Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Artykuł

Rosja wykorzystuje zachodnie chmury obliczeniowe do napędzania swojej machiny wojennej

Autor/ka
Renata Davidson
facebook-icon
linkedin-icon

Ekspertka zarządzania ryzykiem i ciągłością działania

Najnowsze badania ujawniają, jak aplikacje wojskowe Kremla korzystają z infrastruktury Amazon, Google i innych gigantów technologicznych do prowadzenia działań w Ukrainie.
Rosyjska balistyczna rakieta hiperdźwiękowa "Oriesznik" na wozie transportowym.

Zachodnie rządy dwoją się i troją w nakładaniu kolejnych sankcji na Rosję, próbując ograniczyć jej zdolności wojskowe, tymczasem nowe badania ujawniają niepokojącą prawdę: rosyjskie aplikacje wojskowe wykorzystują amerykańską i europejską infrastrukturę chmury obliczeniowej do kierowania artylerią i dronami na ukraińskim polu bitwy.

Analiza (w całości dostępna w materiałach 17. Międzynarodowej Konferencji na temat Konfliktów Cybernetycznych: Następny Krok) przeprowadzona przez Volodymra Styrana, eksperta ds. cyberbezpieczeństwa z ukraińskiego Państwowego Centrum Ochrony Cybernetycznej, dla prestiżowego Królewskiego Instytutu Służb Zbrojnych (RUSI) w Londynie pokazuje, jak 62 rosyjskie aplikacje wojskowe polegają na serwisach Amazon Web Services, Google Cloud i Cloudflare – firmach z krajów, które oficjalnie sankcjonują Rosję za jej agresję na Ukrainę.

Ukryty paradoks wojny technologicznej

Odkrycie to ujawnia paradoks obecnego konfliktu. Te same zachodnie firmy technologiczne, które są chwalone za zapewnienie kluczowego wsparcia dla cyfrowej odporności Ukrainy, nieświadomie wspierają także infrastrukturę używaną przez rosyjskie aplikacje kierujące artylerią i dronami.

Analiza przeprowadzona przez Volodymra Styrana objęła aplikacje mobilne na system Android używane przez rosyjskie siły zbrojne i ich sojuszników. Wszystkie były rozprowadzane poza oficjalnymi sklepami z aplikacjami – zazwyczaj przez kanały Telegram związane z wojną – wykorzystując model "sideloadingu" Androida, który umożliwia zdecentralizowaną i w dużej mierze niewidoczną sieć dystrybucji aplikacji, która omija nadzór Google'a lub innych regulatorów.

Amerykańskie serwery dla rosyjskich rakiet

Skala zależności od zachodniej infrastruktury jest oszałamiająca. Volodymyr Styran zidentyfikował 323 nazwy domen i 387 adresów IP wbudowanych w te aplikacje, z których ponad 70% było hostowanych w Stanach Zjednoczonych. Rosyjskie aplikacje wojskowe używają tych serwisów do przechowywania danych, renderowania map, telemetrii i komunikacji.

Szczególnie krytyczne są dane meteorologiczne i mapowe, których Rosja nie jest w stanie samodzielnie wyprodukować. Wiele analizowanych aplikacji korzysta z otwartych źródeł danych mapowych, takich jak OpenStreetMap, Mapbox czy OpenTopoMap – platform projektowanych dla użytku publicznego, ale przekształconych na potrzeby wojenne.

Konkretne przykłady wykorzystania open source

Volodymyr Styran przeanalizował 62 aplikacje wojskowe, ujawniając szokujące przykłady wykorzystania zachodnich rozwiązań open source:

  • ZeVs—METEO ALPHA - aplikacja meteorologiczna dla artylerii wykorzystuje OpenStreetMap (110 wystąpień w kodzie), Google Maps oraz CloudMade do dostarczania danych o pogodzie kluczowych dla precyzji ostrzału artyleryjskiego.
  • Karlson3 - aplikacja do zarządzania dronami wykorzystuje platformy Mapbox (103 wystąpienia), Amazon Web Services oraz GitHub do obsługi dronów DJI w misjach rozpoznawczych i korekty ognia artyleryjskiego.
  • Veterok - część kompleksu taktycznego dla jednostek rozpoznawczych i artyleryjskich wykorzystuje OpenStreetMap, ArcGIS Online oraz platformę HERE API do automatyzacji kompleksu rozpoznawczo-uderzeniowego.

Aplikacje te wykorzystują także Github dla hostowania kodu, Firebase Google'a do baz danych w czasie rzeczywistym oraz Telegram jako platformę komunikacyjną - wszystkie są dostępne za darmo lub w ramach darmowych pakietów startowych

Symbolika nazw i propaganda

Nazwy aplikacji noszą wyraźne znamiona rosyjskiej propagandy wojennej. Prefiks "ZeVs" w aplikacjach meteorologicznych nawiązuje do liter Z i V - symboli malowanych na rosyjskim sprzęcie wojskowym, które stały się symbolami poparcia dla inwazji na Ukrainę. "Z" prawdopodobnie oznacza "Zapad" (Zachód) lub "Za pobedu" (Za zwycięstwo), podczas gdy "V" może oznaczać "Vostok" (Wschód) lub "Victory" (Zwycięstwo).

Nazwa "Karlson3" to z kolei nawiązanie do postaci "Karlssona z dachu" ze szwedzkiej książki dla dzieci - mężczyzny ze śmigłem na plecach, co symbolicznie odnosi się do funkcji aplikacji związanej z operacjami dronów. Czy dostawcy usług chmurowych powinni być uważani podczas wojny za neutralnych dostawców infrastruktury? Czy firma może jednocześnie wspierać zaatakowany kraj, jednocześnie pomagając agresorowi w rozwoju technologii bojowych?

Koszty ignorowania tej cyfrowej luki są wysokie. Po pierwsze, podkopuje to wiarygodność i możliwość egzekwowania sankcji – szczególnie tych skierowanych do sektora technologicznego. Po drugie, pozwala Rosji ukrywać infrastrukturę wojskową na zachodnich platformach, utrudniając jej wykrycie i neutralizowanie.

Dalsze kroki

Eksperci RUSI proponują konkretne działania, które należy podjąć:

  • Monitorowanie wzorców użytkowania na platformach chmurowych, w celu wykrycia aktywności wojskowej przez podmioty prowadzące nielegalne wojny.
  • Wprowadzenie geofencingu i ograniczeń na poziomie API, w celu zablokowania rosyjskim programistom (wojskowym i powiązanym z armią) wykorzystywania zachodniej infrastruktury chmurowej.
  • Zwiększenie kontroli ekosystemu aplikacji, poprzez wezwanie sklepów z aplikacjami i analityków malware do identyfikacji i oznaczania narzędzi wojskowych instalowanych "z boku" (sideloading).
  • Przewartościowanie polityk neutralności technologicznej dla platform chmurowych i open-source podczas wojny.

Wnioski z raportu

Machina wojenna Rosji to nie tylko elementy fizyczne. Machina ta jest cyfrowa, rozproszona i – jak na ironię – demokratyczna w swoim wykorzystaniu otwartych technologii. Te same platformy, które służą wolności wypowiedzi i innowacjom obywatelskim na Zachodzie, są wykorzystywane przez Rosję jako broń do kierowania artylerią i koordynowania ataków dronów.

Jak konkluduje Volodymyr Styran w swoim raporcie:

"Otwartość bez odpowiedzialności zaprasza do nadużyć. Dopóki nie zostaną podjęte konkretne kroki, zachodnia infrastruktura pozostanie niewidzialnym pomocnikiem wojny. A my musimy przestać podtrzymywać wojnę, którą chcemy zakończyć".

Odkrycie autora podkreśla, jak bardzo współczesne konflikty wykraczają poza tradycyjne pola bitew, wkraczając w sferę cyfrową, gdzie linie między sojusznikami a przeciwnikami stają się nieoczekiwanie rozmyte.

Skutki prawne dla przedsiębiorców - gdy open source staje się bronią

Nowa rzeczywistość regulacyjna

Analiza V. Styrana ujawnia niepokojące implikacje prawne dla dostawców usług chmurowych i twórców oprogramowania open source. Firmy technologiczne, które nieświadomie wspierają rosyjską machinę wojenną, mogą narazić się na zarzuty łamania międzynarodowych sankcji.

Od września 2024 roku przepisy amerykańskiego Biura ds. Kontroli Aktywów Zagranicznych (OFAC) zakazują świadczenia usług IT i wsparcia dla oprogramowania przedsiębiorstw oraz projektowania i produkcji software'u dla rosyjskich podmiotów. Unia Europejska nałożyła podobne ograniczenia w swoim 12. pakiecie sankcji z grudnia 2023 roku.

Odpowiedzialność prawna przedsiębiorców

Dla firm oferujących rozwiązania open source, sytuacja ta oznacza nową kategorię ryzyka prawnego. Licencje open source to prawnie wiążące umowy, a ich naruszenie może (i prowadzi) do konsekwencji prawnych i konieczności wypłaty odszkodowań.

Przedsiębiorcy muszą teraz uwzględnić w swoich analizach prawnych:

  • Ryzyko sankcji wtórnych - OFAC ostrzega zagraniczne instytucje finansowe, że ryzykują sankcjami za prowadzenie znaczących transakcji z podmiotami objętymi sankcjami na podstawie rozporządzenia wykonawczego 14024.
  • Problemy z geoblokowaniem - Choć standardowe licencje open source nie pozwalają na ograniczenia geograficzne, eksperci prawni wskazują, że nic nie zmusza dostawców oprogramowania lub usług zbudowanych wokół niego do obsługi klientów z danego regionu świata. Innymi słowy, licencja open source mówi, że możesz używać oprogramowania gdziekolwiek jesteś, ale nie zmusza nikogo, żeby Ci to oprogramowanie specjalnie "dostarczył" w formie płatnej usługi, jeśli nie chce (lub nie może - np. z powodu sankcji) tego robić w Twoim regionie.
  • Koszty nieprzestrzegania - kary z tytułu nieprzestrzegania sankcji, szczególnie w przypadku dużych korporacji, często sięgają miliardów dolarów.

Wyzwania dla dostawców open source

Sytuacja ta stawia pytania o przyszłość modelu open source. Sankcje są uznawane za legalne przez państwo, które je nałożyło, ale są zazwyczaj uważane za nielegalne przez państwa, które są im przeciwne. To oznacza, że twórcy oprogramowania open source znaleźli się w centrum konfliktu geopolitycznego.

Rekomendacje dla firm technologicznych

Eksperci prawni zalecają firmom technologicznym:

  • Wdrożenie systemów monitorowania użycia ich platform w celu wykrycia aktywności wojskowej
  • Przegląd umów licencyjnych pod kątem możliwości wprowadzenia ograniczeń geograficznych
  • Konsultacje prawne dotyczące interpretacji najnowszych sankcji
  • Audyt łańcucha dostaw w celu identyfikacji potencjalnych naruszeń

Aby złagodzić te obawy dotyczące odpowiedzialności, organizacje powinny przyjąć strategie zarządzania ryzykiem licencji open source, takie jak zapewnienie zgodności, edukacja zespołów programistycznych i wykorzystanie narzędzi do śledzenia licencji.

Precedens dla przyszłości

Przypadek rosyjskich aplikacji wojskowych może stać się precedensem dla przyszłych konfliktów. Eksperci ostrzegają, że inne autorytarne państwa mogą próbować wykorzystać otwartość demokratycznych platform technologicznych przeciwko nim samym, co wymaga przemyślenia zasad neutralności technologicznej w czasach wojny.

Artykuł został napisany w oparciu o rzetelne źródła akademickie, prawne i branżowe, z głównym naciskiem na badania RUSI - jednej z najbardziej renomowanych instytucji badawczych w dziedzinie bezpieczeństwa międzynarodowego.

Najnowsze artykuły:

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA
Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym
Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem
Cyfrowi strażnicy toczą nierówną walkę
LIPIEC 2024: Cyberataki nie znają granic. Dlaczego odporność organizacyjna musi zaczynać się od cyberbezpieczeństwa

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Testy
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Zarządzanie ryzykiem
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA

Czasem największym zagrożeniem dla bezpieczeństwa nie jest obcy haker, tylko smartfon (albo Tesla) w rękach kogoś, kto lubi wrzucić coś śmiesznego do sieci
Czytaj dalej
Artykuł

Wideo, którego nie powinno być. Grok, Tesla i wjazd prosto do NSA

Cyberbezpieczeństwo
Zarządzanie ryzykiem
NSA Friendship Annex, incydent bezpieczeństwa NSA, wideo Grok Tesla, Grok unhinged mode, Elon Musk Grok AI, nagranie w strefie chronionej, naruszenie bezpieczeństwa obiektu wojskowego, US Cyber Command śledztwo, Tesla AI incydent, cyberbezpieczeństwo obiektów krytycznych, ochrona infrastruktury krytycznej, bezpieczeństwo fizyczne i cyfrowe, incydenty bezpieczeństwa fizycznego, wyciek informacji wrażliwych, NIS2 Polska, NIS2 UE, DORA cyberbezpieczeństwo, ochrona danych w sektorze publicznym, zagrożenia ze strony AI, ustawa o ochronie informacji niejawnych, przepisy bezpieczeństwa UE, AI Act UE, prawo o ochronie obiektów strategicznych, nagrywanie na terenie chronionym, prawo o mediach społecznościowych a bezpieczeństwo, regulacje bezpieczeństwa fizycznego, co to jest NSA Friendship Annex, Grok AI w trybie unhinged, czy można nagrywać w obiekcie chronionym, przykłady naruszeń bezpieczeństwa w social media, NIS2 a bezpieczeństwo fizyczne, AI i bezpieczeństwo narodowe, konsekwencje prawne nagrania w strefie zastrzeżonej, edukacja pracowników w sektorze wrażliwym, wpływ sztucznej inteligencji na bezpieczeństwo
Podmioty ważne i kluczowe
Platformy Cyfrowe
Technologia
Usługi ICT

Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym

Sierpniowy incydent w elektrowni jądrowej Gravelines we Francji stanowi fascynujący przykład tego, jak organizacje mogą być zaskakiwane przez zagrożenia, które teoretycznie powinny przewidzieć.
Czytaj dalej
Artykuł

Gdy meduzy zatrzymują reaktory. O ślepych punktach w zarządzaniu ryzykiem operacyjnym

Ciągłość działania
Komunikacja kryzysowa
Incydenty
Zarządzanie ryzykiem
zarządzanie ryzykiem, ciągłość działania, business continuity, ryzyko operacyjne, elektrownia jądrowa, Gravelines, identyfikacja zagrożeń, analiza ryzyka, BCM, compliance, ryzyka endogeniczne, zarządzanie kryzysowe, odporność organizacyjna, cyberbezpieczeństwo infrastruktury krytycznej, planowanie ciągłości, risk management, operational risk,
Podmioty ważne i kluczowe
Energetyka

Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem

Z głęboką estymą dla generała dywizji Karola Molendy, dowódcy Wojsk Obrony Cyberprzestrzeni, postanowiłam zweryfikować kluczowe twierdzenia generała z perspektywy ekspertki od zarządzania ryzykiem.
Czytaj dalej
Komentarz

Między strategią a promocją: polska cyberobrona w świetle zarządzania ryzykiem

Zarządzanie kryzysowe
Geopolityka a biznes
Ciągłość działania
Jasne, oto lista słów kluczowych SEO na podstawie podanego tekstu, w formacie po przecinku: cyberobrona Polski, cyberbezpieczeństwo Polska, cyberzagrożenia 2024-2025, gen. Karol Molenda, Wojska Obrony Cyberprzestrzeni, wojna cybernetyczna, konflikt cybernetyczny, CERT Polska raport 2024, ataki hakerskie Rosja, grupa APT28, sztuczna inteligencja w wojsku, zarządzanie ryzykiem w cyberbezpieczeństwie, ćwiczenia Locked Shields 2024, ABW cyberbezpieczeństwo, kampanie hybrydowe, polskie instytucje rządowe ataki, Centrum Implementacji Sztucznej Inteligencji, polski model językowy PLLUM, strategia cyberobrony, zagrożenia geopolityczne.
Przemysł zbrojeniowy
Podmioty ważne i kluczowe
Technologia

Cyfrowi strażnicy toczą nierówną walkę

Sygnalista, który ujawnił przepływy 200 miliardów euro podejrzanych rosyjskich pieniędzy przez Danske Bank, otrzymywał groźby śmierci i doświadczył nielegalnego ujawnienia swojej tożsamości.
Czytaj dalej
Artykuł

Cyfrowi strażnicy toczą nierówną walkę

Sygnaliści
Cyberbezpieczeństwo
Ciągłość działania
sygnalista, ochrona sygnalistów, ustawa o sygnalistach, zgłaszanie nieprawidłowości, dyrektywa o sygnalistach, kanały dla sygnalistów, cyberbezpieczeństwo, zagrożenia wewnętrzne, wdrożenie ustawy o ochronie sygnalistów w firmie, wewnętrzne kanały zgłoszeń nieprawidłowości, system do obsługi zgłoszeń od sygnalistów, anonimowe zgłaszanie nieprawidłowości w pracy, obowiązki pracodawcy wobec sygnalistów, ochrona sygnalistów a cyberbezpieczeństwo, polityka ochrony sygnalistów wzór, jak chronić tożsamość sygnalisty, procedury dla sygnalistów w organizacji, ochrona sygnalistów w sektorze publicznym, wykrywanie zagrożeń wewnętrznych w firmie, kary za brak procedur dla sygnalistów, co grozi za zemstę na sygnaliście, jak uniknąć kar RODO za wyciek danych, ryzyko związane z zagrożeniami wewnętrznymi, jak zapobiegać naruszeniom danych przez pracowników, audyt zgodności z ustawą o sygnalistach, odpowiedzialność karna za ukrycie naruszenia, jak przygotować firmę na dyrektywę NIS2, Kto to jest sygnalista?, Jakie obowiązki nakłada nowa ustawa o sygnalistach?, Od kiedy obowiązuje ustawa o ochronie sygnalistów w Polsce?, Jak wdrożyć system dla sygnalistów w firmie?, Czy zgłoszenia od sygnalistów mogą być anonimowe?, Jak ustawa o sygnalistach chroni przed odwetem?, Jak zgłosić naruszenie cyberbezpieczeństwa w firmie?, Jakie firmy muszą wdrożyć kanały dla sygnalistów?, ochrona sygnalistów Polska 2024, polska ustawa o sygnalistach czerwiec 2024, dyrektywa UE 2019/1937 implementacja w Polsce, dyrektywa NIS2 obowiązki dla firm, Akt o Odporności Cybernetycznej (Cyber Resilience Act), kary UODO 2024, zgodność z dyrektywą o ochronie sygnalistów, Europejski Trybunał Sprawiedliwości kary dla Polski.
Bankowość i rynki finansowe
Podmioty ważne i kluczowe
Przejdź do wszystkich wpisów