Kto stał za największym atakiem cybernetycznym na polską infrastrukturę energetyczną od lat?

Gra na długą metę
Atak cybernetyczny grudnia nie rozpoczął się od zniszczenia. Rozpoczął się od cierpliwości – miesięcy cichego zwiadu, który – jak twierdzą analitycy – nosi znamiona działania w stylu FSB.
„Łączy się to z klasycznym wzorcem IPOE – przygotowania wywiadowcze do środowiska operacyjnego” – mówi Jonathan Terra, politolog i były analityk NATO. „Chodzi o zaszczepienie się w systemach, mapowanie odpowiedzi i przygotowanie do przyszłych wydarzeń.”
Według Terra, atakujący wydobyli dane przed uruchomieniem wipera – co świadczy o tym, że wartość wywiadowcza była równie ważna jak zakłócenie. Ograniczone szkody spowodowane ostatecznie przez atak mogą być same w sobie wymowne. Terra twierdzi, że zamiast dążyć do chaosu, operacja mogła być zaprojektowana w celu przetestowania obrony i obserwacji procedur odzyskiwania.
„Operacje w stylu FSB zazwyczaj pozostają poniżej progu Artykułu 5 – sondowanie i pozycjonowanie, a nie wywoływanie bezpośredniej reakcji militarnej” – dodaje Terra, porównując je do kampanii powiązanych z GRU, które priorytet wiązały z natychmiastowym wpływem, czyli „krótką grą”.
Dlaczego zgrupowanie powiązane z FSB byłoby powiązane z działalnością niszczącą, pozostaje otwartym pytaniem. „Mimo że możesz przypisać cyberatak pewnemu stopniowi pewności do konkretnych podmiotów, to, czego nie możesz zobaczyć, to proces podejmowania decyzji za nimi” – mówi Keir Giles, starszy współpracownik programu Rosja i Eurazja w Chatham House. „Po prostu nie widzimy wewnątrz czarnej skrzynki.”
Niektórzy analitycy sugerują, że wewnętrzna konkurencja między rosyjskimi agencjami mogła odegrać rolę. Andrzej Koźlowski, badacz cyberbezpieczeństwa z Uniwersytetu Łódzkiego, zauważył, że służby bezpieczeństwa Rosji często rywalizują ze sobą w cyberprzestrzeni, a operacje niszczące mogą służyć walkom o władzę wewnętrzną równie dobrze jak presji zewnętrznej.
„Jeśli FSB weszło w przestrzeń niszczącą, może starać się udowodnić swoją wartość Kremlowi – pokazując, że jest w stanie dorównać lub przewyższyć GRU, aby zapewnić większe zasoby” – wyjaśnia, dodając, że jeśli przypisanie się trzyma, może to wskazywać na to, że FSB poszerza działania na nowe terytorium operacyjne.
Rosyjscy hakerzy od dawna penetrują europejskie sieci w celach wywiadowczych i testowania słabości. Jednak masowe niszczycielskie ataki na infrastrukturę krytyczną były dotychczas w dużej mierze ograniczone do Ukrainy – do teraz.
Według Terra sprawa polska może oznaczać eskalację lub po prostu odzwierciedlać szerszy wzorzec wzdłuż wschodniej flanki NATO: kampanie zaprojektowane, aby poszerzyć dostęp i testować obronę bez przekraczania progu, który wywołałby reakcję zbiorową.
Niezwykle rzadko jedno zdarzenie rozstrzyga sprawę, ale trajektoria staje się coraz bardziej wyraźna: operacje cybernetyczne coraz bardziej łączą szpiegostwo z zdolnością niszczycielską, zacierając granicę między działaniami ukrytymi a otwartą konfrontacją.
Nawet język używany do ich opisywania może być przestarzały. „Powinniśmy przestać używać terminu 'wojny hybrydowej'” – twierdzi Terra. „Ryzykujemy ubarwianie działań, które się znacznie zbliżają do prawdziwej wojny.”
Na razie nic nie zaciemniło się. Ale incydent sugeruje inny rodzaj konfrontacji – mierzony nie przez eksplozje, ale przez to, jak długo przeciwnik może pozostawać w systemie, zanim ktoś zauważy.