Rząd chiński na serii zjazdów wezwał do uznania prawa suwerennych państw do kontrolowania internetu na swoim terytorium. A co, jeśli... ma rację?
CAMBRIDGE – Miesiąc temu sekretarz generalny ONZ António Guterres wezwał świat do działania – należy bronić cywilów przed zagrożeniami wojny elektronicznej. Guterres wyraził ubolewanie, że „nie ma modelu regulacji dla tego rodzaju działań wojennych” i „jest niejasne, czy stosują się do niego przepisy Konwencji Genewskiej lub międzynarodowego prawa humanitarnego”.
Dziesięć lat temu mało kto interesował się cyberbezpieczeństwem w kontekście problemów międzynarodowych. Od 2013 roku uznajemy je jednak za największe zagrożenie, z jakim mierzą się Stany Zjednoczone. I choć o konkretne liczby można się spierać, to „Licznik cyberataków” Council on Foreign Relations podaje, że od 2005 roku hakerzy działający w imieniu 16 różnych krajów świata przeprowadzili 200 operacji, w tym 20 w samym 2016 roku.
Wyborca zaczadzony fake newsami jest zagrożeniem dla demokracji
czytaj także
Termin „cyberbezpieczeństwo” dotyczy wielu problemów, które nie spędzały snu z powiek w czasach, gdy mała społeczność badaczy i programistów rozwijała technologie internetowe w latach 70. i 80. ubiegłego stulecia. W 1996 roku z internetu korzystało zaledwie 36 milionów ludzi, czyli mniej więcej jeden procent światowej populacji. Na początku 2017 roku w sieci było już 3,7 miliarda użytkowników – połowa ludzkości.
Astronomicznemu wzrostowi liczby internautów, który nastąpił pod koniec lat 90. towarzyszyła inna zmiana. Sieć nabrała zasadniczego znaczenia jako podwarstwa interakcji ekonomicznych, społecznych i politycznych. Wraz z coraz ściślejszymi połączeniami wzajemnymi oraz nowymi możliwościami gospodarczymi okazało się jednak, że brakuje bezpieczeństwa, a niektórzy są wręcz bezbronni wobec ataków. Dziś mamy takie zjawiska jak big data, uczenie maszynowe, „internet rzeczy”, a niektórzy eksperci szacują, że do 2035 roku liczba urządzeń podłączonych do sieci wzrośnie do prawie biliona. Diametralnie wzrośnie więc również liczba potencjalnych celów ataków podejmowanych przez podmioty państwowe i prywatne. Na liście zagrożonych znajdzie się wszystko: od przemysłowych systemów komputerowych używanych np. do kontroli linii produkcyjnych przez rozruszniki serca aż po autonomiczne samochody.
Wielu obserwatorów wzywa do wprowadzenia przepisów prawnych oraz norm w celu zabezpieczenia tego środowiska. Wprowadzanie takich standardów w świecie cyfrowym napotyka jednak wiele trudnych przeszkód. Chociaż czas w cyberprzestrzeni płynie szybko, zgodnie z prawem Moore’a, które mówi że moc obliczeniowa komputerów podwaja się co dwa lata, to ludzkie przyzwyczajenia, normy i praktyki państwowe zmieniają się wolniej.
Zacznijmy od tego, że w internecie – ponadnarodowej sieci zbierającej głównie sieci prywatne – podmioty niepaństowe odgrywają bardzo dużą rolę. Narzędzia cybernetyczne mogą być wykorzystywane jednocześnie do ataków i obrony, są szybkie, tanie, do tego często łatwo jest wyprzeć się ich posiadania. W związku z tym weryfikacja i identyfikacja sprawców różnych działań jest trudna, a próg wejścia – bardzo niski.
Ponadto, chociaż internet jest ponadnarodowy, to infrastruktura (i ludzie), których potrzebuje do działania podpadają pod jurysdykcję różnych suwerennych państw. A najpotężniejsze kraje różnią się pod względem celów, które chcą osiągnąć w cyberprzestrzeni. Rosja i Chiny kładą nacisk na suwerenną kontrolę sieci, natomiast wiele krajów demokratycznych naciska na to, by internet był bardziej otwarty.
Niemniej udawanie, że w sieci odbywa się wolna amerykanka i rozwijanie skrótu „www” jako „wild west web” to karykatura. W cyberprzestrzeni istnieją pewne normy. Państwa potrzebowały jakichś dwudziestu lat, żeby wypracować pierwsze porozumienia na temat ograniczenia arsenałów nuklearnych w epoce broni jądrowej. Jeśli liczyć, że problem cyberbezpieczeńtwa pojawił się po raz pierwszy nie w początkach internetu w latach 70., ale w okresie ekspansji sieci pod koniec lat 90., to międzyrządowa współpraca w zakresie zahamowania cyberkonfliktów właśnie zaczyna powoli zbliżać się do końca drugiej dekady.
W 1998 roku Rosja po raz pierwszy zaproponowała podpisanie w ONZ traktatu o zakazie stosowania broni elektronicznej i informacyjnej (w tym do celów propagandowych). Wraz z Chinami oraz innymi członkami Szanghajskiej Organizacja Współpracy naciskała i naciska wciąż na podpisanie kompleksowego układu opartego na ONZ. Stany Zjednoczone niezmiennie uważają, że przepisy takiego układu byłyby nieweryfikowalne.
Zamiast tego sekretarz generalny powołał Grupę Ekspertów Rządowych ONZ (GGE), która po raz pierwszy spotkała się w 2004 roku, a w lipcu 2015 roku przedstawiła propozycję zbioru norm wspartego później przez G20. Grupy eksperckie to nic nowego w praktyce funkcjonowania Narodów Zjednoczonych, ale rzadko się zdarza, by efekty ich pracy zostały wydobyte z głębokiej oenzetowskiej piwnicy i przedstawione na szczycie dwudziestu najpotężniejszych państw świata. GGE odniosła więc spektakularny sukces, aczkolwiek nie zdołała dojść do porozumienia w sprawie brzemienia swojego kolejnego raportu w 2017 roku.
czytaj także
W którą stronę pójdzie teraz świat? Wiele różnych ośrodków może proponować i rozwijać stosowne normy. Na przykład ostatnio apel o ochronę publicznego jądra sieci (definiowanego tak, by obejmowało m.in. system trasowania – tzn. routing, DNS, certyfikaty zaufania oraz infrastrukturę krytyczną) wystosowała nowa organizacja pozarządowa Global Commission on Stability in Cyberspace. Jej prezeską jest Marina Kaljurand, była minister spraw zagranicznych Estonii.
Tymczasem rząd chiński na serii zjazdów pod szyldem Wuzhen World Internet Conference wydał zbiór zasad (zaakceptowanych przez Szanghajską Organizację Współpracy) i wezwał do uznania prawa suwerennych państw do kontrolowania treści internetu na swoim terytorium. Nie kłóci się to jednak z wezwaniem do ochrony publicznego jądra sieci, bo ono odnosi się do łączności, a nie treści komunikacji.
Wśród organizacji dążących do wprowadzenia norm sieciowych jest też Microsoft. Firma pragnie stworzenia nowej Konwencji Genewskiej dla internetu. Równie ważne jest wypracowanie norm dotyczących prywatności, bezpieczeństwa w zakresie szyfrowania i backdoor (zdalnych operacji na dyskach) oraz usuwania pornografii dziecięcej, mowy nienawiści, dezinformacji i gróźb wysuwanych przez terrorystów.
Podczas gdy państwa członkowskie rozważają kolejne kroki w procesie rozwijania norm w cyberprzestrzeni, właściwe działanie może polegać na tym, by nie kłaść za dużego brzemienia na barki jednej instytucji – na przykład GGE. Postęp może wymagać jednoczesnego wykorzystania różnych aren publicznych. W niektórych przypadkach proces rozwoju zasad i praktyk wśród państw kierujących się podobnym myśleniem może prowadzić do wytworzenia norm, pod którymi później zaczynają podpisywać się inni. Na przykład Chiny i USA doszły do bilateralnej umowy o ograniczeniu szpiegostwa elektronicznego dla celów komercyjnych. W innych obszarach – chociażby budowania norm odnoszących się do „internetu rzeczy” – pionierami tworzenia kodeksu postępowania mogą zostać podmioty z sektora prywatnego, firmy ubezpieczeniowe i organizacje typu non-profit.
Jedno jest pewne: wytworzenie norm z zakresu cyberbezpieczeństwa będzie długim procesem. Postęp w niektórych obszarach nie powinien czekać na postęp w innych.
**
Copyright: Project Syndicate, 2018. www.project-syndicate.org. Z angielskiego przełożył Maciej Domagała.