W zeszłym roku w ramach porozumienia Cybersecurity Tech Accord uruchomiono „State of International Cybersecurity Thermometer”, coroczny pomiar eskalacji lub deeskalacji konfliktów w Internecie. W związku z powszechnym wykorzystaniem przez Rosję operacji cybernetycznych podczas inwazji na Ukrainę w 2023 r. stwierdziliśmy, że świat osiągnął metaforyczny „punkt wrzenia” cyberwojny i pierwszy odczyt termometru umieścił na 100 stopni. W 2024 r. nasza koalicja specjalistów ds. cyberbezpieczeństwa z całej branży technologicznej oceni, że pokój i bezpieczeństwo w Internecie nadal się pogarszają, pomimo pewnych znaczących postępów, w sumie podnosząc Międzynarodowy Termometr Cyberbezpieczeństwa o jeden stopień wyżej, do 101 stopni.
Ta determinacja odzwierciedla pilną sytuację i wynika w dużej mierze z napięć geopolitycznych i konfliktów w Internecie, które nasiliły się w zeszłym roku. Ogólnie rzecz biorąc, stopień wyrafinowania i wpływ cyberataków na państwa narodowe wzrósł bez uwzględnienia międzynarodowych zasad i norm. Niemniej jednak w ubiegłym roku warto odnotować zachęcające wydarzenia, w tym postęp technologiczny i ewolucje w systemie międzynarodowym, które pomogły poprawić bezpieczeństwo i dały powód do nadziei w przyszłości. W szczególności postępy w sztucznej inteligencji zapewniają obrońcom natychmiastowe korzyści w zakresie bezpieczeństwa. Tymczasem rządy i instytucje międzynarodowe w coraz większym stopniu współpracują na rzecz wzmocnienia efektu odstraszania i promowania odpowiedzialnych zachowań w Internecie. Mamy nadzieję, że te pozytywne zmiany będą kontynuowane i zaczną mieć znaczący wpływ na stan konfliktu w Internecie w przyszłym roku.
Celem termometru stanu międzynarodowego cyberbezpieczeństwa jest zapewnienie jasnej i obiektywnej oceny obecnego krajobrazu cybernetycznego. Ma na celu identyfikację kluczowych trendów i zmian, które miały miejsce w ciągu ostatniego roku, oraz przedstawia środki niezbędne do zwiększenia stabilności i bezpieczeństwa w sferze cyfrowej w przyszłości. Podobnie jak w przypadku zeszłorocznej oceny, główne zmiany brane pod uwagę przy podejmowaniu decyzji można podzielić na trzy kategorie: i) rozwój dyplomatyczny i instytucjonalny, ii) skala i charakter konfliktów w Internecie oraz iii) rozwój technologiczny. Poniżej szczegółowo opisano każde z najważniejszych wydarzeń uwzględnionych w tegorocznej ocenie, ze wskazaniem, czy miały one pozytywny, negatywny czy neutralny ogólny wpływ na krajobraz bezpieczeństwa.
100° i WIĘCEJ: WOJNA CYBER
Ten stan „gazowy” odzwierciedla chaotyczne i niebezpieczne warunki przekraczające temperaturę wrzenia. Sugeruje to wykorzystanie operacji cybernetycznych w kontekście konfliktu zbrojnego, który wyrządził krzywdę ludności cywilnej lub której celem jest ludność cywilna.
Były:
Stosowanie operacji cybernetycznych podczas wojny z naruszeniem międzynarodowych norm i/lub prawa Nieskuteczne odstraszanie.
0° – 99°: CYBER KONFLIKT
Ten „płynny” stan odzwierciedla stopień cyberkonfliktu, który nie prowadzi do wojny. Charakteryzuje się brakiem jasności co do międzynarodowych oczekiwań w Internecie i/lub niemożnością spełnienia takich oczekiwań.
Były:
Lekkomyślna aktywność cybernetyczna państw narodowych
Regularne nadużycia ze strony podmiotów niepaństwowych
ograniczony postęp na forach dyplomatycznych.
MNIEJ NIŻ 0°: CYBER STABILNOŚĆ
Ten „solidny” stan odzwierciedla stabilność międzynarodowego cyberbezpieczeństwa. Wymaga to istnienia jasnego, opartego na zasadach porządku w Internecie oraz solidnego systemu międzynarodowego, który umożliwi spełnienie takich oczekiwań.
Były:
Niedobór sponsorowanych przez państwo operacji cybernetycznych, które naruszają normy międzynarodowe
Ograniczone zagrożenia stwarzane przez inne podmioty
Główne wskaźniki i wydarzenia, które miały miejsce w ubiegłym roku, będące podstawą niniejszej oceny:
Rozwój dyplomatyczny i instytucjonalny
Ograniczony postęp i zmiany w Organizacji Narodów Zjednoczonych (ONZ) (negatywne).
Jako organizacja międzynarodowa odpowiedzialna za utrzymanie światowego pokoju i bezpieczeństwa, państwa członkowskie ONZ w ubiegłym roku po raz kolejny poczyniły ograniczone postępy w kierunku bezpieczniejszego świata online w miarę dalszej eskalacji konfliktów cybernetycznych. Grupa robocza ONZ, której zadaniem jest określenie i utrzymanie oczekiwań dotyczących odpowiedzialnego zachowania państwa w Internecie, nie uznała żadnych nowych norm ani nie wspierała wdrażania istniejących, a także nie była w stanie ułatwić regularnego, znaczącego włączenia wielu zainteresowanych stron. Tymczasem oddzielne negocjacje w sprawie konwencji ONZ o cyberprzestępczości wzbudziły poważne obawy branży i społeczeństwa obywatelskiego w związku z ochroną praw człowieka i ważną pracą badaczy bezpieczeństwa.
Zobowiązania wielu zainteresowanych stron dotyczące cybernajemników (pozytywne).
Po latach szybkiego wzrostu na niekontrolowanym rynku rządy – na czele z Francją, Wielką Brytanią i USA – w końcu podejmują dalsze kroki w celu ograniczenia rynku cybernajemników. Grupy te wytwarzają i sprzedają ofensywne narzędzia cybernetyczne, głównie klientom rządowym, w modelu biznesowym, który podważa bezpieczeństwo technologii pokojowej i zniechęca do odpowiedzialnego ujawniania luk w zabezpieczeniach. Nowe zobowiązania rządów do nałożenia ograniczeń na te spółki oraz uruchomienie wielostronnego procesu Pall Mall podkreślają ważne pierwsze kroki na obiecującej ścieżce rozwoju.
Międzynarodowy Trybunał Karny zajmie się zbrodniami wojennymi wykorzystującymi cyberprzestrzeń (pozytywna).
Jesienią ubiegłego roku Prokurator Międzynarodowego Trybunału Karnego (MTK) ogłosił, że jego jurysdykcja rozszerzy swoje uprawnienia, aby objąć dochodzenia w sprawie zbrodni wojennych wykorzystujących cyberprzestrzeń. Inicjatywa ta wpisuje się w ewoluujący charakter współczesnych działań wojennych, w których operacje cybernetyczne w coraz większym stopniu odgrywają kluczową rolę i mogą narazić ludność cywilną na poważne ryzyko. następnie prokuratura organizowała spotkania mające na celu dalszy rozwój tej polityki. Takie proaktywne środki stosowane przez międzynarodowe organy wymiaru sprawiedliwości są potrzebne, aby zapewnić im możliwość wypełniania swoich mandatów i egzekwowania międzynarodowych zobowiązań w internecie.
Ukierunkowane i zbiorowe sankcje cybernetyczne (pozytywne)
W tym roku nastąpił znaczny postęp wraz z rozpoczęciem pierwszych trójstronnych sankcji cybernetycznych . W ramach skoordynowanych wysiłków Australia, Wielka Brytania i Stany Zjednoczone nałożyły sankcje na rosyjskiego ugrupowania zagrażającego odpowiedzialnego za atak oprogramowania typu ransomware w 2022 r. na australijskiego ubezpieczyciela opieki zdrowotnej. To wspólne działanie podkreśla znaczenie współpracy międzynarodowej w zwalczaniu zagrożeń cybernetycznych i stanowi precedens dla przyszłych sankcji opartych na współpracy. Zobowiązanie krajów do solidarności ze swoimi partnerami podkreśla znaczenie zbiorowych reakcji dla utrzymania cyberbezpieczeństwa i odstraszania.
Zobowiązanie NATO do obrony cybernetycznej (pozytywne)
Szczególnie w obliczu powszechnego stosowania operacji cybernetycznych podczas rosyjskiej inwazji na Ukrainę zachęcające jest obserwowanie, jak sojusz NATO wzmacnia swoją współpracę w zakresie cyberobrony. Zeszłego lata na szczycie NATO państwa sojusznicze ogłosiły nową wizję tego, w jaki sposób cyberobrona przyczyni się do ogólnej postawy odstraszania i obrony NATO w obliczu rosnących zagrożeń. Obejmuje to zobowiązania do wzmocnienia krajowej obrony cybernetycznej jako priorytetu.
Unijny akt o odporności cybernetycznej (CRA) (neutralny)
CRA to przełomowy akt prawny, który ma zostać ukończony w drugiej połowie 2024 r. w Unii Europejskiej (UE), ustanawiający istotne wymagania w zakresie cyberbezpieczeństwa dla producentów produktów zawierających elementy cyfrowe w całym cyklu życia produktu. Podobnie jak w przypadku ogólnego rozporządzenia o ochronie danych (RODO) w 2018 r., zgodność z CRA ustanowi de facto minimalny standard dla firm działających w różnych regionach. Chociaż znaczna część treści agencji ratingowych z pewnością poprawi cyberbezpieczeństwo, nadal istnieją obawy , że wymagane zgłaszanie niezałatanych luk w zabezpieczeniach może zwiększyć ryzyko cybernetyczne. Ostatecznie wpływ agencji ratingowych będzie zależał od sposobu jej wdrożenia w nadchodzących miesiącach.
Skala i charakter konfliktu w Internecie
Ewolucja operacji cybernetycznych w działaniach wojennych (Ukraina i poza nią) (negatywna)
Niepohamowane wykorzystanie operacji cybernetycznych w konflikcie zbrojnym przez Rosję na Ukrainie trwało przez cały drugi rok wojny i po raz kolejny jest głównym powodem, dla którego uznaliśmy, że stan międzynarodowego bezpieczeństwa cybernetycznego przekroczył przysłowiowy „punkt wrzenia”. Operacje cybernetyczne powiązane ze strajkami kinetycznymi wymierzonymi zeszłego lata w ukraińskie rolnictwo to tylko jeden z przykładów tego, jak ataki te mogą wyrządzić powszechne i masowe szkody. Co więcej, biorąc pod uwagę eskalację napięć w innych regionach, rosną obawy co do rychłego wykorzystania operacji cybernetycznych w innych konfliktach geopolitycznych, które również nasilają się.
Tendencje w działalności państw narodowych (negatywne)
Według danych prowadzonych przez Centrum Studiów Strategicznych i Międzynarodowych (CSIS) monitorujących liczbę znaczących incydentów cybernetycznych w ciągu ostatniego roku ogólna wielkość działań związanych z zagrożeniami ze strony państw narodowych utrzymywała się mniej więcej na tym samym poziomie . Chociaż jednak całkowita liczba cyberataków na państwa narodowe pozostała stała, same ataki wykazały rosnącą chęć wybrania za cel infrastruktury krytycznej i coraz większe wyrafinowanie. W ubiegłym roku odnotowano znaczące ataki na cywilne przedsiębiorstwa wodociągowe , infrastrukturę wyborczą i systemy energetyczne , a wszystko to stanowiło jawne naruszenie ustalonych norm międzynarodowych. Z kolei sponsorowane przez państwo operacje cybernetyczne w coraz większym stopniu wykorzystują techniki „życia poza ziemią” w celu utrzymania dostępu do systemów przez dłuższy okres czasu, skutecznie przygotowując się do potencjalnie bardziej szkodliwych ataków w przyszłości.
Rozwój cyberbezpieczeństwa na rynku finansowym i ubezpieczeniowym (neutralny)
Rynki finansowe i ubezpieczeniowe również reagują na ryzyko, jakie stwarza eskalacja cyberkonfliktu. Zeszłego lata Komisja Papierów Wartościowych i Giełd (SEC) przyjęła nowe zasady dotyczące przejrzystości i ujawniania informacji, aby lepiej informować inwestorów. Nowe przepisy mają także na celu poprawę odporności sektora finansowego, jak np. DORA w Europie (dotycząca także sektora IT), która weszła w życie w 2023 r. Wraz z zagrożeniami rośnie także rynek ubezpieczeń od ryzyka cybernetycznego – dotyczy to rozszerzonej ochrony ubezpieczeniowej i rosnące składki ubezpieczeniowe ( MFW – rozdz. 3 ), przy pogłębiających się różnicach we włączeniu MŚP w ochronę cybernetyczną i zwiększonej zależności od agencji ratingowych zajmujących się cyberbezpieczeństwem, których liczba rośnie, choć pozostają nieuregulowane i nie podlegają środkom przejrzystości. Jest zbyt wcześnie, aby określić, jaki ostateczny wpływ te zmiany będą miały na ogólny krajobraz bezpieczeństwa.
Rozwój technologiczny
Zastosowanie sztucznej inteligencji (AI) w celu zwiększenia bezpieczeństwa/wzmocnienia ataków (pozytywny)
Nowe modele sztucznej inteligencji są coraz częściej integrowane z architekturą bezpieczeństwa w sposób zapewniający korzyści obrońcom pracującym nad identyfikowaniem i ograniczaniem szkodliwego kodu w ogromnym morzu danych. Obejmuje to wykorzystanie sztucznej inteligencji do wykrywania najbardziej zaawansowanych zagrożeń i ataków, które stanowią ryzyko dla bezpieczeństwa narodowego. Podobnie jak w przypadku każdej nowej i istotnej technologii, sztuczna inteligencja również wykorzystuje się w złośliwy sposób, być może przede wszystkim w celu ulepszenia inżynierii społecznej pod kątem ataków phishingowych. Jednak wczesne badania sugerują, że sztuczna inteligencja robi obecnie znacznie więcej, aby poprawić bezpieczeństwo, niż je osłabiać.
Coraz bardziej wyrafinowane ataki ransomware (negatywne)
Chociaż ogólna liczba ataków oprogramowania ransomware w zeszłym roku nie wzrosła, nastąpił wyraźny wzrost liczby ataków oprogramowania ransomware przeprowadzanych przez człowieka oraz stopnia zaawansowania samych kampanii. Napastnicy stosują skomplikowane metody unikania wykrycia i wydają się przeprowadzać węższe ataki z użyciem klawiatury, niestety odnoszą przy tym większe sukcesy.