Propozycja zalegalizowania możliwości aktywnej cyberobrony dla prywatnych podmiotów, obecnie rozważana w Kongresie USA, jest bardzo ciekawa, ale niesie ze sobą pewne zagrożenia - uważa konsultant strategii cyberbezpieczeństwa i prywatności dr Łukasz Olejnik w rozmowie z dziennikarzem Polskiej Agencji Prasowej.

Propozycje zmian w amerykańskim prawie złożył kongresmen Republikanów Tom Graves. Do tej pory aktywna cyberobrona (ang. hack back) była zabroniona przez amerykańskie prawo - Computer Fraud and Abuse Act (CFAA). Twórca projektu ustawy podkreślał, że gdyby jego propozycje obowiązywały to nie doszłoby do ostatniej fali cyberataków ransmomware.

"Formy aktywnej cyberobrony są zgrabnym określeniem na możliwość cyberataku zwrotnego w przypadku ataku dokonywanego przez podmiot zewnętrzny. W terminologii specjalistycznej strategie takie określa się także bardziej bezpośrednim mianem +hack back+, a zatem formą +cyberataku zwrotnego+. Są to koncepcje strategiczne, debatowane obecnie w świecie, a w Europie konkretnie w Wielkiej Brytanii i we Francji" - tłumaczy w rozmowie z PAP dr Łukasz Olejnik.

Według Olejnika propozycje kongresmena Gravesa formalnie nadają firmom uprawnienia do samoobrony, często - obrony koniecznej.

"Na pierwszy rzut oka - moralnie i etycznie - propozycja ta wydaje się po prostu przeniesieniem zasad obrony koniecznej ze świata fizycznego do cyberprzestrzeni. Tu jednak analogie się kończą" - dodaje Olejnik.

"Po pierwsze, w cyberprzestrzeni realnym problemem jest atrybucja, czyli ustalenie pochodzenia cyberataku i osób za niego odpowiedzialnych. W praktyce jest to bardzo trudne i nawet ustalenie prawdopodobieństwa pochodzenia ataku wymaga specjalistycznych zasobów (zespołów, środków). W rzeczywistości niewiele organizacji czy firm dysponuje takim potencjałem" - tłumaczy.

Olejnik zwraca uwagę, że biorąc pod uwagę ten kontekst "wiązanie środków aktywnej cyberobrony z obroną przeciwko cyberatakom w rodzaju robaków ransomware typu WannaCry, tak jak to ma miejsce przy dyskutowaniu propozycji w USA - jest kuriozalne". Przypomina, że infekcje WannaCry "często propagowały się od jednej ofiary do drugiej".

"Jest to zatem nierealistyczne. Czy można realnie wyobrazić sobie by firmy o ograniczonych zasobach, które nawet nie były w stanie utrzymać podstawowych zasad higieny cyberbezpieczeństwa, miały środki do cyberofensywy? Pytanie czysto retoryczne. Już prędzej można wyobrazić sobie, że takie propozycje przyczynią się do stworzenia i rozwinięcia nowego typu firm i działalności, nazwijmy je cybernajemnikami. A zatem, być może już niedługo legalne stanie się wynajęcie firmy prywatnej o odpowiednich kwalifikacjach by przeprowadziła cyberatak zwrotny. I wtedy możemy mieć zalegalizowany »hack-back«, ale dokonany przez płatnych »pośredników«" - ocenia konsultant strategii cyberbezpieczeństwa i prywatności.

Olejnik w rozmowie z PAP zwraca też uwagę, że innym problemem jest to, iż cyberataki często pochodzą z krajów ościennych przez co sprawa zaczyna dotyczyć prawa międzynarodowego.

"Obecnie operacje ofensywne w cyberprzestrzeni to w znacznej mierze »szara strefa«, żadne prawo międzynarodowe nie daje uprawnień do aktywnej cyberobrony, ofensywy, czy też »obrony koniecznej«. W szczególności, takich uprawnień nie mają firmy prywatne, a prawo państwowe nie może tych uprawnień nadać. Prawo międzynarodowe dopuszcza pewne formy współpracy, ale ogólnie rzecz biorąc - w ramach współpracy międzypaństwowej, a zatem za obopólną wiedzą i zgodą. Trudno sobie wyobrazić aby państwo zezwoliło na cyberoperacje obcym firmom. Warto też zadać pytanie o konsekwencje nadania firmom prywatnym uprawnień do działań ofensywnych - dla polityki zagranicznej, a nawet kompetencji państwa w coraz bardziej kluczowym obszarze siłowym" - mówił Olejnik.

W jego ocenie ważna sprawą są też środki aktywnej cyberobrony na poziomie państwa. Dodaje, że problematyka działań w cyberprzestrzeni, operacji i ofensywy jest obecnie omawiana w ramach grupy ONZ.

"Negocjacje są w niej już w kluczowej fazie, a więcej informacji poznamy w czerwcu. Sytuacja będzie zatem rozwojowa. Nawiasem mówiąc, czy ktokolwiek słyszał o zaangażowaniu przedstawicieli ministerstwa spraw zagranicznych Polski w ramach tej kluczowej grupy ONZ?" - pyta ekspert.

Podsumowując Olejnik zwraca uwagę, że całe zagadnienie jest delikatne. Dodaje, że przy "analizie tego typu materii trzeba liczyć się z ryzykiem eskalacji i destabilizacji na szeroką skalę". Dlatego trzeba o procesie militaryzacji cyberprzestrzeni rozmawiać, również w Polsce – podkreśla.

