Artur Kurasiński – Wybory prezydenckie w Rumunii zostały unieważnione przez Sąd Konstytucyjny, który w uzasadnieniu napisał, że Călin Georgescu (zwycięzca I tury) dopuścił się manipulacji poprzez wykorzystanie „nieprzejrzystych i naruszających ordynację wyborczą technologii cyfrowych oraz sztucznej inteligencji w prowadzeniu kampanii”.
Dr Łukasz Olejnik – Metodami informacyjnymi rzeczywiście można wpłynąć na wyniki wyborów w państwie średniej wielkości, a być może nawet w dowolnym kraju, zwłaszcza gdy różnice między kandydatami są niewielkie. To wydarzenie jest bezprecedensowe i doskonale pokazuje wpływ nowych technologii na państwa oraz ich systemy polityczne. Zdecydowanie można mówić o operacjach informacyjnych prowadzonych metodami cyfrowymi. Inną sprawą jest jednak to, czy wyniki wyborów wynikają bezpośrednio i wyłącznie z takich działań w mediach społecznościowych.
W tej sprawie możemy opierać się jedynie na podobieństwach z innymi przypadkami, ale już decyzja o unieważnieniu wyborów jest absolutnie bezprecedensowa. Cokolwiek byśmy sądzili o jej uzasadnieniu, stanowi ona wyjątkową sytuację w historii wyborów.
Decyzja, którą opublikowano, spotkała się z krytyką, ponieważ wpisuje się w schemat istniejących wątpliwości i obaw. Trzeba też zauważyć, że nie mamy dostępu do pełnych wersji dokumentów wywiadowczych ujawnionych w Rumunii. Niemniej jednak decyzje takie jak unieważnienie wyborów nie pozostają bez konsekwencji. Jedną z oczywistych może być wywoływanie podziałów i polaryzacji w społeczeństwie – niektórzy obywatele mogą uznać, że ich głosy zostały zignorowane. To z kolei może doprowadzić do efektów o charakterze społecznym i politycznym, swoistego „rykoszetu”.
Inną kwestią jest to, że decyzja ta ma ewidentny charakter prawny i polityczny, co może sugerować, że państwo zostało zmuszone do jej podjęcia. Jeśli rzeczywiście doszło do takiego przymusu, moglibyśmy mówić o bezprawnej ingerencji w sprawy wyborcze. Byłoby to zmuszenie państwa do podjęcia działań, których normalnie by nie podejmowano. Gdyby ustalono, że za tym stoją działania jakiegoś zagranicznego aktora, mielibyśmy do czynienia z sytuacją jeszcze bardziej niepokojącą.
Jednym z ciekawszych zarzutów w tej sprawie był ten dotyczący TikToka – że na tej platformie można było obchodzić ciszę wyborczą. Podobne przypadki miały miejsce także w Polsce, co pokazuje, że takie sytuacje są możliwe. Nie jest to jednak wina samej ciszy wyborczej. Cisza wyborcza, jako mechanizm mający na celu ustabilizowanie przestrzeni informacyjnej przed dokonaniem wyboru, pozostaje rozwiązaniem doskonałym, choć pochodzi z czasów, gdy współczesne technologie komunikacyjne były jeszcze niewyobrażalne.
Czy przypadek wpływu TikToka na wybory w Rumunii, X (ex Twittera) w USA to dobry moment żeby poważnie zastanowić się nad ograniczeniem wpływu platform społecznościowych na życie społeczne i procesy wyborcze w państwach?
Ten moment nadszedł już wcześniej – choćby w czasach afery Cambridge Analytica. Od tamtej pory temat nieco przycichł, ale doprowadził do ważnych zmian prawnych, takich jak wprowadzenie Aktu o Usługach Cyfrowych (DSA). To prawo daje podstawy do zdejmowania treści w Internecie, moderacji, a w skrajnych przypadkach nawet do technicznego wyłączania platform cyfrowych. Formalnie rzecz biorąc, można to określić mianem cenzury technicznej. Jednak efekty tego nowego prawa nie są jeszcze w pełni znane, ponieważ dopiero zaczęto je wdrażać.
W poprzedniej kadencji Komisji Europejskiej rzeczywiście wprowadzono wiele regulacji dotyczących bezpieczeństwa, mediów społecznościowych i sfery informacyjnej. Dobrym pytaniem jest, czy należy te przepisy dalej zaostrzać i wzmacniać, czy też lepiej poczekać, by ocenić efekty wprowadzonych już rozwiązań. Przeregulowanie systemu mogłoby przynieść więcej szkody niż pożytku. Już dziś wielu użytkowników – w tym dziennikarze, a czasem i ja – narzeka na systemy moderacji treści, które potrafią zdejmować posty z uzasadnieniem, ale czasem również bez jasnego powodu.
Dzieje się tak głównie dlatego, że platformy stosują systemy automatycznej detekcji i sztucznej inteligencji do podejmowania decyzji. Co prawda, można odwoływać się od tych decyzji, ale proces ten bywa czasochłonny, a dla zwykłego użytkownika często jest to droga bez efektów.
Powodów tej sytuacji jest wiele. Skala ruchu w mediach społecznościowych jest tak ogromna, że ręczna moderacja jest niemożliwa. Dodatkowo platformy cyfrowe mają silną motywację do nadmiernej ostrożności, ponieważ znaleziona i nagłośniona treść szkodliwa (nawet jedna!) może przynieść im ogromne problemy. Dlatego podejmują ostre działania, by minimalizować ryzyko. Prawda jednak jest taka, że wprowadzone regulacje można obejść. Wyjaśniam to m.in. w mojej książce o propagandzie – treści polityczne wcale nie muszą być wyrażane wprost.
Nawet debata o zmianach klimatycznych może być uznana za polityczną. Ale czy zamierzamy blokować rozmowy na ten temat? To byłaby paranoja!
Warto spojrzeć na przykład USA i TikToka. Platforma była blokowana przez administrację Bidena i Demokratów, a wcześniej odblokowana przez działania Donalda Trumpa jeszcze przed jego prezydenturą. TikTok wyświetlał informacje związane z Trumpem dwukrotnie dla 150 milionów użytkowników w USA – raz w kontekście nadziei lub oczekiwań, co mogło być sprytnym posunięciem, a później w ramach podziękowań. Możliwe, że kolejne kroki to negocjacje międzypaństwowe, które z pewnością będą obejmować wiele wątków.
Patrząc na to, co stało się w Rumunii gdybyś mógł doradzić polskiemu rządowi co musi zrobić żeby zabezpieczyć wybory prezydenckie w 2025 roku? Jesteśmy w stanie być pewni, że żaden zagraniczny aktor nie będzie miał wpływu na wybór kolejnego Prezydenta RP?
W kwestii pierwszej, kluczowe jest zrozumienie i docenienie problemu – to absolutna podstawa. Niestety, nie jest to proste zadanie, dlatego życzę powodzenia w tej sprawie. Bez właściwego rozpoznania zagrożeń trudno będzie podjąć odpowiednie działania.
Co do drugiego pytania – wpływ zagranicznych aktorów na wybory prezydenckie w 2025 roku, moim zdaniem, będzie obecny. Tak dziś uważam. Nie jestem osobą, która widzi zagrożenie w każdym kolejnym procesie wyborczym, ale trzeba być realistą. Dla porównania – przed wyborami do Parlamentu Europejskiego utrzymywałem, że znaczący wpływ jest nieprawdopodobny, i te prognozy się sprawdziły. Jednak w obecnych warunkach, gdzie nowe technologie i operacje informacyjne rozwijają się dynamicznie, ignorowanie ryzyka byłoby nieodpowiedzialne.
Nie jest sztuką przewidywać czterdzieści kryzysów na dwa, które się dzieją. Nie popadam w katastrofizm, uważam natomiast, że katastrofy i kryzysy nie są czymś, czego należy obawiać się przy każdym większym wydarzeniu. Jednak w przypadku wyborów prezydenckich kluczowe jest przygotowanie się na różne scenariusze i skuteczne zabezpieczenie procesu wyborczego.
Obserwujesz i komentujesz prace polskiego rządu związane z dostosowaniem naszego kraju do Aktu UE o AI. Na grudzień 2024 jak oceniasz co zostało wykonane a co nas czeka w bliskiej przyszłości?
Obecnie nic nie zostało zrobione. Są plany powołania nowej struktury, Komisji ds. AI. To dublowanie już istniejących kompetencji Urzędu Ochrony Danych Osobowych. Ponadto zwróć uwagę na to, co dzieje się w USA. Tam w pierwszym dniu urzędowania Trump wycofał rozporządzenie wykonawcze Bidena mające zapewniać “bezpieczeństwo AI”. Jeśli to sygnał “cała naprzód!” Do deregulacji i rozwoju, powstanie pytanie, z czym w ręku pozostanie Unia Europejska. Znaczy się, z AI Act, to na pewno.
Jesteś bardzo dużym przeciwnikiem wyborów organizowanych przez Internet. Możesz wytłumaczyć dlaczego?
To jest złożony problem, ale w skrócie – bezpieczeństwo głosowania powinno opierać się na idealnych gwarancjach technicznych, a nie jedynie organizacyjnych czy prawnych w rodzaju: „uchwalamy prawo, że to bezpieczne i tajne!”. Tajność tutaj oznacza anonimowość – wyniki muszą być niezawodnie zliczone, jednocześnie bez możliwości stworzenia listy, kto na kogo głosował.
Ktoś może powiedzieć, że nie ma problemu, jeśli ktoś wie, jakie ma poglądy czy na kogo głosuje, ale dla innych – np. osób z mniejszych miejscowości, gdzie praca zależy od lokalnych polityków – może to być realny problem.
Stworzenie systemu wyborów, który byłby zarówno bezpieczny, jak i odporny na nadużycia, jest bardzo trudne. Zagrożenia mogą płynąć od ludzi przy władzy (zarówno teraz, jak i za 5, 10 czy 20 lat), od deweloperów systemu czy osób odpowiedzialnych za jego utrzymanie. Kluczowa jest też transparentność – obecny system głosowania jest prosty: kartka, długopis, kabina zapewniająca anonimowość. Przeliczenie głosów jest zdecentralizowane i łatwe do zrozumienia.
Wdrożenie technicznych rozwiązań mogłoby wprowadzić nowe problemy. System stałby się bardziej złożony, potencjalnie kruchy i podatny na ataki. Byłby też kosztowny i trudny do wytłumaczenia obywatelom. Co istotne, żaden kraj o porównywalnej wielkości do Polski nie wdrożył takiego systemu. Dlaczego więc mielibyśmy to robić? Chyba że przemawiają za tym jakieś polityczne powody, albo ideologiczne, albo jeszcze inne.
Postulujesz żeby Komisja Europejska zaczęła prace nad „zmianą bądź osłabieniem” przepisów o ochronie danych takich jak RODO. Możesz powiedzieć dlaczego?
To kilka kwestii. Ja nie postuluję osłabiania RODO. To jest tylko coś z czym trzeba się liczyć, że ktoś tego zechce. Po pierwsze, identyfikowane są słabości oraz niedostatki w egzekwowaniu. Te aspekty można poprawić na poziomie regulatorów. Inna sprawa to ewentualne braki w samej regulacji, ale również problem zupełnie inny – głosy przedsiębiorców i przedstawicieli przemysłu, którzy twierdzą, że RODO (GDPR) utrudnia pracę i rozwój. Podobne wnioski pojawiły się w wynikach badań prezentowanych przez polityków, gdzie przedsiębiorcy wskazywali GDPR jako jeden z elementów blokujących działalność.
Kolejny problem to wszechobecne wyskakujące okienka ze zgodą na ciasteczka, które bywają projektowane niespójnie, a czasem wręcz nadużywają prawa, wymuszając zgodę. Od lat politycy europejscy starają się zracjonalizować system zgód na ciasteczka, ale trudno to pogodzić z prawem do ochrony danych osobowych, którego filarem jest zgoda i świadomy wybór. W teorii można to wdrożyć w sposób przyjazny dla użytkownika, ale praktyka często wygląda inaczej, co prowadzi do frustracji. W efekcie wina zrzucana jest na samo prawo, choć w rzeczywistości problemem może być sposób jego wdrażania. Wbrew pozorom to w głównej mierze jednak nie jest kwestia RODO
Możliwość usprawnienia regulacji istnieje, ale trzeba uważać, by nie doprowadziło to do osłabienia ochrony danych w Europie. W praktyce politycy chętni do takiego osłabienia są obecni w każdej grupie politycznej w Parlamencie Europejskim, co wymaga szczególnej uwagi. Najprostszym rozwiązaniem jest jednak nie ruszać, by nie popsuć delikatnego systemu.
Holenderski Bank Centralny zaleca trzymanie gotówki w domu aby być przygotowanym na ewentualne ataki na system bankowy i Internet. To wygląda jak silny głos za tym żeby rządy nie skazywały nas tylko na korzystanie z elektronicznego pieniądza? Banknoty w skarpecie to element budowania cyber odporności?
Posiadanie zapasu gotówki na czarną godzinę to zawsze dobry pomysł – podobnie jak posiadanie zapasu jedzenia, wody, naładowanych baterii. Oczywiście, trzymanie wszystkich oszczędności w skarpecie byłoby absurdem, trzeba znaleźć odpowiednie proporcje. Wniosek jednak jest prosty: papierowa gotówka powinna pozostać. To również element budowania cyberodporności. Ryzyko długotrwałej niedostępności systemu finansowego jest niskie, ale istnieje. W skali państwa to potencjalne problemy systemowe. Proste rozwiązanie? Mieć trochę gotówki fizycznie, ale bez przesady – wielkie sumy są zbędne.
To trochę jak z ciszą wyborczą – mechanizmem wprowadzonym na długo przed powstaniem internetu i mediów społecznościowych. Mimo to okazuje się jednym z kluczowych narzędzi stabilizujących sferę informacyjną. Fakt, że da się ją obejść w kreatywny sposób, nie oznacza, że cisza wyborcza jest przeżytkiem. A tzw. „polskie bazarki”, gdzie można rzekomo dowiedzieć się o wynikach przed oficjalnym ogłoszeniem? To ryzyko indywidualne – jak ktoś chce, może zaufać, ale nie oznacza to, że dotyczy to wszystkich i wszędzie.
Interesujesz się i komentujesz informacje dotyczące komputerów kwantowych – na jakim etapie jest obecnie ta technologia i jak szybko mamy szansę zobaczyć jej praktyczne zastosowanie?
25 lat temu przewidywano, że komputery kwantowe będą dostępne “za 20 lat”. I rzeczywiście są – choć w formie demonstratorów o bardzo ograniczonej liczbie kontrolowanych kubitów lub zbyt dużej stopie błędów, by umożliwić praktyczne obliczenia. To wciąż pieśń przyszłości. Przełomy zdarzają się regularnie, ale nie są to takie przełomy, które oznaczają pojawienie się skalowalnego komputera kwantowego już za rok czy dwa. Większość ekspertów uważa, że praktyczne, dużej skali komputery kwantowe pojawią się nie wcześniej niż za 5 lat, choć ostrożniejsze szacunki mówią o 10, a nawet 30 latach. Są też głosy, że nie stanie się to nigdy. Jestem w stanie założyć się o butelkę znośnego armaniaku, że przed 2040 nie zobaczymy komputera kwantowego, który złamie dziś stosowane szyfry.
Mimo to państwa i firmy traktują te technologie poważnie. Jednym z dowodów jest migracja do systemów szyfrowania i podpisów cyfrowych odpornych na ataki komputerami kwantowymi. Główne zagrożenie polega na tym, że jeśli ktoś dziś zapisuje zaszyfrowany ruch, to w przyszłości – kiedy powstaną wystarczająco zaawansowane komputery kwantowe – może go odszyfrować. Warto jednak pamiętać, że większość danych szyfrowanych dziś będzie za 30 lat znacznie mniej wrażliwa. Ale niektóre będą wciąż ważne i trzeba je zabezpieczyć.
W swojej książce „Propaganda – Od dezinformacji i wpływu do operacji i wojny informacyjnej” piszesz o zagrożeniach związanych rozwojem technologii i jej wykorzystaniem w propagandzie.
Mamy znaczącą zmianę jakościową i ilościową – łatwiej dziś tworzyć treści, zwłaszcza przy użyciu AI i dużych modeli językowych, a także dystrybuować je na masową skalę (choć to osobne zagadnienia! AI/LLM samo w sobie nie rozprzestrzenia). Dlatego spędziłem sporo czasu na analizie skali problemu, badając zarówno historyczne konteksty z ostatnich kilkudziesięciu czy nawet kilkuset lat, jak i aktualne procesy polityczne, prawne oraz technologiczne. I wyszedł mi podręcznik, gdzie analizuję kwestie biznesowe, polityczne i wojskowe. To także pierwsza książka, która analizuje wojnę i operacje informacyjne towarzyszące konfliktowy zbrojnemu na Ukrainie, ale oczywiście rozważam wiele kwestii związanych z Polską i Polski dotyczących.
Trudno też nie dostrzec, że od około dekady przeżywamy renesans cyfrowej propagandy i operacji informacyjnych, często wspieranych cyberatakami. Z przymrużeniem oka mogę powiedzieć, że samo napisanie i posiadanie tej książki jest pewnym wkładem w budowanie informacyjnej odporności kraju, nawet jeśli byłbym jedyną osobą, która tak na to patrzy. :)
Generatywna sztuczna inteligencja wydaje się wymarzonym narzędziem do jej wykorzystania w kolejnych cyberatakach, tworzeniu fake newsów i wpływaniu na sferę medialną. Widzisz jak moglibyśmy zablokować jej wykorzystanie w takich wypadkach?
To doskonałe pytanie – jak możemy to zrobić? Blokując dystrybucję, bo tworzenia już nie zablokujemy. Ten pociąg już odjechał. Dżin wyszedł z butelki. Kot wyskoczył z pudełka. Jeszcze rok czy dwa lata temu można było obawiać się, że silne modele językowe i sztuczna inteligencja będą stanowiły ryzyko, ale systemy te będą pod kontrolą wybranych dużych firm. Ale dziś coraz więcej osób może załadować taki model na swoim urządzeniu i go używać dzięk modelom otwartym takim jak llama czy DeepSeek (poziom GPT4!). A będzie tylko łatwiej. W przyszłości modele te mogą działać w każdej firmie, instytucji, a nawet na domowych komputerach i smartfonach i to rutynowo.
Dla przykładu, dziś załadowałem sobie taki model na iPhone. Działa bezproblemowo, a nawet nie wyczerpuje baterii zbyt szybko. Świetne rozwiązanie dla ochrony prywatności przetwarzanych tak danych. Jak wiesz, mam problem ze słuchem, więc takie technologie są dla mnie ogromną pomocą. Transkrypcja głosu do tekstu to taki game-changer i oczekuję dalszych usprawnień już niebawem.
Dlatego nie skupiam się wyłącznie na ryzykach i zagrożeniach. Widzę też wiele szans, zarówno w kontekście ogólnym, jak i osobiście.
AI Act – bardziej zaszkodzi czy pomoże Europie w starciu z amerykańskimi big techami?
AI Act miał chronić ludzi, ale kwestie ochronne były już zawarte w istniejącym prawodawstwie, np. w RODO. W rzeczywistości nowe prawo miało rozszerzyć te regulacje – i to się udało, choć niektóre z zapisów AI mogą brzmieć jak z Orwella. Przykładowo, jak uznać, że “skutkiem” działania systemu AI było zmanipulowanie człowieka? Można tu dostrzec wiele ryzyk. Także w odniesieniu do ubezwłasnowolnienia ludzi. Pewne działania ludzi ktoś może uznać za efekty działania AI.
Problem w tym, że AI Act tworzono je w czasach, gdy nikt nie przewidywał, jak rozwiną się duże modele językowe i że staną się narzędziami ogólnego przeznaczenia. W efekcie, prawo opuszczające Komisję Europejską było już przestarzałe, zanim trafiło do Parlamentu Europejskiego. Przystosowywano je na bieżąco do zmieniających się realiów, ale efekty są przeciętne. Pomijam też kwestię pojawienia się Trumpa w Białym Domu. Jest kilka krajów, którym może zależeć na spowolnieniu rozwoju Zachodu, a co jeśli da się dobrać metody by skłonić państwa do samospowolnienia?
Obecnie mamy prawo, które nie wiadomo, co realnie gwarantuje, ale zdecydowanie utrudnia rozwój technologii i życie przedsiębiorców w Europie – i wszyscy zdają sobie z tego sprawę.
Europa przez ostatnie 20 lat miała szansę rozwinąć własne platformy cyfrowe, niestety tego nie zrobiła. W efekcie brak nam dużych graczy, którzy mogliby finansować dalszy rozwój technologii. Dochodzi sytuacja gdy Polska zostaje przez USA uznana za państwo drugiej kategorii, w kwestiach rozwoju technologii.
Kosmos to najnowsza domena prowadzenia wojen. Patrząc na to, jak obecnie wygląda rozkład sił (Amerykanie mają monopol na transport ładunków na niską orbitę) jak oceniasz szanse chińskiej czy rosyjskiej armii na realne zagrożenie Zachodowi w najbliższym czasie?
To ciekawe pytanie, ale nie jestem osobą kompetentną, by zabierać w tej sprawie stanowczy głos. Odpowiem więc wprost: nie wiem! Jeśli jednak miałbym coś powiedzieć, to stwierdziłbym, że w najbliższym czasie nie ma porównania z potencjałem amerykańskim. Nie ma możliwości przewagi, zarówno pod względem wywiadowczym, możliwościami zestrzelenia jak i operowania na orbicie, tzw. działania RPO, rendez-vous operations, gdzie obiekt w kosmosie zmienia orbitę, być może niebezpiecznie zbliża się do innego obiektu itd.—takie działania dziś już mają miejsce.
Swoją drogą, podczas wykładu na KCL w listopadzie ktoś zapytał mnie, jaki system polityczny jest najlepszy do prowadzenia operacji propagandowych i informacyjnych. To także duże pytanie. Oczywiście odpowiedziałem: nie wiem. Ale, jak to bywa, mimo zaznaczenia, że nie wiem, udzieliłem odpowiedzi. Ty również zapytałeś, więc odpowiedziałem najlepiej, jak potrafię.
Wojska Obrony Cyberprzestrzeni powstały w 8 lutego 2022 roku. 24 lutego Rosja rozpoczęła eskalację wojny w Ukrainie. Niewiele się mówi o roli i osiągnięciach tego komponentu w ochronie polskiej państwa. To dobrze czy źle?
Generał Molenda robi bardzo wiele dla popularyzacji idei cyberbezpieczeństwa oraz rozwijania WOC (Wojsk Obrony Cyberprzestrzeni). To struktura wojskowa, prężnie się rozwijająca, ale jednak ograniczona przez swoje militarne uwarunkowania. Nie wolno zakłócać rozwoju tej struktury na tym etapie, zwłaszcza gdyby miał robić to ktoś nieorientujący się w temacie, lub też komu wydaje się, że materię rozumie. Warto byłoby umożliwić też bardziej aktywne działania.
Jeśli chodzi o osiągnięcia, to na podstawie publicznie dostępnych informacji wiemy o rozwoju kadry, wynikach w rywalizacjach, nawiązywaniu kontaktów oraz wykrywaniu wrogich działań. Jednak ocena tych osiągnięć na podstawie tylko ujawnionych danych byłaby niepełna. Działalność tego rodzaju, zwłaszcza w kontekście konfliktu na Ukrainie, pokazuje, że większość cyberoperacji pozostaje niewidoczna. W początkowych miesiącach wojny niektórzy zachodni analitycy błędnie uznali, że cyberoperacje są przereklamowane i mają niewielkie znaczenie. To poważny błąd.
Szwecja wysyła papierowe do każdego gospodarstwa domowego wersje swojego poradnika informującego obywatelki i obywateli jak mają się zachować w przypadku zagrożenia. W Polsce istnieje też taki poradnik, ale niewiele osób wie o jego istnieniu. Jednocześnie co pewien czas przez system otrzymujemy SMSy wysyłane przez Rządowe Centrum Bezpieczeństwa – głównie związane z powiadomieniami o wichurach albo wyborach. Nie mamy się czego bać?
Taki poradnik, przystępnie napisany, powinien trafić do każdego Polaka – mówię poważnie. Jednak jeśli chodzi o alerty wysyłane przez Rządowe Centrum Bezpieczeństwa (RCB), ich forma do niedawna budziła ogromne wątpliwości. Ograniczenie działalności wysyłania spamu w rodzaju “wieje wiatr” to krok w dobrym kierunku, ale jeśli alerty miałyby wyglądać właśnie tak, to lepiej sobie darować. Sztuką nie jest przewidzenie 10 kryzysów na dwa. Każdy może dziś zainstalować aplikację pogodową i dostawać od niej alerty, jeśli chce.
Problem polega na tym, że szkody w zaufaniu do systemu już zostały wyrządzone. Może warto przemyśleć całkowicie system alertów? Na przykład, umożliwić wysyłanie ich przez aplikację mObywatel, gdzie użytkownik mógłby wybrać, jakie alerty chce otrzymywać – np. rezygnując z prognoz pogodowych. Bo naprawdę, co kilka dni dostawanie SMS-a o tym, że będzie wiało i trzeba zadbać o rzeczy, wydaje się surrealistyczne.
Jeśli chodzi o poradniki RCB, niektóre zalecenia brzmią wręcz nierealistycznie. Na przykład, sugestia, by mieć dokumenty takie jak akt urodzenia, ślubu czy własności mieszkania w kilku miejscach – w domu, w pracy i w samochodzie. Ciekawe, czy urzędnicy naprawdę uważają, że takie zalecenie jest wykonalne.
Zróbmy symulację jak można „hakowania” polskiego państwo. Czym trzeba by dysponować żeby poprzez atak cybernetyczny zaszkodzić takiemu państwu wielkości Polski?
Trzeba dysponować zespołem i odpowiednią wiedzą. Zespół powinien być wyszkolony, najlepiej z doświadczeniem, a wiedza i narzędzia muszą umożliwiać podejmowanie skutecznych działań. Operacje należy dokładnie zaplanować, ale to tylko ogólniki. Dlaczego? Bo trudno mówić o czymś tak specjalistycznym w szczegółach. Można tworzyć scenariusze ryzyka, np. w formie ćwiczeń red teamingowych, ale to wciąż tylko scenariusze – mogą być przydatne, ale nie muszą odzwierciedlać rzeczywistego przebiegu zdarzeń.
Ważne jest także tło sytuacyjne. Czy mielibyśmy do czynienia z działaniami powiązanymi z konfliktem zbrojnym w regionie? Czy celem byłoby przygotowanie gruntu pod eskalację wobec Polski? A może chodziłoby tylko o podkopanie zaufania ludzi do państwa? Kluczowe jest to, że decyzje o charakterze i celach cyberoperacji zawsze podejmuje agresor. To on ocenia ich sukces lub porażkę oraz stopień osiągnięcia założonych celów.
Choć wiele mówi się o ryzyku wyłączeń prądu czy zakłóceń w systemie finansowym, uważam, że ryzyko takich zdarzeń jest bardzo niewielkie. Nie oznacza to jednak, że należy je całkowicie ignorować. Ale to wszystko kwestia prawdopodobieństwa, wpływu, a w ogólności – także możliwości atakującego. Ja bym się obawiał cyberataków na newralgiczne elementy państwa, takie jak rejestry państwowe, baza PESEL, baza paszportów, system ZUS-u.
Te systemy są zabezpieczane i nie są w oczywisty sposób dostępne z sieci internet. To oczywiście nie musiałaby być cyber operacja czysto poprzez sieć. Przy założeniu możliwości uzyskania fizycznego dostępu rzecz staje się bardzo poważna. Na szczęście, nie jest to proste i byłoby dla atakujących bardzo ryzykowne.
Kings College London – co tam dokładnie robisz I czym się zajmujesz?
Jestem w ramach Department of War Studies, a także King’s Institute for Artificial Intelligence. Właściwie dopiero co się pojawiłem. Było kilka seminariów, a zajmuję się oceną ryzyka i badaniem związków między cyberoperacjami a szerszym pojęciem bezpieczeństwa. Specjalizuję się w kwestiach cyberbezpieczeństwa i operacji informacyjnych, oraz próby lepszego zrozumienia cyberoperacji podczas konfliktów zbrojnych, a także w ich wcześniejszych i późniejszych fazach – zarówno przed konfliktami, jak i po ich zakończeniu. A poza tym pozostaję otwarty na różnego rodzaju doradztwo i konsulting.
***
Dr Łukasz Olejnik, niezależny badacz i konsultant, związany z Department of War Studies, King’s College London. Pisuje na Prywatnik.pl, na X @prywatnik