Commandant van de Cyberspace Defense Forces: We bevinden ons in een conflictfase, misschien wel dicht bij een oorlogsfase

• Rusland en Wit-Rusland zijn momenteel de grootste bronnen van bedreigingen in cyberspace, geeft generaal Karol Molenda toe in een interview met CIS.
• De Cyberspace Defense Forces voeren niet alleen verdedigingsoperaties uit, maar ook offensieve operaties.
• Karol Molenda bespreekt ook hoe Polen binnen de NAVO een uniek cybersecuritymodel opbouwt, gebaseerd op samenwerking, informatie-uitwisseling en integratie met de private sector.
• Cybersecurity zal een van de belangrijkste onderwerpen zijn tijdens de najaarsconferentie "Industrie voor Defensie". Leiders uit de industrie, wetenschap en overheid komen op 15 oktober in Katowice bijeen om te praten over het opbouwen van de veerkracht en het defensiepotentieel van Polen in het licht van nieuwe geopolitieke en technologische uitdagingen.

Als onderdeel van Operatie "Safe Podlasie" beschermt het leger de Pools-Wit-Russische grens. Wat verdedigen de Cyberspace Defense Forces?

Militaire ICT-infrastructuur, en indirect een enorme hoeveelheid gevoelige en waardevolle data vanuit het perspectief van nationale veiligheid. De Military Defence Forces (WOC) zijn een reactie op een toezegging uit 2016. Destijds besloot de Noord-Atlantische Alliantie dat cyberspace ook een operationeel domein was waar militaire operaties konden worden uitgevoerd. Dit maakte de oprichting van aparte eenheden noodzakelijk die zich specifiek op cybersecurity richtten.

De Civiele Strijdkrachten zijn primair verantwoordelijk voor CyberOps, het tegengaan van aanvallen op IT-systemen en -infrastructuur. We zijn vrij uniek vergeleken met andere krijgsmachtonderdelen, omdat we niet alleen trainen, maar ook operaties uitvoeren, hier en nu, in vredestijd .

Zijn we in cyberspace in oorlog? De generaal legt uit.

Politici zeggen vaak dat er een 'cyberoorlog' gaande is. Maar wat is volgens jou vrede?

Volgens het internationaal recht heeft niemand ons de oorlog verklaard, dus als soldaat heb ik het over vredestijd. In cyberspace zouden we het echter naar mijn mening eerder moeten hebben over staten van concurrentie, conflict en oorlog.

Als het om CyberOps gaat, denk ik dat we ons al in de conflictfase bevinden, misschien wel bijna in de oorlogsfase.

Wanneer zou je zeggen dat er zeker sprake is van een oorlog?

- De grens van oorlog is niet duidelijk gedefinieerd. De NAVO neemt over het algemeen afstand van het definiëren van een strikte grens, want als een tegenstander weet waar die is, zal hij altijd aan de grens opereren en testen wat er gebeurt als hij die oversteekt.

Als een aanval kritieke infrastructuur zou beschadigen en er gewonden of doden zouden vallen, zou het moeilijk zijn om te zeggen dat we nog steeds in conflict zijn. Het zou een sterk genoeg argument zijn om het als oorlog te beschouwen. Voorlopig slaan we de aanvallen af.

Hoeveel verdediging en hoeveel aanvalsactie is er bij WOC-operaties?

Onze grootste inspanning is gericht op het tegengaan van aanvallen, maar we identificeren ook de infrastructuur en activiteiten van onze tegenstanders en leren hun tactieken, technieken en procedures kennen die ze tegen ons of onze partners gebruiken. Tegelijkertijd bouwen we ook aan offensieve capaciteiten.

Betekenis?

We hebben drie eenheden die zich toeleggen op het leveren van competenties voor het volledige spectrum aan operaties. Elke eenheid beschikt over teams die klaar staan om actieve verdedigings- en offensieve operaties uit te voeren. Ze beschikken over de nodige kennis en tools om resultaten te boeken in de digitale ruimte van de tegenstander, mocht onze infrastructuur zodanig worden aangevallen dat politieke factoren zouden besluiten om onszelf niet alleen te verdedigen.

Als iemand echter een aanval overweegt, moet hij zich allereerst kunnen verdedigen. Zo werden de Russen aan het begin van de grootschalige oorlog in Oekraïne het slachtoffer van groepen zoals Anonymous . Het bleek dat ze, hoewel ze extern zeer actief waren, niet in staat waren zich te verdedigen tegen de middelen die ze zelf gebruikten.

Cybercriminelen die in Polen opereren, worden gefinancierd door de GRU en de FSB

Wie vormen vandaag de dag de grootste bedreiging voor ons op cyberspace?

Op het gebied van CyberOps is onze grootste uitdaging het bestrijden van APT-groepen (Advanced Persistent Threats) . Dit zijn door de staat gesponsorde groepen die specifieke taken hebben gekregen om de infrastructuur van een bepaald land te beïnvloeden en daar resultaten te boeken.

Zijn het militaire eenheden of door de staat gefinancierde criminelen?

Verschillende landen hanteren hier verschillende benaderingen voor. Er zijn verschillende openbaar beschikbare rapporten die duidelijk aangeven dat een van deze groepen opereert binnen de GRU, de Russische militaire inlichtingendienst . Deskundigen hebben deze groep APT28 genoemd. De FSB heeft APT29. Momenteel houden we bij de Foreign Intelligence Agency (FBI) toezicht op bijna twintig van dergelijke groepen.

APT-groepen hebben groen licht en een beschermende paraplu. Als iemand namens de Russische Federatie aanvalt, is de kans dat de Russische Federatie hen na ons onderzoek uitlevert nihil. Daarom plaatst de FBI geïdentificeerde APT-groepsleden op opsporingslijsten – er is een kans dat ze worden aangehouden als ze bijvoorbeeld naar andere landen reizen .

Wat betekenen deze afkortingen?

Deze aanduidingen worden toegekend door experts op basis van de modus operandi van de groepen of de middelen die ze gebruiken. Toewijzing is niet eenvoudig; het vereist jarenlange ervaring. Deze groepen vallen meestal aan onder een buitenlandse vlag , nemen de controle over buitenlandse infrastructuur over en voeren vervolgens offensieve operaties uit met behulp daarvan.

Tegenwoordig zien we ongetwijfeld de meeste activiteit uit Rusland en Wit-Rusland. Vrijwel dagelijks worden er pogingen gedaan om op de een of andere manier de militaire infrastructuur of onze partners te beïnvloeden.

Welke methoden gebruiken deze groepen?

In veel gevallen gebruiken deze groepen eenvoudige oplossingen, meestal social engineering-tools, om inloggegevens te stelen. Experts zeggen nu dat aanvallers de beveiliging niet omzeilen, maar inloggen op het systeem. Als social engineering niet werkt en de aanvaller vastberaden is, proberen ze geavanceerdere tactieken, ook tegen onze partners. Omdat aanvallers de zwakste schakels in het systeem uitbuiten, moeten we ervoor zorgen dat we de cyberbeveiliging in al onze netwerken verbeteren.

Kunt u mij een voorbeeld geven?

We hebben dit patroon bijvoorbeeld opgemerkt in het systeem voor steunverlening aan Oekraïne. Ongeveer 90 procent van alle militaire hulp verloopt via ons land en we betrekken onze partners in de logistieke en transportsector . Tegenstanders hebben dit opgemerkt en zijn de partijen waarmee we informatie delen, gaan aanvallen. Ze gaan ervan uit dat ze belangrijke gegevens kunnen achterhalen.

Daarom hebben we een aantal overeenkomsten met partners voor militaire ondersteuning. Dit is een ongekend model – dankzij onze ervaring zijn we begonnen met het ontwikkelen van een Pools perspectief op cybersecurity.

Wat betekent het Poolse perspectief op cyberveiligheid?

Wat houdt het precies in?

Defensie, en met name cybertroepen, zouden zich niet uitsluitend op hun eigen systemen moeten richten. Deze filosofie leidt tot een vals gevoel van veiligheid: als onze infrastructuur veilig is, zijn we klaar voor operaties.

Ondertussen moet het leger ook gebruikmaken van infrastructuur die niet van hen is: brandstoftoevoer, energie, transport en logistiek. Deze sectoren zijn niet adequaat voorbereid om APT-groepen met specifieke missies en geavanceerde tools tegen te gaan. Daarom delen we belangrijke informatie vanuit beveiligingsperspectief ook met onze partners. Als we bijvoorbeeld een kwetsbaarheid ontdekken die kan worden uitgebuit om infrastructuur aan te vallen, melden we dit.

We ontwikkelen bovendien een geheel nieuwe filosofie voor informatie-uitwisseling binnen de NAVO.

Betekenis?

Jarenlang gold het 'need to know'-principe. Informatie was overal gemakkelijk te vinden, maar iedereen hield het voor zichzelf. Wij streven er echter naar om de 'need to share'-filosofie te promoten: als je informatie hebt die nuttig kan zijn voor je partner, deel die dan.

Ik geef u een voorbeeld van samenwerking met partners in Oekraïne. Als ze een APT-groepsaanval zien met behulp van gecompromitteerde infrastructuur, informeren ze ons. Zo kunnen we onze apparaten beschermen en ervoor zorgen dat dezelfde infrastructuur niet tegen ons wordt gebruikt. Als iedereen zich tegen een dergelijke aanval beschermt, zal de tegenstander nieuwe infrastructuur moeten bouwen, wat tijdrovend en duur is.

Vindt u dat wij nu in het voordeel zijn?

"Een verdediger heeft het altijd slechter. Ik denk dat we zeker veel vooruitgang hebben geboekt; we kennen onze tegenstanders veel beter dan een paar jaar geleden."

Als ik naar ons team kijk, voelt het soms alsof we hen beter kennen dan zij zichzelf kennen. Onze analisten zien wanneer een tegenstander infrastructuur bouwt die voor een aanval kan worden misbruikt. Op basis van hun aanbevelingen kunnen we ons van tevoren adequaat voorbereiden.

Dit verandert natuurlijk niets aan het feit dat er morgen een aanval kan plaatsvinden, bijvoorbeeld door misbruik te maken van een zero-day-kwetsbaarheid waarvan we ons niet bewust waren. We moeten waakzaam genoeg blijven om ervoor te zorgen dat we een tegenstander kunnen stoppen, zelfs als die onze eerste verdedigingslaag doorbreekt. Waakzaamheid is cruciaal; soms weten degenen die verantwoordelijk zijn voor de beveiliging niet eens dat ze aangevallen zijn of dat ze aliens aan boord hebben.

Wat is het uiteindelijke doel van deze groepen?

"Ze ontvangen specifieke orders en opereren als militaire eenheden. Het verkrijgen van informatie is absoluut een van de belangrijkste doelen, want wie informatie heeft, heeft een voordeel."

In veel gevallen kan de tegenstander echter zogenaamde 'footholds' creëren, zijn aanwezigheid in de infrastructuur, en deze later zelfs beschadigen of uitschakelen.

We hanteren een proactieve aanpak: onze teams zijn actief bezig met het aanpakken van onze infrastructuur en het zoeken naar kwetsbaarheden. Ze voeren ook social engineering-activiteiten uit tegen onze gebruikers. We herzien onze procedures. We controleren ook of onze verdedigingsteams deze actieve activiteiten hebben gedetecteerd. Tegelijkertijd zijn onze teams op jacht naar tegenstanders in onze netwerken en die van onze partners.

Kunt u een voorbeeld geven van een dergelijke actie?

Als onderdeel van onze cyberjacht ontdekten we een geval waarbij een tegenstander een functie van Microsoft-software misbruikte om informatie te verzamelen. Deze functie was standaard ingeschakeld en onzichtbaar voor de gebruiker. Na onze analyse hebben we Microsoft hiervan op de hoogte gesteld . Het bedrijf bevestigde onze bevindingen en stelde onze input op prijs.

Bovendien hebben we tools en scripts ontwikkeld waarmee organisaties onafhankelijk kunnen vaststellen of ze slachtoffer zijn geworden van dit soort aanvallen en hoe ze zich kunnen beschermen. We hebben deze tools openbaar gemaakt en onze bevindingen werden later aangehaald in internationale rapporten over de activiteiten van buitenlandse inlichtingendiensten.

Waar moet een systeemeigenaar zich zorgen over maken? Wat zijn de tekenen dat er een "alien" in ons midden is?

Wat me het meest zorgen baart, is de stilte. Als we dagelijks meldingen zouden ontvangen dat een tegenstander onze infrastructuur probeert te beïnvloeden, en er vervolgens een week lang niets gebeurt, zou dat onze grootste zorg zijn. De kans dat de tegenstander het heeft opgegeven, is nihil, dus de stilte betekent dat ze hun modus operandi hebben gewijzigd en dat we niets zien.

Verwacht u dat we in de toekomst te maken krijgen met de vernietiging van infrastructuur door middel van veroverde voetpaden?

"Ik denk niet dat dit een onmogelijk scenario is. Ik denk dat het beter is om het in je achterhoofd te houden en voortdurend penetratietests uit te voeren en bewustzijn te creëren."

Cyberspace staat bekend om zijn onveiligheid, vooral omdat het een domein is dat voortdurend door mensen wordt getransformeerd. Het kost veel moeite om technologische veranderingen bij te houden.

De Poolse aanpak van cyberveiligheid als model voor de NAVO

Het WOC werkt samen met de private sector. Cyber LEGION is daar een voorbeeld van. Hoe is het idee ontstaan om burgerprogrammeurs uit te nodigen om jullie te ondersteunen?

"Er is een groep experts in Polen die al lang hun bereidheid heeft uitgesproken om ons te helpen, maar ze zijn niet van plan om van baan te veranderen of permanent een uniform te dragen. Tot nu toe hebben we hen uitgenodigd om samen te werken, onder andere in het kader van Locked Shields, de grootste cyberdefensieoefening."

Cyber LEGION is een idee dat is ontworpen om hun steun te verwerven, maar ook om hen een gevoel van missie te geven. Tot nu toe hebben we meer dan duizend aanmeldingen ontvangen en de respons is ongelooflijk. Onder de vrijwilligers bevinden zich internationaal gerenommeerde experts, waaronder degenen die in 2019 lachten toen ik zei dat ik ze nog steeds in uniform zou kleden.

Na de zomervakantie starten we met de eerste gesprekken met hen, want nu moeten we de enorme hoeveelheid aanmeldingen verwerken.

Dit vereist samenwerking met specifieke specialisten. Hoe werken WOC's nog meer samen met de private sector?

Wij zijn een van de weinige instellingen binnen de NAVO die een vertrouwensrelatie hebben opgebouwd met zowel universiteiten als de private sector. We hebben overeenkomsten gesloten met alle grootste technologieleveranciers – de zogenaamde Big Techs . In tegenstelling tot wat sommigen beweren, gaan deze overeenkomsten niet over dataoverdracht, maar over het waarborgen van direct contact tussen onze experts en de engineers van de leveranciers.

Dit is cruciaal, vooral in crisissituaties: wanneer onze specialisten een kwetsbaarheid detecteren, moeten we snel contact opnemen met de juiste mensen, niet met de verkoopafdeling. We hebben gevallen gehad waarin een kwetsbaarheid actief werd uitgebuit, en dankzij deze relaties begon de leverancier direct aan een oplossing te werken of gaf hij ons aanbevelingen voor tijdelijke bescherming.

Bovendien worden we, dankzij het vertrouwen dat we hebben opgebouwd, nu vooraf geïnformeerd over nieuwe kwetsbaarheden – voordat ze officieel worden aangekondigd. Dit stelt ons in staat om sneller en effectiever te handelen. Dergelijke bilaterale, deskundige samenwerking vormt de basis van beveiliging in de wereld van vandaag.

Je hebt in dit gesprek vaak benadrukt dat je iets unieks doet vergeleken met de NAVO. Vind je dat de WOC DK na zes jaar uniek is?

"Dat is het. Zelfs dit gevoel grenst aan zekerheid. In 2019 realiseerden we ons dat als we sterke cybercapaciteiten wilden opbouwen, we zelf het talent moesten creëren en er niet om moesten concurreren op de markt. Daarom hebben we ons gericht op ontwikkeling op de lange termijn – van informaticalessen op middelbare scholen, via het CYBER.MIL-programma, tot het verhogen van het aantal studenten aan militaire universiteiten. Vandaag de dag zien we tastbare resultaten: elk jaar sluiten meer dan honderd nieuwe tweede luitenants, afgestudeerden van cybersecurity-gerelateerde opleidingen, zich aan bij de Militaire Strijdkrachten."

Tegelijkertijd wisten we dat we een partner nodig hadden die ons zou helpen onze ontwikkeling te versnellen – vandaar de samenwerking met de Amerikaanse kant, geïnitieerd door een overeenkomst met het United States European Command. Dit stelde ons in staat om te putten uit de ervaring die we in de afgelopen tien jaar in de VS hadden opgebouwd.

Aanvankelijk moesten we ook de nationale structuren stroomlijnen. Voorheen waren verschillende eenheden afzonderlijk verantwoordelijk voor de systeembeveiliging en functionaliteit. Dit leidde tot frictie, vertragingen en hiaten in de beveiliging. Daarom kozen we voor een innovatief model, waarbij competenties binnen één structuur werden gecombineerd. Dit zorgt voor een snellere respons, effectievere risicoanalyse en een evenwicht tussen functionaliteit en beveiliging.

Is het bij de NAVO anders?

In veel NAVO-landen is de verantwoordelijkheid nog steeds versnipperd, wat resulteert in een trage informatiestroom en een reële dreiging. Ik ken gevallen waarin aanvallen succesvol waren, puur door een gebrek aan gecoördineerde actie. Wij hebben ons gericht op integratie.

Bovendien ondersteunen we ook actief externe partners, waaronder kritieke infrastructuur. Dit is nog niet standaard, maar we zien dat steeds meer landen – waaronder het Verenigd Koninkrijk, Duitsland, de Verenigde Staten en Frankrijk – het belang van deze aanpak erkennen en een vergelijkbare visie delen. We zijn pioniers op dit gebied, maar we staan niet alleen op dit pad.

Kunstmatige intelligentie en drones veranderen het strijdtoneel. Hoe reageert de WOC hierop?

Leren anderen dus al van Polen?

We exporteren onze kennis en ervaring met succes. Maar het zijn niet alleen anderen die van ons leren; wij doen het ook en willen het ook.

En zo kwamen we – opnieuw – met iets unieks. We hoorden dat op veel conferenties iedereen het had over samenwerking en informatie-uitwisseling. Alleen als iemand zei: "Oké, maar wat hebben jullie in dit geval precies gedaan?", viel er een stilte, omdat de informatie erg gevoelig lag. Daarom organiseren we elk jaar de CSIRT Summit in Legionowo, een plek voor het uitwisselen van informatie over NATO SECRET . Om de bijeenkomst bij te wonen, moet het land echter een voorwaarde stellen: je moet je eigen casestudy meenemen. Alleen dan kun je naar anderen luisteren. Het idee werd door de Amerikanen opgepikt, waardoor ons evenement nu echt een hoge status heeft.

We trekken voortdurend conclusies, waardoor onze structuur voortdurend verandert. De directeur van de afdeling Human Resources is waarschijnlijk niet bepaald blij met de voortdurende organisatie- en personeelsvoorstellen die we ontvangen, maar dat komt doordat technologie razendsnel verandert. In 2019, toen we de structuur van de Cyberspace Defense Forces vormgaven, waren we nog niet zo actief met kunstmatige intelligentie (AI). Nu is het onmogelijk om je voor te stellen dat je dit element niet zou implementeren. Daarom hebben we het Artificial Intelligence Implementation Center gebouwd om deze baanbrekende technologie en de aanwezigheid ervan in onze infrastructuur te implementeren.

Wat doet het?

Kunstmatige intelligentie (AI) kan commandanten daadwerkelijk ondersteunen door enorme datasets van sensoren en systemen te analyseren en zo beslissingen te suggereren die voorheen door de commandostaf werden genomen. Wie deze data sneller kan verwerken en vertalen naar operationele beslissingen, zal een voorsprong hebben. We willen oplossingen implementeren die al op de markt beschikbaar zijn, maar we willen ook een team van engineers hebben die deze technologieën begrijpen, modellen kunnen trainen op vertrouwelijke data en deze in onze systemen kunnen implementeren.

Ik ben ervan overtuigd dat onze tegenstanders hier ook aan werken, dus als wij dat niet zouden doen, zouden we ons een scenario kunnen voorstellen waarin twee krachten botsen: de ene zou AI-algoritmen gebruiken om beslissingen te nemen, en de andere niet. Het is gemakkelijk voor te stellen welke het voordeel zou hebben.

We werken ook aan autonome wapensystemen, dronezwermen en de analyse van satellietgegevens. Al deze systemen maken gebruik van AI om de effectiviteit te vergroten en de weerstand tegen verstoringen te vergroten.

CISI rekruteert de beste jonge officieren – meesters en ingenieurs – die al ervaring hebben opgedaan aan militaire technische universiteiten. Ons doel is om een team te creëren dat niet alleen technologie begrijpt, maar deze ook veilig en effectief kan implementeren, rekening houdend met bedreigingen zoals dataverontreiniging. Dit is een investering in capaciteiten die cruciaal zullen zijn op het toekomstige slagveld.