Przejdź do menu Przejdź do treści

Strategia cyberbezpieczeństwa USA

Strategie cyberbezpieczeństwa USA są, co zrozumiałe, częścią większej całości, jaką stanowi Narodowa Strategia Bezpieczeństwa (National Security Strategy, NSS). Pierwszy taki dokument został opublikowany w 1987 r. Jego podstawy normatywne zostały określone w Ustawie Goldwater–Nichols, która miała charakter przełomowy w obszarze zmian w systemie bezpieczeństwa Stanów Zjednoczonych. Strategia nie jest aktem prezentującym rozwiązania rewolucyjne, ale służy przedstawieniu strategicznej wizji. Po raz pierwszy kwestie cyberbezpieczeństwa pojawiły się w nim pod koniec urzędowania prezydenta B. Clintona, kiedy to analitycy wskazali na nowe rodzaje hipotetycznych zagrożeń, a jako jedno z ważniejszych wymieniono cyberataki na infrastrukturę krytyczną. Kolejny prezydent – G. Bush Junior – w podpisanych przez siebie dokumentach strategicznych, które zostały opublikowane w latach 2002 i 2006, w ogóle nie poruszył tej tak ważnej tematyki. To prezydent B. Obama po raz pierwszy poświęcił cały rozdział NSS problemom cyberbezpieczeństwa. Podkreślił wówczas, że zabezpieczenie infrastruktury informatycznej musi być priorytetem, zauważając jednocześnie, że proces ten nie może być prowadzony kosztem naruszania wolności obywatelskich i prywatności Amerykanów. Wyeksponował konieczność prowadzenia inwestycji w zakresie nowoczesnych technologii i kapitału ludzkiego. W drugiej opublikowanej przez Obamę strategii kwestie cyberbezpieczeństwa także nie zostały pominięte, lecz powtórzono w niej większość poprzednich zapisów.

Szczególne znaczenie w świetle przedstawionych uwag miała zaprezentowana 16 maja 2011 r. przez administrację amerykańską międzynarodowa strategia dla cyberprzestrzeni – U.S. International Strategy for Cyberspace. Nie była ona dokumentem technicznym, nie prezentowano w niej więc gotowych rozwiązań, lecz nakreślono wizję przyszłości cyberprzestrzeni, zaakceptowaną przez prezydenta Obamę. Dokument ten został opracowany przez ekspertów z osiemnastu amerykańskich departamentów i agencji i był propozycją działań, które miały służyć urzeczywistnieniu tej wizji. Strategia była więc swoistą „mapą drogową” dla amerykańskiej administracji i instytucji rządowych połączonych celem stworzenia i zapewnienia „otwartej, interoperacyjnej, bezpiecznej i niezawodnej globalnej sieci”. Jej potencjał miał służyć wszystkim gotowym do współpracy partnerom, a celem była poprawa dobrobytu społeczeństwa na całym świecie. Była to pionierska, globalna strategia, definiująca propozycje zorganizowanego rozwoju internetu. Dostrzegając, że żadne państwo czy organizacja nie są zdolne samodzielnie stanowić o przyszłości i utrzymaniu bezpieczeństwa w cyberprzestrzeni, Stany Zjednoczone podjęły decyzję o budowie sieci międzynarodowych partnerstw z poszczególnymi państwami, organizacjami, ośrodkami akademickimi i przedsiębiorstwami. W tej światowej współpracy USA zapewniły sobie status lidera w dziedzinie rozwoju i zapewniania bezpieczeństwa w sieci, stając się tym samym przywódcą nieformalnej „cyberkoalicji”. W tej strukturze USA chciały – w drodze uzgodnień i konsensusu – podejmować decyzje określające rozwój internetu i warunków jego bezpieczeństwa. Realizacja przyjętej w strategii wizji określającej przyszłość cyberprzestrzeni miała się odbywać na siedmiu priorytetowych płaszczyznach:

  • gospodarki – poprzez propagowanie i wspieranie międzynarodowych standardów, wolnego rynku i ochronę własności intelektualnej;
  • ochrony sieci – poprzez zwiększanie bezpieczeństwa, niezawodności i odporności sieci, usprawnienie systemu reagowania na sytuacje kryzysowe, tworzenie międzynarodowych partnerstw i jednolitych norm zachowań w sprawie bezpieczeństwa cyberprzestrzeni;
  • egzekwowania prawa – poprzez tworzenie międzynarodowej polityki walki z cyberprzestępczością, harmonizowanie prawa dotyczącego cyberprzestępczości, aby nie było ono sprzeczne z konwencją z Budapesztu, ograniczenie terrorystom i przestępcom możliwości wykorzystywania internetu do planowania, finansowania i podejmowania ataków;
  • współpracy wojskowej – poprzez dostosowanie sił zbrojnych do nowych zagrożeń w celu zapewnienia bezpieczeństwa sieci wojskowych, tworzenie nowych i wzmacnianie istniejących sojuszy oraz poszerzanie współpracy w zakresie kolektywnej obrony cyberprzestrzeni;
  • zarządzania globalną siecią – poprzez wspieranie otwartości i innowacji w internecie, tworzenie bezpiecznej i stabilnej infrastruktury, prowadzenie wielostronnej dyskusji na temat rozwoju internetu;
  • rozwoju międzynarodowego – poprzez tworzenie globalnej społeczności odpowiedzialnej za rozwój cyberprzestrzeni, przekazywanie doświadczeń i wiedzy partnerom USA, rozwój dobrych praktyk, szkolenia dla organów ścigania, prawników i prawodawców, rozwój relacji na szczeblu politycznym i eksperckim;
  • wolności internetu – poprzez wspieranie społeczeństwa obywatelskiego i praw podstawowych, wolności wypowiedzi oraz prawa do stowarzyszania, współpracę z organizacjami pozarządowymi, współpracę na rzecz efektywnej ochrony danych i prywatności oraz zapewnienie wolnego przepływu informacji (m.in. zapobieganie cenzurze w internecie).

Wskazane płaszczyzny działania zostały podzielone pomiędzy departamenty i agencje rządowe USA, które w celu ich realizacji nawiązały stały, roboczy kontakt z partnerami zagranicznymi i prywatnymi korporacjami. W bieżącym realizowaniu założonych w tej strategii celów administracja amerykańska łączyła elementy dyplomacji z obronnością i działaniami na rzecz rozwoju sieci. Strategia z 2011 r. została wdrożona i stała się stałym elementem polityki międzynarodowej Stanów Zjednoczonych. W kolejnej strategii ogłoszonej 2 lata później powielono zdefiniowane wcześniej cele i metody działania ukierunkowane na zapewnianie bezpieczeństwa w cyberprzestrzeni.

D. Trump na początku maja 2017 r. wydał prezydenckie rozporządzanie wykonawcze pn. „Wzmacniając cyberbezpieczeństwo sieci federalnych i infrastruktury krytycznej”. Ten akt prawny nie wymagał akceptacji Kongresu. Niższa izba parlamentu ma jednak prawo unieważnienia lub zastąpienia takiego rozporządzania zwykła ustawą. Konsekwencją rozporządzenia wykonawczego jest konieczność natychmiastowego podjęcia działań realizacyjnych przez instytucje federalne. Rozporządzenie składa się z trzech głównych działów dotyczących cyberbezpieczeństwa: sieci federalnych, infrastruktury krytycznej oraz szeroko rozumianego państwa. W rozdziale poświęconym cyberbezpieczeństwu sieci federalnych skoncentrowano się na zarządzaniu ryzykiem oraz modernizacji infrastruktury informatycznej. Szefom agencji federalnych nakazano stosowanie standardów określonych przez Narodowy Instytut Standardów i Technologii (National Institute of Standards and Technology’s, NIST). Powstały one jako realizacja prezydenckiego rozporządzania wykonawczego wydanego przez Obamę w 2013 r. W trakcie opracowywania tego dokumentu współpracowano z sektorem komercyjnym celem wypracowania najwyższych pożądanych standardów i najlepszych praktyk w obszarze zarządzania ryzykiem w dziedzinie cyberbezpieczeństwa. Szefowie agencji federalnych zostali zobligowani do opracowania w ciągu 3 miesięcy od daty wejścia w życie rozporządzenia specjalnych raportów. Miały one zawierać wskazanie metod minimalizacji ryzyka oraz strategicznych decyzji dotyczących cyberbezpieczeństwa. Miały także zawierać propozycję harmonogramu wdrażania standardów opracowanych przez NIST. Raporty zostały poddane ocenie Departamentu Bezpieczeństwa Wewnętrznego (Department of Homeland Security, DHS) oraz Biura Zarządzania i Budżetu (Office of Management and Budget, OBM), a ich treść w znacznym stopniu została utajniona. Na podstawie przeanalizowanych raportów wskazane instytucje opracowały całościowy raport dla prezydenta. W kwestii tworzenia nowoczesnej, bezpiecznej i odpornej na zamachy infrastruktury IT rozporządzenie poleca agencjom zamawianie współdzielonych usług IT. Jednocześnie zobowiązuje Dyrektora Rady Amerykańskich Technologii (Director of the American Technology Council) do koordynowania prac nad opracowywaniem przez DHS, OBM i General Services Administration (GSA) wspólnego raportu na temat możliwości konsolidowania architektury i usług IT, z których korzystają różne podmioty.

W rozdziale dotyczącym cyberbezpieczeństwa infrastruktury krytycznej rozporządzenie wykonawcze Trumpa obliguje kierowników instytucji federalnych do poszukiwania narzędzi oraz metod, za pomocą których będą mogli w lepszy i skuteczniejszy sposób zapewniać cyberbezpieczeństwo infrastruktury krytycznej. W tym zakresie dokument ten odwołuje się do rozporządzenia Obamy z 2013 r., który nakazywał skoncentrowanie się na zamachach mogących skutkować katastrofą regionalną lub o zasięgu krajowym i tym samym negatywnie wpływać na bezpieczeństwo narodowe. Rozporządzenie wykonawcze zaleciło instytucjom federalnym stworzenie raportów dotyczących realizacji federalnej polityki promowania transparentności zarządzania ryzykiem cyberbezpieczeństwa. Departament Energii i Bezpieczeństwa Wewnętrznego wspólnie z Dyrektorem Wywiadu zostali zobligowani do przedłożenia oceny prawdopodobnego obszaru i czasu wystąpienia przerw w dostawie energii, które mogą zostać spowodowane przez cyberataki. Ocenie została również poddana gotowość USA do zarządzania tymi problemami w kontekście stwierdzonych niedostatków w obecnym systemie zabezpieczeń. Dokument zawiera także dyrektywę podjęcia zdecydowanej walki z botnetami.

W rozdziale trzecim rozporządzenie zobligowało dyrektorów ośmiu departamentów do stworzenia wspólnego raportu prezentującego strategiczne możliwości odstraszania potencjalnych przeciwników i poprawy ochrony Amerykanów przed zdiagnozowanymi zagrożeniami w cyberprzestrzeni. Ponadto Sekretarze Stanu, Skarbu, Obrony, Handlu i Bezpieczeństwa Wewnętrznego mają przedstawić prezydentowi raporty identyfikujące priorytety cyberbezpieczeństwa na arenie międzynarodowej. Sekretarz Stanu ma zaprezentować propozycje dotyczące współpracy międzynarodowej w zakresie cyberbezpieczeństwa. Omawiane rozporządzenie było kontynuacją dotychczasowej polityki Obamy, którego zasługi w stworzeniu systemu cyberbezpieczeństwa Stanów Zjednoczonych były jak dotąd największe.

W zaprezentowanej 18 grudnia 2017 r. Strategii Bezpieczeństwa Narodowego USA podpisanej przez prezydenta Trumpa szczególną uwagę w obszarze wyzwań i zagrożeń poświęcono Chinom, Rosji, Iranowi i Korei Północnej. W dokumencie wyeksponowano przede wszystkim prymat interesów USA, ale dostrzeżono także potrzebę współpracy z sojusznikami. Podkreślono cztery filary, którymi są: ochrona Amerykanów, ich ojczyzny i amerykańskiego stylu życia, promowanie amerykańskiego dobrobytu, ochrona pokoju poprzez siłę oraz powiększanie wpływów USA. Strategia zakłada utrzymanie bezpieczeństwa USA w cyberprzestrzeni i promowanie odporności na cyberataki. W filarze, który koncentruje się na kwestiach militarnych, wskazano na cyberprzestrzeń jako cel wojskowy. Według autorów tego dokumentu amerykańskim interesom zagrażają Chiny i Rosja określane jako rewizjonistyczne potęgi oraz tzw. państwa zbójeckie, do których należą Korea Północna i Iran wraz z islamistycznymi organizacjami terrorystycznymi.

Konsekwencją podpisanej przez Trumpa strategii było przyjęcie 23 lipca 2018 r. przez Izbę Reprezentantów i Senat USA projektu ustawy o zadaniach i w konsekwencji wydatkach na obronę narodową w 2019 r. (tzw. National Defense Authorization Act). Ten mający ponad 2500 stron dokument został zatwierdzony przez obie izby parlamentu i podpisany przez prezydenta, gwarantując Siłom Zbrojnym USA w nowym roku budżetowym kwotę ponad 716 mld dolarów. Ustawa definiuje podmioty międzynarodowe w istotny sposób wpływające na bezpieczeństwo cybernetyczne USA. Podobnie jak w Strategii Bezpieczeństwa Narodowego zostały tu wymienione: Rosja, Chiny, Iran i Korea Północna. Przyjęto zapis, zgodnie z którym w przypadku cyberzamachów, zwłaszcza na infrastrukturę krytyczną, USA zastrzega sobie prawo dokonania adekwatnej, proporcjonalnej odpowiedzi. Od 2017 r. system wyborczy USA został inkorporowany do infrastruktury krytycznej. Był to efekt wykazanej przez amerykańskie służby ingerencji Rosji w wybory prezydenckie w 2016 r. Kilka dni przed spotkaniem na szczycie pomiędzy W. Putinem a D. Trumpem, które odbyło się w Helsinkach, Departament Sprawiedliwości USA wydał akt oskarżenia w stosunku do 12 oficerów GRU. Prokurator R. Mueller zgromadził dowody wskazujące na to, że są oni odpowiedzialni za włamanie do systemów komputerowych Partii Demokratycznej i sabotowanie wyborów prezydenckich. Ta sytuacja była jednoznacznym sygnałem, że USA zaczyna tracić dotychczasową dominację w cyberprzestrzeni. Ustawa zobligowała więc amerykańską administrację do stworzenia w tym zakresie aktywności NATO cyberstrategii. Trump zdymisjonował dotychczasowego koordynatora do spraw cyberbezpieczeństwa w Narodowej Radzie Bezpieczeństwa. Zgodnie z ustawą na przeciwdziałanie rosyjskim operacjom informacyjnym zostały wyasygnowane osobne, dość znaczne środki finansowe. Najważniejszym zapisem National Defense Authorization Act (NDAA) jest proaktywne, a nawet ofensywne działanie amerykańskiej administracji w obszarze cyberbezpieczeństwa. Skutkuje to większymi uprawnieniami dla Departamentu Obrony, o czym poinformował na konferencji w Aspen generał P. Nakasone – szef amerykańskiej Agencji Bezpieczeństwa Narodowego (National Security Agency, NSA) i dowódca US Cyber Command. Jednakże z uwagi na trudności w procesie identyfikacji podmiotu dokonującego cyberataku USA będzie najpierw podejmowało rozmowy na poziomie rządowym, by zapewnić powstrzymanie zamachu. Dopiero gdy taka weryfikacja okazała się nieskuteczna, USA skorzysta z prawa do jednostronnego działania, podejmując operacje ofensywne. W ten sposób administracja Trumpa, z poparciem parlamentu, uznaje operacje w cyberprzestrzeni za nowy rodzaj „tradycyjnych operacji wojskowych”. Tak więc NDAA nadaje uprawnienia National Command Authority dowództwu Operacji Cybernetycznych Departamentu Obrony, co oznacza prawo do podejmowania przez nie proporcjonalnych działań w razie wykrycia zamachów cybernetycznych ze strony państw zdefiniowanych jako mające wobec USA wrogie zamiary: Rosji, Chin, Iranu czy Korei Północnej.

Andrzej Czop

Achieve and Maintain Cyberspace Superiority Command Vision for US Cyber Command, https://www.cybercom.mil/Portals/56/Documents/USCYBERCOM% 20Vision%20April%202018.pdf?ver=2018-06-14-152556-010 [dostęp: 6.04.2019]; Budapeszteńska Konwencja o cyberprzestępczości (Convention on Cybercrime), rhttp://www.conventions.coe.int/Treaty/en/Treaties/ Html/185.htm [dostęp: 22.04. 2019]; GoldWater-Nichols Department Of Defense Reorganization Act Of 1986 September 12, 1986, https://history.defense.gov/Portals/70/Documents/ dod_reforms/Goldwater-NicholsCR.pdf [dostęp: 13.01.2019]; International Strategy for Cyberspace. Prosperity, Security, and Openness in a Networked World. May 2011; https://obamawhitehouse.archives.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf [dostęp: 22.04.2019]; Kontynuacja, a nie rewolucja. Rozporządzenie wykonawcze Trumpa [ANALIZA], 18.06.2017, https://www.cyberdefence24.pl/kontynuacja-a-nie-rewolucja-rozporzadzenie-wykonawcze-trumpa-analiza [dostęp: 10.03.2019]; A. Kozłowski, Nowa strategia bezpieczeństwa USA a cyberbezpieczeństwo [ANALIZA], 4.01.2018, https://www.cyberdefence24.pl/polityka-i-prawo/nowa-strategia-bezpieczenstwa-usa-a-cyberbezpieczenstwo-analiza [dostęp: 27.01.2019]; One Hundred Fifteenth Congress of the United States of America. At The Second Session Begun and held at the City of Washington on Wednesday, the third day of January, two thousand and eighteen, https://www.congress.gov/115/bills/hr5515/BILLS-115hr5515enr.pdf [dostęp: 18.04.2019]; T. Smura, KOMENTARZ: „America First” – nowa Strategia Bezpieczeństwa Narodowego USA, 29.12.2017, https://pulaski.pl/komentarz-america-first-nowa-strategia-bezpieczenstwa-narodowego-usa/ [dostęp: 29.04.2019].