CSS, NSA i Cyber ​​Command: Zmiany strukturalne w podejściu cybernetycznym po drugiej stronie Atlantyku

NSA utworzy nową Dyrekcję ds. Cyberbezpieczeństwa

La National Security Agency ogłosił plany utworzenia dyrekcji ds. cyberbezpieczeństwa w 2019 r. w ramach szerszej inicjatywy mającej na celu połączenie ofensywnych (LIO) i defensywnych (LID) operacji cybernetycznych.

NSA od kilku lat podlega reorganizacjom, których zakres uległ poszerzeniu pod kierunkiem generała Paula Nakasone – obecnego szefa NSA Centralna Służba Bezpieczeństwa (CSS) – ponieważ agencja ostatecznie straciła koncentrację na cyberbezpieczeństwie. Dlatego ten ostatni właśnie ogłosił utworzenie Dyrekcji ds. Cyberbezpieczeństwa i po prawie 10 latach pracy w NSA mianował Anne Neuberger na jej czele.

Anne Neuberger, która obecnie zasiada w Radzie Dyrektorów NSA, była pierwszym dyrektorem ds. ryzyka i częścią zespołu, który pomógł ustanowić Amerykańskie Dowództwo Cybernetyczne w 2009 r. Ostatnio nadzorowała działania NSA mające na celu zapewnienie bezpieczeństwa wyborów przed wyborami w 2018 r. i w ich trakcie, podczas których NSA i USCYBERCOM zintensyfikować wysiłki przeciwko rosyjskiej ingerencji i usprawnić wymianę informacji z agencjami takimi jak FBI i DHS, odpowiedzialnymi za aspekt sądowy.

Nowa Dyrekcja ds. Bezpieczeństwa Informacji zastąpi obecną Dyrekcję ds. Zapewnienia Informacji NSA. Oświadczenie to pojawia się w kontekście, w którym pojawia się coraz więcej głosów potwierdzających potrzebę rozdzielenia NSA i USCYBERCOM. Te dwa podmioty różnią się misją, ale przede wszystkim władzą prawną.

Utworzony w listopadzie 1952 r National Security Agency/Centralna Służba Bezpieczeństwa (NSA/CSS) odpowiada – w imieniu rządu amerykańskiego – za tematykę związaną z kryptologią, obejmującą zarówno wywiad elektroniczny (SIGINT), jak i cyberbezpieczeństwo, pozwalające na eksploatację sieci komputerowych (CNO) zapewniającą przewagę decyzyjną.

Będąc przez długi czas jedynym ośrodkiem kompetencji w kraju, NSA była w stanie wypracować dużą ilość know-how związanego z cyberprzestrzenią. Dopiero w 2008 r. Stany Zjednoczone dokonały oceny zagrożeń związanych z cyberprzestrzenią. W najlepszym razie niewiedza, w najgorszym poczucie nietykalności, Operacja Buckshot Yankes ujawni to, co wielu uzna za największe zagrożenie dla bezpieczeństwa narodowego, jakie kiedykolwiek widziało ten kraj.

Chociaż na radarach badaczy cyberbezpieczeństwa i wyspecjalizowanych firm pojawiło się nowe szkodliwe oprogramowanie, w czerwcu 2008 roku na niektórych komputerach dowództwa wojskowego NATO odkryto szczególnie zjadliwą wersję. Nazywana przez firmę F-Secure „Agent.btz” doprowadzi do głębokie kwestionowanie zdolności Stanów Zjednoczonych do zapewnienia bezpieczeństwa swoich sieci komputerowych.

Operacja Buckshot Yankee

Prawie cztery miesiące później, w październiku 2008 roku, analitycy NSA odkryli to samo złośliwe oprogramowanie w systemach bardzo krytycznego Tajna sieć routerów protokołu internetowego, sieć, za pośrednictwem której najbardziej wrażliwe informacje Departamentów Stanu i Obrony, a także w obrębie Wspólny Światowy System Łączności Wywiadowczej, sieć, która umożliwia władzom amerykańskim przekazywanie wrażliwych informacji swoim sojusznikom.

centrum danych nsa Analizy obronne | Sieci komunikacyjne i obronne | Szpiegowanie
„Wieże z kości słoniowej”, choć odłączone od globalnej sieci, wykazały swoją podatność na zaawansowane ataki

Na pierwszy rzut oka zaskakujące jest to, że sieci te są oddzielone od Internetu i w zasadzie nie mają żadnego interfejsu z siecią WWW, tworząc „lukę powietrzną”: fizyczną separację, rzekomo hermetyczną. Jednak szkodliwe oprogramowanie „Agent.btz” znajdowało się już w tych sieciach i przekazywało światu zewnętrznemu niezwykle wrażliwe informacje. Technika ta, mająca całkowicie chronić sieć od zewnątrz, nie jest bezbłędna i jak to często bywa, znajduje się „między komputerem a krzesłem”.

Podobnie jak Stuxnet, to szkodliwe oprogramowanie zostało wprowadzone, świadomie lub nie, do chronionej sieci za pośrednictwem wcześniej zainfekowanego klucza USB. Po przedostaniu się do docelowego systemu szkodliwe oprogramowanie rozprzestrzenia się metodą kapilarną, infekując wszystkie urządzenia wymienne, które zostaną podłączone do komputera.

Aby jednak działać, Agent.btz musiał komunikować się ze swoim zewnętrznym sponsorem. Sygnały te, stanowiące namacalny dowód złośliwej aktywności, zostały zauważone przez analityka zespołu Zaawansowane operacje sieciowe (ANO) NSA odpowiedzialnej za inwigilację telekomunikacji (SIGNIT) wrogów Stanów Zjednoczonych za granicą (tylko w teorii, ponieważ w rzeczywistości rewelacje Edwarda Snowdena w dużej mierze poparły przypadki inwigilacji obywateli amerykańskich na terytorium kraju).

Po kilkudniowych śledztwach operatorzy ANO doszli do wniosku, że naruszenie bezpieczeństwa było na tyle poważne, że skierowano je na najwyższy szczebel amerykańskiego aparatu bezpieczeństwa. 24 października 2008 r. Richard C. Schaeffer Jr., ówczesny dyrektor ds. bezpieczeństwa sieci komputerowej NSA, oraz generał Keith Alexander, dyrektor agencji, wzięli udział w odprawie bezpieczeństwa, podczas której informowali ówczesnego prezydenta, George'a W. Busha – już wkrótce odchodzą ze stanowiska – Szef Sztabu, Zastępca Sekretarza Stanu oraz przywódcy Kongresu.

W ciągu następnych tygodni wdrożono wszystkie środki Agencji Bezpieczeństwa Narodowego, aby powstrzymać, jeśli nie wyeliminować, Agent.btz bez powodowania szkód w infrastrukturze bezpiecznych sieci kraju: c to początek operacji Buckshot Yankes ściśle mówiąc.

Oprócz „czyszczenia” systemów operatorzy służb wywiadowczych posunęli się nawet do fizycznego odłączenia zainfekowanych maszyn od sieci w celu ich całkowitej wymiany lub bezpośredniej wymiany dysków twardych.

Oprócz ANO NSA wezwała jeszcze jeden ze swoich elementów, który później stał się sławny – tzw Dostosowane operacje dostępu (TAO). Ta tajna jednostka, wysoce wyspecjalizowana w działaniach ofensywnych, od początku lat 1990. XX wieku zdobyła specjalistyczną wiedzę w zakresie wykorzystywania danych pochodzących ze szpiegostwa komputerowego. Ta wiedza specjalistyczna w dużej mierze przyczyni się do odkrycia wariantów złośliwego oprogramowania i przyczyni się do opracowania nowej „aktywnej” doktryny ochrony sieci: cyberobrony.

Według niektórych urzędników amerykańskich charakter odpowiedzi na Agent.btz był przedmiotem długiej debaty w aparacie wykonawczym i wojskowym USA. TAO zaproponowałoby działania mające na celu neutralizację sieci cywilnych zidentyfikowanych jako przekaźniki sponsora i jego systemu dowodzenia i kontroli (C2 lub C&C). Zostanie podjęta decyzja o zakwalifikowaniu szkodliwego oprogramowania (podobnie jak całej operacji) jako „klasycznego” aktu szpiegostwa, a nie jako prawidłowego ataku, co w związku z tym nie uzasadniało zbrojnej, a tym bardziej kinetycznej reakcji ze strony Stanów Zjednoczonych.

Docelowo używanie kluczy USB i wszystkich dysków wymiennych zostanie tymczasowo zakazane w krytycznych systemach, ale „pacjent zero” – źródło naruszenia bezpieczeństwa – nigdy nie zostanie formalnie ustalony, nawet jeśli Rosję ciążą poważne podejrzenia.

Analizując kod wszystkich wariantów Agent.btz, ANO i TAO nadal będą w stanie powiązać go z systemami podłączonymi do bezpiecznych sieci z Afganistanu i Iraku. Szkodliwe oprogramowanie pozostanie aktywne do początku 2009 roku, zanim ostatecznie zostanie uznane za nieaktywne i usunięte ze wszystkich zaatakowanych sieci.

Zdecydowana realizacja

Buckshot Yankes w każdym razie podniesie rzeczywistą świadomość wrażliwości krytycznych sieci wojskowych. Jednak z szerszego punktu widzenia to właśnie podejście do ochrony tego ostatniego zostało wystawione na próbę i okazało się nieskuteczne w obliczu powtarzającego się, precyzyjnego i wyrafinowanego technicznie zagrożenia. Ochrona pasywna, czyli „mur”, czyli cyberbezpieczeństwo, udowodniła, że ​​nie jest w stanie poradzić sobie ze wszystkimi zagrożeniami. Wszechobecność i wirtualność tej nowej przestrzeni konfliktu oznacza, że ​​efekt i zaskoczenie zawsze będą po stronie agresora.

Operacja przeprowadzona przez NSA będzie zatem skutkować radykalną zmianą jej podejścia do bezpieczeństwa w cyberprzestrzeni. Ochrona nie może już mieć charakteru wyłącznie pasywnego (cyberbezpieczeństwo), ale także aktywnego (cyberobrona), a nawet proaktywnego.

Agent.btz, którego sukces trzeba wykazać dla jego inicjatora, będzie doskonałym „katalizatorem” ewolucji mentalności amerykańskiego aparatu bezpieczeństwa. Potrzeba aktywnej ochrony sieci krytycznych, a także infrastruktury strategicznej za Atlantykiem, będzie teraz przedmiotem szczególnej uwagi.

Pokój Analiz Cyberobrony | Sieci komunikacyjne i obronne | Szpiegowanie
US CYBERCOM jest odpowiedzialny za ochronę integralności i trwałości sieci i informacji wszystkich amerykańskich sił zbrojnych.

Z budżetem 155 milionów dolarów i 750 personelem, 31 października 2010 roku utworzono nową organizację: US Cyber ​​​​Command lub USCYBERCOM. Jest on „odpowiedzialny za planowanie, koordynację, integrowanie, synchronizację i prowadzenie działań mających na celu kierowanie operacjami i obroną sieci informacyjnych Departamentu Obrony, przygotowanie do prowadzenia operacji wojskowych w cyberprzestrzeni w pełnym spektrum, aby umożliwić działania we wszystkich dziedzinach, zapewnić swobodę działania dla Stanów Zjednoczonych i ich sojuszników w cyberprzestrzeni i odmawiają tego swoim adwersarzom”.

Utworzenie Cyber ​​Command nie przyniosło jednak odpowiedzi na wszystkie pytania.

Będzie kilka podstawowych pytań ostatecznie doprowadzić do przetasowań strukturalnych, których jesteśmy dziś świadkami. Zarządzanie amerykańskimi operacjami w cyberprzestrzeni jest od kilku lat przedmiotem debaty władz cywilnych i wojskowych. Kto jest władzą odpowiedzialną za operacje ofensywne? Czy przeprowadzenie operacji mającej na celu zneutralizowanie sieci atakującego jest częścią cyberobrony czy ofensywnej cyberwojny?

W rzeczywistości NSA i USCYBERCOM były zgrupowane w CSS (Centralna Służba Bezpieczeństwa), a na ich czele stał żołnierz. Początkowo ten „podwójny kapelusz” miał sens ze względu na zasadnicze podobieństwo technicznych aspektów operacji wojskowych w cyberprzestrzeni (domena Cyber ​​Command) i operacji sieci komputerowych związanych z wywiadem (domena NSA). Generał Michael Hayden, pierwszy dyrektor CSS, zwrócił uwagę, że operacje ofensywne w cyberprzestrzeni i wywiad sygnalizacyjny są technicznie nie do odróżnienia od siebie.

Z tej obserwacji zrodził się pomysł ujednolicenia dowództwa dwóch organizacji odpowiedzialnych za każdy z tych obszarów. Konieczność zapewnienia solidnych zdolności do prowadzenia operacji wojskowych w cyberprzestrzeni ostatecznie uzasadniła decyzję o połączeniu obu podmiotów oraz opracowywaniu technologii i technik w ścisłej współpracy.

„NSA ma zdolność do prowadzenia takich działań, USCYBERCOM ma władzę” – generał Michael Hayden.

Operacja Gladiator Feniks

Od lata 2009 roku Pentagon zaczął wypracowywać zbiór zasad zaangażowania, a szerzej doktrynę wykorzystania narzędzi cybernetycznych.

Z tej refleksji narodził się „rozkaz wykonawczy”, na mocy którego jedynie USSTRATCOM i USCYBERCOM mogły kierować operacjami i obroną sieci wojskowych na całym świecie. Początkowo dotyczyło to podstawowych prywatnych systemów komputerowych w Stanach Zjednoczonych.

Dyrektywa określa pewną liczbę dodatkowych warunków, które muszą zostać spełnione, aby wywołać reakcję militarną:

  • Musi to być wrogie działanie skierowane przeciwko Stanom Zjednoczonym, ich infrastrukturze krytycznej i/lub obywatelom;
  • Musi wiązać się z prawdopodobieństwem nieuchronnej śmierci, poważnych obrażeń lub szkód, które mogłyby zagrozić bezpieczeństwu narodowemu lub gospodarczemu Stanów Zjednoczonych;
  • Interwencja musi być skoordynowana z zainteresowanymi agencjami rządowymi i jednostkami bojowymi;
  • Działania muszą być ograniczone do niezbędnego spektrum, mające na celu przerwanie ataku, przy jednoczesnej minimalizacji skutków ubocznych na cele cywilne.

Jednak ciągłe wysiłki mające na celu osiągnięcie konsensusu w sprawie zasad zaangażowania i organu odpowiedzialnego za kierowanie operacjami cyberobrony i ofensywnej wojny komputerowej (LIO) nie powiodły się. Pod naciskiem licznych agencji wywiadowczych – na czele z CIA – oraz Departamentu Bezpieczeństwa Wewnętrznego i Sprawiedliwości, próba kompromisu została poświęcona na ołtarzu sporów między agencjami.

Debata ugrzęzła w kwestii roli USCYBERCOM i tego, jak daleko powinien być w stanie posunąć się w realizacji swojej misji. Pytanie jest tym bardziej istotne, jeśli chodzi o serwery zlokalizowane na terytorium kraju.

W lutym 2011 rzarządzenie wykonawcze jest podpisany. To, w dużej mierze zmienione od czasu pierwszej wersji, ogranicza armię do obrony własnych sieci i może odstąpić od tej zasady jedynie za wyraźną zgodą prezydenta.

Nieefektywność systemu „podwójnego kapelusza”.

Bezpośrednią konsekwencją relacji NSA z Cyber ​​Commandem, którego dowództwo powierzono jednej osobie (dyrektorowi CSS), pierwotną motywacją tej organizacji – w założeniu tymczasowej – było umożliwienie rodzącemu się Cyber Dowództwo skorzystało z wiedzy, możliwości i doświadczenia NSA w celu osiągnięcia pełnej zdolności operacyjnej.

W praktyce relacja pozwala jednej osobie wyważyć często sprzeczne interesy dwóch organizacji, których obowiązki w obszarze cyberprzestrzeni często się pokrywają, a nawet kanibalizują. To wspólne polecenie było stale poddawane przeglądowi przez administracje prezydenckie od jego powstania, a eksperci przedstawiali sprzeczne argumenty na rzecz rozwiązania i kontynuowania porozumienia.

Chociaż większość argumentów za zakończeniem tego systemu koncentruje się na powodzeniu utworzenia USCYBERCOM lub ryzyku dla operacji i możliwości NSA, stosunkowo niewiele uwagi poświęcono wpływowi organizacyjnego pokrywania się z NSA na dalsze prowadzenie operacji wojskowych w cyberprzestrzeni.

według a officiel Cyber ​​Command „współzależność obu organizacji pozwoliła jej przyzwyczaić się do praktycznie nieprzerwanego wsparcia operacyjnego i logistycznego ze strony biur NSA. To głęboko zakorzenione poleganie organizacji na technikach i procesach NSA zasadniczo ukształtowało sposób, w jaki dowództwo podchodzi do operacji w cyberprzestrzeni. W szczególności, czerpiąc z procedur i kultury NSA, firma USCYBERCOM coraz bardziej unika ryzyka […] Procesy przeglądu i zatwierdzania muszą zmienić paradygmat”.

Jeśli Centralna Służba Bezpieczeństwa łącząc dzisiaj NSA i USCYBERCOM, udało się rozwinąć unikalne w skali światowej możliwości i wiedzę techniczną, jest to w dużej mierze dzięki ścisłej współpracy pomiędzy technikami bardzo wysokiego szczebla. NSA zatrudnia około 30 000 pracowników wojskowych i cywilnych oraz ponad 800 doktorantów w dziedzinie matematyki, nauk fizycznych i inżynierii. Zgrupowane w siedzibie w Fort Meade w Maryland, NSA i USCYBERCOM ewoluowały w symbiozie przez dekadę i to właśnie ta organizacja od tego czasu zapewniła sukces Stanom Zjednoczonym w prowadzeniu operacji wojskowych i wywiadu (Igrzyska Olimpijskie, Flame, w szczególności DuQu i Gauss).

Zaważa to obecnie na ciągłości tego rozwoju, nawet na wiodącej pozycji Stanów Zjednoczonych w cyberprzestrzeni. Prace rozpoczęte w ramach operacji Gladiator Phoenix będą musiały zostać wznowione, aby ustalić jasne zasady zarządzania między NSA a USCYBERCOM, przy czym ostatecznie arbitraż pozostanie w gestii władzy wykonawczej.

Z tej debaty powinna wyłonić się za Atlantykiem nowa doktryna prowadzenia operacji w cyberprzestrzeni. Jeżeli Francja zdecydowała się oddzielić działania w zakresie cyberobrony (ComCyber), cyberbezpieczeństwa (ANSSI) i wywiadu (DRM, DGSI i DGSE); za ofensywną walkę komputerową (LIO) odpowiada premier, opierając się na zdolnościach wojskowych i kierownictwie technicznym DGSE (DT-DGSE). Brak informacji nie pozwala na wyciągnięcie wniosków co do efektywności tej współpracy. Pozostaje faktem, że nakładanie się różnych wymiarów operacji w cyberprzestrzeni stanowi prawdziwe wyzwanie w zakresie współpracy pomiędzy różnymi zainteresowanymi stronami. Przyjmując model zbliżony do Stanów Zjednoczonych, Francji udało się dotychczas uniknąć nędzy, w szczególności polegając na ludziach. Przypominamy, że pierwszym dyrektorem Narodowej Agencji Bezpieczeństwa Systemów Informatycznych (ANSSI) jest od 1 marca 2014 r. dyrektor techniczny DGSE.

Pozostaje tylko mieć nadzieję, że „Titi” nauczyła się dyskrecji.


Jeana Lebougre’a
Specjalista ds. cyberwojny

Na dalej

PORTALE SPOŁECZNOŚCIOWE

Ostatnie artykuły