Koncepcja Strategiczna NATO 2022 potwierdziła jego zaangażowanie w realizację zasad założycielskich Sojuszu i jego podstawowej misji - zbiorowej obrony i bezpieczeństwa w strefie euroatlantyckiej, która definitywnie „nie jest w stanie pokoju".
Powtórzyła również jego długo utrzymywany pogląd, że cyberprzestrzeń - globalna domena wzajemnie połączonych technologii informatycznych i danych - jest „przez cały czas polem walki" dla podmiotów państwowych i niepaństwowych. W kontekście powszechnej rywalizacji w cyberprzestrzeni między agencjami wojskowymi i wywiadowczymi, firmami, przestępcami, hakerami, haktywistami i różnymi poszukiwaczami sensacji, trudno zaprzeczyć temu stwierdzeniu.
Prawdę tę dodatkowo uświadamia kampania cybernetyczna będącą integralnym elementem agresji Rosji w Ukrainie. Wojna ta wskazała, o jaką stawkę toczy się strategiczna rywalizacja w cyberprzestrzeni, ponieważ Rosja dąży do degradacji i zakłócenia działania ukraińskich sieci wojskowych, rządowych i cywilnych oraz wszystkich, które są od nich zależne. Fakt, że Rosji do tej pory nie udało się osiągnąć strategicznego sukcesu w Ukrainie za pomocą środków cybernetycznych, nie oznacza, że jest to niemożliwe, ani nie neguje utrudnień w prowadzeniu ukraińskich działań wojennych i funkcjonowaniu szerszego społeczeństwa powodowanych przez rosyjskie wojskowo-wywiadowcze operacje cybernetyczne. Rosyjskie próby niweczenia ukraińskiej obrony wojskowej i zakłócenia życia cywilnego pokazały ograniczoną przydatność operacji cybernetycznych, jako narzędzia przymusu strategicznego, ale powinniśmy pamiętać, że opieranie się rosyjskim operacjom cybernetycznym w dłuższej perspektywie wymaga znaczących zasobów i determinacji. Możliwości błędnej kalkulacji i horyzontalnej eskalacji również pozostają istotne dla naszej długoterminowej oceny rosyjskich ofensywnych operacji cybernetycznych w Ukrainie.
NATO głośno wyraża swoje polityczne poparcie dla Ukrainy oraz dla udzielania dwustronnej pomocy wojskowej przez poszczególnych członków Sojuszu. NATO nie jest jednak bezpośrednią stroną tego konfliktu, a Ukraina nie jest jego państwem członkowskim. Określając swoją przyszłą rolę w strategicznej rywalizacji cybernetycznej, NATO będzie musiało myśleć nie tylko o wojnie w Ukrainie. Sugerujemy, że poza odstraszaniem i prowadzeniem działań wojennych, stabilność jest alternatywną miarą, jaką należy przykładać do wkładu NATO – jest ona fundamentalną doktryną wyznaczającą cel istnienia Sojuszu od 1949 roku.
Co NATO musi zrobić, aby zwiększyć stabilność Sojuszu w kwestiach cybernetycznych, zagwarantować, że system międzynarodowy nie będzie dalej destabilizowany przez wrogie operacje cybernetyczne oraz chronić sam Internet przed destabilizacją w wyniku niewłaściwego wykorzystania technologii? To duże zadania, które zdefiniują sukces lub porażkę NATO jako podmiotu działającego w obszarze cyberbezpieczeństwa. Naszym zdaniem, jeśli NATO chce konkurować w dziedzinie cyberbezpieczeństwa, powinno walczyć o to, by być liderem w zapewnianiu cyberstabilności.
Stabilność wewnątrz Sojuszu
Wewnętrzna stabilność NATO jako sojuszu, pomimo sporadycznych słabszych momentów, była niezwykle spójna od czasu jego powstania. Wynika to częściowo z zaangażowanego amerykańskiego przywództwa, ale także z atrakcyjności członkostwa - gwarancja bezpieczeństwa NATO jest warta kosztów i długoterminowej kontynuacji, zarówno dla małych, jak i dużych państw członkowskich Sojuszu. Można argumentować, że - pomimo ciągłych apeli o europejską autonomię strategiczną oraz rozłamów w transatlantyckiej polityce bezpieczeństwa w okresie rządów Trumpa - wewnętrzna stabilność NATO jest obecnie większa niż to, z czym mieliśmy do czynienia przez lata, zwłaszcza w wyniku solidarności wywołanej wojną Rosji z Ukrainą.
Jeśli chodzi o cyberobronę, niezliczone inicjatywy NATO w zakresie budowania zdolności służyły wzmocnieniu stabilności Sojuszu, w tym programy szkoleniowe i edukacyjne, ćwiczenia i gry wojenne, a także wspólne doktryny i strategie powiązane z jasno wyartykułowanymi wizjami, takimi jak Zobowiązanie w zakresie Obrony Cybernetycznej Cyber Defence Pledge. O ile stabilność wewnętrzna nigdy nie może być brana za pewnik i o ile trwają przeciwne wysiłki zmierzające do wywołania podziałów wewnątrz Sojuszu pomiędzy państwami członkowskimi NATO poprzez cyfrową dywersję i dezinformację, o tyle naszą szerszą troską jest tutaj rola NATO we wspieraniu cyberstabilności w dwóch innych obszarach: systemu międzynarodowego oraz samej cyberprzestrzeni.
Stabilność systemu
Jako że NATO jest głównym sojuszem wojskowym na świecie, to co mówi i robi wpływa na międzynarodową stabilność, nawet jeśli interpretacje tych działań często znacznie się różnią. Na przykład, uznanie przez NATO cyberprzestrzeni za domenę operacyjną podsyciło rosyjską i chińską narrację o zachodniej „militaryzacji" cyberprzestrzeni. Niektórzy mogą również patrzeć z dystansem na natowskie Centrum Operacji Cybernetycznych (CyOC), integrację ofensywnych zdolności cybernetycznych z planowaniem misji oraz operacje w ramach suwerennych osiągnięć cybernetycznych dostarczanych dobrowolnie przez członków Sojuszu (Sovereign Cyber Effects Provided Voluntarily by Allies Sovereign Cyber Effects Provided Voluntarily by Allies) (SCEPVA). W czasie pokoju, NATO nie podejmuje jednak operacji cybernetycznych poza przestrzenią defensywną i to poszczególni członkowie Sojuszu mają wpływ na strategiczną rywalizację cybernetyczną. Na przykład Stany Zjednoczone, poprzez swoją doktrynę trwałego zaangażowania, podkreślają potrzebę podjęcia walki z wrogiem w „operacjach poza obszarem traktatowym" w spornej przestrzeni cyfrowej, co jest poglądem szeroko podzielanym przez Wielką Brytanię. Celem jest kształtowanie zachowania przeciwnika i norm „uzgodnionej konkurencji" w cyberprzestrzeni, a nie czekanie, aż dyplomaci uzgodnią globalne warunki postępowania państw, które i tak prawdopodobnie zostaną zignorowane.
Stanowi to wyzwanie dla NATO. Ma ono traktatowe zobowiązania na rzecz pokoju i stabilności, ale działania poszczególnych głównych członków Sojuszu mogą podważać międzynarodową cyberstabilność. Jeżeli tak się stanie, to jak NATO będzie określać swoje stanowisko w odniesieniu do wpływowych członków Sojuszu oraz w kontekście swojego prawnego i normatywnego stanowiska w innych domenach? Jak może odpierać nieuniknione oskarżenia, że NATO samo przyczynia się do międzynarodowej niestabilności cybernetycznej? Jeżeli jednak Stany Zjednoczone i ich bliscy partnerzy mają rację i osiągają redukcję wrogich działań w cyberprzestrzeni, to w jaki sposób NATO może dostosować swoją doktrynę i działania w czasie pokoju, aby wspierać bardziej interwencjonistyczną i proaktywną postawę w cyberprzestrzeni z korzyścią dla stabilności międzynarodowej? Wracając na chwilę do stabilności wewnętrznej, w jaki sposób Sojusz będzie rozwiązywać pojawiające się spory pomiędzy swoimi członkami dotyczące właściwej równowagi pomiędzy obroną i atakiem w cyberprzestrzeni? Rozwiązanie tych kwestii będzie wymagało zręcznego i elastycznego zarządzania politycznego.
Stabilność domeny
Jeśli chodzi o stabilność cyberprzestrzeni, NATO tradycyjnie ma niewielką styczność z kręgami technicznymi, politycznymi i obywatelskimi globalnej wielopodmiotowej społeczności, która utrzymuje cyberprzestrzeń jako w istocie, dobro wspólne. Standardy, protokoły, normy, prawa i regulacje dotyczące cyberprzestrzeni są, choć czasami fragmentaryczne, wytworem współpracy, na które sojusze wojskowe mają zazwyczaj niewielki wpływ. Ambicje NATO w zakresie cyberbezpieczeństwa wymagają jednak, aby angażowało się ono bezpośrednio we współpracę z krajowymi organami ds. cyberbezpieczeństwa, przemysłem i innymi organizacjami ponadnarodowymi, takimi jak Unia Europejska.
Na przykład, zaangażowanie NATO na rzecz cyberodporności jego państw członkowskich, które są jednocześnie członkami Unii Europejskiej sprawia, że pozostaje ono w bliskim kontakcie z europejskimi programami i inicjatywami w zakresie cyberodporności. Koncepcja strategiczna NATO 2020 wyraźnie uznaje potrzebę ściślejszego partnerstwa UE-NATO w dziedzinie obronności i bezpieczeństwa, podobnie jak unijna Strategia cyberbezpieczeństwa (2020). Istnieją ustalenia dotyczące dzielenia się danymi wywiadowczymi na temat zagrożeń cybernetycznych i najlepszymi praktykami, a także współpracy w zakresie szkoleń i badań, ale potrzebne są dalsze wspólne działania. NATO może pomóc nie tylko w opracowywaniu i wdrażaniu środków cyberobrony i cyberodporności, które poprawiają ogólną stabilność cyberprzestrzeni, ale także może przyczynić się do wzmacniania normatywnych aspektów tych form regulacji i zarządzania. Może to zrobić poprzez demonstrowanie znaczenia wspólnych wartości i stanowisk - wykraczających poza wąskie, wojskowe sprawy samego NATO - dla poprawy cyberstabilności,.
NATO zobowiązało się również do zwiększenia współdziałania z przemysłem i środowiskami akademickimi poprzez NATO Industry Cyber Partnership (NICP). Jest to przede wszystkim mechanizm wymiany informacji, polegający na dzieleniu się jawnymi danymi wywiadowczymi na temat cyberzagrożeń pomiędzy Sojuszem a przedsiębiorstwami w państwach NATO. Grupa Refleksyjna NATO 2030 zaleciła, aby NATO wyjrzało poza krąg swoich „klasycznych" partnerów w przemyśle obronnym w celu wykorzystania umiejętności i wiedzy specjalistycznej szerszego sektora prywatnego, środowisk akademickich i organizacji pozarządowych. Innymi słowy, tego rodzaju partnerstwa nie powinny ograniczać się do relacji klient-dostawca, ale powinny znajdować nowe źródła kreatywności i odpowiedniego doświadczenia. Sposób, w jaki przekłada się to na stabilność cyberprzestrzeni, pozostaje niepewny, jednak istnieją możliwości zwiększonej wymiany informacji o zagrożeniach cybernetycznych, odporności cybernetycznej, pomocy technicznej, rozwoju polityki i innych form produktywnego zaangażowania, które poprawią stabilność domeny.
Wybiegając w przyszłość
Powyższe uwagi dotyczące stabilności systemu międzynarodowego i cyberprzestrzeni w żaden sposób nie wyczerpują ich możliwych wymiarów i perspektyw. Współdziałają one również wzajemnie ze sobą na różne ważne sposoby i wpływają na wewnętrzną stabilność samego Sojuszu. Stabilność wewnętrzna jest fundamentem, na którym budowana jest efektywna działalność w ramach Sojuszu: bez wewnętrznej zgody w kluczowych kwestiach cybernetycznych, NATO będzie zbyt wolno rozwijać znaczące kierunki działań, które korzystnie wpływają na stabilność międzynarodową i cyberprzestrzeni. Brak porozumienia może nawet wywołać negatywne skutki, które osłabią spójność NATO i jego misję stabilizacyjną. Co ważniejsze, działania podejmowane przez strategicznych przeciwników NATO stwarzają ograniczenia i możliwości dla polityki i działań Organizacji. Jeżeli chodzi o strategiczną rywalizację w cyberprzestrzeni, zwłaszcza Rosja i Chiny stawiają odrębne wyzwania polityczne i technologiczne, którym NATO będzie musiało ostro przeciwdziałać. Rosja stanowi bardziej bezpośrednie zagrożenie, czego przykładem są jej operacje cybernetyczne w Ukrainie i w innych regionach, ale Chiny są bardziej wytrwałym długoterminowym konkurentem i eksperymentują oraz inwestują w szeroki zakres szkodliwych operacji cybernetycznych w skali globalnej.
Jedną z dróg, którą NATO powinno podążać jest wzmacnianie i redefiniowanie swoich międzynarodowych partnerstw w tym obszarze polityki. Chociaż w Koncepcji Strategicznej NATO więcej mówi się o partnerach z regionu Indii i Pacyfiku (Japonii, Korei Południowej, Australii i Nowej Zelandii), istnieją możliwości dalszego rozwijania tych partnerstw jako globalnych porozumień na rzecz cyberbezpieczeństwa. Warto zauważyć, że Wielka Brytania, Francja, USA i UE pogłębiają swoje partnerstwa z tymi państwami (w tym za pośrednictwem takich mechanizmów, jak AUKUS oraz Kompleksowe i Postępowe Porozumienie o Partnerstwie Transpacyficznym Comprehensive and Progressive Agreement for Trans-Pacific Partnership - CPTPP. NATO potrzebuje własnych procesów i mechanizmów, aby dalej angażować się z tymi partnerami w kwestie związane z cyberbezpieczeństwem.
Co równie ważne, pogłębienie i wzmocnienie więzi z sektorem technologicznym będzie miało fundamentalne znaczenie dla globalnej stabilności cyberprzestrzeni. Wojna w Ukrainie pokazała wpływ podmiotów niepaństwowych na cyberbezpieczeństwo oraz znaczenie współpracy cywilno-wojskowej; od pomocy technicznej udzielanej przez firmy takie jak Mandiant ukraińskim inżynierom, przez inicjatywy Microsoftu i innych podmiotów w celu zapewnienia dostępności i funkcjonalności ich platform w obliczu rosyjskiej agresji cybernetycznej, po wysiłki Elona Muska na rzecz zapewnienia Ukrainie satelitarnego dostępu do Internetu poprzez Starlink. Podwojenie zaangażowania w tych sektorach będzie ważne, ponieważ NATO nadal wypełnia swoją rolę w zapewnianiu pokoju i stabilności w obszarze północnoatlantyckim i poza nim.
Oczywiste jest również, że na cyberobronę NATO znaczący wpływ będą miały nowe technologie, takie jak przetwarzanie w chmurze, sztuczna inteligencja i uczenie maszynowe, wojskowy Internet rzeczy oraz hybrydowe systemy człowiek-maszyna. Elastyczność operacyjna i znaczenie strategiczne zależą od przyjęcia tych nowatorskich technologii, ale wszystkie one mają wpływ na cyberbezpieczeństwo, zarówno pod względem ich obrony i odporności na ingerencję z zewnątrz, jak i ich możliwego wpływu na stabilność cyberprzestrzeni, stabilność Sojuszu, a nawet systemu międzynarodowego. NATO pracuje nad włączeniem tych technologii do swojego planowania i operacji, w tym poprzez utworzenie Akceleratora Innowacji Obronnych dla Północnego Atlantyku (DIANA) oraz opracowanie w odniesieniu do natowskiej strategii AI. Konieczne będzie skoncentrowanie się na sposobach, w jaki takie technologie mogą być wykorzystane do stabilizacji lub destabilizacji Sojuszu.
NATO zawsze zajmowało się stabilnością. Obecnie jego szansą jest ponowne przemyślenie tego, w jaki sposób może zapewniać stabilność w nowym środowisku strategicznym, charakteryzującym się jednoczesnym i zbieżnym wyzwaniem agresji geopolitycznej i rewolucji technologicznej. NATO mogłoby stać się kamieniem węgielnym cyberstabilności, zarówno w wymiarze wewnętrznym, jak i zewnętrznym, ale musi zachować sprawność i innowacyjność. Polityka i doktryna cybernetyczna NATO - czy to w obszarze odstraszania, odporności, czy też trwałego zaangażowania wobec przeciwników - muszą dotrzymywać kroku wyzwaniom i zmianom technologicznym, ale także powinny stanowić zabezpieczenie przed niezamierzoną eskalacją konfliktu cybernetycznego i dalszą destabilizacją globalnego Internetu.