„Bezpieczeństwo tylko zyskuje na prostocie. Złożone systemy są zazwyczaj bardzo kruche, a kruche systemy są podatne na wykorzystanie” — oświadczył amerykański kryptograf i założyciel Signal Moxie Marlinspike podczas Kyiv International Cyber Resilience Forum 2026.
To pierwsza wizyta legendarnego twórcy w Ukrainie od początku pełnoskalowej inwazji. Podczas rozmowy szczególną uwagę poświęcono komunikatorowi Signal. Aplikacja stała się tak podstawowym narzędziem w Siłach Zbrojnych Ukrainy, że otrzymała przydomek Blue. Na froncie stale słychać zwroty: „wyślij w Blue” albo „jestem w Blue”. Wojskowi wybierają tę aplikację właśnie dlatego, że nie wygląda jak toporne narzędzie bezpieczeństwa: jest prosta, szybka i poufna. Co doradzić milionom żołnierzy, którzy muszą dbać o bezpieczeństwo, a jednocześnie potrzebują aplikacji do komunikacji — jak zrównoważyć bezpieczeństwo, prywatność i wygodę poprzez prostotę użytkowania?
Dalej — bezpośrednia wypowiedź Moxiego Marlinspike’a.
O równowadze między wygodą a bezpieczeństwem
Myślę, że odpowiedź właśnie na tym polega. Można stworzyć technologię, która jednocześnie chroni prywatność i pozostaje wygodna dla ludzi. To się wzajemnie nie wyklucza.
W rzeczywistości bezpieczeństwo często zyskuje na prostocie. Złożone systemy są zazwyczaj kruche, a wszystko, co kruche, jest podatne na ataki. Dlatego można i trzeba tworzyć produkty, które są proste w użyciu, a jednocześnie bezpieczne.
Dla milionów żołnierzy ważne jest, aby mieć narzędzie, które nie zmusza ich do ciągłego myślenia o ustawieniach. Ono po prostu ma działać — i jednocześnie pozostawać niezawodne.
Prywatność oparta na polityce już nie działa
Żyjemy w czasach, gdy większość usług cyfrowych działa według zasady „prywatności poprzez politykę”. Oznacza to, że firma po prostu obiecuje w swoim regulaminie, że nie będzie nadużywać waszych danych. Przyjmuje na siebie zobowiązania prawne i zapewnia użytkowników: wszystko będzie bezpieczne.
Jednak między obietnicą a realną ochroną istnieje ogromna różnica. W zwykłym życiu wyciek danych może kosztować pieniądze lub reputację. W obronności cena jest znacznie wyższa — mogą to być ludzkie życia.
Istnieją dwa zasadniczo różne podejścia do bezpieczeństwa. Pierwsze to wiara w „absolutnie bezpieczny komputer”. Czyli przekonanie, że jeśli odpowiednio skonfigurować system, dobrze go chronić i ufać firmie — wszystko będzie bezpieczne. Jednak praktyka ostatnich 30 lat pokazuje, że to iluzja. Każdy system można złamać.
Drugie podejście polega na ochronie nie komputera, lecz samej informacji. Oznacza to, że dane są szyfrowane w taki sposób, że nawet firma będąca właścicielem usługi nie ma do nich dostępu. I nawet jeśli serwery zostaną zhakowane albo ktoś poprzez sąd zażąda przekazania informacji, nie będzie czego przekazywać — w postaci otwartej te dane po prostu nie istnieją.
Problem „prywatności poprzez politykę” polega na tym, że zależy ona od wielu czynników: firmę mogą zhakować; można ją zmusić do przekazania danych wyrokiem sądu; może zmienić regulamin; albo informacje mogą przypadkowo stać się publiczne.
Dlatego same obietnice nie wystarczą. Prawdziwym standardem bezpieczeństwa jest „prywatność poprzez architekturę”, gdy prywatność jest wbudowana w samą technologię.
Na masowym rynku takich usług jest niewiele. Wśród przykładów są Signal i WhatsApp, gdzie szyfrowanie jest wbudowane w samą zasadę działania.
Sztuczna inteligencja — skarbnica spowiedzi
Nie jestem politykiem ani analitykiem wojskowym — jestem inżynierem. Dlatego patrzę na sztuczną inteligencję nie przez pryzmat wojny, lecz przez to, jak działa technicznie. I najbardziej niepokoi mnie nie sama SI, lecz centralizacja danych wokół niej.
Obecnie istnieje kilka tak zwanych „zaawansowanych” modeli — potężnych systemów, do których dostęp można uzyskać wyłącznie przez API. Oznacza to, że gdy zadajecie pytanie, w rzeczywistości wysyłacie swoje dane na serwery firmy. I to właśnie tam odbywa się ich przetwarzanie.
Na przykład OpenAI ze swoim GPT ma dziś setki milionów użytkowników na świecie. To najpopularniejszy interfejs interakcji z SI. I prawdopodobnie oznacza to, że firma posiada jeden z najbardziej wrażliwych zbiorów danych na świecie — ponieważ ludzie zwracają się do SI z osobistymi, zawodowymi, niedokończonymi myślami.
Na tym polega specyfika SI. To technologia, która niemal zachęca do szczerości. Nie wpisujecie jedynie suchego zapytania — doprecyzowujecie, wątpicie, formułujecie surowe idee, dzielicie się tym, czego jeszcze nie jesteście gotowi powiedzieć publicznie. Przeprowadzacie burze mózgów. W istocie — spowiadacie się.
W rezultacie bezprecedensowa ilość wrażliwych informacji koncentruje się w rękach kilku dużych graczy.
Problem polega na tym, że obliczenia dla dużych modeli są niezwykle kosztowne. Uruchomienie nowoczesnego, potężnego modelu lokalnie — w domu czy w biurze — oznacza wydanie setek tysięcy dolarów na sprzęt serwerowy. Dla większości ludzi, a nawet firm, jest to nierealne. Dlatego wszyscy idą do chmury — i oddają tam swoje dane.
To tworzy dylemat: albo macie dostęp do potężnej SI, ale poświęcacie kontrolę nad danymi, albo zachowujecie pełną kontrolę, lecz nie macie zasobów, by uruchomić model.
Dlatego pojawiają się próby połączenia tych dwóch światów. Na przykład projekt Confer — można go opisać jako „Signal dla SI”. Idea polega na tym, by korzystać z potężnych modeli chmurowych, ale sprawić, aby wasze czaty były chronione technicznie, a nie tylko obietnicami firmy. Aby nikt — nawet dostawca — nie mógł odczytać historii waszych rozmów.
Innymi słowy, kwestia przyszłości SI to nie tylko to, kto stworzy najmądrzejszy model. To także pytanie o to, kto zdoła uczynić go poufnym na poziomie architektury, a nie regulaminu użytkowania.
I właśnie ta część — prywatność w świecie SI — może stać się jedną z kluczowych w nadchodzących latach.
Telegram: dlaczego to nie jest szyfrowany komunikator
Telegram nie jest w pełni szyfrowanym komunikatorem, mimo że od lat pozycjonuje się właśnie w ten sposób.
Technicznie działa to tak: Telegram posiada chmurowe serwery, na których przechowywane są wiadomości użytkowników. Oznacza to, że nie istnieją one wyłącznie na waszym urządzeniu — są przechowywane centralnie, w postaci otwartego tekstu, każda wiadomość, którą kiedykolwiek wysłaliście lub otrzymaliście. Można to łatwo sprawdzić nawet bez wykształcenia technicznego. A kryptografia wymaga „małego sekretu”, który zna tylko użytkownik.
Na przykład jeśli upuścicie telefon do rzeki, pójdziecie do sklepu, kupicie nowy i wpiszecie swój numer — wszystkie wasze wiadomości się pojawią. W środowisku szyfrowanym nie jest to możliwe, ponieważ sekret znajdował się tylko na waszym starym telefonie. Jeśli widzicie swoje wiadomości na nowym urządzeniu — oznacza to, że widzi je także Telegram. I każdy w Telegramie może zrobić to samo.
Bo Telegram nie jest firmą, która nie ma dostępu do wiadomości. Skoro usługa może odczytywać dane, to technicznie ma do nich dostęp. A jeśli firma ma dostęp, to państwa również mogą go zażądać poprzez wnioski sądowe. Jak widzieliśmy w przypadku Pawła Durowa, założyciela Telegrama. Został on zatrzymany we Francji z powodu niewykonania sądowego wniosku dotyczącego danych użytkowników. A sam fakt takiego wniosku oznacza, że francuskie władze rozumiały, iż te dane istnieją i firma może je przekazać.
Jeśli natomiast system jest zbudowany tak, że nawet firma nie posiada kluczy, to nie ma sensu żądać danych — po prostu nie da się ich przekazać. I wtedy pojawia się logiczne pytanie. Jeśli Francja może wywierać nacisk prawny, czy naprawdę ktoś uważa, że rosja — z jej zasobami i podejściem do kontroli informacji — nie może zrobić tego wcześniej i w znacznie mniej uprzejmy sposób?
Telegram ma rosyjskie pochodzenie. Część zespołu jest związana z rosją. Ich rodziny tam mieszkają. I dla mnie istotny jest prosty fakt: oni wciąż żyją i swobodnie funkcjonują.
Kiedy mówimy o państwie, które poważnie traktuje kontrolę przestrzeni cyfrowej, trudno wyobrazić sobie, że tak duży zasób informacyjny istnieje — a państwo rzekomo nie próbuje uzyskać do niego dostępu.
Mimo to miliony ludzi nadal korzystają z Telegrama. Być może dlatego, że są do niego przyzwyczajeni albo nie mogą znaleźć aplikacji o podobnej funkcjonalności. To typowy paradoks bezpieczeństwa cyfrowego: ludzie często wybierają wygodę, nawet jeśli rozumieją potencjalne zagrożenia.
Jednak z punktu widzenia bezpieczeństwa ważne jest, by nazywać rzeczy po imieniu:
jeśli usługa ma techniczną możliwość czytania wiadomości — to nie jest to pełnoprawne szyfrowanie end-to-end.
Mniej znaczy bezpieczniej
Bezpieczeństwo nie zaczyna się od drogich narzędzi. Zaczyna się od upraszczania.
Im większa i bardziej złożona usługa — tym więcej potencjalnych podatności. Dlatego strategia jest prosta: twórzcie systemy mniejsze, czystsze, z mniejszą liczbą komponentów i z mniejszą ilością zbędnej logiki.
Kiedy zmniejszacie rozmiar i złożoność — automatycznie zmniejszacie powierzchnię ataku. A tym samym również koszty ochrony. W bezpieczeństwo należy inwestować proporcjonalnie do wielkości samego produktu.
To znaczy, że bezpieczeństwo nie jest dodatkową funkcją. Musi być wbudowane w samą architekturę. W każdą decyzję, w każdą linię kodu.
A jeśli stosować podejście „bezpieczeństwa informacji” — czyli kryptografię oraz minimalizację danych — to nawet w przypadku kompromitacji systemu wróg po prostu nie uzyska nic wartościowego. Innymi słowy, nie wystarczy budować solidne mury — trzeba sprawić, aby za nimi nie było niczego, co warto ukraść.
Rada dla ukraińskich deweloperów: „Atakujcie siebie pierwsi”
Podejście do bezpieczeństwa jest uniwersalne. Takie samo w czasie pokoju, jak i w czasie wojny.
Pierwszą rzeczą, którą należy zrobić, jest jasne określenie, kto jest waszym potencjalnym przeciwnikiem. Nie abstrakcyjni „hakerzy”, lecz konkretne typy atakujących: jakie mają zasoby, motywację, doświadczenie i narzędzia.
W zwykłym środowisku biznesowym firmy sporządzają listę zagrożeń. Na przykład może się na niej znaleźć tzw. „zaawansowany uporczywy przeciwnik” (APT — Advanced Persistent Threat). To zorganizowana grupa dysponująca czasem, pieniędzmi i cierpliwością.
Ale sama lista niczego nie daje. Następnie trzeba zrobić rzecz najważniejszą: zacząć myśleć jak napastnik. Jeśli wiecie, jakich konkretnie ataków się obawiacie — spróbujcie zastosować te same metody wobec własnego produktu. Sprawdźcie, czy wytrzyma presję.
W ukraińskim kontekście brzmi to szczególnie aktualnie. Jeśli posiadacie własne ofensywne zdolności cybernetyczne — wykorzystujcie je do testowania własnej ochrony. Lepiej samemu znaleźć słabe miejsce, niż pozwolić, by zrobił to wróg.
