Zagraniczne manipulacje informacjami i ingerencje w informacje – krajobraz zagrożeń

Aleksandra Szczęsna Aktualności z Brukseli, Analizy, Dezinformacja, Dobre praktyki, Wszystkie wpisy

8 grudnia 2022 roku ENISA opublikowała krajobraz zagrożeń (threat landscape) w zakresie zagranicznych manipulacji informacjami i ingerencjami w informacje (foreign information manipulation interference – FIMI). Ten zyskujący popularność temat koresponduje ze zjawiskiem dezinformacji.

Zakres raportu

Pojęcie FIMI, czyli zagranicznych manipulacji informacjami i ingerencji w informacje, zaproponowała Europejska Służba Działań Zewnętrznych (European Union External Action – EEAS) w odpowiedzi na postulaty wyrażone w Europejskim planie działania na rzecz dezinformacji. Pojęcie to powstało z potrzeby ujęcia w jedno hasło różnych pojęć związanych z manipulowaniem informacją. FIMI, zgodnie z definicją zaproponowaną przez EEAS, oznacza wzór zachowań, zwykle nielegalnych, który ma lub może mieć potencjalnie negatywny wpływ na wartości, procedury lub procesy polityczne. FIMI mają charakter manipulacyjny, prowadzone są w sposób celowy i skoordynowany. W działaniach takich mogą brać udział aktorzy państwowi lub niepaństwowi.

W pojęciu FIMI nie mieści się np. „misinformacja”, która zakłada brak zamiaru szerzenia fałszywych lub mylących informacji. W FIMI manipulacja zawsze ma charakter celowy, jest elementem czyjegoś zamierzonego działania. Chociaż działalność osób, które celowo szerzą zmanipulowane treści (a nie są wyłącznie indywidualnymi obywatelami, którzy w nie uwierzyli i przekazują dalej) będzie wpisywała się w FIMI, to jednak misinformacja nie jest przedmiotem raportu ENISA.

W zakres raportu wchodzi jednak dezinformacja, a także m.in. „propaganda obliczeniowa” (manipulowanie opinią publiczną przez połączenie platform mediów społecznościowych, niezależnych pośredników, algorytmów i big data[1]), „skoordynowane nieautentyczne działania” oraz „szum informacyjny”.

Dane wykorzystane do sporządzenia raportu pochodzą ze źródeł otwartych i zostały zebrane w okresie między styczniem 2020 a środkiem czerwca 2022 roku. Przeanalizowano 33 przypadki FIMI/dezinformacji.

W raporcie wykorzystano frameworki DISARM i MITRE ATT&CK w celu identyfikacji technik, jakimi posługiwali się twórcy FIMI/dezinformacji oraz ustalenia przydatności wspólnego zastosowania opisanych w nich taktyk i technik. Ze względu na brak oficjalnych tłumaczeń tych frameworków, w tym zakresie niżej przywołano dane w większości z zachowaniem oryginalnej terminologii.

Najważniejsze wnioski raportu ENISA

  1. Ponad połowa (18) analizowanych wydarzeń wymierzona była w podmioty związane z państwem (rząd i administracja, partie polityczne, sektory obronne i prawodawstwo). W większości spraw obywatele nie ucierpieli bezpośrednio, a raczej w konsekwencji podjętego działania. Byli oni drugorzędnym celem w 19 wypadkach.
  2. W zakresie efektu, jaki dane FIMI/treści dezinformacyjne wywołały, ENISA przede wszystkim wymienia – zarówno jako cel główny, jak i drugorzędny – wpływ na społeczeństwo (jako główny w 13 wydarzeniach i jako drugorzędny w 18) i polityczny (jako główny w 15 wydarzeniach i jako drugorzędny w 11).
  3. Jeśli chodzi o dotkliwość treści FIMI/dezinformacyjnych dla danego podmiotu, to ENISA wskazuje, że była ona w większości przypadków niska (bardzo niska – 1, niska – 20) lub średnia (12).
  4. W raporcie wyróżniono kilka grup możliwych motywacji twórców FIMI/dezinformacji:
    1. Geopolityczne (34%)
    1. Mające na celu wywołanie zakłóceń (32%)
    1. Ideologiczne (19%)
    1. Inne (8%)
    1. Finansowe (6%).

Techniki, taktyki i procedury twórców FIMI/dezinformacji

Perspektywa DISARM

DISARM to framework dedykowany walce z dezinformacją. Twórcy raportu ENISA przedstawili metody rozpowszechniania FIMI/dezinformacji zgodnie z przyjętą w nim metodyką. Analiza została przeprowadzona przez powiązanie z każdym zdarzeniem typu FIMI/dezinformacyjnym kilku taktyk.

Foreign information manipulation and interference (FIMI) and cybersecurity – threat landscape. ENISA 2022, s. 18

W świetle powyższych danych, ENISA wskazała najczęściej wykorzystane w analizowanych przypadkach (co najmniej dziesięciokrotnie) taktyki. Są to:

Perspektywa MITTRE ATT&CK

MITTRE ATT&CK to obszerna baza znanych taktyk i technik ataków wykorzystywanych przez cyberprzestępców. Twórcy raportu ENISA przeanalizowali dane z operacji FIMI/dezinformacyjnych  i przedstawili je, wykorzystując do tego nomenklaturę bazy MITTRE ATT&CK.

Foreign information manipulation and interference (FIMI) and cybersecurity – threat landscape. ENISA 2022, s. 20

 Jak wynika z powyższych danych, najczęściej powtarzającymi się taktykami były:

Chociaż do tych taktyk MITTRE ATT&CK przypisuje konkretne techniki, to jednak nie zawsze korespondują one z analizowanymi przez ENISA kampaniami FIMI/dezinformacyjnymi.

ENISA przeanalizowała ponadto zagrożone przez rozpowszechnianie treści FIMI/dezinformacji zasoby, jednak wyniki były trudne w interpretacji – aż w 13 przypadkach (na 33) nie było to możliwe. Wśród pozostałych analizowanych wydarzeń, najczęściej zagrożone były serwery (11), dopiero w dalszej kolejności urządzenia mobilne, serwery email, bazy danych (4) i system zarządzania treścią (content management system – 2).

Rola cyberbezpieczeństwa

ENISA wskazuje, że cyberataki odgrywają ważną rolę w zorganizowanych kampaniach manipulacji informacjami i dostarczają, na przykład, narzędzi umożliwiających prowadzenie takich operacji. Odgrywają również rolę w zakresie rozpowszechniania treści, chociaż mniejszą. Poniższa grafika prezentuje możliwości, jakie cyberataki stwarzają dla FIMI/dezinformacji z wykorzystaniem taktyk zaczerpniętych z frameworku DISARM.

Rekomendacje ENISA

Rekomendacje i spostrzeżenia twórcy raportu uporządkowali w następujących kategoriach: techniczne, w zakresie cyberbezpieczeństwa, strategiczne i zakresu policy. Ponieważ część powtarza się między tymi kategoriami, niżej wyszczególniono najważniejsze z nich.

  1. Ze względu na rozbieżność między incydentami i operacjami informacyjnymi/z zakresu cyberbezpieczeństwa, należy poszukać ujednoliconego sposobu zgłaszania tych treści. Nie ulega wątpliwości, że nacisk w analizie cyberataków kładzie się na incydent, bowiem w trakcie poszczególnych incydentów taktyki sprawców mogą się zmieniać. Przy analizie FIMI/dezinformacji z kolei należy zwracać szczególną uwagę na całość operacji, ponieważ czasem dopiero wtedy można odszukać motywy sprawców i wpływ operacji. Dlatego należy znaleźć taki sposób raportowania FIMI/dezinformacji, który zapewniałby zarówno spojrzenie na incydent, jak i na całość operacji. Raportowanie FIMI/dezinformacji powinno również uwzględniać aspekty związane z cyberbezpieczeństwiem i być spójne, aby umożliwić porównywanie ze sobą zdarzeń.
  2. ENISA zwraca uwagę na trudności w zakresie wskazania długości trwania wydarzeń typu FIMI/dezinformacyjnych.
  3. Warto stosować oba wymienione wyżej frameworki, ponieważ zastosowanie MITTRE ATT&CK może pomóc w odpowiedniej klasyfikacji taktyki według DISARM.
  4. Istotne jest ustalenie głównego celu FIMI/dezinformacji, ponieważ często nie jest on pierwszym celem tych działań.
  5. Działania FIMI/dezinformacyjne nie skupiają się wyłącznie na sektorach krytycznych (czego przykładem mogą być media).
  6. Zastosowanie analizy z zakresu cyberbezpieczeństwa może mieć szczególne znaczenie dla ustalenia atrybucji sprawców FIMI/dezinformacji.
  7. Jednostki zajmujące się cyberbezpieczeństwem oraz FIMI/dezinformacją powinny współpracować i wymieniać się informacjami.
  8. Podnoszenie świadomości w zakresie cyberbezpieczeństwa jest ważne dla ograniczenia rozprzestrzeniania treści FIMI/dezinformacyjnych oraz zabezpieczenia przed pozyskaniem infrastruktury do rozprzestrzeniania takich treści.
  9. Konieczna jest poprawa dostępności i jakości informacji na temat incydentów FIMI/dezinformacyjnych.
  10. Istotne jest także budowanie potencjału i zdolności państw członkowskich i międzynarodowych partnerów UE, nie tylko w zakresie świadomości, ale także podnoszenia własnych zdolności w zakresie cyberbezpieczeństwa i przeciwdziałania FIMI/dezinformacji.

Podsumowanie

  • ENISA zwraca uwagę na wartość oceny aspektów związanych z cyberbezpieczeństwem w analizie FIMI/dezinformacji.
  • W tym celu ENISA zachęca do wykorzystania frameworków MITTRE ATT&CK i DISARM.
  • W raporcie wskazano, że często główny cel działań FIMI/dezinformacyjnych nie jest pierwszym celem danej operacji.
  • ENISA podkreśla konieczność dostosowania raportowania FIMI/dezinformacji do zgłaszania incydentów w cyberbezpieczeństwie.

[1] Propaganda obliczeniowa (computational propaganda) jako zagrożenie dla ustroju Rzeczpospolitej Polskiej (w:) Konstytucjonalizm polski. Refleksje z okazji jubileuszu 70-lecia urodzin i 45-lecia pracy naukowej Profesora Andrzeja Szmyta, Redakcja naukowa Agnieszka Gajda, Krzysztof Grajewski, Anna Rytel-Warzocha, Piotr Uziębło, Marcin M. Wiszowaty, Wydawnictwo Uniwersytetu Gdańskiego, Gdańsk 2020, s. 113-145. 

Zobacz także:

Informacja dotycząca plików cookies

Przechodząc do serwisu poprzez kliknięcie odnośnika „Zgadzam się” wyrażasz zgodę na przetwarzanie przez nas Twoich danych osobowych oraz wyrażasz zgodę na podstawowe cookies, które są niezbędne aby strona mogła działać prawidłowo.

Czytaj więcej: Polityka prywatności i polityka cookies