Najnowszy raport Narodowego Centrum Kontrwywiadu i Bezpieczeństwa USA pt. „Zagraniczne szpiegostwo ekonomiczne w cyberprzestrzeni” nie pozostawia złudzeń: szpiegostwo ekonomiczne i przemysłowe wciąż stanowi poważne zagrożenie dla rozwoju, bezpieczeństwa i przewagi konkurencyjnej USA. Cyberprzestrzeń pozostaje dominującym obszarem operacyjnym dla szerokiej gamy szpiegowskich graczy, w tym wrogich państw, przedsiębiorstw prywatnych działających na ich zlecenie, sponsorowanych grup hakerskich. Autorzy oceniają, iż technologie nowej generacji, takie jak sztuczna inteligencja (SI, ang. artificial intelligence – AI) czy Internet rzeczy (ang. Internet of Things – IoT) będą stanowiły zagrożenie dla narodowych sieci USA, do czego nie są w pełni przygotowane. Efektywna reakcja wymaga przede wszystkim postrzegania szpiegostwa ekonomicznego jako ogólnoświatowego, wielowektorowego zagrożenia dla integralności gospodarki amerykańskiej i globalnego handlu.
Spis treści:
Trendy cyberszpiegostwa
W ocenie służb amerykańskich najbardziej narażone na cyberataki są sektory energetyki i alternatywnych źródeł energii, biotechnologie, technologie obronne, ochrona środowiska, zaawansowane technologie wytwórcze, technologie informatyczne i telekomunikacyjne. Nie wyklucza to wprawdzie innych obszarów, ale te wydają się najbardziej łakomym kąskiem dla cyberszpiegów.
Cyberzagrożenia ewoluują wraz z postępem technologicznym w globalnym środowisku informacyjnym. Na uwagę zasługują operacje związane z przerywaniem łańcucha dostaw oprogramowania. Przykłady można mnożyć. Wirus Floxif, który został wstrzyknięty do oprogramowania CCleanera, uderzył w 2,2 mln klientów. Hakerzy atakowali w szczególności 18 wybranych firm i zainfekowali 40 komputerów, aby uzyskać dostęp do danych takich potentatów, jak Samsung, Sony, Asus, Intel, VMWare, O2, Singtel, Gauselmann, Dyn, Chunghwa i Fujitsu. Zainfekowanie zmodyfikowanej wersji M.E. Doc, które najpierw pojawiło się na Ukrainie, przypisano wprawdzie Rosji, ale nie jest to do końca jasne, ponieważ ucierpiały również podmioty rosyjskie. W każdym razie atak sparaliżował sieci na całym świecie, powodując zamknięcie lub wpływając na operacje banków, firm, transportu. Koszt tego ataku na firmy dostawcze FedEx i Maersk wyniósł około 300 mln dolarów.
Prawo stanowione w niektórych krajach ułatwia kradzież własności intelektualnej i informacji prawnie chronionych. Dla przykładu w 2017 r. Chiny i Rosja rygorystycznie egzekwowały przepisy, które wzmacniały ich rodzime firmy kosztem przedsiębiorstw amerykańskich, umożliwiając dostęp do amerykańskich praw własności intelektualnej i informacji zastrzeżonych. W 2017 r. Chiny wprowadziły w życie nową ustawę o cyberbezpieczeństwie, która ograniczyła sprzedaż zagranicznych technologii informacyjnych i komunikacyjnych (ICT) oraz zobligowała obce firmy do poddawania się krajowym przeglądom bezpieczeństwa. Wymaga się również, aby firmy działające w Chinach przechowywały swoje dane na miejscu, a na ich transfer poza granice wymagana jest specjalna zgoda rządu. Amerykańska Izba Handlowa wykazała, że jeśli zagraniczna firma ulokowała cenny zbiór danych lub informacji w Chinach czy to do celów badawczo-rozwojowych, czy do prowadzenia działalności gospodarczej, będzie musiała ponieść określone ryzyko. Jej dane mogą zostać przywłaszczone lub wykorzystane niezgodnie z przeznaczeniem, szczególnie w środowisku biznesowym Chin, gdzie firmy, chcąc chronić swoje zasoby, napotykają poważne problemy prawne.
Podążając śladem Chin, Rosja zwiększyła wymagania co do przeglądów kodów źródłowych zagranicznych technologii sprzedawanych na terenie kraju. Federalna Służba Bezpieczeństwa (FSB) związana z gospodarczymi misjami szpiegowskimi służy jako władza odpowiedzialna za kierowanie tymi przeglądami i zatwierdza sprzedaż produktów oraz usług technologicznych na terenie Rosji.
Kraje wysokiego zagrożenia wywiadowczego jak Chiny i Rosja wykorzystują te przepisy, ułatwiając znacząco dostęp do własności intelektualnej zagranicznych firm operujących na ich terenie, a następnie dzielą się poufnymi informacjami z rodzimymi podmiotami.
Odnotować należy również to, iż zagraniczne firmy zajmujące się technologiami informacyjnymi i komunikacyjnymi często podlegają wpływom swoich rządów, kreując ryzyko dla tajemnic handlowych i własności intelektualnej Stanów Zjednoczonych. Firmy te świadczą usługi, które niekiedy wymagają dostępu do fizycznych punktów kontrolnych obsługiwanych komputerów i sieci. Ostatnie wydarzenia pokazują potencjalne ryzyko stwarzane przez firmy technologiczne, które mają powiązania z rządami
o wysokiej aktywności wywiadowczej.
W odpowiedzi amerykański Departament Bezpieczeństwa Krajowego we wrześniu 2017 r. wydał dyrektywę skierowaną do departamentów i agencji federalnych o unikaniu produktów i usług firmy Kaspersky Lab w związku ze stwarzanym przez nią zagrożeniem bezpieczeństwa informacji. Chodzi naprawdę o jej powiązania z rządem Rosji. W grudniu 2017 r. Departament Sprawiedliwości zawarł umowę z Netcracker Technology Corp., która zaowocowała deklaracją, iż firma nie będzie przechowywała poufnych informacji i danych od swoich klientów technologicznych z USA w zagranicznych lokalizacjach, w tym w szczególności w Rosji.
Aktorzy państwowi najgroźniejszymi przeciwnikami
Do najpoważniejszych państwowych cyberszpiegów należą Chiny, Rosja i Iran. To gracze wrodzy i nic nie wskazuje na to, aby w dającej się przewidzieć przyszłości uległo to zmianie. Odnotować wszak trzeba, że kraje mające bliskie związki ze Stanami Zjednoczonymi również prowadzą działania szpiegowskie w cyberprzestrzeni, ale też inne formy działalności skierowane przeciwko sojusznikowi, chcąc pozyskać nowe technologie, własność intelektualną czy tajemnice handlowe dla zwiększenia swojej przewagi konkurencyjnej.
Chiny – przeciwnik totalny
Chiny pozostają najaktywniejszym „penetratorem” amerykańskiej cyberprzestrzeni i poszukiwaczem technologii. Nie wahają się sięgać po tajemnice handlowe i informacje prawnie zastrzeżone. Chińskie operacje w cyberprzestrzeni są częścią złożonej, wielopłaszczyznowej strategii, która zakłada osiągnięcie trzech głównych celów:
- umocnienie narodowego potencjału,
- ukształtowanie modelu gospodarczego opartego na innowacyjności,
- modernizację militarną.
Cele strategiczne realizowane są za pomocą szerokiej gamy metod, środków i narzędzi, do których można zaliczyć:
- Wykorzystywanie nietradycyjnych „pozyskiwaczy” informacji – stawianie zadań naukowcom
i biznesmenom w zakresie zdobywania amerykańskich technologii; - Joint venture – zakładane z amerykańskimi podmiotami w celu uzyskiwania technologii oraz know-how;
- Partnerstwa badawcze – aktywne poszukiwania współpracy z laboratoriami państwowymi USA
w celu poznania i pozyskania określonej technologii oraz „miękkich kompetencji” niezbędnych do prowadzenia takiego rodzaju laboratoriów i badań na własnym terenie; - Współpraca akademicka – wykorzystywanie współpracy i powiązań z uniwersytetami dla prowadzenia specyficznych badań w celu uzyskania dostępu do wysokiej klasy narzędzi badawczych i sprzętu. Otwartość środowisk akademickich sprzyja wypełnianiu chińskich luk strategicznych;
- Inwestycje S&T (sprzedaż-handel) – długoterminowe inwestycje państwowe w infrastrukturę techniczno-technologiczną w zakresie handlu i sprzedaży;
- Fuzje i nabycia (M&A) – wykupywanie firm, które dysponują odpowiednimi technologiami, urządzeniami i ludźmi. Często kończy się to na sprawach rozpatrywanych przez Komitet Inwestycji Zagranicznych USA (CFIUS);
- Firmy fasadowe – wykorzystanie firm fasadowych (tzw. słupów), które przykrywają udział chińskiego rządu np. w pozyskiwaniu kontrolowanych technologii eksportowych;
- Programy rekrutujące talenty – programy mające na celu identyfikację talentów, ściąganie ich do Chin (często do powrotu) i angażowanie do strategicznych prac rozwojowych;
- Służby wywiadowcze – klasyczne szpiegostwo zagraniczne;
- Środowisko prawne i regulacyjne – wykorzystywanie przepisów prawa do utrudniania działalności zagranicznych podmiotów i wspierania podmiotów chińskich.
Większość wykrytych chińskich operacji cybernetycznych przeciwko sektorowi prywatnemu w USA koncentrowała się na zastrzeżonych kontrahentach wojskowych lub firmach informatycznych i komunikacyjnych, których produkty i usługi wspierały sieci rządowe.
Według oceny kilku firm cybernetycznych w 2017 r. kontynuowała swoją działalność chińska grupa cyberprzestępcza APT10, prowadząca szeroko zakrojone operacje ukierunkowane na przemysł inżynieryjny, telekomunikacyjny i lotniczy. APT10 interesowała się firmami na całym świecie, w tym w Stanach Zjednoczonych, wykorzystując dostawców usług IT jako narzędzi. Znaleziono powiązania między chińskimi cyberprzestępcami a wykorzystywaniem aplikacji CCleanera, która pozwalała hakerom ukierunkowywać działania na firmy amerykańskie, w tym Google, Microsoft, Intel i VMware.
Ocenia się, że Chiny będą w dalszym ciągu stanowiły zagrożenie dla zastrzeżonych przez USA technologii i własności intelektualnej. Jeśli chińskie zagrożenie nie zostanie zniwelowane, w dłuższej perspektywie może to odbić się ujemnie na przewadze konkurencyjnej Ameryki.
Rosja – przeciwnik wyrafinowany
Rosja ma wiele powodów, aby szpiegować USA w cyberprzestrzeni. Do najważniejszych z nich należy próba wzmocnienia gospodarki toczonej przez epidemię korupcji, wzmocnienie kontroli państwa i rekompensowanie wypływu własnych talentów za granicę. Wysiłki Moskwy na rzecz modernizacji wojskowej są i nadal będą czynnikiem motywującym Rosję do kradzieży własności intelektualnej w USA. Rosja wykorzystuje cyberprzestrzeń jako jedną z wielu metod uzyskiwania niezbędnego know-how i technologii do rozwoju i modernizacji swojej gospodarki. Inne metody obejmują:
- wykorzystywanie rosyjskich przedsiębiorstw komercyjnych i podmiotów akademickich, które współdziałają z Zachodem;
- rekrutację przez służby wywiadowcze rosyjskich imigrantów legitymujących się zaawansowanymi umiejętnościami technicznymi;
- penetrację przedsiębiorstw publicznych i prywatnych przez służby, która umożliwia rządowi pozyskiwanie wrażliwych informacji technicznych od przemysłu.
Moskwa wykorzystuje cyberataki jako narzędzie gromadzenia danych wywiadowczych do podejmowania decyzji na szczeblu państwowym i czerpania korzyści gospodarczych. Eksperci twierdzą, że Rosja musi wprowadzić strukturalne reformy, w tym dywersyfikację gospodarczą sektorów technologicznych, aby osiągnąć wyższe tempo wzrostu produktu krajowego brutto, o który publicznie apelował rosyjski prezydent Putin. Aby wesprzeć ten cel, rosyjskie służby wywiadowcze przeprowadziły w USA zaawansowane hackingowe operacje na dużą skalę. Ponadto Moskwa wykorzystuje szereg innych operacji wywiadowczych dla kradzieży cennych aktywów ekonomicznych:
W 2016 r. haker „Eas7” ujawniła zachodniej prasie, że współpracowała z rosyjską Federalną Służbą Bezpieczeństwa (FSB) w zakresie gospodarczych misji szpiegowskich. Oceniała, że „wśród dobrych hakerów co najmniej połowa pracuje dla struktur rządowych”, sugerując, że Moskwa zatrudnia cyberprzestępców.
Rosja wykorzystuje cyberataki do gromadzenia danych dotyczących własności intelektualnej z amerykańskich sektorów energetyki, opieki zdrowotnej i technologii. Na przykład hakerzy pracujący dla rosyjskiego rządu w ubiegłym roku włamali się do dziesiątek amerykańskich firm energetycznych, w tym do ich sieci operacyjnych. Działalność ta napędzana jest przez wiele celów, w tym zbieranie informacji wywiadowczych, uzyskanie dostępu do własności intelektualnej i przekazywanie jej rosyjskim firmom.
Przynajmniej od 2007 r. Moskwa wspierała program cybernetyczny APT28, który rutynowo gromadził informacje wywiadowcze dotyczące kwestii obronnych i geopolitycznych, w tym Stanów Zjednoczonych i Europy Zachodniej. Uzyskanie wrażliwych danych z przemysłu obronnego USA może zapewnić Rosji korzyści ekonomiczne (np. w zagranicznej sprzedaży wojskowej) i w sferze bezpieczeństwa, ponieważ Rosja nadal wzmacnia i modernizuje siły wojskowe.
Ocenia się, że w bieżącym roku Rosja nie zaniecha agresywnych cyberataków przeciwko Stanom Zjednoczonym i ich sojusznikom w ramach globalnego programu gromadzenia danych wywiadowczych. Chociaż są one tylko jednym z elementów wielopłaszczyznowego podejścia Moskwy do pozyskiwania informacji, to dają rosyjskim służbom wywiadowczym sprawne i opłacalne narzędzie do realizacji celów państwowych.
Iran – rosnące zagrożenie dla cyberbezpieczeństwa
Irańska działalność szpiegowska w cyberprzestrzeni koncentruje się wprawdzie na przeciwnikach z Bliskiego Wschodu, takich jak Arabia Saudyjska i Izrael, jednak w 2017 r. Iran penetrował również sieci w Stanach Zjednoczonych. Część tej aktywności skierowana była na amerykańskie technologie o dużej wartości dla irańskiego rządu. Pozyskanie amerykańskich poufnych informacji i technologii umożliwia Teheranowi pobudzanie krajowego wzrostu gospodarczego, modernizację sił zbrojnych i zwiększenie sprzedaży zagranicznej.
Irańska grupa hakerów Rocket Kitten konsekwentnie atakuje amerykańskie firmy obronne, prawdopodobnie umożliwiając Teheranowi poprawę już zaawansowanych programów rakietowych i kosmicznych. Hakerzy irańscy celują w firmy lotnictwa cywilnego, wykorzystując na różne sposoby strony internetowe, spearphishing, zdobywanie poświadczeń i techniki inżynierii społecznej. Irańscy hakerzy atakowali amerykańskie instytucje naukowe, kradnąc cenne własności intelektualne.
Uważa się, że Iran będzie nadal przenikał do amerykańskich sieci w celu szpiegostwa przemysłowego. Gospodarka Iranu – wciąż silnie napędzana przez przychody z ropy naftowej – będzie uzależniona od wzrostu w branży naftowej, więc państwo nadal będzie wykorzystywało cyberprzestrzeń, aby zyskać przewagę w tym sektorze. Iran będzie wykorzystywał swoje zdolności cybernetyczne do zmniejszenia luki naukowej i technologicznej między nim a krajami zachodnimi.
Rząd USA podejmuje liczne kroki przeciwdziałające szpiegostwu gospodarczemu w cyberprzestrzeni. Najbardziej widoczne są wysiłki podejmowane dla ochrony infrastruktury krytycznej i wrażliwych sieci komputerowych. Państwo kontynuuje także współpracę z sektorem prywatnym, inwestując w naukę i technologie, badania cybernetyczne i rozwój jako sposób na złagodzenie złośliwej aktywności wrogich podmiotów w cyberprzestrzeni. Inne działania obejmują: udostępnianie informacji o zagrożeniach cybernetycznych, lukach i innych zagrożeniach; promowanie najlepszych praktyk w zakresie cyberbezpieczeństwa, poprawę reakcji na incydenty cybernetyczne; współpracę z sojusznikami w zakresie cyberprzestępczości.
Autor: radca prawny Robert Nogacki, Marek Ciecierski, Profesjonalny Wywiad Gospodarczy „Skarbiec” Sp. z o.o.