В эпоху прогрессивной цифровизации и растущей зависимости от глобальной сети обществ и государств способность эффективно защищать информацию стала ключевым фактором, влияющим на уровень безопасности и важность и конкурентоспособность государства на международном уровне. Защита конфиденциальной информации – массово собираемых наборов данных: персональных, финансовых, транзакционных и т.д. Речь идет не только о данных, ценных для зарубежных стран с точки зрения разведки. Данные о различных видах гражданской деятельности сегодня стали товаром, топливом, стимулирующим развитие искусственного интеллекта (ИИ).
Несанкционированный и беспрепятственный доступ к данным, включая государственные секреты, может поставить под угрозу национальные интересы во всех сферах функционирования государства и создать политические, экономические и социальные угрозы. Особенно чувствительным к несанкционированному внешнему доступу является военный сектор, который сильно зависит от способности защищать нашу страну. Поэтому так важно, чтобы военная информация, оперативное планирование и защищенная связь на государственном уровне могли эффективно классифицироваться.
Возможность создавать и применять уникальные решения, особенно криптографические инструменты и алгоритмы, имеет решающее значение для поддержания военной безопасности. Отсюда растущее значение криптологии и необходимость проводить последовательную, скоординированную государственную политику в этой области.
Его значение еще больше возрастает в контексте обширных разведывательных операций, проводимых многочисленными государствами, включая союзников, в киберпространстве. Речь идет о слежке за электронными средствами связи и операциями влияния и дезинформации в социальных сетях. Масштаб этих действий, в зависимости от криптологического потенциала и политики, принятой государствами, может быть глобальным, региональным или прямым для конкретных стран. Целью этих действий всегда является получение информации, дающей преимущество – переговорное, военное или экономическое. Приобретение данных часто требует нарушений безопасности, вредоносных программ и системных пробелов.
В цифровую эпоху защита данных является вопросом выживания государства. Информационный суверенитет начинается с собственной криптологии, потому что только национальные алгоритмы могут гарантировать, что стратегическая информация не попадет не в те руки.
Польша как страна со значительным экономическим, демографическим и территориальным потенциалом и важный член НАТО и ЕС не может оставаться пассивной к этим явлениям и процессам. Война на Украине и реальные угрозы нашей государственности требуют срочных действий для обеспечения цифрового суверенитета. Цель заключается в обеспечении полного контроля над системами связи и связи и обеспечении конфиденциальности передаваемой информации. Давайте не будем забывать, что это правило должно применяться к любым несанкционированным субъектам, включая наших союзников.
Путь к этому — восстановление национальных компетенций и возможностей в криптологии. Польские государственные системы связи, включая военные системы, должны быть защищены польской криптографией. Только тогда можно будет эффективно защитить их от помех, изъятий, прослушки или деактивации.
Польская криптология – забытое наследие
Традиции польской криптологии восходят к 15 веку, когда в Польше стала распространенной практика шифрования дипломатической корреспонденции королевской и гетманской юридической фирмой. В XVII и XVIII веках королевские службы регулярно перехватывали и расшифровывали переписку дипломатических представительств других государств, действовавших в республике. Искусство шифрования преподавалось в иезуитских колледжах.
После обретения Польшей независимости после 1918 года большое внимание было уделено развитию национальной криптологии. Во время польско-большевистской войны (1919—1921) важную роль сыграли криптоаналитики Филиала Второго Генерального штаба Польской армии, сумевшие взломать более 100 кодов противника. При этом польские военные подразделения использовали только нативные системы шифрования. В 1929 году для национальной криптологии была организована специальная система подготовки отобранных студентов математики. В 1931 году в Генеральном штабе было создано Управление по криптографии, ответственное за разработку собственной криптографии и анализ советских и немецких шифров.
Уровень признания советской криптографии был достаточно высоким, чтобы поляки обучали в Японии даже офицеров Императорского штаба. Однако наибольшие достижения были зафиксированы лекцией о немецких шифрах, в которой были заняты три молодых математика: Мариан Реевский, Ежи Рожицкий и Генрик Зыгальский. Их работа над немецкой шифровальной машиной Enigma привела к её независимой реконструкции польской стороной. С 1936 года Управление Кодекса регулярно читает сообщения немецких сухопутных, воздушных и морских сил, достигая эффективности около 65% в 1938 году. Это позволило выявить 95% групповых и оперативных планов немецких войск до агрессии в сентябре 1939 года. Достижения польской криптологии были раскрыты незадолго до войны представителям французской и британской разведки, что позволило британцам должным образом сфокусировать работу по расшифровке Enigma в рамках проекта Ultra.
После Второй мировой войны польская криптография рухнула — Польша использовала в основном советские решения. Однако криптоанализ долгое время продолжал функционировать на высоком уровне, о чем свидетельствует, в частности, нарушение контрразведкой одного из американских дипломатических шифров (в 1980-х годах).
К сожалению, после системной трансформации в 1989 году государство не смогло четко изложить свои потребности в области национальной криптологии. Это привело к практике покупки готовых к использованию криптографических решений за рубежом вместо разработки собственных родных шифров и устройств. Не было никакой заботы о получении прав на их изменение или обслуживание. Принят принцип, что «натановские» решения «по определению» хороши. Во многих случаях зарубежные контрагенты не предлагали эти возможности, пользуясь отсутствием альтернатив в польском секторе.
Польская криптология, некогда мировой лидер и создатель прорывных решений, в настоящее время борется с зависимостью от зарубежных технологий. Это результат недальновидной государственной политики – дисконтирования в процессе развития собственных компетенций и опыта.
В результате Польша сейчас сильно зависит от иностранной криптографии. Это также относится к Вооруженным силам Республики Польша, где совместимость систем связи НАТО обеспечивается криптографическими устройствами, изготовленными за пределами страны.
Важность исходных кодов
В результате многолетней халатности произошли значительные регрессии в области криптоаналитических возможностей государства. Отсутствие понимания этого вопроса среди политиков — как политиков, так и военных — иллюстрирует подход к так называемым «исходным кодам». Они являются крупнейшим товаром производителя - его визитной карточкой, что позволяет проверить качество продукции и надежность подрядчика. Доступ к исходным кодам может идентифицировать ошибки, слабые места и пробелы, которые не обнаруживаются в функциональных тестах или анализах восприимчивости.
Если бы польский сайт имел доступ к исходным кодам, мы могли бы проверить, есть ли скрытые механизмы в приобретенном оборудовании, чтобы включить его деактивацию или удаленное получение контроля. К сожалению, многие закупки оружия, сделанные в последние годы, показали далеко идущее безразличие. Предполагалась доброжелательность производителя, а качество устройств, систем и средств управления программным обеспечением проверялось только на уровне функционального тестирования. Право на получение исходных кодов не осуществлялось договаривающейся стороной, даже если поставщик являлся союзной страной.
Более того, техническая документация, которая должна быть неотъемлемой частью контрактов, остается разрозненной, неконсолидированной в Минобороны. Стоит предположить, что потенциальные военные противники Польши могут иметь доступ к исходным кодам закупаемых нашей армией частей вооружения и военных систем.
Приобретение исходных кодов должно стать обязательным условием для любых переговоров о покупке за рубежом. Это должно стать базовой проверкой готовности к сотрудничеству и открытости контрагента. Депозитарием всей технической документации и исходных кодов для военной техники и систем должна стать изолированная командная ячейка Компонента Армии киберпространственной обороны в Легионово (ранее: Национальный центр Криптона).
Обязательная проверка исходных кодов и технической документации должна включать: соответствие заказа (параметры, право собственности, тип, версия, продолжительность), безопасность (качество кода, результаты теста на чувствительность) и подход производителя к качеству и соответствия продукта документации.
Исходные коды являются не привилегией, а условием суверенитета — их отсутствие означает передачу контроля над безопасностью военной техники иностранным производителям.
Эти действия укрепят позиции Польши в отношении иностранных производителей оружия, гарантируют надлежащее качество и безопасность оборудования и позволят централизовать техническую документацию в одном центре компетенции. В то же время он будет привлекать национальные исследовательские центры к разработке и аудиту современных технологических решений.
Отсутствие правовой системы
В заключение отмечу, что недостаточное информирование государственных органов о важности криптологии для безопасности и суверенитета привело к значительному сокращению полномочий государства в этой области. А отсутствие этой компетенции делает невозможным восстановление полного суверенитета — особенно власти над закупленным оружием.
Об отсутствии государственной политики в этой сфере свидетельствует действующее законодательство. Их характерной особенностью является не использование термина Криптология, хотя они относятся к его основным областям: криптография и криптоанализ. Действующее законодательство не дает исчерпывающего определения криптологической политики государства, указав его цели, принципы, приоритеты или институты, ответственные за ее реализацию. Они рассматривают элементы криптологии как дополнение к техническим решениям, уделяя основное внимание аспектам сертификации и аккредитации.
Отсутствие криптологической государственной политики означает отказ от контроля над собственной безопасностью и суверенитетом — это пробел, который срочно нужно заполнить. Изменение ситуации не способствует разрыву в правовой системе (недостатку отечественных компаний) и практике госучреждений при закупках техники и оборудования.
Положительная способность Турции производить современное оружие обусловлена четко определенной государственной криптологической политикой, которая является обязательной как в гражданской, так и в военной сферах.
Особую роль в Польше играет Закон о защите секретной информации. К сожалению, это не способствует развитию родной криптологии. В случае систем обработки секретной информации с оговоркой «ограниченный», это позволяет признавать сертификацию и аккредитацию, осуществляемую уполномоченными учреждениями НАТО или ЕС. Такое регулирование выгодно иностранным производителям.
Польская армия общается с НАТО с помощью иностранных систем и устройств. Кроме того, Закон о внешней торговле товарами, технологиями и услугами, имеющими стратегическое значение для безопасности государства, говорит только о мониторинге криптографических решений, привезенных в Польшу. Это создает иллюзию контроля. Такая политика вредит польским производителям криптографии, которые не способны конкурировать с массовым импортом иностранных технологий.
Покупка криптографических решений обычно осуществляется в соответствии с Законом о государственных закупках. Такой подход делает энергию госучреждений сосредоточенной на выполнении требований формального тендера – помимо ключевых вопросов безопасности и национальных интересов. На практике это приводит к дискриминации польских криптографических решений и отечественных IT-продуктов.
Таким образом, Польское государство не определило свои потребности и требования в области национальной криптографии, включая военные криптографические стандарты на оборудование и оборудование в оборудовании вооруженных сил. Он не контролирует процессы в этой сфере. Она не внедряет юридические решения, поддерживающие польскую криптографию, не заказывает у местных компаний и не продвигает национальные решения. Эту ситуацию необходимо срочно изменить.
Польская криптографическая промышленность
В настоящее время у Польши ограничены возможности по внедрению собственных криптографических решений – как в части разработки алгоритмов (из-за недостаточного количества образованных криптологов), так и в части производства современных устройств такого типа (хотя реальных потребностей, закупок в госсекторе нет).
Хотя польская промышленность и научное сообщество работают над созданием национальных криптографических решений, отсутствие единой концепции проектирования и внедрения криптографически защищенных систем, а также тенденция многих государственных и национальных организаций использовать готовые к использованию зарубежные решения, делает эту деятельность очень ограниченной.
Отсутствие концепций, небольшой масштаб заказов и отсутствие институциональной поддержки ослабили польский криптографический потенциал, несмотря на реальную способность создавать и внедрять собственные решения десять лет назад.
Дополнительным препятствием для национальных производителей является длительный и дорогостоящий процесс сертификации криптографических устройств в Польше, проводимый без гарантий последующих заказов и реализации. Отсутствие национального центра компетенций в криптологии и низкая осведомленность о стратегической важности этой области привели к широко распространенной практике приобретения зарубежных решений, особенно тех, которые обеспечивают совместимость польских вооруженных сил с НАТО.
Несмотря на эти проблемы, десять лет назад польская оборонная промышленность имела реальные возможности в проектировании, производстве и внедрении национальных криптографических устройств — в том числе в виде системы идентификации «национального иностранца» и адаптации польских криптографических решений в тактической системе передачи данных Link-16, в рамках реализованных программ «Суперсль» и «Квиза». Жаль, что эти компетенции не были должным образом использованы.
Большие амбиции, без фундамента
На фоне государств-членов НАТО и ЕС, большинство из которых базируются на собственных разработанных криптографических решениях, возможности Польши скромны. Наша страна не имеет собственной государственной политики поддержки и стимулирования национальной криптологии — ни в правовом измерении (собственные криптографические стандарты и стандарты), ни в научно-исследовательских (домашние академические центры), ни в исследованиях и разработках (технологические центры), ни в производстве (отрасль), ни в реализации (реализация национальных криптографических решений).
Такое положение дел создает явный диссонанс между реальным уровнем польской криптологии и политическими амбициями Польской Республики в плане завоевания важной позиции в структурах НАТО и ЕС.
Корректирующие действия не были предприняты Министерством национальной обороны до июня 2013 года, когда был создан Национальный центр Криптона для консолидации криптологических ресурсов в Вооруженных силах Республики Польша. Сотрудничество НКК с военными и гражданскими университетами и реализация проекта НИОКР под эгидой Национального центра исследований и разработок стали важными шагами и позволили создать базовую инфраструктуру в этой области.
NCK также приступила к строительству Комплексного центра распределения и ремонта (Service Depot) в Легионово для американской криптографии, используемой польской армией. Этот проект, согласованный с американскими партнерами в 2014 году, в случае успеха мог бы значительно увеличить обороноспособность Польши — превысив символические «две тяжелые бригады НАТО», дислоцированные на территории Польши.
К сожалению, из-за отсутствия достаточной поддержки со стороны предыдущего правительства, действия НКК приняли ограниченный масштаб и оказались недостаточными, чтобы догнать долгосрочное отставание государства. Кроме того, после 2015 года проект по обслуживанию американской криптографии в Легионово был заброшен. Последующая консолидация ресурсов НКК, Армии связи и Компьютерной инспекции МОН в составе Командования Армии обороны киберпространства воспринималась как обработка изображений, а не реальное изменение подхода.
Новый подход к криптологической политике
Необходимо признать криптологию одним из столпов государственной безопасности и важным атрибутом ее независимости и суверенитета. Необходимо понимать, что развитие национальной криптологии не может быть самоцелью. Ее суть должна заключаться в укреплении государственной обороны и защите одной из основ демократии – неприкосновенности частной жизни граждан, в частности их персональных данных и информации, отправляемой в электронном виде.
Криптология Польши по-прежнему находится в явном диссонансе с устремлениями государства в НАТО и ЕС - без согласованной политики, институтов и поддержки нет способа создать навыки, которые адекватны амбициям.
WWW Доктрины кибербезопасности Польши С 2015 года, подписанного президентом Брониславом Коморовским, зафиксировано, что «стратегической целью в области кибербезопасности Польши, сформулированной в Стратегии национальной безопасности Польши, является обеспечение безопасного функционирования Республики Польша в киберпространстве...». Ключевым элементом в достижении этой цели должно стать обретение польским государством полной юрисдикции и суверенитета над собственным киберпространством. Средством ее достижения является кибербезопасность – не как самоцель, а как результат наличия национальных компетенций и использования с большой осторожностью зарубежных технологий.
В этом контексте крайне важно разработать национальную криптологическую политику, в которой излагаются цели, направления и принципы развития криптографии и криптоанализа, а также поддержки безопасности в киберпространстве. Его целью станет консолидация научного и промышленного потенциала и продвижение единых национальных криптографических решений в ключевых секторах государства: обороне, телекоммуникациях, энергетике, банковском деле, электронных коммуникациях и транспорте. Развитие искусственного интеллекта не должно происходить без участия польской криптологии (контроль над алгоритмами).
Эта политика должна также регулировать государственный надзор за национальной криптологией, признавая ее неотъемлемой частью системы безопасности и обороны. Должны быть определены институты, ответственные за реализацию криптологической политики, а также источники и минимальные уровни финансирования криптологии в области исследований, исследований и эксплуатации. Особое внимание следует уделить развитию человеческих ресурсов путем поддержки подготовки и обслуживания специалистов по криптологии.
В конечном счете, государственная политика должна быть нацелена на усилия ИТ-отрасли по созданию перспективных, стандартизированных и унифицированных криптографических решений. Государство должно иметь возможность четко определять и разграничивать свои национальные потребности в криптографии.
Для этого необходимо ввести национальные криптографические стандарты и стандарты. Также необходимо определить требования к внедрению польских криптографических решений как в гражданском, так и в военном секторах. Государственная политика должна также проявляться в направлении государственных закупок в польскую криптографическую отрасль, одновременно вводя требование «жесткой полонийизации» иностранных решений. Синергия этих действий позволит восстановить национальные криптологические компетенции и ресторан национального рынка криптографических решений.
Развитие национальной криптологии не является самоцелью — это основа суверенной кибербезопасности, условие эффективной государственной обороны и гарантия защиты частной жизни граждан.
Цифровая юрисдикция и польский суверенитет
Польша как страна, а также наша промышленность, гражданское и военное управление не были вовлечены в создание и строительство глобальной сети.
- Польские телекоммуникационные системы были подключены только к динамично развивающейся сети.
- Цифровая модернизация систем ИКТ в Польше проходила параллельно с приватизацией TP SA и развитием мобильной телефонии. Адаптация новых сервисов, таких как мобильный широкополосный интернет или мини-турбирующие конечные устройства (смартфоны, планшеты), была основана на оборудовании и программном обеспечении от мировых производителей. Аналогичное явление относится и к серверным, сетевым и программным устройствам. Польская электронная промышленность вообще не участвовала в глобальном производстве отдельных компонентов онлайн-инфраструктуры.
- Государственная администрация пассивно сопровождала эти изменения — она не выступала модератором процесса модернизации, который учитывал бы интересы национальной промышленности и польских технических решений. Она выступала исключительно как пользователь глобальной сети.
- Правовые нормы, действующие в Польше, оставляют вопросы архитектуры систем TI, включая требования к устройствам и программному обеспечению, исключительно поставщикам, главным образом глобальным корпорациям. Требование функциональной совместимости стало замком для навязывания стандартов больших технологий производства. Последующие польские правительства отказались от разработки собственных требований к оборудованию, гарантируя даже минимальный уровень юрисдикции - по крайней мере, полномочия местного администратора.
- Давнее отсутствие правительственных (в том числе военных) контрактов, продвигающих национальные решения, поддерживающих польскую научно-техническую мысль, сходящихся зарубежных решений, а также отсутствие государственной криптологической политики - и, более того, отсутствие осведомленности о том, как такая политика нужна - свидетельствуют о регрессе в области стратегического военного мышления в Генштабе. Военные не сообщили о необходимости польских решений в области криптографии, криптоанализа и дескрипции. Военный совет по признанию П-2 Генштаба HR не принял во внимание необходимость описывать иностранные военные передачи в своей сфере деятельности.
Кибербезопасность реализуется через компетенции: исследования, производство и возможность реализации собственных решений. Действия правительства и развитие национальной электронной и ИТ-отрасли имеют решающее значение в этом отношении. Государство должно продемонстрировать свою волю действовать и создать соответствующую правовую базу для развития этих компетенций. Государственные закупки, особенно в военной сфере, должны включать требования к внедрению польских решений и технологий, как на уровне приложений, так и алгоритмов и широко понимаемого программного обеспечения. В области оборудования — сетевого и терминального оборудования — преференции должны предоставляться национальному производству, где это возможно. В области телекоммуникационных протоколов и стандартов минимальным является развитие национального потенциала в области исследований и аудита.
В киберпространстве каждое государство становится либо администратором, либо пользователем — Польша не может оставаться просто пользователем в собственной сети — необходимо принять национальную криптологическую политику для сохранения цифрового суверенитета.
Отсутствие компетентности и стратегической перспективы приводит к ошибочному обсуждению вопросов кибербезопасности. Польша все чаще подвергается ускоренной цифровой колонизации, предпочитая подписной подход к безопасности. Крупные корпорации сегодня предлагают «трипак» — облачные вычисления, искусственный интеллект и кибербезопасность. Просто купите подписку и подключите облако к своим данным. В результате в киберпространстве каждый из нас пользовательлибо админ. Пользователь Там может быть не только один гражданин, но и целое государство — любой, кто отказывается от юрисдикции над собственным киберпространством.
Польша не может отказаться от своего цифрового суверенитета. Единственный способ сохранить и восстановить его – принять национальную криптологическую политику, основанную на национальных решениях, польском производстве, собственных технологиях и полной юрисдикции над ИТ-системами республики.
