wojskowym i cywilnym). Jeśli odbiorcy informacji wojskowych są przekonani o ich wiarygodności, mają one duże znaczenie przy kierowaniu losami wojska oraz podejmowaniu decyzji odnośnie do jego przyszłości, rozpoznawaniu i przeciwdziałaniu, w odpowiednim czasie, zagrożeniom zewnętrznym godzącym np. w potencjał obronny kraju. Taka ocena informacji o znaczeniu wojskowym pozwala równocześnie na utrzymanie zaufania naczelnych władz państwa (oraz ponadpaństwowych struktur wojskowych) do otrzymywanych informacji.
W XXI w. fundamentem dobrego przepływu informacji wojskowej jest nowoczesna, sprawnie działająca infrastruktura. Stosowanie wiekowych nośników i urządzeń do przetwarzania informacji oraz przestarzałych technologicznie zabezpieczeń z reguły zwiększa wrażliwość wojskowych systemów informacyjnych nie tylko na wrogi atak, ale także na zniszczenie czy zakłócenie przesyłania informacji wojskowej. Wynika to z utraty przez elementy tych urządzeń dotychczasowych parametrów fizycznych i elektrycznych.
By sprawnie przesyłać informacje wewnątrz sieci, komputery w danej sieci wewnętrznej są często skonfigurowane w taki sposób, by „ufały” sobie nawzajem. Ma to też ujemne konsekwencje – skuteczne włamanie do jednego z nich pozwala często na dostęp, na określonym poziomie uprawnień, do wszystkich w danym systemie.
Podmioty właściwe w sferze bezpieczeństwa państwa oczekują ogólnych informacji przydatnych do uzyskania ogólnego obrazu państwa, jego sił zbrojnych, infrastruktury krytycznej itp. Przygotowujący je muszą więc dokonać selekcji posiadanych informacji i opracować je w formie ułatwiającej bieżące i perspektywiczne wykorzystanie np. przy wzmacnianiu obronności danego państwa, tak aby nadmiar przesyłanych do władz informacji nie spowodował chaosu informacyjnego.
Warto przypomnieć, że dezinformowanie to także nieświadome wprowadzanie przełożonych w błąd lub niepodawanie w odpowiednim czasie (nieprzypadkowo traktowanym jako czwarty wymiar pola walki) potrzebnej informacji np. wojskowej. Może do niego dojść wwskutek mylnej interpretacji np. rozkazów i zarządzeń zwierzchników albo przeoczenia ważnych wykonawczych wytycznych.
W wielu państwach wyzwaniem dla bezpieczeństwa informacji wojskowych bywa także nadmierna uznaniowość i restrykcyjność ochrony tajemnic wojskowych w praktyce. Jak wskazał w 2010 r. A. Żebrowski na przykładzie służb specjalnych, problemy w omawianej sferze wynikają czasem z trudności w przekazywaniu informacji między poszczególnymi komórkami organizacyjnymi oraz między organizacjami. Zbyt często wynikają one również z niechęci do dzielenia się posiadaną wiedzą. Przywołane problemy mogą znacznie utrudnić przepływ informacji i w rezultacie efektywne zarządzanie strategiczne w siłach zbrojnych. Mogą bowiem grozić np. obniżeniem poziomu wyszkolenia na szczeblu plutonu lub kompanii. W tym kontekście R. Szandrocho nieprzypadkowo zwraca uwagę na wprowadzanie w życie zakazu zawyżania poziomu utajnienia informacji wojskowych.
Inne problemy w zakresie bezpieczeństwa informacji wojskowej stwarza złożoność dostępu. Z jednej strony poziom ich ochrony jest podnoszony, z drugiej – upoważniony użytkownik ma mieć do nich szybki dostęp, gdy są mu potrzebne w celach służbowych. Nadmierna koncentracja na utajnieniu danych powoduje problemy z dostępem do informacji, równocześnie dezorganizując działania pracowników przetwarzających dane wojskowe. Powoduje opóźnienia w przesyle danych, spóźnione decyzje władz wojskowych i państwowych oraz frustrację pracowników. By bezpieczeństwo informacji wojskowej było zachowane, wspomniane wyżej środki muszą być stosowane efektywnie, konsekwentnie i całościowo przez doświadczony, odpowiednio przeszkolony zespół lojalnych pracowników.
Poziom bezpieczeństwa informacji wojskowej w poszczególnych krajach jest trudny do oceny dla badacza. Z powodów oczywistych przytłaczająca większość naruszeń bezpieczeństwa informacyjnego w omawianej sferze to tzw. ciche katastrofy, które nigdy nie będą podane przez władze do wiadomości publicznej. Jak wynika z powyższych rozważań, omawiane pojęcie jest ściśle związane z polityką bezpieczeństwa informacji. Nie jest jednak tożsame z szerszym znaczeniowo bezpieczeństwem informacyjnym wojskowym.
P. Bączek, Zagrożenia informacyjne a bezpieczeństwo Państwa Polskiego, Wydawnictwo Adam Marszałek, Toruń 2006; D.E. Denning, Wojna informacyjna i bezpieczeństwo informacji, Wydawnictwa Naukowo-Techniczne, Warszawa 2002; W. Fehler, O pojęciu bezpieczeństwa informacyjnego, [w:] Bezpieczeństwo informacyjne w XXI wieku, M. Kubiak, S. Topolewski (red.), Instytut Nauk Społecznych i Bezpieczeństwa Uniwersytetu Przyrodniczo-Humanistycznego w Siedlcach, Siedlce–Warszawa 2016; W. Kitler, Pojęcie i zakres bezpieczeństwa informacyjnego państwa, ustalenia systemowe i definicyjne, [w:] Bezpieczeństwo informacyjne. Aspekty prawno-administracyjne, W. Kitler, J. Taczkowska-Olszewska (red.), Towarzystwo Wiedzy Obronnej, Warszawa 2017; J. Kowalewski, M. Kowalewski, Polityka bezpieczeństwa informacji w praktyce, Presscom, Wrocław 2014; A. Lesiak, Wpływ pogody kosmicznej na bezpieczeństwo przesyłania i przechowywania informacji elektronicznych, [w:] Bezpieczeństwo informacyjne w dyskursie naukowym, H. Batorowska, E. Musiał (red.), Uniwersytet Pedagogiczny im. Komisji Edukacji Narodowej w Krakowie, Kraków 2017; R. Szandrocho, Wybrane problemy gotowości obronnej państwa, Wydawnictwo Wyższej Szkoły Oficerskiej Wojsk Lądowych, Wrocław 2013; P. Żarkowski, Wpływ działań informacyjnych na bezpieczeństwo państwa, [w:] Informacyjne uwarunkowania współczesnego bezpieczeństwa, M. Kubiak, R. Białoskórski (red.), Uniwersytet Humanistyczno-Przyrodniczy w Siedlcach, Siedlce–Warszawa 2016; A. Żebrowski, Walka informacyjna w asymetrycznym środowisku bezpieczeństwa międzynarodowego. Wybrane problemy, Wydawnictwo Naukowe Uniwersytetu Pedagogicznego, Kraków 2016; tenże, Wywiad i kontrwywiad XXI wieku, Wyższa Szkoła Ekonomii i Innowacji w Lublinie, Lublin 2010.