17,50 zł
Celem opracowania było doprowadzenie do swoistego spotkania różnych punktów widzenia, z których można rozpatrywać problemy bezpieczeństwa teleinformatycznego. Polityk, decydując o przyjęciu strategii zapewnienia bezpieczeństwa narodowego w wymiarze teleinformatycznym, musi brać pod uwagę techniczne możliwości wdrożenia proponowanych rozwiązań. Podobnie administrator sieci, dbający o stabilność nadzorowanego systemu, powinien pamiętać o szerszym kontekście wymogów bezpieczeństwa teleinformatycznego i konieczności ich pogodzenia z innymi priorytetami państwa w dziedzinie bezpieczeństwa narodowego. Dlatego ważne jest, by pogłębiać świadomość wielości możliwych ujęć problemu, ułatwiać poznanie specyfiki poszczególnych jego wymiarów oraz ukazywać potrzebę łączenia rozmaitych podejść do zagadnienia.
Ebooka przeczytasz w aplikacjach Legimi lub dowolnej aplikacji obsługującej format:
Liczba stron: 346
Strona redakcyjna
© Copyright by Polski Instytut Spraw Międzynarodowych 2009
Zdjęcie na okładce Taxi/Getty Images/Flash Press Media
Redaktor tekstu
Elżbieta Derelkowska
Redaktor techniczny i projekt okładki
Dorota Dołęgowska
ISBN 978-83-62453-49-8
Polski Instytut Spraw Międzynarodowych
ul. Warecka la, 00-950 Warszawa
tel. (+48 22) 556 80 00, fax 556 80 99
www.pism.pl, [email protected]
Publikację elektroniczną przygotował iFormat
Wprowadzenie
Opracowania dotyczące problemów bezpieczeństwa teleinformatycznego nierzadko otwierają sugestywne opisy wysublimowanych, ale zarazem bardzo skutecznych ataków na sieci komputerowe, prowadzących do poważnych zakłóceń funkcjonowania wszystkich sfer życia nowoczesnego społeczeństwa. Sprawcy, najczęściej nazywani cyberterrorystami, kilkoma kliknięciami doprowadzają do przerw w dostawach prądu elektrycznego czy też wody, uniemożliwiają odbiór telewizji lub blokują funkcjonowanie Internetu, powodując w konsekwencji krachy giełdowe i bankructwa banków, a nawet śmierć setek osób w wypadkach lotniczych, kolejowych i przemysłowych. Jak do tej pory żaden z takich katastroficznych scenariuszy się nie zrealizował. Nie oznacza to jednak, że problemy bezpieczeństwa teleinformatycznego można bagatelizować. Obraz zagrożeń pojawiających się w tym specyficznym wymiarze bezpieczeństwa państwa jest bowiem skomplikowany, dorównując barwnością fikcyjnym scenariuszom.
W ostatnich dniach kwietnia 2007 r. w Estonii, uwikłanej wówczas w konflikt polityczny z Rosją, doszło do zaskakujących zakłóceń ruchu internetowego. Lawinowo wzrosła ilość danych przesyłanych pod określone adresy, głównie rządowe serwery z informacyjnymi witrynami WWW. Dość szybko doprowadziło to do ich przeciążenia i — w konsekwencji — niedostępności portali estońskich instytucji rządowych dla użytkowników Internetu. Stało się jasne, że miał miejsce celowy atak. W ciągu następnych kilku dni podobne ataki powtórzyły się, a ich siła gwałtownie wzrosła. W wyniku zalewu danymi w ilości kilkakrotnie większej niż maksymalna przepustowość estońskiej infrastruktury internetowej została ona praktycznie sparaliżowana. Internet, stanowiący w Estonii istotny, wręcz podstawowy, kanał komunikacji zawodowej i publicznej, rozwijany dynamicznie w ciągu ostatniej dekady i będący chlubą tego kraju, niemal przestał działać. Pojawiły się sugestie, że jest to kompleksowy, drobiazgowo zaplanowany atak na estoński Internet, przeprowadzony przez bliżej niezidentyfikowaną, choć prawdopodobnie pochodzącą głównie z Rosji grupę osób; mówiono o cyberterroryźmie, cyberwojnie, cybersabotażu. W kilka miesięcy po tym wydarzeniu media na całym świecie donosiły o aktach cyberszpiegostwa — bezprecedensowej w swej skali kradzieży danych z komputerów wielu najważniejszych instytucji rządowych USA, włącznie z Pentagonem, zorganizowanej przez nieznaną grupę sprawców. W tym samym czasie eksperci z dziedziny bezpieczeństwa teleinformatycznego zwrócili uwagę na fakt, że na świecie działają setki tysięcy komputerów zainfekowanych odpowiednio spreparowanym oprogramowaniem, które bez wiedzy i woli ich właścicieli pozwala na zdalne przejmowanie nad nimi kontroli i wykorzystywanie do różnych celów. Największa taka nielegalna sieć, ze względu na swoje rozmiary nazwanaKraken(tak jak mityczny potwór morski), liczyć miała około 800 tys. maszyn. Temat aktów szpiegostwa wymierzonych przeciwko rządowym sieciom USA i innych państw, głównie sojuszników z NATO, powrócił w mediach światowych także na początku 2009 r. Eksperci z Kanady zaprezentowali raport na temat grupy określającej siebie nazwąGhostNet,która rzekomo zajmuje się „zawodowo” szpiegostwem komputerowym. Z kolei w marcu 2009 r. media przestrzegały przed nowym, potencjalnie niebezpiecznym wirusemConficker,który 1 kwietnia miał sparaliżować setki tysięcy komputerów — tego dnia nic jednak się nie wydarzyło, choć niektórzy eksperci wskazywali, że wirus może się jeszcze uaktywnić.
O narastających problemach w sferze bezpieczeństwa teleinformatycznego w ostatnich latach mówiono również w Polsce. Media coraz częściej podejmowały choćby temat oszustw dotykających posiadaczy kont bankowych on-line. Policja ujawniła przypadki ataków internetowych na nieostrożnych klientów banków, którzy, oszukani w odpowiedni sposób, ujawniali swoje dane złodziejom — cyberprzestępcom. Wielkości skradzionych w ten sposób środków jednak nie ujawniono. Jednocześnie, w ciągu kilku kolejnych miesięcy polska policja informowała o serii działań wymierzonych przeciw osobom rozpowszechniającym pornografię dziecięcą w Internecie — skomplikowane operacje prowadzone przede wszystkim w cyberprzestrzeni doprowadziły do zatrzymań, w skali całej Polski, łącznie kilkuset osób.
W kontekście każdego z tych wydarzeń mówiono o bezpieczeństwie teleinformatycznym (informatycznym), posługując się jednak czasem odmiennymi terminami[1]. Również w stosunku do ich sprawców stosowano, zamiennie i niekonsekwentnie, różnorodne, a ponadto z reguły nieprecyzyjne określenia[2]. Podejmowano także próby klasyfikowania tych zdarzeń, umieszczania ich na mapie zagrożeń związanych z wykorzystywaniem technologii teleinformatycznych. Wysiłki te dawały jednak zazwyczaj obraz nadmiernie uproszczony, uwypuklający jedynie wybrane aspekty poruszanych problemów, a całkowicie pomijający inne. Dodatkowo sama dyskusja na te tematy prowadzona była przy użyciu specyficznego technicznego żargonu, co nie tylko zniechęcało do udziału w niej osoby mniej zorientowane w problematyce sieci komputerowych, ale też utrudniało zrozumienie istoty problemu.
Sytuacja ta jest konsekwencją wieloznaczności pojęcia bezpieczeństwa teleinformatycznego oraz zróżnicowania sposobów jego definiowania. Wieloaspektowość i wielopłaszczyznowość tego zagadnienia wynika z kolei z różnorodności i dużej liczby poziomów, na których należy je rozpatrywać. Może się ono bowiem odnosić do bardzo różnych podmiotów, począwszy od użytkownika indywidualnego (poziom najniższy) — przeciętnego obywatela posługującego się komputerem osobistym — przez przedsiębiorstwa i instytucje, wykorzystujące w swej codziennej działalności całe sieci teleinformatyczne, aż po samo państwo (jego struktury administracyjne, organy i służby czy też gospodarkę), a nawet system międzynarodowy ujmowany całościowo (poziom najwyższy). Na każdym z tych poziomów zakres pojęcia bezpieczeństwa teleinformatycznego będzie inny, odmienne będą też skala i powaga następstw jego naruszeń oraz metody i środki jego zapewniania. Co więcej, za zagrożenia uznawane będą różne zjawiska, procesy, wydarzenia czy działania.
Identyfikacja oraz właściwa ocena rangi i charakteru zagrożeń jest bodaj najbardziej skomplikowanym wyzwaniem, towarzyszącym analizie problemów bezpieczeństwa teleinformatycznego. Niektóre z nich mają bowiem charakter ściśle fizyczny — polegają na groźbie faktycznego zniszczenia materialnych narzędzi służących do przechowywania, przetwarzania lub przesyłania cyfrowej informacji. Tego rodzaju niebezpieczeństwo może towarzyszyć choćby atakom bombowym na obiekty, w których znajdują się systemy komputerowe przechowujące i przetwarzające określone dane, ale też być wynikiem klęsk żywiołowych (powodzi, pożarów, trzęsień ziemi itp.) lub katastrof technicznych. Większość z zagrożeń bezpieczeństwa teleinformatycznego wiąże się jednak z działaniami prowadzonymi w cyberprzestrzeni, przy wykorzystaniu odpowiedniego sprzętu i oprogramowania. Wówczas negatywnemu oddziaływaniu poddawana jest sama informacja utrwalona w formie elektronicznej, a nie urządzenia służące do jej przechowywania i przetwarzania. Skutki takiej aktywności zazwyczaj nie wykraczają poza cyberprzestrzeń i objawiają się, ujmując rzecz ogólnie, nieprawidłową pracą systemów komputerowych i zakłóceniami wykonywanych przez nie funkcji. Niemniej jednak, następstwa tego rodzaju działań mogą również przejawiać się w świecie fizycznym, np. w postaci wadliwego funkcjonowania jakichś urządzeń, których sprawność działania zależy od dopływu danych elektronicznych. Dodatkowo pamiętać trzeba, iż poważnym problemem może być również sama niemożność skorzystania z sieci komputerowych, a tym samym — z oferowanych przez nie usług elektronicznych. Wreszcie, w pewnych sytuacjach zagrożenie bezpieczeństwa może się łączyć z samą treścią informacji, czego przykładem jest choćby dostępna przez Internet pornografia dziecięca czy też propaganda nawołująca do nienawiści rasowej lub religijnej.
Złożoność problematyki bezpieczeństwa informatycznego utrudnia znalezienie cech wspólnych wszystkim zagadnieniom uznawanym za przynależące do tej dziedziny. Mimo to można przyjąć, że istotą bezpieczeństwa teleinformatycznego, bez względu na poziom, na którym je rozpatrujemy — użytkownika indywidualnego, zbiorowego, państwa czy systemu międzynarodowego, jest zdolność określonego podmiotu do pozyskania i zachowania, w formie niezmienionej bez jego zgody i wiedzy, wszelkiego rodzaju informacji utrwalonej w postaci cyfrowej oraz możliwość jej bezpiecznego (tzn. nienarażonego na przechwycenie, zniszczenie lub nieuprawnioną modyfikację) przetwarzania, przesyłania i upowszechniania[3]. Dodatkowo nie można zapominać, zważywszy na współczesny stopień integracji infrastruktury teleinformatycznej, powszechność jej wykorzystania oraz łatwość dostępu do niej, o znaczeniu powiązań między poszczególnymi poziomami tak rozumianego bezpieczeństwa teleinformatycznego. W ich wyniku bowiem zarówno bezpieczeństwo teleinformatyczne państwa zależy do pewnego stopnia od stanu zabezpieczeń komputerów i tym podobnych urządzeń znajdujących się w posiadaniu użytkowników indywidualnych, jak i odwrotnie, bezpieczeństwo danych przechowywanych lub przesyłanych przez poszczególne jednostki z wykorzystaniem ich własnego sprzętu uzależnione jest od poziomu odporności na rozmaite groźby infrastruktury teleinformatycznej na szczeblu narodowym. To zaś niewątpliwie dodatkowo komplikuje samo zagadnienie bezpieczeństwa teleinformatycznego, utrudniając tym samym wysiłki na rzecz jego skutecznego zapewniania.
Wielowymiarowość zagadnień bezpieczeństwa teleinformatycznego oznacza też możliwość odmiennych interpretacji zarówno poszczególnych pojęć z tego zakresu, jak i samej istoty tego wymiaru bezpieczeństwa. W rezultacie różni badacze tego zagadnienia oraz praktycy, odpowiedzialni za zapewnianie bezpieczeństwa teleinformatycznego na poszczególnych jego poziomach, pojmują przedmiot swojej pracy nieco odmiennie. Inaczej na kwestie bezpieczeństwa teleinformatycznego spogląda bowiem zawodowy informatyk, mający za zadanie utrzymanie sprawnego funkcjonowania instytucjonalnej sieci komputerowej np. przedsiębiorstwa (czyli administrator sieci), a inaczej wojskowy specjalista, koncentrujący się na zapewnieniu jednostkom wojskowym nieprzerwanej łączności. Odmienne podejście mają też np. policjant, zajmujący się zwalczaniem umieszczanej w Internecie pornografii dziecięcej lub innych nielegalnych treści oraz polityk odpowiedzialny za stabilność całego państwa. Każda z tych osób ogranicza się z reguły przy analizie i ocenie zagadnień bezpieczeństwa teleinformatycznego, co naturalne i zrozumiałe, do perspektywy własnej specjalności. Z tego powodu uznaje za priorytetowe inne problemy i wyzwania, przyjmuje inną hierarchię zadań i celów, a w konsekwencji — poszukuje innych rozwiązań.
Odmienne definicje bezpieczeństwa teleinformatycznego, inaczej pojmowany zakres tego zagadnienia oraz odpowiedzi na zidentyfikowane problemy sformułowane bez należytego uwzględnienia wszystkich możliwych implikacji, powodują z kolei, że znacznie utrudniona jest współpraca i koordynacja działań prowadzonych z myślą o poprawie stanu bezpieczeństwa teleinformatycznego, zwłaszcza w skali ogólnopaństwowej. Zdolność zaś do efektywnej kooperacji przy przeciwdziałaniu zagrożeniom bezpieczeństwa teleinformatycznego ma niewątpliwie centralne znaczenie dla skutecznego i całościowego rozwiązywania problemów bezpieczeństwa teleinformatycznego na poziomie państwa, a w konsekwencji zapewne również pozostałych użytkowników technologii informatycznych.
Dlatego też główną ideą przyświecającą opracowaniu tego zbioru było właśnie ukazanie różnorodności perspektyw, z jakich patrzeć można (i należy) na problemy bezpieczeństwa teleinformatycznego, oraz doprowadzenie do swoistego „spotkania” tych, często bardzo odmiennych, punktów widzenia. Powinno to bowiem umożliwić wypracowanie właściwej odpowiedzi na pojawiające się w tej sferze wyzwania. Polityk decydujący o kształcie strategii kraju w odniesieniu do zagrożeń bezpieczeństwa narodowego w wymiarze teleinformatycznym nie może przecież oczekiwać wdrożenia rozwiązań technicznie niewykonalnych. Natomiast informatyk dbający o stabilność nadzorowanej przez niego sieci musi pamiętać o szerszym kontekście problemu, np. konieczności pogodzenia wymogów bezpieczeństwa teleinformatycznego z innymi priorytetami państwa w dziedzinie bezpieczeństwa narodowego. Stąd też tak ważne jest pogłębienie wśród osób zajmujących się bezpieczeństwem informatycznym (niezależnie, jak przez nich definiowanym) świadomości różnorodności możliwych ujęć tego problemu, ułatwienie poznania specyfiki poszczególnych jego wymiarów, a także unaocznienie potrzeby łączenia rozmaitych podejść do tego zagadnienia w celu lepszego zrozumienia jego istoty i wagi. Można tego dokonać jedynie przez rozwój dialogu ukazującego różnorodne perspektywy, z jakich należy na to zagadnienie spoglądać. Nie będzie on zapewne prowadził do wypracowania jednej, powszechnie obowiązującej i akceptowanej przez wszystkich definicji zakresu tej problematyki, ani też nie pozwoli ustalić niebudzącej niczyich wątpliwości hierarchii wyzwań i listy priorytetowych zadań w dziedzinie bezpieczeństwa informatycznego państwa. Niemniej jednak wydaje się, że już samo uświadomienie złożoności zagadnienia oraz potrzeby ciągłej koordynacji i komunikacji działań czasem bardzo różnych podmiotów będzie miało duże znaczenie przy wypracowywaniu właściwej strategii — spójnego programu działań na rzecz poprawy bezpieczeństwa teleinformatycznego państwa.
Otwierające zbiór opracowanie Marka Madeja, pełniące zarazem funkcję swoistego wprowadzenia do pozostałych zamieszczonych w nim artykułów, koncentruje się na istocie rewolucji informatycznej jako czynniku kształtującym współczesne środowisko międzynarodowe i stanowiącym warunek obecnego rozwoju oraz upowszechniania technologii informatycznych, zwłaszcza zaś na jej wpływie na szerzej rozumiane bezpieczeństwo państw oraz charakter prowadzonych przez nie polityk w tym względzie. Kolejny artykuł w zbiorze, autorstwa Patryka Dawidziuka, Borysa Łąckiego i Marka Stolarskiego, przybliża czytelnikom istotę i znaczenie stanowiącego swoisty „szkielet” cyberprzestrzeni Internetu, ukazując zarówno przebieg jego historycznej ewolucji, jak i różnorodność dzisiejszych form jego wykorzystania. Autorzy dokonali w nim również przeglądu najważniejszych kategorii zagrożeń bezpieczeństwa teleinformatycznego wiążących się z funkcjonowaniem Internetu. Tekst przygotowany przez Pawła Łysakowskiego przybliża natomiast — na przykładzie Polski — rolę i znaczenie sieci teleinformatycznych w funkcjonowaniu systemu płatniczego państw. Zważywszy zarówno na newralgiczną funkcję struktur finansowych we współczesnej gospodarce, jak i wyjątkowo daleko posunięty proces ich informatyzacji, bez dokonania analizy tego zagadnienia trudno byłoby ukazać specyfikę i wagę problemów bezpieczeństwa teleinformatycznego współczesnych państw.
Autorzy dwóch następnych artykułów omawiają bliżej specyfikę poszczególnych typów zagrożeń bezpieczeństwa informatycznego, przyjmując za punkt odniesienia poziom państwowy. W pierwszym z nich Piotr Sienkiewicz i Halina Świeboda zajmują się zjawiskiem walki informacyjnej, a więc możliwościami i sposobami wykorzystywania technologii informatycznych przez siły zbrojne państw. Obok szerokiej i szczegółowej prezentacji poglądów wielu uznanych badaczy na istotę i specyfikę walki informacyjnej, autorzy artykułu starają się też wyznaczyć faktyczną rolę oraz rangę tego rodzaju działań nie tylko w trakcie walk z nieprzyjacielskimi siłami zbrojnymi, ale też w toku rywalizacji z innymi przeciwnikami, w tym grupami niepaństwowymi. To ostatnie zagadnienie bardziej szczegółowo analizuje Marcin Terlikowski w tekście poświęconym wyjątkowo kontrowersyjnej kwestii tzw. cyberterroryzmu oraz pokrewnym mu (a czasem z nim mylonym) formom wykorzystania technologii informatycznych przez podmioty pozapaństwowe, takim jak działalność hakerów czy haktywizm. Autor skupia się na potencjalnych skutkach działań cyberterrorystów i im podobnych podmiotów oraz ich znaczeniu w ramach całościowo ujmowanego bezpieczeństwa narodowego.
Bardzo istotne w kontekście polityki bezpieczeństwa państwa zagadnienia podejmuje artykuł Marcina Ludwiszewskiego dotyczący sposobów monitorowania i oceny stanu bezpieczeństwa teleinformatycznego przez odpowiednie służby państwowe. Analizując przypadek Polski, autor charakteryzuje struktury zobowiązane do pełnienia tych funkcji, wskazując zarazem podstawy prawne ich działalności oraz przedstawiając najważniejsze zagrożenia i wyzwania, z jakimi muszą się one mierzyć. Ocenia też ich dotychczasowe osiągnięcia oraz wskazuje możliwe kierunki przyszłego rozwoju ich działań.
Artykuł Jana Burego porusza temat stosunkowo rzadko podejmowany przez badaczy, a bez wątpienia zasługujący na uwagę, zwłaszcza w kontekście masowego dziś wykorzystywania technik informatycznych w komunikacji — problem wyzwań towarzyszących szyfrowaniu i kodowaniu danych. Ujmując zagadnienie w perspektywie historycznej, autor przybliża zarówno metody i narzędzia kodowania danych, jak i sposoby i środki przełamywania tego rodzaju zabezpieczeń. Zastanawia się również nad kategoriami podmiotów zainteresowanych szyfrowaniem i odszyfrowywaniem informacji przechowywanych lub przesyłanych z wykorzystaniem technologii informatycznych, ocenia poziom współcześnie stosowanych przez państwa zabezpieczeń danych w formie elektronicznej oraz podejmuje próbę prognozy sytuacji w tym względzie.
Kolejne dwa opracowania dotyczą spraw w większym stopniu związanych z wykorzystaniem technologii informatycznych przez struktury administracji rządowej oraz tempem rozwoju i charakterem współpracy w tej sferze w ramach Unii Europejskiej. Agnieszka Bógdał-Brzezińska omawia proces budowy w Polsce tzw. e-governmentu, a więc wdrażania rozwiązań opartych na technologiach informatycznych do praktyki działania polskiej administracji publicznej. Patrząc na to zagadnienie przez pryzmat inicjatyw proponowanych i zalecanych przez UE, dokonuje oceny rezultatów tych wysiłków nie tylko pod kątem efektywności struktur administracyjnych państwa, ale też wpływu na jego bezpieczeństwo. Krzysztof Silicki przedstawia natomiast zakres i główne kierunki współpracy w UE w wymiarze bezpieczeństwa informatycznego. Nie ogranicza się przy tym do prezentacji organów i instytucji odpowiedzialnych w Unii Europejskiej za tego rodzaju zadania oraz omówienia dokonań w tym względzie w postaci rozmaitych ukończonych lub wciąż prowadzonych projektów, ale wskazuje też najpoważniejsze słabości, niedociągnięcia i braki tego aspektu unijnej współpracy.
Zbiór zamyka dokonana przez Rafała Tarnogórskiego analiza najważniejszego prawno-międzynarodowego dokumentu dotyczącego kwestii bezpieczeństwa teleinformatycznego, czyli Konwencji o cyberprzestępczości opracowanej pod auspicjami Rady Europy. Omówienie postanowień konwencji uzupełnia zamieszczony w zbiorze jej pełny tekst.
Analizowane w niniejszej książce zagadnienia z pewnością nie ukazują w pełni zakresu problematyki bezpieczeństwa teleinformatycznego, ani też nie reprezentują wszystkich możliwych sposobów jej ujęcia oraz oceny. Mamy jednak szczerą nadzieję, że przez tę „niepełność” zbiór przyczyni się do rozwoju dyskusji o problemach bezpieczeństwa teleinformatycznego, zachęcając czytelników do polemiki i uzupełnień. To zaś z pewnością przysłużyłoby się głębszemu zrozumieniu problemów i, wiążących się z rozwojem technologii informatycznych oraz cyberprzestrzeni, wyzwań, z którymi zmierzyć się muszą dziś i w przyszłości współczesne państwa, w tym Polska.
Marek Madej, Marcin Terlikowski
Przypisy
[1] Najbardziej rozpowszechnione określenia, często używane w odniesieniu do zagadnień bezpieczeństwa teleinformatycznego, traktowane z reguły — choć nie zawsze zasadnie — jako synonimy i wykorzystywane wymiennie, to m.in. bezpieczeństwo informacyjne (information security)i cyberbezpieczeństwo (cybersecurity).
[2] W mediach najczęściej mówiono o cyberprzestępcach, cyberterrorystach, hakerach, przestępcach internetowych a także po prostu o oszustach i złodziejach.
[3] W tym kontekście przytoczyć można często powtarzaną „triadę” warunków utrzymania bezpieczeństwa teleinformatycznego, tj. integralność (spójność, nienaruszona struktura i treść informacji), poufność (zabezpieczenie informacji przed nieuprawnionym dostępem) oraz dostępność (możliwość niezakłóconego dostępu uprawnionych podmiotów do informacji).
Marek Madej. Rewolucja informatyczna – istota, przejawy oraz wpływ na postrzeganie bezpieczeństwa państw i systemu międzynarodowego
Marek Madej
Rewolucja informatyczna — istota, przejawy oraz wpływ na postrzeganie bezpieczeństwa państw i systemu międzynarodowego
Rewolucja informacyjna czy informatyczna
Postęp technologiczny zawsze był jednym z najważniejszych czynników określających bezpieczeństwo państw i warunki realizacji przez nie swej polityki. W ostatnich dekadach dotyczy to zwłaszcza zmian technologicznych w elektronice, informatyce i telekomunikacji. Rozwój i upowszechnianie się nowych technologii w tych dziedzinach ma bowiem ogromny wpływ na funkcjonowanie współczesnych społeczeństw, prowadząc do rewolucyjnych zmian w procesach społecznych i gospodarczych państw, ich polityce i strategii, a także w sposobach prowadzenia konfliktów zbrojnych. W rezultacie przy próbach opisu czy oceny tego złożonego i wieloaspektowego wpływu badacze używają różnorodnych terminów i zwrotów. Część z nich nie ma jednak precyzyjnie określonego znaczenia, przez co ich zakresy przedmiotowe często na siebie zachodzą. Dlatego też tak ważne jest wyjaśnienie związków między pojęciami fundamentalnymi dla opisu relacji między postępem technologicznym oraz bezpieczeństwem państwa w ostatnich dekadach: rewolucją informacyjną i bezpieczeństwem informacyjnym z jednej strony a rewolucją informatyczną i bezpieczeństwem informatycznym z drugiej. Choć oba te pojęciowe zestawienia są bardzo często traktowane i wykorzystywane jak synonimy (ich odpowiednikiem w języku angielskim — swoistymlingua francanauki o stosunkach międzynarodowych i studiów nad bezpieczeństwem — jest zresztą ten sam zwrot:information revolution),to przecież każdy z nich kładzie nacisk na nieco inne aspekty problemu i uwypukla różne zagadnienia. Dlatego też omówienie wpływu postępu technologicznego w elektronice i telekomunikacji na politykę bezpieczeństwa współczesnych państw warto poprzedzić próbą choćby częéciowego rozgraniczenia między zakresami przedmiotowymi tych dwóch par terminów.
Niewątpliwie pojęcia rewolucji oraz bezpieczeństwa informacyjnego mają szersze znaczenie. Odnoszą się one bowiem nie tylko do obecnych zmian technologicznych w sposobach przechowywania, przetwarzania i przesyłania informacji, polegających głównie na wykorzystaniu cyfrowego zapisu danych. Uwypuklają przede wszystkim wyraźny wzrost znaczenia w ostatnich dekadach roli informacji jako takiej (tzn. niezależnie od konkretnej formy jej przedstawienia czy przechowywania) w funkcjonowaniu społeczeństw, wytwarzaniu dóbr i dochodu narodowego czy też jako składnika potęgi państw. W tym sensie pojęcie rewolucji informacyjnej odnosi się do swego rodzaju megatrendu społecznego we współczesnym świecie, przejawiającego się m.in. w rosnących możliwościach oddziaływania mediów, zwłaszcza masowych, na przebieg procesów politycznych i społecznych, nie zaś samych zmianach technologicznych, umożliwiających wzrost znaczenia informacji[1]. Termin „bezpieczeństwo informacyjne” dotyczy natomiast zagwarantowania sobie przez dany podmiot (np. państwo) integralności, kompletności oraz wiarygodności posiadanych zasobów informacyjnych w każdej formie, nie tylko elektronicznej. Odnosi się więc zarówno do wszelkiego rodzaju wysiłków, służących ochronie posiadanych informacji, istotnych w kontekście bezpieczeństwa (a więc mających wpływ na sprawne funkcjonowanie struktur państwowych i społeczeństwa), jak i zapewnianiu przewagi informacyjnej przez zdobywanie nowych lub bardziej aktualnych danych oraz akcje dezinformacyjne wobec ewentualnych przeciwników (państw lub innych podmiotów). Tak rozumiane bezpieczeństwo informacyjne, a ściślej biorąc informacyjny wymiar bezpieczeństwa, było stale obecne i uwzględniane w polityce państw, choć rzeczywiście w ostatnim okresie jego ranga wyraźnie rosła, przez co zaczęto być traktowane jako odrębny aspekt polityki bezpieczeństwa.
Pojęcia „rewolucja informatyczna” i „bezpieczeństwo informatyczne” (a precyzyjniej — teleinformatyczne, ze względu na stopień integracji fizycznej sieci telefonicznych i technologii informatycznych) mają węższy zakres znaczeniowy[2]. Kierują one bowiem uwagę właśnie na zmiany technologiczne w uzyskiwaniu, przechowywaniu, przetwarzaniu oraz przekazywaniu informacji, dokonujące się wraz z upowszechnianiem cyfrowych form prezentacji danych. Zmiany te są powodem — acz nie jedynym — a zarazem warunkiem wzrostu znaczenia informacji we współczesnym świecie. Inaczej rzecz ujmując, pojęcia „rewolucja informatyczna” (teleinformatyczna) oraz „bezpieczeństwo informatyczne” (teleinformatyczne) odnoszą się do faktu szybkiego upowszechniania określonych metod przetwarzania i przesyłania informacji oraz wiążących się z tym konsekwencji w sferze bezpieczeństwa, nie zaś zwiększania rangi informacji (niezależnie od sposobu i medium jej przechowywania, przetwarzania i przesyłania) we współczesnym świecie.
Zawarte w tym artykule rozważania ograniczono do zagadnień (tele)informatycznej rewolucji i (tele)informatycznego bezpieczeństwa. Pozwoliło to zaakcentować technologiczny aspekt zachodzących przemian, a zarazem ukazać wpływ nie tyle informacji, ile pojawienia się i rozwoju nowych narzędzi jej prezentacji i przekazu na funkcjonowanie społeczeństw, przebieg procesów gospodarczych czy sposoby zapewniania sobie przez nie bezpieczeństwa.
Istota rewolucji informatycznej
Trudno jest precyzyjnie wyznaczyć moment, w którym rozpoczęła się rewolucja informatyczna, a badacze zagadnienia są w tej kwestii dalecy od porozumienia. Jedni eksperci mogą wskazywać na skonstruowanie pierwszej całkowicie elektronicznej maszyny cyfrowej (komputer ENIAC, 1946 r.) jako na wydarzenie wystarczająco ważne, by stało się początkiem rewolucji[3]. Inni natomiast uznają za taki fakt wyprodukowanie pierwszego układu scalonego (1958), kolejni pojawienie się pierwszego mikroprocesora (1971), a jeszcze inni wprowadzenie na rynek przez amerykańskie przedsiębiorstwo IBM pierwszego komputera osobistego w 1981 r. lub połączenie w 1983 r. badawczych sieci komputerowych w USA (Arpanet i NSFnet), co można traktować jako moment powstania Internetu[4]. Wielu wreszcie zrezygnuje z wskazania jakiejś konkretnej, a czysto symbolicznej daty i podkreśli znaczenie faktu błyskawicznego upowszechniania się w latach osiemdziesiątych XX w. komputerów, w tym zwłaszcza komputerów osobistych, w społeczeństwach państw rozwiniętych, a także rozbudowę sieci połączeń między tymi urządzeniami, łączącej je w mocno zintegrowany i coraz bardziej globalny w zasięgu system. Zmiany te prowadziły do lawinowego znajdowania nowych zastosowań dla tego rodzaju sprzętu i technologii, a tym samym do ich przenikania do kolejnych sfer życia społecznego. To zaś wywołało sprzężenie zwrotne, stanowiące jeszcze jeden impuls dla rozwoju technologii cyfrowych i postępującej informatyzacji współczesnych państw i społeczeństw. Oznaczało to jednak równoczesne stopniowe, narastające uzależnienie przebiegu procesów społecznych od sprawnego funkcjonowania infrastruktury opartej na technologiach (tele)informatycznych(information and communication technologies— ICT), zarówno służącej podtrzymaniu i rozwojowi sieci powiązań teleinformatycznych w poszczególnych państwach oraz między nimi, jak i wykorzystującej tego rodzaju technologie do zwiększania efektywności fizycznie istniejących systemów infrastrukturalnych, takich jak choćby sieci energetyczne.
Niezależnie jednak od tego, jakie wydarzenie lub proces mogą być uznane za początek rewolucji informatycznej, nie zmienia się jej istota, czyli — w najbardziej zwięzłym ujęciu — szybkie upowszechnienie się i umasowienie tego rodzaju technologii, powodujące głębokie przekształcenia w ramach niemal każdej sfery stosunków społecznych, i powstanie nowego modelu społeczeństwa (a przynajmniej uformowanie się jego dodatkowego elementu, bardzo istotnego i silnie zintegrowanego z pozostałymi). Zmiany te objęły przecież nie tylko ekonomię i życie gospodarcze (choć w tym wymiarze wydają się najgłębsze i najbardziej rozpowszechnione), ale też sferę wojskowości, polityki i życia naukowego, modyfikując lub rozwijając również sposoby spędzania wolnego czasu czy procesy formowania więzi społecznych (a nawet sam charakter tych więzi)[5]. Co ważne, wszystkie te przekształcenia zachodziły zarówno w skali lokalnej, jak i państwowej, międzynarodowej czy wreszcie globalnej[6]. Objęły one, co prawda, przede wszystkim kraje najwyżej rozwinięte, należące do Zachodu, czy też — ujmując inaczej — globalnej Północy (w tym Polskę). Bez wątpienia jednak w istotny sposób wpłynęły (i nadal wpływają) na sytuację i funkcjonowanie wszystkich pozostałych społeczeństw świata.
Warto przy tym podkreślić, iż kluczową zmianą w ramach rewolucji informatycznej nie było, jak się powszechnie uważa, przyspieszenie tempa przesyłu informacji w wyniku postępu technologicznego w elektronice. Faktycznie bowiem niemal natychmiastowa komunikacja na nawet ogromne odległości stała się możliwa już wraz z wynalezieniem telefonu[7]. Tym natomiast, co okazało się zmianą o charakterze rewolucyjnym, pozwalającą mówić o zachodzącej w ostatnich dekadach informatycznej rewolucji, był raczej gwałtowny spadek kosztów gromadzenia, przechowywania i transferu informacji, stanowiący pochodną błyskawicznego wzrostu — dzięki stale doskonalonym technologiom informatycznym — możliwości równoczesnego magazynowania i przesyłania coraz większej ilości danych[8]. To zaś umożliwiło umasowienie i demokratyzację technologii informatycznych, tzn. umożliwienie łatwego dostępu dla szybko zwiększającej się rzeszy użytkowników, zwłaszcza korzystających z ogólnodostępnych sieci[9]. Z drugiej strony oznaczało, że technologie informatyczne znajdowały zastosowanie w coraz to nowych dziedzinach życia i aktywności społecznej.
Szczególnie warto podkreślić nieustające zawrotne tempo rozwoju technologicznego w elektronice i informatyce, pozwalające sądzić, że również w najbliższej przyszłości opisany trend będzie się utrzymywał. W ciągu ostatnich trzydziestu lat moc obliczeniowa komputerów podwajała się w cyklu osiemnastomiesięcznym, co powodowało zarówno ich szybkie starzenie się, jak i tanienie poszczególnych rozwiązań oraz osiągnięć technologicznych[10]. W rezultacie możliwości magazynowania danych w postaci cyfrowej i szybkość ich przetwarzania zapewniane na początku XXI w. przez przeciętny — a więc relatywnie niedrogi — komputer osobisty jeszcze dziesięc lat wcześniej oferowały jedynie wyjątkowo kosztowne superkomputery w niektórych jednostkach badawczych. „Rewolucyjna” w 1985 r. wielkość transferu danych w sieci, łączącej wówczas główne centra komputerowe w USA — 56 kilobajtów na sekundę — dziś, przy powszechnej dostępności linii umożliwiających przesłanie w tym samym czasie gigabajtów informacji, postrzegana byłaby z pewnością jako przerażające spowolnienie komunikacji elektronicznej.
Należy jednak pamiętac, że wraz z postępem technologicznym i nowymi możliwościami wykorzystania jego osiągnięć, rosną również potrzeby zarówno przeciętnych użytkowników technologii informatycznych i powstałej na ich podstawie infrastruktury, jak i rozmaitych instytucji oraz organizacji czy wreszcie wielkich struktur społecznych, takich jak państwo. Innymi słowy, nowe możliwości techniczne rodzą nowe potrzeby i oczekiwania, stanowiące z kolei impuls do poszukiwania kolejnych rozwiązań technologicznych, zmierzających do zaspokojenia rozbudzonych wcześniejszymi osiągnięciami rewolucji informatycznej aspiracji całych społeczeństw i poszczególnych obywateli. To z kolei powoduje uzależnienie państw oraz ich obywateli od funkcjonowania infrastruktury teleinformatycznej, zwiększając jej znaczenie w kontekście polityki bezpieczeństwa państw. Dlatego też oba wspomniane czynniki — tempo postępu technologicznego w informatyce i przemyśle komputerowym oraz poszerzanie się zakresu możliwego zastosowania jego rezultatów — najlepiej dowodzą rewolucyjności przemian w zakresie technologii informatycznych, nie tylko w wymiarze stricte technologicznym, ale przede wszystkim społecznym, w konsekwencji zaś tego — również politycznym.
Najważniejsze konsekwencje społeczne rewolucji
informatycznej w wymiarze bezpieczeństwa państw
Najbardziej oczywistym i podstawowym następstwem rewolucji informatycznej jest sygnalizowana już powszechność wykorzystania technologii informatycznych i opartych na nich narzędzi oraz infrastruktury, a co za tym idzie także wszechobecność tych technologii w życiu współczesnych społeczeństw, przede wszystkim w państwach rozwiniętych. Rozmaite systemy komputerowe i inne narzędzia elektroniczne są dziś wykorzystywanie w każdej gałęzi gospodarki oraz na wszystkich szczeblach struktur państwowych, zaś wynikające z tego powiązania mają często charakter transnarodowy. Wszystko to powoduje względną łatwość dostępu przy użyciu narzędzi i technik teleinformatycznych do wielu istotnych danych, informacji i urządzeń, a przez to możliwość oddziaływania nie tylko na procesy zachodzące w samej infrastrukturze teleinformatycznej, ale — co ważniejsze — również w systemach z nią powiązanych. Możliwe staje się oddziaływanie przy wykorzystaniu ICT na większość procesów społecznych. Im bardziej zaś społeczeństwo jest zaawansowane technologicznie, tym większe są możliwości oddziaływania przy zastosowaniu tego rodzaju narzędzi i środków i tym bardziej może się ona okazać na taki wpływ podatna[11]. To natomiast oznacza konieczność odpowiedniej ochrony własnej infrastruktury, opartej na technologiach informatycznych. Dotyczy to zwłaszcza tzw. infrastruktury krytycznej, przez którą rozumieć należy sieć ściśle ze sobą powiązanych i uzależnionych od siebie systemów decydujących o zdolności struktur państwowych do realizacji ich podstawowych zadań (utrzymanie bezpieczeństwa i porządku publicznego, dostarczenie podstawowych usług itd.) oraz zapewnienia swobody życia gospodarczego i społecznego. Wśród elementówtego swoistego „systemu systemów” wymienia się najczęściej infrastrukturę transportową, telekomunikacyjną, sieci energetyczne, wodociągowe oraz sektor bankowo-finansowy. Sieci teleinformatyczne zajmują zaś w nim pozycję centralną, gdyż są zarówno jednym z elementów infrastruktury krytycznej, jak i spoiwem integrującym działanie jej pozostałych składników[12].
Wpływ na funkcjonowanie społeczeństw za pośrednictwem ICT, zwłaszcza przez oddziaływanie na infrastrukturę krytyczną, nie musi polegać wyłącznie na wykorzystywaniu pewnych narzędzi informatycznych (programy hakerskie, wirusy itd.) do niszczenia lub blokowania pracy atakowanej infrastruktury teleinformatycznej (całej lub poszczególnych jej części), co może zakłócić funkcjonowanie powiązanej z nią infrastruktury fizycznej, a tym samym społeczeństwa i państwa. Oddziaływanie to może przybierać formy bardziej subtelne (a tym samym trudniejsze do wykrycia, zwłaszcza w krótkim okresie) i polegać na modyfikacji lub zmianie treści przechowywanych, przetwarzanych lub przesyłanych cyfrowo. Takie działanie pozwalałoby zaburzyć funkcjonowanie infrastruktury krytycznej, a w konsekwencji spowodować straty materialne bądź zniszczenia fizyczne (a w skrajnych wypadkach może nawet ofiary ludzkie) bez uszkadzania samej infrastruktury teleinformatycznej. Mogłoby to polegać — bez wpływu na funkcjonowanie samej sieci — na modyfikacji danych w oprogramowaniu poszczególnych elementów infrastruktury krytycznej (np. wybranych przemysłowych systemów komputerowych) prowadząjącej do niekorzystnych zmian w realizowanych przez nią usługach bądź procesach produkcyjnych[13]. Inny przykład tego rodzaju szkodliwego oddziaływania to rozmaite formy dezinformacji przez wprowadzenie do sieci i upowszechnienie fałszywych bądź niewłaściwych danych (w tym również niekorzystnych z perspektywy rządu danego państwa, np. ujawnienie jakichś faktów). Mogłoby to powodować zmianę stanowiska opinii publicznej w konkretnych sprawach, co zapewne prowadziłoby do nacisków społeczeństwa na władze, by zmodyfikowały swoją politykę. Umożliwiałoby także warunkowanie decyzji politycznych czy ekonomicznych podejmowanych nie tylko przez poszczególnych indywidualnych użytkowników sieci (w skali „mikro”), ale i — choć to mimo wszystko mniej prawdopodobne i trudniejsze — przez rządy państw (w skali „makro”).
Istotną konsekwencją samego upowszechnienia się technologii informatycznych i ich wszechobecności w życiu współczesnych społeczeństw jest też to, że znaczące negatywne skutki dla stabilności i bezpieczeństwa państwa mogą być wywoływane nie tylko przez świadome działania rozmaitych podmiotów (innych państw, grup pozapaństwowych, jednostek), ale też przez różnorakie awarie czy nieszczęśliwe wypadki, niekoniecznie powodowane przez człowieka. Mimo że nie byłyby one rezultatem celowego i świadomego działania jakiegokolwiek podmiotu (choć niewykluczone, że wynikałyby z czyjegoś zaniedbania), to ich konsekwencje mogłyby się okazać równie poważne, jak w wypadku działań intencjonalnych, a poza tym bardziej nieprzewidywalne, gdy chodzi o czas wystąpienia, przebieg oraz skalę następstw[14]. Oznacza to, że zapewnianie bezpieczeństwa teleinformatycznego nie jest tylko kwestią prewencji oraz odporności na skutki wrogiej aktywności innych podmiotów i zdolności przeciwdziałania im przez służby i instytucje, odpowiedzialne za bezpieczeństwo zarówno w świecie realnym, jak i wirtualnym. Zadanie to wiąże się również z koniecznością umacniania odporności sieci teleinformatycznych i struktur z nimi powiązanych na rozmaite awarie, nieszczęśliwe wypadki czy katastrofy naturalne, a także zdolnością do minimalizowania następstw takich wydarzeń.
Problemem ściśle powiązanym z powszechnym wykorzystywaniem technologii informatycznych we współczesnych społeczeństwach, stanowiącym jednocześnie ważne następstwo rewolucji informatycznej w wymiarze bezpieczeństwa państwa, jest rosnąca złożoność i wewnętrzna integracja infrastruktury teleinformatycznej, a przez to także zależnych od niej sieci i powiązań społecznych. Przy rosnących liczbie i zakresie zastosowań tego rodzaju technologii zwiększa się bowiem również stopień komplikacji bazujących na nich systemów. Ta złożoność oznacza jednak zarazem, iż zarówno w ramach wspomnianych systemów, jak i w samych sieciach teleinformatycznych wzrasta liczba rozmaitych punktów wrażliwych całej struktury, od których działania lub istnienia zależy funkcjonowanie całości. Bez wątpienia najlepszym przykładem tego rodzaju wrażliwych punktów są właśnie elementy infrastruktury krytycznej, zwłaszcza stanowiące jej składniki węztowe (największe elektrownie czy porty, główne banki, węzfy kolejowe, centrale telefoniczne, kluczowe serwery). Do takich wrażliwych punktów współczesnych państw i społeczeństw można zaliczyć także wiele innych podmiotów, instytucji czy instalacji (np. media masowe). Ich cechą wspólną pozostaje to, że zajmują w danej sieci czy systemie pozycje kluczowe, bez których cały układ nie może sprawnie działać. Z tego względu stają się potencjalnie bardzo atrakcyjnymi celami, których zniszczenie czy uszkodzenie (np. przez modyfikację lub manipulację) wywoła następstwa daleko wykraczające poza bezpośrednie rezultaty ataku. Rosnąca złożoność infrastruktury teleinformatycznej oznacza jednak nie tylko wzrost liczby wrażliwych punktów w poszczególnych systemach i sieciach, ale też rosnące trudności z właściwą ich identyfikacją, w konsekwencji zaś także należytą obroną lub ochroną. Niekoniecznie bowiem te elementy układu, które wydają się najważniejsze dla stabilności całego systemu, są takie w rzeczywistości. Nierzadko pozornie peryferyjne składniki sieci lub mniej ważne powiązania mogą mieć dla całości danej struktury znaczenie kluczowe[15]. To zaś wskazuje, że nie zawsze te cele, które są najwrażliwsze, będą najlepiej chronione przed atakiem lub awarią[16].
Następstwa postępującej integracji systemów teleinformatycznych potęguje ich swoista „monokulturowość”. Wynika ona z faktu powszechnego stosowania tych samych lub podobnych i względem siebie kompatybilnych rozwiązań technicznych, a zwłaszcza oprogramowania, czego dobrą ilustracją jest dominacja konkretnych systemów operacyjnych[17]. Tendencja ta znajduje, co prawda, uzasadnienie ekonomiczne, a także — zważywszy na wymogi optymalizacji funkcjonowania złożonych systemów (ujednolicanie zasad i procedur w ich ramach) — sprzyja ich dalszemu rozwojowi, poszerzaniu zasięgu i zwiększaniu sprawności działania. Pociąga jednak za sobą poważne implikacje w sferze bezpieczeństwa, podnosząc ryzyko systemowości ewentualnych negatywnych następstw ataków i awarii oraz możliwość ich kaskadowego rozprzestrzeniania się w tak ujednoliconej sieci. Oznacza również, że właściwa identyfikacja słabości najpopularniejszych programów i opracowanie metod ich skutecznego eksploatowania zapewnia dostęp do większej liczby atakowanych celów (teoretycznie wszystkich składników danej sieci, korzystających z feralnego oprogramowania)[18]. Równocześnie jednak taka „homogenizacja” ułatwia naprawę ewentualnych szkód i poprawę zabezpieczeń, a także pogłębia — wynikające z systemowości następstw operacji w cyberprzestrzeni — trudności z precyzyjnym określeniem i zaplanowaniem przez sprawcę skutków jego działań (co w skrajnym przypadku może wręcz oznaczać, iż zostanie on dotknięty negatywnymi efektami własnych posunięć).
Wreszcie rozwój technologii informatycznych i funkcjonującej na ich podstawie infrastruktury powoduje powstanie całkowicie nowej sfery aktywności społecznej, a zarazem płaszczyzny ewentualnego konfliktu i rywalizacji, czyli cyberprzestrzeni. Choć trudno w tym wypadku o jakąkolwiek precyzyjną definicję, to przyjęło się określanie tym terminem ogółu powiązań o charakterze wirtualnym („nieprzestrzennym” w sensie fizycznym, niematerialnym i ageograficznym), powstałych i funkcjonujących dzięki technologiom informatycznym oraz ich fizycznym manifestacjom (komputery, infrastruktura telekomunikacyjna)[19]. Charakterystyka tak rozumianej cyberprzestrzeni odbiega od cechującej rzeczywistość fizyczną, co powoduje, że podejmowane w jej obrębie działania też mają odmienną specyfikę. O tej odmienności działań w cyberprzestrzeni decydują głównie trzy czynniki.
Po pierwsze, oczywistą konsekwencją aterytorialności i niematerialności cyberprzestrzeni jest uniezależnienie od ograniczeń geograficznych także prowadzonych w tej sferze operacji. Działania takie, wymierzone w bezpieczeństwo jakiegokolwiek państwa lub konkretnego podmiotu albo przynajmniej na nie wpływające (bezpośrednio lub pośrednio), można zainicjować w zasadzie z każdego miejsca na świecie. Jedynym wymogiem jest techniczna możliwość włączenia się do sieci, wejścia do cyberprzestrzeni. Co więcej, przy obecnym kształcie tego środowiska (wyznaczanym przede wszystkim przez stanowiący jego fundament Internet), poszczególne urządzenia, podłączone w danej chwili w sieci(host)mają, niezależnie od swojej geograficznej lokalizacji, relatywnie szybki i równoprawny (tzn. o identycznym zakresie jak inni uczestnicy o tym samym statusie) dostęp do pozostałych elementów układu. Tym samym każdą akcję, szkodliwie wpływającą na systemy komputerowe jakiegokolwiek państwa można równie skutecznie przeprowadzić z jego własnego terytorium, jak i z obszaru położonego w zupełnie innej części globu[20].
Drugą bardzo ważną cechą cyberprzestrzeni, wynikającą jednak przede wszystkim z tempa postępu technologicznego (zwłaszcza w informatyce), jest niski i stale obniżający się koszt rozpoczęcia i prowadzenia podejmowanych w jej ramach działań. Mimo pewnych różnic w zależności od złożoności i zakresu dokonywanych operacji, nakłady wymagane do podjęcia działań w cyberprzestrzeni ograniczają się w zasadzie do — szybko dotychczas się zmniejszających — kosztów nabycia sprzętu komputerowego, oprogramowania i zapewnienia dostępu do sieci. Dodatkowo specyfika cyberprzestrzeni uwalnia niemal całkowicie od problemu skali. Koszt bowiem podejmowanych działań — podobnie jak ich czas trwania — w zasadzie nie zależy od tego, czy będą one miały charakter zindywidualizowany (np. skierowany przeciw konkretnemu urządzeniu lub użytkownikowi) czy wielokrotny (np. uderzający we wszystkich uczestników sieci korzystających z określonego oprogramowania, znajdujących się na określonym obszarze)[21].
Trzecią wreszcie cechą cyberprzestrzeni, decydującą o jej odmienności od rzeczywistości fizycznej, jest relatywnie duża możliwość zachowania anonimowości przez podmiot dokonujący ataku lub innego szkodliwego działania. Nie wynika to, co prawda, wyłącznie z samej istoty cyberprzestrzeni, lecz raczej z jej obecnego modelu konstrukcyjnego i uczynienia z Internetu jej organizacyjnego szkieletu. Podstawowe reguły, określające metody i sposób przedstawiania oraz transferu danych w Internecie nie zostały bowiem sformułowane z uwzględnieniem niebezpieczeństw grożących sieci i wpływających na jej funkcjonowanie od wewnątrz. Z tego powodu nie pozwalają one na jednoznaczną i każdorazową (tzn. wykonalną niezależnie od momentu podjęcia takiej próby) identyfikację podmiotu, dokonującego danej operacji (np. sprawcy ataku) ani też nie wymagają obowiązkowej autoryzacji dostępu do systemu[22]. Dodatkowo te i tak ograniczone możliwości ustalenia sprawców poszczególnych działań w cyberprzestrzeni redukuje jeszcze sama skala i złożoność wykonywanych dziś jednocześnie transferów danych, utrudniająca śledzenie przebiegu aktywności prowadzonej za pośrednictwem sieci teleinformatycznych. Warto przy tym podkreślić, iż obecny poziom rozwoju sieci i utrwalenie w ramach cyberprzestrzeni, w odniesieniu do organizacji transferu danych i komunikacji, modelu konstrukcyjnego Internetu, wyklucza ewentualną przebudowę jej struktury w taki sposób, by istotnie zmniejszyć zakres anonimowości jej uczestników.
Ta swoista petryfikacja cyberprzestrzeni w jej obecnym kształcie wydaje się zaś szczególnie ważna w kontekście rozważań nad tzw. zagrożeniami asymetrycznymi[23]. Świadczy bowiem o tym, iż wiele z czynników, które decydowały dotychczas o większej wartości potencjałów, a co za tym idzie o przewadze państw w ewentualnych „tradycyjnych” (prowadzonych wyłącznie lub głównie w świecie realnym) konfliktach z podmiotami pozapaństwowymi (pozbawionymi choćby odpowiedniej bazy terytorialnej i ludzkiej), wraz z przeniesieniem (częściowym lub całkowitym) rywalizacji do cyberprzestrzeni traci na znaczeniu lub też w ogóle przestaje być istotna. Innymi słowy, w przypadku działań w cyberprzestrzeni o efektywności operacji podejmowanych przez rozmaite podmioty (tak państwa, jak i różnego typu pozapaństwowych uczestników stosunków międzynarodowych), a także możliwości odniesienia przez nie sukcesu i realizacji zamierzeń, decydują głównie czynniki odmienne niż w rzeczywistości materialnej. W tym sensie cyberprzestrzeń jako obszar działania i prowadzenia szeroko rozumianych konfliktów okazuje się swoistymforce equalizer,gdyż równoważy siły państwowych i pozapaństwowych uczestników ewentualnego starcia, względnie zmniejsza istniejące między nimi dysproporcje[24]. Co prawda warunki działania w powstałej dzięki rozwojowi technologii informatycznych cyberprzestrzeni są identyczne dla wszystkich rodzajów podmiotów, krajów słabych i silnych, bardziej i mniej rozwiniętych, a także państw i podmiotów pozapaństwowych. Przeniesienie rywalizacji do tego środowiska redukuje jednak znaczenie większości czynników najsilniej wpływających na zakres możliwości rywalizujących stron w świecie realnym i jest korzystniejsze dla strony „słabszej” w tradycyjnym rozumieniu, a więc państwa o mniejszym potencjale lub podmiotu pozapaństwowego. Tym samym więcej traci ten, kto w ewentualnej rywalizacji dysponował tradycyjnie rozumianą przewagą[25].
Wskazując najważniejsze następstwa rewolucji informatycznej w kontekście bezpieczeństwa nie można pominąć faktu, iż obecnie kontrola ze strony władz centralnych nad procesami zachodzącymi w cyberprzestrzeni, istotnymi dla funkcjonowania struktur rządowych (i im podległych) oraz społeczeństwa, a tym samym stabilności zarówno państwa ujmowanego całościowo, jak i poszczególnych jego organów, jest bardziej ograniczona niż w przeszłości. Możliwości nadzoru rządów nad przebiegiem życia społecznego oraz wszelkiego rodzaju wydarzeniami zachodzącymi na podległym ich władzy terytorium, zmniejszają się wraz z upowszechnianiem się technologii informatycznych oraz coraz większą złożonością struktur powstałych z ich wykorzystaniem lub funkcjonujących w oparciu o nie. Państwa muszą obecnie godzić się na znacznie wyższy poziom ryzyka oraz niepewności i nieprzewidywalności odnośnie do tego, jak będzie przebiegać ewolucja ich bezpieczeństwa. Zbyt wiele bowiem czynników wpływających na jego kształt nie podlega kontroli ze strony rządów. Częściowo jest to następstwem faktu, że rozmaite, istotne w tym kontekście procesy, zmiany i zdarzenia dokonują się poza granicami danego państwa, a więc zasięgiem jurysdykcji jego władz, oddziałując jednak równocześnie — dzięki powiązaniom w ramach cyberprzestrzeni — na jego sytuację. W równej mierze jest to też pochodną tego, że większość infrastruktury teleinformatycznej jest zarządzana, obsługiwana i utrzymywania przez podmioty prywatne, nierzadko będące jej właścicielami[26]. Oznacza to, iż kontrola państwowa nad przebiegiem procesów zachodzących w ramach i z użyciem prywatnej infrastruktury teleinformatycznej jest w znacznej mierze pośrednia, a tym samym ograniczona. Oczywiście, państwa mają możliwość określania reżimu prawnego, regulującego funkcjonowanie infrastruktury teleinformatycznej na ich terytorium. Nie zawsze będą jednak zdolne do zagwarantowania pełnego wdrożenia i egzekucji ustalonych przez siebie norm oraz standardów (choćby ze względu na aterytorialną naturę cyberprzestrzeni), a poza tym nie mogą poddać tego rodzaju prawnym regulacjom wszystkich istotnych aspektów funkcjonowania sieci teleinformatycznych i bazującej na nich infrastruktury.
Warto zauważyć, że wspomniane konsekwencje rozwoju technologii informatycznej z pewnością nie byłyby dziś postrzegane jako szczególnie istotne w kontekście bezpieczeństwa państwa (a niektórych zapewne w ogóle by nie analizowano w tych kategoriach), gdyby równocześnie nie nastąpiła zmiana sposobu jego pojmowania, częściowo zresztą stymulowana przez rewolucję informatyczną i jej następstwa. W ostatnich bowiem latach, zwłaszcza od zakończenia zimnej wojny, pojęcie bezpieczeństwa interpretuje się znacznie szerzej niż we wcześniejszych okresach, uznając, iż jego zakres dalece wykracza poza tradycyjne ujęcie realistyczne[27]. Współcześnie wyróżnia się więc — prócz obejmującego sferę wojskową (a w pewnym stopniu też ekonomiczną) „twardego” bezpieczeństwa(hard security),polegającego przede wszystkim na zdolności do odparcia zewnętrznej agresji zbrojnej — także jego „miękki” wymiar(soft security),uwzględniający wiele innych, często niejednoznacznie rozgraniczonych aspektów tego zagadnienia — m.in. społeczno-kulturowy, ekologiczny, technologiczny, humanitarny czy demograficzny[28]. Jest to w znacznej mierze konsekwencją uznania za treść bezpieczeństwa (zestawu wartości wymagających ochrony) nie tylko tradycyjnie wskazywanych czynników — przetrwania państwa jako jednostki geopolitycznej i utrzymania przez nie integralności terytorialnej — ale też takich elementów, jak szeroko rozumiana jakość życia jego ludności, jej dobrobyt, zachowanie specyficznej tożsamości kulturowej czy pewność szans dalszego rozwoju[29]. To zaś oznacza równoczesne rozszerzenie zakresu podmiotowego bezpieczeństwa o obiekty inne niż państwo — ludzkość jako taką, grupy społeczne (tzw.human collectivities),a nawet poszczególne jednostki[30]. Nie analizując bliżej przyczyn takiego właśnie kierunku ewolucji pojmowania bezpieczeństwa państwa czy też bezpieczeństwa narodowego (wśród których istotna jest zwłaszcza rosnąca świadomość współzależności międzynarodowych, a także między poszczególnymi sferami życia społecznego), można przyjąć, iż powoduje on, że znaczenie rewolucji informatycznej w tym kontekście rośnie. Właśnie bowiem w sferach pozamilitarnych i zakres, i intensywność oddziaływania procesów określanych tym mianem są większe oraz głębsze aniżeli w wymiarze stricte militarnym. Dlatego też warto raz jeszcze podkreślić, że znaczenie rewolucji informatycznej w odniesieniu do zagadnień bezpieczeństwa państwa w żadnej mierze nie ogranicza się do jej wpływu na sposób prowadzenia wojen oraz potencjał militarny i nie powinno być zawężane jedynie do tego aspektu.
Konkluzje — wpływ rewolucji informatycznej
na kształt polityki bezpieczeństwa państw
Przedstawione tu pokrótce następstwa rewolucji informatycznej w sferze bezpieczeństwa z oczywistych względów wpływają również na proces kształtowania polityki państw w tym zakresie, warunkując zakres przyjmowanych przez rządy strategii oraz innych dokumentów programowych, a także charakter podejmowanych działań. Za najważniejsze można uznać trzy, ściśle ze sobą powiązane, aspekty tych zmian.