Niemieccy chadecy postulują wzmocnienie cyberbezpieczeństwa i ochrony infrastruktury krytycznej
O tym, że Niemcy w sposób szczególny po 24 lutym 2022 r. stali się obiektem ataków cybernetycznych oraz działań wymierzonych w infrastrukturę krytyczną świadczą liczne doniesienia o atakach na systemy informatyczne prywatnych przedsiębiorstw, szpitali, stron internetowych różnych instytucji, ale i o podejrzanych ruchach tzw. statków badawczych w strefach bezpieczeństwa Niemiec na Bałtyku i Morzu Północnym. Ta ostatnia kwestia była przedmiotem niedawnego śledztwa dziennikarskiego niemieckich nadawców publicznych NDR i WDR oraz dziennika „Süddeutsche Zeitung”. Pod lupę wzięto statki badawcze prowadzące oficjalnie badania hydrograficzne, a wykorzystywane do szpiegowania farm wiatrowych i podwodnej infrastruktury.
W środę Bundestag będzie debatował nad wnioskiem klubu parlamentarnego CDU/CSU dotyczącym zwiększenia bezpieczeństwa cybernetycznego i ochrony infrastruktury krytycznej Niemiec. Chadecy postulują niezwłoczną implementację unijnej dyrektywy NIS 2, która ma m.in. wzmocnić odporność państw wspólnoty na cyberataki.
We wniosku chadecy wzywają rząd federalny do niezwłocznej transpozycji unijnej dyrektywy NIS 2 „w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii”. Dyrektywa weszła w życie w styczniu ub. roku, a na włączenie jej zapisów do prawa krajowego przewidziano 21 miesięcy. Termin ten mija 18 października i, zdaniem posłów CDU/CSU, rząd nie zdoła go dotrzymać.
Unijna dyrektywa NIS 2 rozszerza zakres podmiotowy dotychczasowej dyrektywy m.in. o administrację publiczną, sektor żywności, ścieki, przemysł, zarzadzanie odpadami i przestrzeń kosmiczną. Na podmioty objęte NIS 2 zostają ponadto nałożone większe niż do tej pory wymagania w zakresie zarządzania, testowania poziomu cyberbezpieczeństwa obsługi i ujawniania luk w zabezpieczeniach oraz efektywnego wykorzystywania szyfrowania. Dyrektywa wzmacnia też rolę Europejskiej Agencji ds. Cyberbezpieczeństwa.
Jak argumentuje klub parlamentarny CDU/CSU, „NIS 2 jest logiczną odpowiedzią na rosnące zagrożenie (cybernetyczne – PAP), a istniejące w Niemczech ramy prawne powinny zostać zmodernizowane, aby podmioty objęte nowymi regulacjami mogły dotrzymać kroku postępującej cyfryzacji i dać odpór pogarszającej się sytuacji w zakresie cyberzagrożeń”.
Chadecy zwrócili w swoim wniosku uwagę na wzrost liczby incydentów związanych z cyberzagrożeniami dla infrastruktury krytycznej w Niemczech. Jako przykład podali atak na berliński szpital Dominikus-Reinickendorf pod koniec stycznia tego roku. Cyberprzestępcy, za pomocą złośliwego oprogramowania, zaszyfrowali wewnętrzne systemy informatyczne placówki medycznej i zażądali okupu. W uzasadnieniu wniosku znalazł się też przykład tzw. ataku DDoS (ataku ukierunkowanego na witryny i serwery, sabotujące ich działanie – PAP) na początku 2023 r., na skutek którego doszło do przeciążenia i zablokowania stron internetowych niemieckich lotnisk.
Klub parlamentarny CDU/CSU powołał się też na raport Niemieckiego Stowarzyszenia Technologii Informacyjnych, Telekomunikacji i Nowych Mediów (BITKOM), z którego wynikało, że w 2022 r. 84 proc. wszystkich firm w Niemczech padło ofiarą cyberataku, a kolejne 9 proc. liczyło się z możliwością ataku.
Zdaniem wnioskodawców pod znakiem zapytania stoi to, czy rząd federalny zdoła na czas zaimplementować nowe przepisy unijne, co niepokoi ich zwłaszcza w kontekście wzrostu zagrożenia związanego z rosyjską napaścią na Ukrainę 24 lutego 2022 roku.
„Rosyjska wojna hybrydowa zarówno w przestrzeni analogowej, jak i cybernetycznej od dawna skierowana jest przeciwko Niemcom i firmom, które mają tu swoje siedziby. Tym bardziej palące staje się znaczne podniesienie poziomu cyberbezpieczeństwa Niemiec (…) poprzez konsekwentne, przejrzyste i zrozumiałe wdrażanie wymogów w zakresie cyberbezpieczeństwa” – argumentuje klub CDU/CSU.
Chadecy podkreślili, że ewentualne opóźnienie wdrożenia NIS 2 dodatkowo obciąży operatorów infrastruktury krytycznej i narazi niemiecką infrastrukturę na „nieobliczalne zagrożenie bezpieczeństwa” oraz „przyczyni się do wzrostu niepewności małych i średnich firm, którem nadal nie przekazano wytycznych odnośnie do zakresu stosowania i konkretnych wymogów związanych z nowymi regulacjami”.
Zdaniem posła CDU Rodericha Kiesewettera rząd federalny zrobił do tej pory zbyt mało dla wzmocnienia ochrony cybernetycznej i infrastruktury krytycznej państwa, co w obliczu realnego zagrożenia sabotażem i szpiegostwem w ramach prowadzonej m.in. przez Rosję i Chiny wojny hybrydowej przeciwko Niemcom jest niepokojące.
„Brakuje kultury strategicznej, która przełożyłaby wymogi zwiększonej ochrony na konkretne regulacje, a przede wszystkim możliwości. Złożony przez nas wniosek ma na celu ukazanie masowego wzrostu cyberataków na gospodarkę i infrastrukturę krytyczną państwa. Należy stworzyć większą odporność cybernetyczną, a dyrektywa NIS 2 powinna zostać niezwłocznie wdrożona” – mówi w rozmowie z PAP Roderich Kiesewetter.
O tym, że Niemcy w sposób szczególny po 24 lutym 2022 r. stali się obiektem ataków cybernetycznych oraz działań wymierzonych w infrastrukturę krytyczną świadczą liczne doniesienia o atakach na systemy informatyczne prywatnych przedsiębiorstw, szpitali, stron internetowych różnych instytucji, ale i o podejrzanych ruchach tzw. statków badawczych w strefach bezpieczeństwa Niemiec na Bałtyku i Morzu Północnym.
Ta ostatnia kwestia była przedmiotem niedawnego śledztwa dziennikarskiego niemieckich nadawców publicznych NDR i WDR oraz dziennika „Süddeutsche Zeitung”. Pod lupę wzięto statki badawcze prowadzące oficjalnie badania hydrograficzne, a wykorzystywane do szpiegowania farm wiatrowych i podwodnej infrastruktury.
Dziennikarze od października 2023 r. przeanalizowali 400 rejsów 72 statków. Okazało się, że w co najmniej 60 przypadkach jednostki te operowały podejrzanie blisko infrastruktury krytycznej. Bardzo powoli poruszały się zygzakowatym ruchem w konkretnym miejscu z wyłączonym transponderem umożliwiającym w normalnych okolicznościach udostępnianie lokalizacji jednostki. Według specjalistów tego typu powolne ruchy, bądź nietypowe postoje wskazują na aktywność związaną z gromadzeniem danych, a jak wykazało śledztwo dziennikarskie, do podejrzanych działań na morzu wykorzystywano również statki wojskowe, tankowce, trawlery i jachty.
Zdaniem Rodericha Kiesewettera niemiecka infrastruktura krytyczna od dawna jest narażona na ataki, zarówno ze strony przestępców, jak i podmiotów państwowych. „Tak zwane działania wojenne na dnie morskim, będące częścią wojny hybrydowej, zyskały na znaczeniu nie tylko po sabotażu rurociągu Nord Stream. Nie chodzi tylko o rurociągi, ale w szczególności o kable podmorskie do komunikacji i przesyłania danych itp. Nastąpił również ogromny wzrost cyberataków ze strony podmiotów chińskich i rosyjskich – stwierdził poseł CDU.
Federalne Ministerstwo Spraw Wewnętrznych Niemiec, odpowiadając na zapytanie PAP dotyczące bezpieczeństwa niemieleckiej infrastruktury morskiej, zastrzega, że „nie komentuje ustaleń istotnych dla tego obszaru, ponieważ takie informacje mogłyby zagrozić bezpieczeństwu infrastruktury morskiej”. Jednocześnie rzecznik resortu, Cornelius Funke wyjaśnił, że „w ramach swoich obowiązków morskich Policja Federalna monitoruje statki przepływające przez niemiecką wyłączną strefę ekonomiczną, a monitoring i nadzór jest prowadzony w koordynacji i współpracy z władzami partnerskimi w Morskiej Strefie Bezpieczeństwa i w sąsiednich państwach. „W tym kontekście na Morzu Północnym i Morzu Bałtyckim sporadycznie są wykrywane pewne okręty wojenne lub statki badawcze. Znaczenie statku, który ma być monitorowany, zależy od bieżącej oceny sytuacji przez policję i indywidualnej oceny ryzyka dla statku” – odpowiedziało niemieckie MSW.
Jak wskazuje ministerstwo, podstawowym dokumentem prawnym w dziedzinie prawa morza jest Konwencja Narodów Zjednoczonych o prawie morza, która – zgodnie z zapisem art.58 i 87 – mówi, że w wyłącznej strefie ekonomicznej (danego państwa – PAP) obcym statkom przysługują swobody żeglugi i inne swobody na pełnym morzu, o ile nie kolidują z prawem państwa nadbrzeżnego do wyłącznego gospodarczego użytkowania wyłącznej strefy ekonomicznej (WSE). Jak podkreśla ministerstwo, „działalność naukowo-badawcza w niemieckiej WSE jest jednak dozwolona wyłącznie za zgodą państwa nadbrzeżnego. Taka działalność badawcza nie może na przykład zagrażać bezpieczeństwu Republiki Federalnej Niemiec. Policja federalna i służby celne w niemieckiej wyłącznej strefie ekonomicznej monitorują, czy i w jakim stopniu przestrzegane są te przepisy. Zaś w zakresie, w jakim obce statki będące w niekomercyjnej służbie rządowej tj. okręty wojenne lub rządowe statki badawcze, korzystają one z całkowitego immunitetu od suwerenności jakiegokolwiek innego państwa zgodnie z art. 95 i 96 UNCLOS. Działania na pokładzie takich okrętów wojennych i statków państwowych są zatem zasadniczo niedozwolone”.
Jak wynika z odpowiedzi resortu spraw wewnętrznych, jeżeli Policja Federalna wykryje okręty państwowe lub wojenne na morzu od granicy niemieckiego morza terytorialnego, które są zaangażowane w działania nieobjęte swobodą żeglugi, ich załogi są zazwyczaj proszone o kontynuowanie rejsu i opuszczenie obszaru morskiego. Ministerstwo podkreśla, że z uwagi na federalny charakter Niemiec w obrębie niemieckich wód terytorialnych, odpowiedzialność za te strefy ponoszą kraje związkowe.
Eksperci jednak wskazują, że problemem dla skutecznej ochrony infrastruktury krytycznej (nie tylko tej morskiej) stanowi krzyżowanie się kompetencji i zakresów odpowiedzialności podmiotów zaangażowanych w monitorowanie ewentualnych zagrożeń i reagowaniu na nie.
„Byłoby arogancją twierdzić, że Niemcy są odpowiednio przygotowane na tego rodzaju zagrożenia, w tym na działania wymierzone w infrastrukturę krytyczną. Wysadzenie 26 września 2022 r. gazociągów Nord Stream unaocznił stan bezpieczeństwa europejskiej infrastruktury krytycznej” – stwierdził w rozmowie z serwisem FakeHunter Dr Johann Schmid z poczdamskiego Centrum Historii Wojskowości i Nauk Społecznych Bundeswehry (ZMSBw).
Zdaniem eksperta słabe punkty nie tylko niemieckiej, ale i tej wspólnotowej ochrony infrastruktury krytycznej wynikają z nachodzenia na siebie kompetencji i obszarów odpowiedzialności wielu podmiotów oraz z istnienia tzw. szarej strefy tych punktów stycznych. Jak podkreśla Dr Schmid, „hybrydowi przeciwnicy i rywale wolą działać w tych szarych strefach, celowo wkraczając w luki w jurysdykcji i odpowiedzialności chociażby między prywatnymi obszarami odpowiedzialności, a tymi zarządzanymi przez organizacje cywilne i wojsko”.
W opinii eksperta należałoby uporządkować kwestie regulujące to, gdzie zaczyna się odpowiedzialność danego podmiotu, a gdzie kończy. Schmid podkreśla też ważną rolę wojny w Ukrainie dla bezpieczeństwa infrastruktury w Niemczech. „Nawet jeśli Niemcy nie są aktywną stroną w wojnie, to jednak w znacznym stopniu odczuwamy jej negatywne skutki, co oczywiście wynika również z naszego wsparcia dla Ukrainy w jej kampanii obronnej (…). Aktorzy hybrydowi, tacy jak na przykład Rosja, wykorzystują wszystkie możliwości (do ataku – PAP) i nie są selektywni. Często podążają ścieżką najmniejszego oporu” – zwrócił uwagę ekspert.
Według Rodericha Kiesewettera do rzetelnej ochrony infrastruktury krytycznej w Niemczech brakuje szeregu czynników, m.in.: personelu, możliwości technicznych, regulacji prawnych, podziału odpowiedzialności za dany odcinek. „Szczególnie na obszarach morskich pojawia się pytanie, czy odpowiedzialna jest marynarka wojenna, obrona wybrzeża, BND, UE, a w przypadku sabotażu wojskowego ewentualnie NATO. Zasadniczo za ochronę infrastruktury krytycznej odpowiada zazwyczaj prywatny operator. Jest to szczególnie istotne na przykład w przypadku morskich farm wiatrowych, terminali LNG, w tym infrastruktury lądowej, logistyki portowej, kabli podmorskich i ochrony cybernetycznej” – wymienia polityk. Przypomina przy tym o rządowym projekcie ustawy parasolowej o ochronie infrastruktury krytycznej, która miała położyć kres chaosowi kompetencyjnemu, ale do tej pory nie została „przyjęta z uwagi na wewnętrzne spory w rządzie”.
Kiesewetter podkreśla, że w Niemczech istnieje mniejszy problem z rozpoznaniem zagrożenia przez służby wywiadowcze, a większy z jego wdrożeniem. W jego opinii organom bezpieczeństwa brakuje uprawnień, np. do obrony przed dronami, zdolności odstraszania, zarówno w obszarze cybernetycznym, jak i dotyczącym obecności wojskowej oraz zdolności nadzoru.
Olga Doleśniak-Harczuk
lm/
16.10.2024