Rosnące znaczenie infrastruktury teleinformatycznej dla bezpieczeństwa narodowego współczesnych państw wymaga intensywnego rozwoju zdolności wywiadowczych w odpowiedzi na szanse i zagrożenia wynikające z ekspansji sieci informatycznych i komunikacyjnych. Skomputeryzowane systemy sieciowe, wspierane przez technologie sztucznej inteligencji, w coraz większym stopniu stają się platformą rozprzestrzeniania zagrożeń ładu publicznego i bezpieczeństwa wewnętrznego, a także bezpośrednich ataków na cele żywotne dla interesów bezpieczeństwa narodowego. W celu obniżenia poziomu ryzyka, skali zagrożeń oraz prawdopodobieństwa ataku cybernetycznego, współczesne państwa tworzą systemy wykrywania, ostrzegania, przeciwdziałania i obrony przed cyberzagrożeniami. Włączają w te działania służby wywiadowcze, rozwijając ich specjalistyczne zdolności oraz umieszczając je w odrębnych ramach organizacyjno-instytucjonalnych, określanych jako „wywiad cybernetyczny”, albo „cyberwywiad”.
Wywiad cybernetyczny[1] obejmuje zespół zorganizowanych czynności pozyskiwania, gromadzenia, przetwarzania i analizowania danych i informacji generowanych i/lub przesyłanych w sieciowych systemach teleinformatycznych w celu wytworzenia wiedzy o źródłach i podmiotach działań zagrażających bezpiecznemu funkcjonowaniu infrastruktury teleinformatycznej, a przez to wspomagania procesów decyzyjnych zmierzających do zapobiegania, przeciwdziałania i zwalczania takich zagrożeń. Ponieważ infrastruktura teleinformatyczna ma istotne, w części krytyczne, znaczenie dla bezpieczeństwa państw oraz ich obywateli, wywiad cybernetyczny jest domeną władzy państwowej, w szczególności wyspecjalizowanych organów i służb, choć nie wyklucza to rozwoju prywatnych zdolności rozpoznawczo-analitycznych przez podmioty gospodarcze traktujące „cyberwywiad” jako formę usługi rynkowej. Ze względu na transgraniczne powiązania między elementami infrastruktury technicznej oraz zdeterytorializowane, zwirtualizowane interakcje wykreowane przez oprogramowanie sterujące skomputeryzowanymi systemami urządzeń, cyberbezpieczeństwo wykroczyło poza obszar interesów narodowych i stało się przedmiotem międzynarodowej rywalizacji i współpracy. Instytucje i organizacje międzynarodowe, których cele obejmują także bezpieczeństwo, stabilność międzynarodową i ład wewnętrznych, takie jak NATO i Unia Europejska, od pewnego czasu podejmują skoordynowane działania na rzecz wzmocnienia zdolności cyberwywiadowczych. W przypadku Unii Europejskiej, formalne kroki w kierunku poprawy stanu bezpieczeństwa cybernetycznego podjęte zostały już na początku bieżącego stulecia[2], choć dopiero w 2013 r. przyjęta została unijna strategia cyberbezpieczeństwa[3]. We wrześniu 2017 r. strategia została zaktualizowana i uzupełniona o elementy wzmacniające odporność infrastruktury teleinformatycznej państw członkowskich na zagrożenia i ataki, a także polepszające koordynację między organami cyberbezpieczeństwa państw członkowskich oraz działania na poziomie UE. Rok później, na szczycie UE w Brukseli, uzgodniono „zwalczanie nielegalnych i prowadzonych w złej wierze działań w cyberprzestrzeni i wykorzystujących cyberprzestrzeń oraz budowanie silnego cyberbezpieczeństwa.”[4] W kontekście nasilenia ataków cybernetycznych, a także kampanii dezinformacji w internecie, przywódcy państw członkowskich oznajmili: „Takie zagrożenia i ataki zwiększają naszą wspólną determinację do dalszego umacniania wewnętrznego bezpieczeństwa UE oraz naszych zdolności i możliwości w zakresie wykrywania wrogich działań obcych służb wywiadowczych i innych podmiotów działających w złej wierze na naszych terytoriach, a także online, jak również do zapobiegania takim wrogim działaniom, zakłócania ich i reagowania na nie.”[5] To stanowisko współbrzmiało z wcześniejszymi oświadczeniami dotyczącymi zagrożeń hybrydowych, wśród których na czołowym miejscu znajdowały się cyberzagrożenia[6].
Wspólne ramy dotyczące przeciwdziałania zagrożeniom hybrydowym obejmowały inicjatywę powołania Komórki UE ds. syntezy informacji o zagrożeniach hybrydowych (Hybrid Fusion Cell – HFC). Co istotne, komórka ta miała powstać w obrębie Centrum Wywiadowczego i Sytuacyjnego UE (INTCEN) – organu współpracy wywiadowczej państw członkowskich w zakresie analizy problemów i zagrożeń bezpieczeństwa Unii Europejskiej[7]. Zadania HFC, działającej od maja 2017 r., obejmują analizę na podstawie informacji niejawnych od państw członkowskich oraz rozpoznania jawnoźródłowego różnych aspekty zagrożeń hybrydowych, określanie poziomu ryzyka, regularna ocena zagrożeń oraz formułowanie ostrzeżeń dla Europejskiej Służby Działań Zewnętrznych (ESDZ)[8], Komisji Europejskiej i państw członkowskich.
HFC została także uwzględniona w zaleceniach Komisji Europejskiej w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę[9]. Uznano ją za jeden z unijnych podmiotów zaangażowanych w reagowanie na kryzysy cybernetyczne. Jej zadaniem jest „szybkie analizowanie odnośnych incydentów i informowanie odpowiednich struktur koordynujących.[10]” Regularne raportowanie i ostrzeganie przez tę komórkę powinno wzmocnić zdolności i gotowość do adekwatnej reakcji na niebezpieczne zdarzenia i szkodliwe incydenty cybernetyczne. W zaleceniach Komisja włączyła HFC w skoordynowane działania wywiadowcze w formacie SIAC, zobowiązując ją do przygotowania operacyjnego raportu sytuacyjnego na temat stanu bezpieczeństwa cybernetycznego w UE.
Dokument Komisji Europejskiej korespondował z nieco wcześniejszym dokumentem tematycznym dotyczącym wspólnej unijnej akcji dyplomatycznej w odpowiedzi na rosnącą intensywność operacji cybernetycznych i postulującym wyposażenie państw członkowskich w tzw. cyberdyplomatyczną skrzynkę narzędziową[11]. Odnosząc się do niepokojących procesów w stosunkach międzynarodowych przy wykorzystaniu globalnych sieci teleinformatycznych, w szczególności internetu (ataki cybernetyczne, incydenty hakerskie, ingerencja w procesy wyborcze, dezinformacja i przekłamania), Rada UE podkreśliła, że z punktu widzenia skuteczności działań prewencyjnych i obronnych, zwłaszcza w świetle prawa międzynarodowego, istotną kwestią jest ustalenie, który podmiot państwowy lub niepaństwowy ponosi odpowiedzialność za szkodliwe działania w cyberprzestrzeni. Dlatego istotne jest uruchomienie zdolności rozpoznawczo-analitycznych w ramach UE, na podstawie podzielanej przez państwa członkowskie świadomości sytuacyjnej adekwatnej do zaistniałych sytuacji. Jednakże – jak podkreśliła Rada – działania takie zależą od suwerennej decyzji politycznej państw członkowskich opartej na danych wywiadowczych pochodzących z wszelkich dostępnych źródeł.
Wnioski Rady UE oznaczały więc danie państwom członkowskim wolnej ręki w uruchamianiu mechanizmów koordynacji odpowiedzi na zagrożenia cybernetyczne, a tym bardziej w sięganiu po zasoby informacji i analiz wywiadowczych będących w posiadaniu rządów państw członkowskich. Dlatego ani zalecenia Komisji, ani wniosku Rady nie skutkowały rozwojem współpracy cyberwywiadowczym ani na poziomie strategicznym, ani – tym bardziej – operacyjnym. Wobec takiego stanu rzeczy Europejska Służba Działań Zewnętrznych postanowiła uruchomić własne zdolności analityczne i organizacyjne. W niedawno opublikowanym dokumencie roboczym[12] ESDZ zaproponowała wzmocnienie roli i aktywności INTCENu, a także funkcjonującej w jego ramach Komórki UE ds. syntezy informacji, w zakresie działań wykrywczych w odniesieniu do cyberataków, jak również przygotowania środków zapobiegania i przeciwdziałania cyberzagrożeniom.
W dokumencie ramowym zaznaczono, że INTCEN powinien wykorzystać najnowsze zdolności wywiadowcze, odzwierciedlając jednocześnie niuanse i potencjalne różnice stanowisk poszczególnych państw członkowskich. W związku z tym oceny zagrożeń na poziomie UE będą miały charakter wprowadzający, doradczy i uzupełniający, a zatem nie mogą zastąpić krajowych analiz wywiadowczych i być uznawane za wspólne stanowisko wobec zidentyfikowanych zagrożeń.
Unia Europejska stworzyła wspólne ramy umożliwiające podejmowanie skoordynowanych działań w celu wzmocnienia cyberbezpieczeństwa, w tym rozwój zdolności wywiadu cybernetycznego. Jednak w dalszym ciągu obowiązuje zasada pełnej odpowiedzialności państw członkowskich za środki, metody i efekty podjętych działań. Cyberbezpieczeństwo jest ujmowane jako element bezpieczeństwa narodowego, wobec czego – zgodnie z art. 4 ust. 2 traktatu o Unii Europejskiej – nakłada na państwa członkowskie wyłączną odpowiedzialność w tej domenie. Niemniej należy zauważyć, na co zresztą niejednokrotnie zwracała uwagę Komisja Europejska, że cyberprzestrzeń nie jest „przypisana” terytorialnie do państw członkowskich i powinna być traktowana jako ponadnarodowa struktura informacyjno-komunikacyjna sterująca transnarodowymi sieciami zarządzania w sektorach gospodarki i finansów, wspólnego bezpieczeństwa i obrony oraz dyplomacji, a także jest podstawą „cyfrowego” wspólnego rynku oraz infrastruktury krytycznej w UE. Zaznaczenie potrzeby rozwoju zdolności cyberwywiadowczych jest pozytywnym sygnałem, niemniej ciągle postrzeganym w kontekście deklaracji woli (lub jej braku) ze strony poszczególnych państw członkowskich. Rozproszenie organów cyberwywiadowczych na poziomie UE z pewnością nie pomaga w skutecznej koordynacji wysiłków. Zespolenie tych działań w wyraźnie określonych ramach instytucjonalno-organizacyjnych oraz precyzyjne wyznaczenie obszaru kompetencji jednostek unijnych powinno być pierwszym, poniekąd przełomowym krokiem w stronę budowy jednolitych zdolności wywiadu cybernetycznego w Unii Europejskiej.
[1] Definicja tego pojęcia nastręcza sporych trudności z uwagi na złożoność cyberprzestrzeni oraz zakorzenione świadomości decydentów i badaczy tradycyjne podejście do działalności wywiadowczej. Na ten temat: M. Górka, Wybrane problemy z teorii wywiadu cybernetycznego, Kwartalnik Bellona, 2017, nr 3, s. 51-54.
[2] Zob. Helena Carrapico, Andre Barrinha, European Union cyber security as an emerging research and policy field, European Politics and Society, 2018, t. 19, nr 3, s. 299-303.
[3] Strategia bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń, dok. JOIN(2013) 1 final, Bruksela, 7.02.2013 r., https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52013JC0001&from=HU.
[4] Posiedzenie Rady Europejskiej (18 października 2018 r.) – Konkluzje, dok. EUCO 13/18, Bruksela, 18.10.2018 r., https://www.consilium.europa.eu/media/36792/18-euco-final-conclusions-pl.pdf
[5] Jak wyżej.
[6] Wspólne ramy dotyczące przeciwdziałania zagrożeniom hybrydowym. Odpowiedź Unii Europejskiej, dok. JOIN(2016) 18 final, Bruksela, 6.04.2016 r., https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52016JC0018&from=EN.
[7] INTCEN powstał w 2002 r. w wyniku przekształcenia Centrum Sytuacyjnego Unii Zachodnioeuropejskiej w organ podległy Radzie Unii Europejskiej. W 2012 r., w wyniku zmian wprowadzonych przez traktat lizboński z 2007 r., INTCEN został włączony do Europejskiej Służby Działań Zewnętrznych (zob. poniżej). W 2015 r. nastąpiła reorganizacja INTCENu i zmiana nazwy na aktualnie obowiązującą: Centrum Wywiadowcze i Sytuacyjne. Więcej na ten temat: Artur Gruszczak, Europejska wspólnota wywiadowcza. Prawo – instytucje – mechanizmy, Kraków 2014, roz. 3; Artur Gruszczak, Nowy szef jednostki wywiadowczej UE, Komentarz ZBN, nr 2 (11) / 2016, http://www.zbn.inp.uj.edu.pl/komentarze?p_p_id=56_INSTANCE_lXg4&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&p_p_col_id=column-1&p_p_col_count=1&groupId=92718966&articleId=115412860.
[8] Europejska Służba Działań Zewnętrznych została utworzona na podstawie traktatu lizbońskiego z 2007 r. jako struktura odpowiedzialna za koordynowanie stosunków zewnętrznych Unii Europejskiej, w tym polityki zagranicznej i bezpieczeństwa. W jej ramach działają organy odpowiedzialne za wpólną politykę bezpieczeństwa i obrony UE, w tym jednostki zajmujące się analizą wywiadowczą o charakterze militarnym (Zarząd Wywiadu w Sztabie Wojskowym UE) i cywilnym (Centrum Wywiadowcze i Sytuacyjne), współdziałające w formacie SIAC (jednolite zdolności analizy wywiadowczej).
[9] Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę, Dziennik Urzędowy UE L 239 z 19.09.2017 r.
[10] Jak wyżej, s. 49.
[11] Projekt konkluzji Rady w sprawie ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne („zestaw narzędzi dla dyplomacji cyfrowej”), dok. 9916/17, Bruksela, 7 czerwca 2017 r., http://data.consilium.europa.eu/doc/document/ST-9916-2017-INIT/pl/pdf.
[12] Implementation of the Framework for a Joint EU Diplomatic Response to Malicious Cyber Activities – Attribution of malicious cyber activities – discussion of a revised text, dok. 6852/1/19 REV 1, Bruksela, 18.03.2019 r., http://www.statewatch.org/news/2019/mar/eu-council-cyber-6852-REV-1-19.pdf.