Partnerstwa publiczno-prywatne kluczem do walki z grupą China's Typhoons – ocenia panel RSA bez udziału rządu

Ewolucja zagrożeń: Od Scattered Spider do chińskich "Tajfunów"

Analiza obecnej sytuacji wymaga spojrzenia wstecz, do okolic 2023 roku, kiedy to grupa **Scattered Spider** zaczęła terroryzować przedsiębiorstwa za pomocą wyrafinowanego voice-phishingu wymierzonego w działy help-desk. Dave Scott, obecnie dyrektor zarządzający w **EY**, a wcześniej szef oddziału operacji cybernetycznych FBI, wspominał podczas panelu, jak bardzo frustrująca była wówczas próba nawiązania realnej współpracy. Prywatni partnerzy dysponowali „wykwintną” inteligencją i danymi o atakach, ale machina rządowa utknęła w martwym punkcie. „Byliśmy tam, z rządem, czekając na procesy prawne, zatwierdzenia i całą resztę, aby móc podzielić się tymi informacjami” – mówił Scott. Już wtedy proponowano stworzenie wspólnej komórki koordynacyjnej, w której sektor publiczny i prywatny siedziałyby w jednym pomieszczeniu, wymieniając dane w czasie rzeczywistym. Ta inicjatywa nigdy nie doszła do skutku w zakładanej formie, co Scott określił jako kluczowe zaniechanie. Dziś, w 2026 roku, efekty tych opóźnień są widoczne w statystykach: połączenia telefoniczne stały się drugą najczęstszą metodą uzyskiwania wstępnego dostępu do zasobów IT i najpopularniejszą taktyką przy włamaniach do środowisk chmurowych. Problem z grupami takimi jak **Volt Typhoon** jest jednak znacznie poważniejszy niż w przypadku klasycznego cyberkryminału. Chińskie operacje są ukierunkowane na infrastrukturę krytyczną USA – od zakładów energetycznych po sieci telekomunikacyjne. To nie są ataki nastawione na szybki zysk, lecz na długofalową obecność i możliwość sabotażu w razie konfliktu geopolitycznego. Eksperci na RSAC zgodnie twierdzili, że walka z takim przeciwnikiem wymaga porzucenia silosowego myślenia, które wciąż dominuje w strukturach federalnych.

Puste krzesło jako symbol systemowej bariery

David Lashway, współprowadzący globalną praktykę prywatności i cyberbezpieczeństwa w firmie **Sidley Austin**, starał się tonować nastroje, twierdząc, że puste krzesło nie powinno być interpretowane jako brak zainteresowania administracji. Przypomniał, że rząd USA wielokrotnie jasno wyrażał swoje stanowisko wobec agresji **Volt Typhoon** i innych grup powiązanych z Pekinem. Niemniej jednak, fizyczna nieobecność funkcjonariuszy FBI i NSA na panelu, który pierwotnie miał być wspólnym pokazem siły, mówiła więcej niż oficjalne komunikaty prasowe. Wendi Whitmore, Chief Security Intelligence Officer w **Palo Alto Networks**, zwróciła uwagę na fundamentalny fakt: większość infekcji wykrywanych w ramach operacji **Volt Typhoon** oraz włamań **Salt Typhoon** do sieci telekomunikacyjnych miała miejsce na infrastrukturze należącej do sektora prywatnego. To firmy komercyjne mają bezpośrednią widoczność tych środowisk. „Wszyscy mamy określony poziom wglądu w te ekosystemy” – zauważyła Whitmore. Bez aktywnego udziału ofiar, firm prawniczych i zespołów reagowania na incydenty (Incident Response), decydenci w rządzie są ślepi. Skuteczna obrona wymaga, aby informacje o zagrożeniach płynęły w obie strony bez zbędnej zwłoki. Obecnie model współpracy opiera się na tym, że firmy prywatne przekazują dane rządowi, a ten „podejmuje działania”. Jednak, jak zauważyli paneliści, proces ten jest zbyt jednostronny i powolny. W dobie, gdy hakerzy wykorzystują zautomatyzowane narzędzia do skanowania podatności i eskalacji uprawnień, czekanie na „zatwierdzenia prawne” w Waszyngtonie jest równoznaczne z kapitulacją.

Sztuczna inteligencja wymusza nową dynamikę współpracy

Kolejnym czynnikiem, który czyni brak realnego partnerstwa publiczno-prywatnego krytycznym zagrożeniem, jest gwałtowny rozwój **AI**. Dave Scott podkreślił, że tempo postępu w dziedzinie sztucznej inteligencji sprawia, iż wymiana informacji musi odbywać się w czasie rzeczywistym, aby miała jakąkolwiek wartość obronną. Atakujący już teraz wykorzystują modele językowe i automatyzację do tworzenia bardziej przekonujących kampanii phishingowych oraz do szybszego analizowania kodu pod kątem luk typu zero-day.

• Czas reakcji: W erze AI czas od wykrycia anomalii do wdrożenia blokady musi być liczony w milisekundach, a nie dniach spędzonych na konsultacjach z radcami prawnymi agencji federalnych.
• Skala danych: Ilość generowanych logów i sygnałów o zagrożeniach przekracza możliwości analityczne pojedynczych podmiotów, co wymusza stosowanie wspólnych platform analitycznych.
• Ewolucja taktyk: Grupy takie jak **Salt Typhoon** potrafią błyskawicznie modyfikować swoje narzędzia (RAT), co sprawia, że statyczne bazy sygnatur stają się bezużyteczne bez stałego dopływu świeżej inteligencji z pola walki.

Wendi Whitmore dodała, że wyzwania, przed którymi stoimy, mają charakter „mieszany” (blended). Granica między szpiegostwem państwowym a działaniami kryminalnymi zaciera się, a infrastruktura wykorzystywana do ataków często obejmuje zarówno serwery w chmurze, jak i lokalne urządzenia IoT w domach prywatnych obywateli. W takim środowisku żadna agencja rządowa, niezależnie od jej budżetu i uprawnień, nie jest w stanie działać samodzielnie.

Poza światłami jupiterów: Gdzie naprawdę dzieje się cyberobrona?

Choć RSAC 2026 jest najważniejszą sceną dla branży, paneliści przyznali, że najbardziej efektywna współpraca często odbywa się w cieniu, z dala od konferencyjnych sal. Dave Scott zauważył, że „prawdziwe” partnerstwa budowane są za zamkniętymi drzwiami, a realna wymiana informacji o krytycznym znaczeniu prawdopodobnie odbywa się na szyfrowanych kanałach, takich jak **Signal**. To prowadzi do gorzkiej konkluzji: oficjalne kanały współpracy publiczno-prywatnej są postrzegane jako niewydolne, co zmusza ekspertów do szukania alternatywnych, nieformalnych dróg komunikacji. Choć jest to skuteczne doraźnie, nie rozwiązuje problemu systemowego. Brak obecności rządu na RSAC 2026 może być interpretowany jako przyznanie się do tego, że tradycyjne struktury współpracy uległy erozji lub po prostu nie nadają się do walki z nowoczesnymi zagrożeniami ze strony Chin. Sytuacja, w której "Washington content" jest reprezentowany przez puste krzesło, nie jest tylko wpadką organizacyjną. To manifestacja kryzysu zaufania i wydolności. Jeśli administracja rządowa nie znajdzie sposobu na przyspieszenie procedur i realne otwarcie się na partnerów prywatnych, grupy takie jak **Volt Typhoon** będą nadal operować wewnątrz krytycznych sieci telekomunikacyjnych i energetycznych, wykorzystując każdą sekundę opóźnienia generowaną przez biurokratyczny aparat państwowy. Prognoza dla branży jest jasna: ciężar obrony infrastruktury krytycznej będzie w coraz większym stopniu spoczywał na barkach sektora prywatnego. Firmy takie jak **Palo Alto Networks** czy **EY** już teraz pełnią rolę pierwszej linii frontu, często dysponując lepszym wglądem w działania przeciwnika niż agencje wywiadowcze. Puste krzesło na RSAC 2026 sugeruje, że w nadchodzących latach to nie rządowe centra dowodzenia, lecz rozproszone sieci prywatnych analityków będą decydować o wyniku cyfrowego starcia z Pekinem. Waszyngton, jeśli chce pozostać istotnym graczem w tej grze, musi przestać być nieobecnym partnerem i zacząć działać w tempie narzucanym przez technologię, a nie przez paragrafy.