Friday, July 19, 2019
Numarul 2

413

Introducere

Se vorbeşte mult despre oraşele conectate, pe care unii le numesc „inteligente” („Smart Cities”). Administrarea megapolilor devine o miză civilă majoră într-o eră în care se întrevede o demografie planetară explozivă, în principal urbană, deci potenţială sursă de haos în cazul în care nu este gestionată corect. Însă ca orice lucru legat de „inteligenţa” artificială, oraşele conectate hrănesc fantasmele cele mai credule şi hrănesc apetiturile cele mai nesăţioase, într-un climat vădit ostil oricărei tentative de punere la îndoială. Aceste orașe „inteligente” generează așteptări absurde în ceea ce privește ordinea și confortul, așteptări la care e dificil de renunţat dacă nu li se cunoaște costul real. Este foarte important să fie pus în discuţie aportul lor real, pentru a putea beneficia la maximum de anumite tehnologii. Toate acestea fără a scăpa din vedere, totuși, măsurile de precauţie împotriva pericolelor pe care le implică, chiar cu riscul de a renunţa la câteva dintre promisiunile lor, prea costisitoare în planul vieţii private și al libertăţii.
În rândurile care urmează, îmi permit să revin asupra comunicării din data de 3 noiembrie 2016 la Yverdon în cadrul CyberSec Conférence și să abordez anumite aspecte pe care, pe atunci, doar le schiţasem.

Orașul conectat

Încă de la început, trebuie precizat ce se înţelege prin oraș conectat; este vorba de un ecosistem care se bazează pe culegerea, agregarea și partajarea2 datelor legate de utilizarea orașului de către locuitorii acestuia. Sursele acestor date sunt diverse: ele pot fi generate automat de captatori sau de obiecte conectate, dar pot proveni, de asemenea, din bazele de date alcătuite de administraţiile publice sau companiile private, sau chiar produse de către utilizatori.

Această colectare de date are mai multe scopuri. În general, se invocă la grămadă avantaje precum îmbunătăţirea calităţii vieţii cetăţenilor, buna gestionare a resurselor colective, facilitarea mobilităţii sau rezolvarea problemelor de securitate. Miza este cu precădere crearea unei legături pentru informarea la distanţă și în timp real cu privire la disponibilitatea echipamentelor colective (blocaje în trafic, rata de ocupare a locurilor de parcare, localizarea mijloacelor de transport în comun, rezervarea sălilor de sport), dar și informarea cu privire la proximitatea, amplasamentul, programul de funcţionare al magazinelor sau al atracţiilor turistice, informarea cu privire la serviciile existente sau gestionarea infrastructurilor colective. Aceste câteva exemple ilustrează avantajele propuse prin implementarea sistemului. Însă nu menţionează și riscurile și pericolele pe care le implică.
Într-adevăr, prin colectarea de date, protejarea sferei private reprezintă o miză crucială și clarifică aspectele cele mai vagi ale sistemului care se pune în practică. În privinţa orașelor conectate, există patru aspecte care ridică probleme: colectarea automată de date din domeniul public (a), datele considerate „publice” pe care indivizii le schimbă prin intermediul telefoanelor lor „inteligente” (b), integrarea lor în informatica de tip cloud (c) și, mai presus de toate, interpretarea acestei mase de date cu scopul unei
„guvernări algoritmice” (d). Preconcepţiile acestei politici numerice ne vor permite, în final, ca o concluzie, să stabilim o paralelă între respectarea sferei private și recunoașterea socială a libertăţii individuale.\

Date colectate automat în domeniul public

Un număr mare de date legate de orașele conectate sunt generate în mod automat prin capturi instantanee preluate de pe drumurile publice sau infrastructurile private deschise publicului. Însă alegerea unui aparat de captat imaginea nu este întâmplătoare. Supravegherea traficului se poate realiza în mai multe moduri: prin numărarea vehiculelor care trec pe sub o buclă magnetică, prin înregistrare video a traficului sau prin înregistrarea semnalelor GPS care permit, de exemplu, identificarea vehiculelor participante la trafic. Astfel că, în timp ce numărătoarea vehiculelor cu ajutorul unei bucle magnetice nu generează date personale, ci doar valori incrementale statistice, nu același lucru se poate spune despre camerele video sau de captarea semnalelor GPS.
În momentul în care colectarea de date de pe drumurile publice poate implica date personale, principiile impuse de legile aplicabile în materie de protecţia personalităţii trebuie respectate cu titlu preventiv.
În primul rând, conform principiului legalităţii (art. 4, alin. 1 din Legea federală privind protecţia datelor – LPD; art. 35 din Legea privind informarea publicului, accesul la documente și protecţia datelor personale – LIPAD), prelucrarea datelor trebuie justificată de îndeplinirea unei sarcini prevăzute de un text normativ sau prin consimţământul expres al celui vizat. Acest lucru reduce de la bun început scopurile care ar putea justifica o colectare de date. În ceea ce privește principiul proporţionalităţii (art. 4, alin. 2 LPD; art. 35 alin. 1 și 2; art. 36 alin. 1 LIPAD), operatorul responsabil de prelucrarea datelor are obligaţia de a se asigura că impactul acestei prelucrări este rezonabil în raport cu scopul urmărit. Datorită acestor principii, se începe elaborarea unei proceduri pentru acţiunile care preced colectarea datelor, cu scopul de a asigura confidenţialitatea încă de la conceperea proiectului („Privacy by Design”). Astfel, de fiecare dată când scopul urmărit o permite, se vor alege cu predilecţie mijloace de colectare care nu generează date personale: operatorul responsabil cu prelucrarea nu mai are datoria de a cripta datele pentru a le asigura confidenţialitatea, începând de la mijlocul de colectare și până la locul unde sunt amplasate mașinile de calcul, apoi pe toată durata de viaţă a acestora din urmă.
Protecţia datelor se dovedește și mai importantă în domeniul privat deschis publicului: datele sunt prelucrate de către actori privaţi, fără posibilitatea refuzului colectării acestora. În epoca în care trăim, refuzul de a intra într-o zonă supravegheată video este sinonim cu renunţarea la a frecventa majoritatea magazinelor, începând de la hypermarketuri.
Necesitatea de a aplica acest ansamblu de principii indică deja pericolul unei colectări necontrolate de date din domeniul public pentru protejarea sferei private. Aceste principii au ca scop evitarea unei tentaţii proprii oricărei tehnici: tentaţia de a se concentra asupra mijloacelor și de a pierde din vedere scopul urmărit. Istoria tehnicilor ne arată că umanitatea are tendinţa de a folosi o tehnică dincolo de nevoile imediate și fundamentate, pentru simplul motiv că este disponibilă, generând astfel chiar noi tipuri de nevoi. Așa se explică tentaţia utilizării tehnicilor digitale de vârf pentru afirmarea propriei modernităţi.

Date generate de către utilizatori

Datele colectate în cadrul orașelor conectate nu se limitează la cele colectate automat din domeniul public sau deschis publicului. Dimpotrivă. Utilizatorii creează ei înșiși, cu ajutorul telefoanelor „inteligente” („smartphone- uri”), o mulţime de date personale geo-localizate, fie că este vorba de comunicarea de informaţii pe reţele sociale sau de interogarea serviciilor de informaţii ale orașului, pe stradă. Aceste aparate portabile pot fi deci considerate veritabili colectori de date.
Și alte obiecte conectate furnizează propriile pachete de date. Anumite date se adaugă celor proprii orașului conectat. Ne referim, de exemplu, la datele aparent fără importanţă referitoare la consumul agregat al gospodăriilor. Acestea permit compararea obiceiurilor de consum privat cu cele ale vecinilor pentru a le îmbunătăţi. Conectarea unor asemenea contoare la Internet face posibilă avertizarea la distanţă, pe telefonul
„inteligent”, orice consum programat sau neprevăzut. Sense, o aplicaţie folosită la scară largă, permite dezagregarea în timp real a curbei de sarcină electrică globală a gospodăriei, pentru a determina apoi ce aparate sunt folosite în casă și în ce moment3. Aplicaţia, prin realizarea de comparaţii între datele colectate și curbele de consum ale altor utilizatori, ajunge să cunoască mai multe despre felul în care este gospodărită locuinţa decât înșiși proprietarii și poate genera un tabel al obiceiurilor de viaţă ale locuitorilor acesteia sau chiar un profil al personalităţii lor.
La acest tablou se adaugă și precizarea că obiectele conectate sunt adesea fabricate de producători puţin preocupaţi de securitatea informatică: numeroasele breșe de securitate permit astfel unor terţi să vizioneze imagini care ar trebui să fie confidenţiale. Astfel, camerele video contactate care îi permit proprietarului să supravegheze de la distanţă împrejurimile casei pot oferi hoţilor informaţii preţioase cu privire la momentele în care nu este prezent. Site-ul www.shodan.io ţine o evidenţă a imaginilor surprinse de camere video nesecurizate.
Fenomenul obiectelor conectate a luat o asemenea amploare încât Ubisoft, editorul „Watch Dogs”, proclamă
„Noi reprezentăm datele” pe site-ul lor, cu ocazia lansării celei de-a doua versiuni a jocului. Acest lucru nu reprezintă o lipsă de interes a utilizatorilor faţă de viaţa lor privată, ci mai degrabă un discurs pe care-l adoptă promotorii reţelelor sociale și companiile care trăiesc din partajarea informaţiei pe Internet cu unicul scop de a-și extinde sfera de putere. Incoerenţele acestui tip de discurs merită însă analizate.

De exemplu, în 2009, Éric Schmidt, CEO Google și ex- CEO Novell, a făcut o afirmaţie de bun simţ, dar care a îngrozit multă lume: „Dacă faceţi ceva despre care nimeni nu trebuie să afle, poate ar fi mai bine să începeţi să nu mai faceţi lucrul respectiv.” Éric Schmidt nu a făcut decât să reia un proverb tradiţional chinezesc, de unde și impresia pasageră de înţelepciune pe care o emană afirmaţia sa. Observatorii avizaţi au arătat totuși că Éric Schmidt aplica această gândire în privinţa căutărilor efectuate pe Internet, iar acest lucru schimba totul. Această frază a stârnit rapid temeri în legătură cu încălcarea vieţii private. Însă acest profet al „morţii vieţii private” și-o apără pe a sa prin mijloace absurde: în 2005, a târât-o în justiţie pe jurnalista Elinor Mills pentru articolul său Google balances privacy, reach4, în care relata anumite detalii din viaţa lui privată (avere, acţiuni recent vândute pe Bursă…) obţinute de pe Internet cu ajutorul motorului de căutare Google dedicat jurnaliștilor CNET (News.com).
Hubert Guillaud, bazându-se pe un studiu de Joseph Turow, Michael Hennessy și Nora Draper din 2015, ne reamintește că „mai mult de jumătate dintre consumatorii americani nu doresc să piardă controlul asupra informaţiilor lor, însă consideră că această pierdere a controlului se petrece deja”. Departe de a considera că cedarea drepturilor personale în schimbul ofertelor personalizate reprezintă un compromis în care fiecare parte ar ieși câștigată, publicul se prezintă mai degrabă resemnat și lipsit de apărare. Suntem departe de discursul triumfalist practicat de cei care vând astfel de produse. Iar Hubert Guillaud încheie pertinent: „Neputinţa nu valorează consimţământ”5.

Orașe conectate și informatică de tip cloud

Crearea de legături: cine ar îndrăzni să critice acest ţel aparent măreţ, creator al unei armonii universale funcţionale? Scopurile urmărite de orașul conectat presupun o comunicare a datelor și a sistemelor între ele, sau cel puţin utilizarea unei semantici comune standardizate. Cu alte cuvinte, orașul conectat trece practic prin informatica de tip cloud („Big Data”). Orașele conectate și informatica de tip cloud se completează: datele orașelor conectate alimentează informatica de tip cloud, iar aceasta, în schimb, oferă chei de interpretare încrucișată cu informaţii din alte surse.
Odată ce toate „informaţiile legate de o persoană identificată sau identificabilă” sunt considerate ca date personale, acestea nu mai există independent de propriul context. Altfel spus, datele personale în sine sunt rare. Ceea ce le face să fie personale este legătura cu o persoană (determinată, sau chiar determinabilă). Orașul conectat, precum și informatica de tip cloud, funcţionează pentru a crea legături și participă la crearea de date personale… și deci la eroziunea sferei private.
Legătura către o persoană fizică se poate realiza prin obiectele pe care aceasta le utilizează, chiar dacă acestea nu sunt expres asociate respectivei persoane. Este de ajuns ca datele să fie asociate unui punct fix. De aceea, adresele IP ale calculatoarelor private sunt considerate date personale. Prin verificarea lor încrucișată cu alte date se realizează restul de operaţiuni. Dacă se stabilește doar o singură dată o legătură expresă între calculator și utilizator, de exemplu printr-un formular de comandă, toate datele adunate în jurul adresei IP pot fi asociate unei persoane fizice determinate.

Or operatorul responsabil cu prelucrarea datelor trebuie să asigure confidenţialitatea datelor personale care se găsesc în sfera sa de influenţă. Nu putem pune la dispoziţie date aparent lipsite de importanţă decât dacă ţinem cont de informatica de tip cloud și de posibilităţile de verificare încrucișată uimitoare pe care aceasta le oferă utilizatorilor. Regulile de securitate trebuie regândite și consolidate în mod regulat, cu precădere cele care garantează anonimatul. Cel care transformă datele în date deschise trebuie, în plus, să se asigure că poate pune capăt oricând distribuirii sau reutilizării acestora de către terţi, atunci când aceștia încalcă regulile de prelucrare ce garantează anonimatul. Doar distribuirea sub licenţă dă dreptul la prelucrare, cel puţin la nivel teoretic, dacă nu și faptic. Licenţele libere pot fi un exemplu în acest sens, cu condiţia ca acestea să se concentreze mai mult pe menţinerea anonimatului și nu atât pe transformarea datelor în date deschise, însă cele două scopuri nu sunt neapărat incompatibile.

Interpretarea datelor și administrarea algoritmică

Interpretarea datelor orașului conectat poate ascunde pericolele cele mai grave. Odată integrate în informatica de tip cloud, aceste date pot completa profilul indivizilor și categorisirea lor în modele de care cu greu se mai scapă. Scopul informaticii de tip cloud rămâne determinarea profilului generic al utilizatorilor şi categorisirea lor, în aşa fel încât comportamentul lor de consum să poată fi prevăzut, pentru o manipulare mai eficientă. Informatica de tip cloud este un instrument puternic de control, care merge dincolo de confuzia între ascuns şi ilegal folosită de cei care vând produse pentru a șubrezi sfera privată. În afara caracterului extrem de simplist al problemei şi obiectificarea inacceptabilă a celuilalt pe care aceasta o antrenează, acest mecanism de schiţare a profilului face ca furnizorii să dispună de situaţia indivizilor după voie, din mai multe motive.
Primul motiv îl constituie faptul că șubrezirea sferei private ascunde mai presus de orice un raport de putere. Demonstraţia acestui fapt este meritul lui Daniel J. Solove, profesor de drept american. Hubert Guillaud citează această opinie a unui expert în securitate, Bruce Schneier, intervievat în
2006: „Noţiunea de viaţă privată ne protejează de cei care deţin puterea, chiar dacă nu săvârşim nicio faptă ilegală atunci când suntem supravegheaţi. […] Dacă suntem observaţi în orice moment, […] ne pierdem individualitatea”. Hubert Guillaud încheie: „Miza vieţii private constă în tensiunea democratică între cel puternic şi cel slab6”.
Însă mecanismul de încadrare într-un profil, aşa cum este acesta realizat cu ajutorul informaticii de tip cloud este şi mai profund. Tot Daniel J. Solove, considerând că analogia între Internet şi sistemul Big Brother al lui Orwell propusă de unii nu era pertinentă, a propus o paralelă cu Procesul, celebrul roman de Franz Kafka. Profesorul de drept considera că, fără îndoială, sentimentul de opresiune din roman este generat de faptul că eroul, Joseph K., este judecat pe baza unor fapte care nu îi sunt comunicate, de către oameni pe care nu îi cunoaşte, în virtutea unor reguli şi valori care îi sunt necunoscute şi fără să afle posibilele consecinţe ale procedurii în curs7. Există multe necunoscute iar acest lucru, mai presus de toate, înlătură orice posibilitate de a se apăra. Ce putere poate fi mai arbitrară de atât? Iar Daniel J. Solove se întreabă: nu semănăm puţin cu Josef K. în faţa companiilor GAFAM8 şi a autorităţilor străine care le guvernează?
Antoinette Rouvroy, juristă şi cercetător al FNRS la universitatea din Namur, afirmă acelaşi lucru: „Veţi fi categorisiţi în funcţie de datele brute care pentru dumneavoastră nu au nicio însemnătate, în funcţie de algoritmi despre care nici nu aveţi idee cum funcţionează, iar acest lucru va avea impact asupra vieţii dumneavoastră, […] asupra modului de reacţie”9.
Acesta este pericolul principal pe care îl ascunde conceptul de oraş co- nectat, pe care Antoinette Rouvroz l-a numit „guvernamentalitate algorit- mică”. În acest caz, pericolul nu constă atât în informaţia propriu-zisă cât în interpretarea şi instrumentalizarea sa. Pretinzând că aceste date colectate masiv şi automat pot fi caracterizate prin „obiectivitate”, inginerii informatici și finanţatorii lor nu se mulţumesc doar să prezinte conducătorilor politici colectarea de date ca mijloc de verificare a eficienţei politicilor publice și gradul de însușire a lor de către populaţie; aceștia le propun extragerea „raţiunii” politicilor publice viitoare din conceptul de dată. Corelările masive pe post de modele de gândire, mașinării pe post de îngrăditoare umane, acesta este programul lor. Pe scurt, avem de a face cu versiunea modernă a confuziei recurente între mijloace și scop, dublată de o lipsă severă de cunoaștere a specificului naturii umane.
Ar trebui puse în discuţie atât „inteligenţa” artificială, teoria informaţiei și viziunea mecanicistă asupra vieţii și omului.
Voi sublinia doar un punct esenţial: categorisind comportamentul persoanelor în conformitate cu corelările rezultate în urma analizării unei cantităţi imense de date, inginerii informatici ne privează de orice viitor, distrugând fundamentele recunoașterii sociale a libertăţii individuale deja amputată de către operatorii de date personale. Ne constrâng astfel să urmăm niște modele complet inadaptate și greșite.
Se poate sesiza natura pericolului deviaţiilor din următorul exemplu. Anumiţi indivizi, deranjaţi de
„imperfecţiunile umane”, au avut idea înlocuirii judecătorilor… cu roboţi. Aplicarea legilor și a jurisprudenţei s-ar fi făcut în felul acesta cu mai multă rigoare – a se citi: cu mai multă insensibilitate la înţelegerea situaţiei. Judecarea celui care a încălcat legea s-ar fi făcut în funcţie de statistici, altfel spus de o cunoaștere parţială a trecutului aplicată în viitor. Există oare o modalitate mai bună de a îndepărta unei persoane orice posibilitate de evoluţie? De a-i refuza orice drept de a fi ascultată? Stadiul următor ar consta în instaurarea unei justiţii predictive, adică arestarea celor al căror profil i-ar semnala ca potenţiali infractori. Restul ne este cunoscut, a mai fost evocat. Ne-am putea lăuda cu atingerea unui nivel istoric inegalabil de barbarie. Oare judecarea cuiva în baza trecutului altora reprezintă o violenţă inadmisibilă? Odată ce acest sistem ar fi implementat, ce judecător ar avea curajul să dea o decizie în contradictoriu cu predicţiile statistice promovate de mașinărie?
Ar fi naiv să credem că datele sunt obiective din simplul fapt că au fost colectate în mod automat și sistematic: o dată nu este „ceva dat”, ci este construită, în special prin alegerea mijlocului de colectare și a amplasamentului. Teoriile informaţiei au uitat acest lucru prea repede. În general, cel care caută ceva nu găsește decât ceea ce căuta și poate rata esenţialul fără să își dea seama. Fenomenologia, prin noţiunea de intenţionalitate, ne-a amintit acest lucru10. De asemenea, mijloacele de

colectare nu surprind încontinuu date, ci înregistrează doar o parte din realitate, nu neapărat cea mai relevantă. Mijlocul de colectare nu face decât să filtreze realul în funcţie de intenţiile – și chiar de prejudecăţile – celui care îl instalează și nu surprinde posibilul rămas în stadiul de intenţie. Or acesta din urmă este esenţial în înţelegerea viitorului. Oare nu prin tatonări se modelează viitorul? Doar o critică coerentă ne-ar permite să privim în perspectivă informaţiile și mijloacele folosite în colectarea lor.
Și oare stabilirea profilurilor care rezultă dintr-o dată devenită infra-individuală pentru a putea fi calculată, apoi recompusă artificial în profiluri supra-individuale prin corelări nu ne golește de Subiectele care suntem? Iar dacă datele nu reprezintă realul, dacă nu au sens pentru cei care pretind că pot descrie comportamentul, s-ar mai putea pretinde că o administrare a orașului prin intermediul datelor este pertinentă?
În plus, nimic nu demonstrează că aceste corelări între date semnalează un raport de la cauză la efect. Însă comparaţiile nu pot fi luate întotdeauna drept dovadă. Însuși nucleul „inteligenţei” artificiale se bazează pe confuzia între corelare şi raport de cauzalitate. Acest lucru poate genera consecinţele cele mai absurde. Chiar vrem să ne supunem la aşa ceva? În timp ce „inteligenţa” artificială, bazându-se pe corelări, se îndepărtează de orice sens şi se mulţumeşte cu preziceri fără înţelegerea prealabilă a contextului, putem oare să ne aliniem politicile pe sugestiile sale? În timp ce ştiinţele universului au depăşit modelul scientist conform căruia întreaga realitate ar fi conţinută în „sâmburele primordial”, „inteligenţa” artificială limitează viitorul la o simplă proiecţie a trecutului; este înţelept să o lăsăm să ne închidă astfel orizonturile viitoare?
Punctele menţionate mai sus subliniază necesitatea combaterii proiectelor în derulare care vizează
„organizarea automatizată a lumii”11, cum ar fi cel condus de Sidewalk Labs, o filială a Alphabet, companie care controlează Google. Este vorba nici mai mult nici mai puţin despre conceperea unui oraş în totalitate „construit plecând de la Internet”, cu ajutorul buclelor de retroacţiune, apoi aplicarea acestui model la scara întregii planete12. Acest lucru înseamnă atribuirea puterii de a decide pentru întreaga umanitate unui grup de oameni: Google City nu doar elimină orice program politic, dar corespunde aspectului celui mai de temut al totalitarismului. Hannah Arendt susţinea că acesta din urmă viza nu doar restrângerea libertăţii, ci și eradicarea oricărei urme de spontaneitate13. Nu cumva s-ar întâmpla exact același lucru dacă am accepta proiectul Alphabet? Dacă ne gândim că spontaneitatea, pentru Hannah Arendt, nu este o simplă fantezie, ci corespunde mai degrabă unei expresii a interiorităţii, manifestării surprinzătoare și prin definiţie imprevizibile a originalităţii propriului nostru fel de a fi, înţelegem că Google City alimentează în definitiv ambiţia transumanistă a eradicării umanului din om.

A fi Subiect în ziua de azi

Marea miză nu este oare să aflăm cine suntem și cine dorim să devenim? Vrem oare să acceptăm să fim reduși la date sau să ne comparăm cu automate? Nu suntem mult mai mult de atât? Nu cumva am uitat de ceea ce ne conferă valoarea noastră specifică? În timp ce robotul, reproductibil la infinit, este preocupat de greșeală și de rezultat, fiinţa umană, singulară cu condiţia de a deveni Cine este, nu are cumva mai degrabă preocuparea finalităţii?
În domeniul sensului și al libertăţii care ne caracterizează, lucrurile posibile, atunci când relevă ceva despre natura noastră profundă, nu sunt oare mai importante decât rezultatele? Aristotel a subliniat acest lucru în mod surprinzător, afirmând că actualizarea unei potenţialităţi rămâne totuși o potenţialitate, insistând asupra caracterului dinamic și creator al modului de acţiune uman. Evenimentele esenţiale ale existenţei noastre, cele care fac ca viaţa să merite să fie trăită, sunt oare doar cuantificabile în rezultate? E de dorit ca acest lucru să nu se întâmple, căci rezultatul nu depinde de sens, la fel cum nici mijloacele de scop. Iar, spre deosebire de date, noi suntem sursă de sens.

În definitiv, scopul existenţei nu este munca internă care ne permite să devenim Cine suntem, însușindu-ne istoria? Pe drumul acesta, eșecurile ne învaţă cel puţin la fel de multe ca victoriile. Iar politicile economice sau sociale trebuie să ţină cont de sensul vieţii noastre, fiindcă altfel la ce ar servi acestea?
Trecerea de la „știinţele umane” la „disciplinele Subiectului” se va realiza după multă muncă. Aceasta implică perceperea fiinţei umane în specificităţile sale, nu ca obiect al unei știinţe, ci ca Subiect14, și necesită dezvoltarea unei alte metode decât cea adoptată de știinţele tradiţionale. Cerinţele de reproductibilitate, de cuantificare și de refutabilitate trebuie să fie înlocuite de alte abordări, proprii studierii Subiectului15. S-ar putea evita necesitatea „știinţelor” umane de autovalidare a ipotezelor prin metode necorespunzătoare.

Marea eroziune

Informatica de tip cloud erodează sfera privată la fel cum guvernarea algoritmică depreciază fundamentul recunoașterii sociale a libertăţii noastre individuale. Importanţa datelor comparative care în prezent se află în mâinile furnizorilor de servicii face din comportamentul nostru unul mai previzibil pentru acești furnizori decât pentru noi înșine. Acest lucru îl determină pe Alexandre Lacroix să afirme că fiinţa liberă de mâine va fi cea al cărei comportament se va dovedi mai puţin previzibil pentru furnizor decât pentru ea însăși16. Aceasta este legătura dintre sfera privată și libertatea individuală, iar protejarea sferei private ne garantează libertatea.
Pentru a parafraza titlul celebrei lucrări a lui Karl Polanyi, La Grande Transformation, dacă ar fi să caracterizăm efectul principal al informaticii de tip cloud, cu siguranţă l-am descrie ca „marea eroziune”.
Pentru a o evita, ni se oferă mai multe alternative. În primul rând, fiecare trebuie să rămână stăpânul datelor sale personale. Se poate vorbi despre proprietate, însă în sensul pe care acest termen îl avea în secolul Luminilor, care diferă de sensul capitalist și îl exclude pe cel pe care îl are acum. Într-adevăr, în timp ce, în secolul Luminilor, proprietatea era garanţia materială oferită fiecăruia – în întărirea celei deţinute de fiecare – împotriva puterii unuia singur (tiranul), în capitalism, proprietatea este dreptul exclusiv al fiecăruia împotriva tuturor ( Thomas Hobbes).

Acest  scop  poate fi   atins dacă  autorităţile   politice impun, pentru dreptul de a distribui datele orașului conectat,  o licenţă care să le asigure anonimatul în timp și care să ţină cont de evoluţia informaticii de tip cloud. Imposibilitatea  reidentificării datelor  orașului  conectat  trebuie  deci să fie obligatorie și presupune o vigilenţă permanentă. În această privinţă, Avrind Narayanan și Vitaly Shmatikov  ne reamintesc că

Polivalenţa și puterea  algoritmilor de reidentificare implică faptul că termeni precum «identificabil  personal»  și «cvasi-identificatori»  nu au nicio semnificaţie tehnică. Din moment ce anumite atribute pot identifica în mod unic, orice atribut poate fi identificat în combinaţie cu alţii.”

În plus, trebuie să ne asigurăm de caracterul deschis al datelor colectate și fiecare ar trebui să știe ce algoritmi, ce reguli de interpretare sunt aplicate datelor care îi privesc17.
În fine, trebuie respectate cu stricteţe relaţiile dintre indivizi și colectivitate, iar teoria informaţiei trebuie confruntată cu teoriile cunoașterii.

„Vast program”, spunea Charles De Gaulle. Tocmai de aceea, este cu atât mai pasionant.

Pascal Verniory1

Pascal Verniory este doctor în filozofie (opțiune transdisciplinaritate – etică, economie, drept), avocat cu drept de practică și, de mulți ani, responsabil juridic al Direcției generale a sistemelor de informații a Cantonului Geneva. În cadrul tezei sale transdisciplinare, a dezvoltat o viziune critică a drepturilor de autor așa cum sunt ele reglementate în prezent, propunând o abordare multidisciplinară (antropologie, sociologie, etică, economie, istorie, estetică și drept comparat); în spiritul opiniei sale despre raporturile pe care sâmburele personalității le are cu activitatea creatoare, autorul are o abordare personală și critică cu privire la robotică și la „inteligența” artificială.

1 Pascal Verniory își exprimă în acest articol punctul de vedere personal. Opiniile sale nu reflectă poziţia angajatorului său.
2 Noţiunile de dată și de informaţie sunt înţelese în mod diametral opus de către informaticieni și de către juriști: pentru juriști, data reprezintă forma brută (fără contextualizare sau interpretare) a informaţiei, în timp ce pentru teoria informaţiei – și deci pentru informaticieni – informaţia este cea care devine „dată” prin punerea acesteia în context. În cadrul acestui articol, noţiunea de „dată” trebuie înţeleasă în sensul pe care îl prevede legea.
3 BOGOST Ian, Home Monitoring Will Soon Monitor You, The Atlantic ( Washington), 11.11.2016.
4 MILLS Elinor, Google balances privacy, reach, 14.07.2005, CNET News, https://www.cnet.com/news/ google-balances-privacy-reach-1/, consultat la data de 25.03.2017.
5 GUILLAUD Hubert, Données personnelles : l’impuissance n’est pas le consentement, 11.06.2015,http://www. internetactu.net/2015/06/11/donnees-personnelles-limpuissance-nest-pas-le-consentement/, consultat la data de 25.03.2017.
6 GUILLAUDHubert, La valeur sociale de la vie privée, în InternetActu.net, nr. 241 (23.10.2009), http://www.internetactu.net/2009/10/21/la-valeur-sociale-de-la-vie-privee
7 SOLOVE Daniel J., The Digital Person : Technology and Privacy in the Information Age, New York University Press, New York 2006 ; “I’ve Got Nothing to Hide” and Other Misunderstandings of Privacy, în San Diego Law Review, vol. 44 (2007), pp. 745-772 ; http://papers.ssrn.com/sol3/papers.cfm?abstract_id=998565
8 GAFAM: Google, Amazon, Facebook, Apple, Microsoft
9 ROUVROY Antoinette, STIEGLER Bernard, Le régime de vérité numérique – De la gouvernementalité algorithmique à un nouvel État de droit, 07.10.2014, înSocio, La nouvelle revue des sciences sociales, 4 | 2015, Dossier : Le tournant numérique… Et après?, pp. 113-140 ; http://socio.revues.org/1251
10 În legătură cu acest subiect, a se vedea mai alesBORTOFT Henri, Prenons l’apparence au sérieux, Triades, 2012
11 SADIN Éric, La Silicolonisation du monde – L’irrésistible expansion du libéralisme numérique, L’Échappée, Paris 2016, pp. 108-109
12 PIRENAAlexis, Et si Google créait sa propre ville avec ses propres règles ?, 06.04.2016, www.numerama.com/ tech/161094-et-si-google-creait-sa-propre-ville-avec-ses-propres-regles.html, consultat la data de 28.03.2017
13 ARENDT Hannah, Le Système totalitaire – Les Origines du totalitarisme, Le Seuil, coll. Points, Paris 2002, p. 190
14 Titlul unei lucrări a lui Jean-François Malherbe ilustrează bine acest concept: Subiect al vieţii sau obiect al îngrijirii? (Sujet de vie ou objet de soins ? Introduction à la pratique de l’éthique clinique, Éditions Fides, Montréal 2007)
15 VERNIORY Pascal, “Human Sciences” or “Disciplines of the Subject”?, în Human and Social Studies – Research and Practices, Iaşi (România), vol. 2, nr. 3 (septembrie 2013), pp. 33-58
16 LACROIX Alexandre, En finir avec le hasard ?, în Philosophie Magazine, nr. 102 (septembrie 2016)
17 În acest sens se orientează și legislaţia europeană, odată cu adoptarea Regulamentului 2016/679 din 27 aprilie 2016 (regulament general privind protecţia datelor), care va intra în vigoare în mai 2018; acesta prevede că persoana vizată va putea să ceară socoteală operatorului responsabil cu prelucrarea datelor nu doar cu privire la datele personale din administrarea sa, ci și cu privire la algoritmii care le sunt aplicaţi.

302

Când vine vorba despre breșe și furturi de date, nu ducem lipsă de știri. În fiecare zi vedem titluri de știri, conform cărora instituții și mărci de renume au căzut victimele fraudatorilor. Și aceste incidente de profil ridicat nu reprezintă decât vârful aisbergului.

Introducerea noului Regulament General de Protecţie a Datelor (GDPR) în Europa, începând de anul viitor, care obligă la raportarea tuturor furturilor de date, va releva adevărata dimensiune a fenomenului.
Dar în timp ce transparenţa este bună, pe de altă parte multe organizaţii ar putea fi atrase într-o serie de activităţi frenetice în care strategia să se bazeze pe frică iar investiţiile să se concentreze pe tehnologii de blocare, ceea ce poate duce la sporirea fricţiunilor cu utilizatorii.

Experții scot în evidență problemele

Conform  unui studiu recent  iCyber-Security,  în care au fost  solicitate  opinii de la 10% dintre consultanţii independenţi de top în securitate cibernetică din UK, teama, competenţele reduse și reacţiile impulsive reprezintă norma atunci când se pune problema securizării activelor digitale britanice. Nu suprinde faptul că multe vulnerabilităţi pornesc de la practici neconforme, cum ar fi parole slabe – un punct comun de plecare pentru multe intruziuni.
Multe dintre acestea se datorează eșecului de a investi resurse, timp și efort pentru instruirea angajaţilor pe teme de securitate și protecţia utilizatorilor ceea ce duce la un deficit de competenţe cibernetice corespunzătoare și de expertiză în UK. Mult prea adesea se întâmplă ca un incident, o intruziune sau o pierdere de date să escaladeze securitatea cibernetică până la agenda priorităţilor din board-ul companiilor.
Studiul iCyber-Security întărește această opinie prin confirmarea faptului că 43% dintre consultanţii de securitate consideră că instruirea și competenţele reprezintă cea mai mare ameninţare cibernetică cu care companiile din UK se confruntă. Un procent ameţitor de 93% consideră că investiţiile în securitatea cibernetică sunt insuficiente. Și același procent menţionează că investiţiile în acest domeniu sunt determinate de „ameninţări”. La final, 40% consideră acoperirea media negativă a intruziunilor, iar 30% lipsa de resurse competente ca determinante pentru outsourcing-ul securităţii cibernetice.
Deci, ce se întâmplă și de unde provin majoritatea ameninţărilor?
Ei bine, se pare că Application Level și Distributed Denial of Service (DDoS) sunt cele mai comune forme de atac, „parolele slabe” fiind cea mai răspândită vulnerabilitate. Dacă privim spre viitor, 40% dintre consultanţii pe probleme de securitate se așteaptă ca ransomware-ul și, 30% Identity Harvesting (furtul de identitate), să devină mai proeminente în următorii
2-3 ani, iar serviciile de cloud și dispozitivele conectate (IoT ) să devină zonele cel mai frecvent ţintite.

Reglementare sporită și consecințe

Multor organizaţii lipsa reglementărilor din industrie nu le-a fost de ajutor. Puţini vor contesta faptul că utilizatorii și companiile au nevoie de mai multă protecţie. Noile reglementări GDPR europene, care vor intra în vigoare de la 25 mai 2018, sunt considerate de unii consultanţi ca fiind deja depășite.
Cu toate acestea, multe companii, în mod special IMM-urile, nu sunt pregătite pentru această nouă reglementare și pentru notificarea în 72 de ore a intruziunilor și pentru îndeplinirea cerinţelor implicate. Nerespectarea reglementărilor poate duce la amenzi mari de până la 4% din cifra de afaceri anuală. Atât pentru companiile mari, cât și pentru cele mici, aceasta ar putea duce la paralizarea afacerilor dacă mai adăugăm și pierderile de business și pierderea reputaţiei.

Să avem o abordare pozitivă

Pe măsură ce lumea noastră digitală crește, vor crește și incidentele de securitate cibernetică iar intruziunile vor deveni inevitabile. Este de înţeles că organizaţiile din UK se simt ameninţate de dimensiunea, complexitatea și consecinţele implicate de securizarea datelor lor.
Totuși, este vital ca organizaţiile să nu permită o atitudine negativă în privinţa investiţiilor în securitatea cibernetică, ceea ce ar exacerba situaţia. A venit vremea ca investiţiile în securitatea cibernetică să devină o „opţiune pozitivă” și nu una pur reactivă și făcută din dorinţa conformării.
În prezent 80% din investiţiile în securitatea cibernetică se concentrează pe 20% dintre ameninţări. Trebuie ca abordarea să fie reconsiderată cu atenţie pentru a rebalansa situaţia și a realoca investiţiile în zonele în care pot să aibă cel mai mare impact.
Organizaţiile trebuie să scape de reţinerile pe care le au și să comunice problemele de securitate cu care se confruntă. Mult prea adesea este cerut ajutorul specialiștilor DUPĂ ce datele au fost compromise, când deja este prea târziu. Este mult mai înţelept să determini, planifici și să elimini vulnerabilităţile ÎNAINTE ca o intruziune să aibă loc.
Mulţi experţi în securitate cibernetică consideră că riscurile pot fi reduse dacă sunt angajaţi mai repede, în momentul în care sistemele și procesele sunt proiectate. Aceasta le-ar permite să optimizeze infrastructura și investiţiile, să facă IT-ul mai productiv și să prevină riscurile viitoare prin inovaţie tehnică, bune practici și o instruire cuprinzătoare pe securitatea cibernetică.

Acoperirea deficitului de competențe

Aceasta ne conduce spre adevărata esenţă a problemei: lipsa acută de profesioniști în securitate cibernetică cu care se confruntă companiile din UK, unde peste două treimi din companii se confruntă deja cu probleme de recrutare pentru angajarea personalului necesar pentru a se apăra în cazul unor atacuri majore.
Aproape jumătate din companiile britanice afirmă că deficitul de competenţe are un „impact semnificativ” asupra clienţilor lor și au determinat intruziuni în calculatoarele lor. Acest fapt este simptomatic pentru deficitul global de experţi în securitate, care ar urma să ajungă la 1,2 milioane în 2020 și să crească cu 20% pentru a ajunge la 1,8 milioane în 2022, conform asociaţiei ISC Squared.
Este esenţial ca Marea Britanie să investească rapid în extinderea fondului de profesioniști acreditaţi în securitate cibernetică. Fraudatorii și infractorii cibernetici nu au graniţe, astfel încât companiile au nevoie de strategii de securitate cibernetică mai ample și de experţi mai bine calificaţi pentru a le proteja mărcile și a le asigura securitatea afacerilor de azi și de mâine.
În timp ce majoritatea companiilor au cel puţin câteva protecţii tehnice de bază, cum ar fi firewall-uri, software cu patch-uri la zi și programe anti-malware, puţine sunt conștiente că pot fi certificate pentru toate măsurile de protecţie care sunt necesare.

Să cultivăm talentele naționale

Chiar înainte de intruziunea NHS, Guvernul UK a recunoscut securitatea cibernetică ca fiind o problemă de importanţă naţională – nu numai pentru companii ci și pentru infrastructură.
Anul acesta, în februarie, s-a deschis National Cyber Security Centre (NCSC) pentru a se asigura o concentrare clară în definirea rolului National Cyber Security Council (NCSC) în prevenirea atacurilor. 12 echipe separate de guvernul central au sarcina de a aborda și preveni potenţiale atacuri cibernetice.
Pentru a extinde competenţele, Guvernul a încheiat un parteneriat cu British Computer Society pentru a introduce module de curs de securitate cibernetică în curricula cursurilor de știinţa calculatoarelor, pentru a crea un plus de 20.000 de oameni cu competenţe pe an. În același timp, s-a făcut o investiţie de 20 de milioane
de lire sterline într-o nouă curriculă, pentru a oferi mai multor mii dintre cele mai strălucitoare tinere minţi oportunitatea de a dobândi cele mai recente competenţe, în timpul ciclului secundar de studii, în cadrul unor cluburi extracurriculare. Se speră ca astfel să se identifice și să se inspire viitoarele talente pentru a ajuta Marea Britanie să se confrunte cu provocările pe care le va avea de înfruntat.
Suplimentar, acum există facilităţi de training dedicate pentru experţi acreditaţi, pentru ca aceștia să- și sporească cunoștinţele și expertiza.
De exemplu, iCyber-Academy din Thames Valley, susţine o gamă largă de certificări și programe de training ale vendorilor și workshop-uri regulate pentru dobândirea de competenţe, precum și cursuri online pentru cursanţii proprii dar și pentru consultanţi și experţi în securitate cibernetică externi. Se observă o creștere a solicitărilor de cursuri pe măsură ce mai multe companii, persoane fizice și instituţii educaţionale se înscriu pentru dezvoltarea de competenţe.

Rescrierea regulilor, începând de la vârf

Ar fi  ușor pentru companii  să se simtă copleșite  de ameninţări și de urmările intruziunilor asupra datelor, iar pentru personal și clienţi să fie anxioși în privinţa consecinţelor. Totuși, tratând problema securităţii cibernetice ca pe o pro- blemă „umană”, și nu ca pe o problemă puă de IT, companiile pot dobândi un oarecare control.
Prin intermediul unui training adecvat ei își pot înzestra personalul în așa fel încât să diminueze riscurile și să își încurajeze clienţii să-și administreze mult mai eficient setările de securitate, parolele etc. Printr-o abordare mai proactivă, și nu doar prin răspunsuri reactive, și prin extinderea investiţiilor pentru a include specialiști și consultanţi independenţi în securitate, precum și pentru suport IT, nu ar trebui să existe nici un motiv pentru care să nu își poată reduce vulnerabilităţile.
Multe dintre aceste schimbări trebuie să vină de la vârf. Aceasta presupune ca directorii executivi să își însușească o parte din problematică și să o includă pe agenda discuţiilor regulate despre business, să încurajeze și să sprijine iniţiativele de securitate cibernetică, să alcătuiască echipe multifuncţionale și să responsabilizeze angajaţii prin resurse corespunzătoare.
Pentru a schimba cu adevărat atitudinea faţă de securitatea cibernetică, „crearea unei lumi digitale mai sigure” trebuie să devină piatra de temelie a modului în care facem business – nu ca ceva de care să-ţi fie frică, ci ca o alternativă de îmbrăţișat, celebrat și în care trebuie investit.

Alison Hanley

Alison Hanley este un consultant de marketing independent, specializată în fintech, cloud, servicii mobile și securitate cibernetică. Cu o carieră care se întinde pe o perioadă de 25 de ani, ea a lucrat pentru câteva companii europene de IT de top, atât din zona de consumer cât și businesses-to-business.

280

Din poziția de consultant de securitate și arhitect de soluții, ajutând clienții europeni să își proiecteze și implementeze soluții de securi- tate pentru a-și proteja infrastructurile de rețea critice, de multe ori mă întreb de ce sunt companiile hack-uite. O întrebare care poate părea banală dar care este adânc înrădăcinată în faptul că natura noastră umană reprezintă adesea cea mai slabă verigă în sistemele
complexe de securitate cibernetică și că suntem supuși greșelii.
Dacă ești un profesionist sau un entuziast în domeniul securităţii cibernetice, atunci acest articol ţi se adresează. Voi detalia 7 motive datorită cărora companiile sunt hack-uite, din experienţa mea practică dobândită cu clienţi din diverse sectoare, cum ar fi bancar, sănătate, asigurări, petrol și gaze etc. Întrebarea nu este dacă compania în care lucraţi a fost hack-uită, ci când va fi. Planificarea și pregătirea continuă reprezintă cea mai bună protecţie împotriva atacurilor cibernetice.

1. Oamenii sunt cea mai slabă verigă

Oamenii sunt programaţi să facă greșeli. Acesta  este modul în care învăţăm. Așa am evoluat biologic. Uitaţi-vă la SpaceX, au făcut o sumedenie de greșeli, dar până la urmă au reușit să stăpânească rachete avansate și tehnologii spaţiale. Chiar și cu o echipă de experţi, au reușit să prăbușească o mulţime de rachete înainte de a reuși o aterizare de succes pe ISS.
Aceleași lucruri se aplică și în securitatea  cibernetică.  Vor fi făcute  greșeli, întrebarea nu este dacă, ci când. Când aceasta se întâmplă se deschide o fereastră de atac. Un hacker poate lovi prin acea breșă. Chiar și în reţelele cele mai strict  controlate,  oamenii fac greșeli.  Acest lucru este inevitabil, astfel că cea mai bună apărare este să implementezi măsuri de securitate robuste, dar și să te pregătești pentru o remediere rapidă.

2. Tehnologiile de securitate cibernetică sunt foarte puternice dar expertiza este scăzută

Pornind  de la toate relatările  care apar la știri,  despre o mulţime de companii mici și mari  care au fost hack-uite,  s-ar putea pune întrebarea naivă, de ce organizaţiile nu cumpără pur și simplu cele mai sigure și mai avansate soluţii și să-și rezolve problemele  de securitate. Lucrurile nu stau chiar atât de simplu.
Pe de o parte,  sistemele de securitate sunt proiectate,  implementate și administrate de oameni. Atâta timp cât ei rămân în ecuaţie, o eroare poate apărea oricând în lanţ. Mai mult, tehnologiile de securitate cibernetică sunt foarte puternice  și nu ducem lipsă de tehnologii extraordinare.
Nu trebuie decât să ne uităm la multitudinea de firme care oferă soluţii de securitate cibernetică avansate, care oferă o protecţie robustă în multe modalităţi unice. Pe de altă parte expertiza de a configura aceste produse sofisticate  de securitate,  pentru a obţine o performanţă  optimă rămâne deficitară  și foarte  de  nișă. Infractorii  cibernetici   știu că  există această deficienţă și o exploatează în interesul propriu.

3. Infractorii cibernetici sunt în avantaj

Infractorii cibernetici fac ceea ce fac din amuzament, pentru bani, spionaj guvernamental și industrial, raţiuni politice  etc. Ei au nevoie să găsească O singură fisură în sistem – fie tehnologică, fie socială – pentru a îi determina pe administratori  să se zbată să acopere și să protejeze TOATE defectele. Aceasta nu este o luptă de pe poziţii egale!

Cu suficientă răbdare și voinţă, până și cele mai protejate sisteme pot fi compromise de către infractori cibernetici dedicaţi și care deţin expertiză. Ceea ce contează cu adevărat este cât de rapid poate reacţiona o companie la deficienţele  de securitate,  acoperirea   găurilor,  să înveţe,  să răspundă, să facă traininguri  și să continue să întărească  măsurile  de securitate  și procesele în derulare împotriva atacurilor cibernetice.

4. Infracțiunile cibernetice sunt mai bine plătite

Infractorii cibernetici  se mută pe „câmpurile de bătălie  digitale”. Este de înţeles, din moment ce infracţiunile cibernetice sunt mai transparente, mai puţin riscante, iar posibilitatea de a fi prins pare a fi la depărtare.
Am putea să ne uităm la recentele atacuri cibernetice asupra mai multor bănci, care au prejudiciat sistemul Swift al băncilor cu mai multe milioane de dolari, în ceea ce pare a fi cel mai mare furt cibernetic  de până acum. Infracţiunile online sunt ne-simţite, sunt cibernetice și adesea nu lasă urme. nu este de mirare  că acestea reprezintă  o alternativă  mai sigură  pentru infractorii tradiţionali.

5. Oamenii mai ațipesc pe câmpul de bătălie cibernetic

Administratorii de securitate pot aţipi pe „câmpul de bătălie cibernetic”. Atunci când acest lucru se întâmplă, un infractor cibernetic  poate ataca. Cu excepţia cazului în care sunt puse la punct procese  pentru revizuirea continuă a sistemelor de securitate, îmbunătăţirea produselor, învăţarea din greșeli, și instruirea permanentă  a administratorilor și personalului, sistemul de apărare cibernetic  din orice organizaţie  va fi slab în faţa ameninţărilor avansate permanente (Advanced Persistent Threats – APT ).

6. Tehnologia evoluează foarte rapid și ritmul este neobosit

Tehnologia  evoluează  cu viteza  luminii,  astfel  că nu este de mirare că oamenii nu pot ţine pasul cu atacurile cibernetice. Poate că ar trebui să lăsăm mașinile, echipate cu inteligenţă artificială (AI) să se ocupe de administrarea securităţii   cibernetice și  să  asigure securitatea,   și  să scoatem oamenii din ecuaţie? Poate că este o abordare extremă, dar nu și nerealistă.
Pe  de  o  parte mașinile pot respecta   regulile,   fără nici o abatere,  și să ţină pasul cu atacurile cibernetice, precum și să se adapteze mai rapid decât ar putea să o facă oamenii. Ele nu vor aţipi pe câmpul de bătălie și s-ar putea dovedi mai puţin neglijente  decât oamenii în menţinerea  standardelor de securitate  și proceselor. Dar mai este încă o cale lungă de străbătut până când ‘Skynet’ va putea  apăra automat  organizaţiile împotriva infractorilor cibernetici, fără nici o intervenţie umană.

7. În spațiul cibernetic știi doar atât cât știi

Provocările spaţiului cibernetic sunt date de faptul că tranzacţiile fantomă se întâmplă mai rapid decât oamenii le pot percepe.  Ceea ce  se întâmplă cu  adevărat  în reţeaua ta ar putea fi un mister. Dar apelând la analiticele de securitate, este bine să știi ceea ce ar trebui să știi. Dar să știi ceea ce nu știi, ar fi și mai bine.

Marco Essomba

Marco Essomba este Certified Application Delivery Networking și Cyber Security Expert cu o bună reputație în companii de top din industrie. El este fondatorul iCyber-Security, o companie din UK, care permite organizațiilor din sectorul bancar, financiar, sănătate, retail și asigurări să își protejeze activele digitale.
https://www.linkedin.com/in/marcoessomba/
https://www.icyber-security.com

465

Oliviero Toscani, prin faimoasele sale fotografii folosite de către Benetton, a arătat de mult că publicitatea poate să fie folosită cu succes ca o media destinată atât promovării mărcii cât și ca un mijloc pentru a suscita dezbateri, schimburi de opinii și inclusiv polemici când este vorba de anumite tematici considerate tabu. Prin arta sa și cu sprijinul constant al brand-ului de îmbrăcăminte, Toscani a reușit să aducă lupta împotriva rasismului, împotriva prejudecăţilor contra SIDA, împotriva pedepsei cu moartea, sau împotriva atrocităţii războielor în câmpul vizual și în gândirea mai multor cetăţeni occidentali decât orice iniţiativă destinată acestor cauze.
Cine a fost recent în aeroporturile din Geneva, Basel sau Zürich a avut parte de surpriza unei noi campanii publicitare cu un concept similar, magistrală din punct de vedere al impactului asupra privitorilor, chiar dacă mai „soft” decât cele ale lui Toscani.

autor:
Laurent Chrzanovski

Laurent Chrzanovski

Două imagini ale lui Toscani, împotriva rasismului și împotriva pedepsei cu moarte 
© Oliviero Toscani/Benetton


Contrar tuturor așteptărilor, originalitatea acestei campanii este dublă: pe de o parte, are „cyber ” ca tematică centrală iar, pe de altă parte, nu este opera unei firme de IT sau a unui ziar, două sectoare la care ne-am fi așteptat în mod logic să adreseze acest topic.
Brand-ul asociat publicităţii este celebra societate de private banking Lombard Odier Darier Hentsch (pe scurt Lombard Odier), înfiinţată în 1796 la Geneva. În branding, actorii din private banking mizează în general pe reţete destul de consolidate, lăudând seriozitatea, discreţia, serviciul personalizat în slujba clientului și afacerilor sale. Recent, au apărut totuși idei publicitare mai noi, despre planetă sau despre tehnologii, dar oricum relativ generice și orientate spre promovarea unei consilieri de calitate pentru investiţii în domenii mai puţin cunoscute.
Cu noua sa campanie, Lombard Odier vine să scuture tradiţia și ne incită să ne gândim la schimbările informaţionale și tehnologice pe care le trăim din plin. Prin curiozitate, publicitatea își îndeplinește rolul său primordial: atrage interesul asupra băncii, unde pe site-ul propriu imaginile sunt reluate și alăturate unor explicaţii asupra topic-ului „provocat” de ilustraţii și ce poate banca să facă pentru clienţi.
Imaginile, cu textul lor, din punctul nostru de vedere, ar merita un premiu – dacă ar exista – de awareness: suscită emoţie în rândurile publicului și în consecinţă dorinţa individului de a afla mai multe. Mai mult, sunt o reușită totală întrucât în 3 imagini este rezumată toată schimbarea spre „4.0” și pericolele sale, pe scurt : 1) războiul informaţional; 2) Internet of Things și 3) Inteligenţa Artificială.

Războiul informațional

Afișul „post-truth”, explicat pe site-ul băncii prin articolul lui Stéphane Monier „The lens of investing: who can guide investors in a “post-truth” world?”1, este un adevărat îndemn la verificarea informaţiilor pe care le citim, în orice fel de media.
razboiul informationalPentru cine nu este obișnuit cu sectorul financiar, aflăm de fapt că și acest domeniu, cu toate ziarele și site-urile sale de specialitate, este
supus de ani buni unui val de informaţii false, greșite sau incomplete. În marele framework actual, putem să vedem că niciun sector nu mai este exceptat de la derapaje voite și de la războiul „info-intox” planetar care a atins vârfuri în domenii geopolitice și strategice cu recenta campania prezidenţială din S.U.A. și de atunci continuă zilnic cu aceeași intensitate. Calitatea și cantitatea informaţiilor false poate rapid să aibă efectul unui bulgăre de zăpadă, care devine de ce în ce mai mare până când „intox” se
sustituie „info-lui” și devine „adevăr ” în subconștientul oamenilor.
Această tematică și neologismul „post-truth” în sine2 au devenit chiar una dintre axele principale ale specialiștilor din sectorul public, academic și privat. Chiar nu este un fenomen nou, dar amplificarea sa pe zi ce trece ne va obliga pe fiecare dintre noi să presupunem din precauţie că o știre este falsă sau inexactă până la proba contrarie. „Încrederea” în domeniul digital nu se poate acorda decât extrem de rar, dacă facem comparaţie cu domeniul interacţiunii umane din viaţa reală.
Istoric, este greșeala noastră colectivă de a subestima (sau ignora) ani de zile acest război informaţional și efectele sale asupra modului nostru de a privi lumea în care trăim, și este suficient să reamintim două exemple care, singure, ne fac să înţelegem gravitatea fenomenului.
associated pressPrimul este faimosul „Hacked Tweet” al Associated Press din 23 aprilie 2013, care a anunţat „live” la 13:07 ora New York-ului că a avut loc un atentat la Casa Albă și că Președintele Obama este rănit. În câteva minute, Wall Street a avut un „crash” cu o pierdere de nu mai puţin de 136 miliarde de dolari în 3 minute, înainte ca știrile adevărate să permită bursei să revină la „normalitate”. Acest „intox ”, datorat spargerii contului twitter al Associated Press de către hackeri, este până acum, cel mai costisitor „fake news” din istorie prin efectul imediat și devastator.
Iar azi, trăim cu «fake news» care sunt concepute, gândite și bazate pe un efect pe termen mediu și lung, exact pe teoria bulgărelui de zăpadă. Nu au intenţia să provoce un crash în momentul publicării «știrii», dar doresc să modifice opinia publică și financiară asupra unui stat, unui business, unei persoane în timp, provocând așadar daune greu de reparat deoarece cantitatea «intox-ului» duplicat exponenţial este aproape imposibil de contrastat cu campanii de «counter-intel» la înălţimea tsunamiului provocat.
În acest sens, al doilea exemplu este poate și mai revelator prin masa impresionantă de date și în consecinţă de „știri” care circulă azi în domeniul digital. Conform studiilor recente, în mai puţin de 48 de ore se postează pe Internet echivalentul cantitativ al tuturor colecţiilor (printate și digitale) al celei mai mari biblioteci din lume, celebra Library of Congress din Washington – adică 161 de milioane de documente –, și în mai puţin de o săptămână sunt mai multe date noi online decât a produs în scris întreaga omenire până la nașterea www, ceea ce înseamnă că deja am ajuns la faptul – îngrijorător – ca 90% din datele și informaţiile accesibile azi au fost create… în ultimi 2 ani! Câte dintre acestea sunt false, incorecte, incomplete, manipulate, scurtate, în mod voit sau nevoit și apoi copiate și difuzate exponenţial?

Internet of Things

Afisul „threat”, explicat pe site-ul băncii prin articolul colectiv „Connected cows: how technology can help feed a growing population?”3 pune pe masă problema IoT văzută dintr-o perspectivă foarte interesantă.
internet of thingsCum poate un viţeluș să fie o ameninţare? Aceasta este întrebarea pusă de afiș. Pentru simplul motiv că datorită creșterii populaţiei mondiale, va fi nevoie (conform ultimului studiu FAO) să sporim în următorii 30 de ani cu cca. 60% creșterea animalelor, ori aceasta deja produce mai multe gaze nocive pentru atmosferă decât toate vehiculele rutiere de pe planetă împreună… Lăsând la o parte opiniile personale asupra nevoilor de produse animale în dieta cotidiană, cel mai spectaculos succes al unui sistem IoT combinat cu Inteligenţă Artificială și împachetat într-un ecosistem tehnologic robust și „taylor-made» va fi în domeniul gestiunii resurselor naturale.
Contrar marketingului de bază al producătorilor de „smart” orice (produse domestice sau de folos personal în general), se pune chiar problema esenţială: unde anume IoT aduce o ameliorare și unde nu. Și, mai ales, faptul că nici un profesionist (din agricultură sau din alte industrii) nu este nici informatician nici analist de date. Așadar, IoT trebuie văzut ca o componentă fundamentală dar de bază a unui set complet de sisteme și software concepute pentru domeniul căruia i se adresează și ţinând cont de toate caracteristicile acestuia. Mai mult, se insistă asupra faptului că în aceeași branșă, în funcţie de ţară sau de ecosistemul natural, nevoile agricultorilor pot să fie extrem de diferite între ele.
Așadar, datorită unui viţeluș adorabil și al cuvântului „ameninţare” ne dăm seama nu numai că avem o problemă mare cu resursele naturale, ci și că IoT nu este o soluţie miraculoasă pentru toate provocările cu care ne confruntăm. Dimpotrivă, alegerea necorespunzătoare a IoT, în viaţa noastră personală cât și profesională, nu numai că ne va aduce o cantitate de informaţii inutilă de gestionat, dar în plus va deschide noi uși pentru cyber-criminali. Încă odată, „taylor made” este secretul și al business-ului, și al unei securităţi reușite. Și acest sistem „croit pe măsură” se bazează pe dialog, încredere și înţelegerea reciprocă între furnizorii de sisteme informatice și consumatorul final.

Inteligența Artificială

Afișul „human”, explicat pe site-ul băncii prin articolul lui Johnny Mulholland „Why Artificial Intelligence sustainability is set to become a byword for good business?”4, este o provocare. Asociind cuvântul „uman” cu un cyborg, se creează baza unei dezbateri vitale pentru societate, adică împărţirea eficientă și etică între rolul umanului și rolul tehnologiilor și roboţilor. Este remarcabil cât se insistă în articol pe o formă de AI care să fie complementară și nu înlocuitoare a activităţilor umane.
Dezbaterea actuală despre big data, „dictatura algoritmilor”, „big brother(s)” și despre cine deţine și datele și mijloacele de a le exploata este foarte prezentă. Numai luările de poziţie clare ale clasei politice și ale societăţii civile, azi și în cei 2-3 anii care vor urma, sunt singurele care pot stabili o noua etică, o nouă morală, care să fie potrivită atât pentru a profita în mod benefic de pe urma tuturor inovaţiilor legate de AI, cât și pentru a evita ca AI să sfideze complet legile roboticii – adică să se întoarcă împotriva stăpânului său, în acest caz utilizatorii – sau să fie stăpânită de către un mic număr de actori mondiali pentru scopuri și beneficii proprii.

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru al „Roster of Experts” al ITU, membru al think- tank-ului „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

1292

Revoluția tehnologică – mega trendul începutului de secol XXI

Unul din cele mai importante trenduri ale sistemului actual este reprezentat de accelerarea schimbărilor în diferitele domenii știinţifice și tehnologice. Răspândirea tehnologiilor și accesul relativ facil și generalizat la ast- fel de tehnologii reprezintă pe fond o mare oportu- nitate dar și un mare risc. Evoluţia tehnologiilor a atras după sine creșterea exponenţială a vitezei de circulaţie a informaţiei, astfel că procesarea și vitezele uluitoare de transmitere a informaţiei ne-au schimbat fundamental viaţa și modul nostru de a trăi. Primul website a fost creat în 19911. În 1993 acestea au ajuns la 50 iar în 2000 au depășit cifra de 5 milioane.2 Primul email electronic a fost trimis în 1971 în timp ce din 2013 se trimit mai mult de 40 de trilioane de emailuri pe an.

autor:
Arthur Lazar, Cyberint

În plus, suntem înconjuraţi de o mare imensă de deviceuri și calculatoare. Centralitatea computerelor în viaţa noastră este un dat de care nu ne putem lipsi. Aproape că nu ne putem imagina viaţa fără accesul la un astfel de instrument, începând de la lecturarea curentă a presei în fiecare dimineaţă, consultarea emailului și alte chestiuni curente care fac deja parte din rutina noastră zilnică. Tehnologiile avansate din domeniul compute- relor ne fac să fim aproape dependenţi de acestea.
Internetul nu înseamnă doar transmitere și recep- ţionare de emailuri. Infrastructuri critice întregi începând de la companii producătoare de energie, transport sau comunicaţii sunt manipulate prin intermediul compu- terelor.
În fine, toate aceste computere nu există de unele singure. Ele sunt legate între ele, creionând un imens network. Prin urmare interconectarea globală este una dintre caracteristicile fundamentale ale așa numitei revoluţii tehnologice.
Așadar o concluzie certă se desprinde de aici: o mare parte din viaţa noastră zilnică este direct dependentă de deviceuri conectate prin Internet. Prin urmare se poate spune că o mare parte din viaţa noastră nu se mai pe- trece exclusiv în spaţiul fizic, ci în spaţiul virtual.
O transformare similară este resimţită și în sfera puterii, privită din perspectiva relaţiilor internaţionale. Noua realitate are ca efect schimbarea naturii puterii. Distribuţia acesteia este mult mai accentuată în timp ce difuziunea ei a atins cote extrem de ridicate (actori aproape anonimi pot ajunge să deţină resurse informaţionale semnificative care convertite în putere efectivă pot crea probleme inclusiv statelor naţionale).

Puterea cibernetică – definiție și caracteristici

Apariţia noului tip de realitate virtuală ca un element intrinsec al vieţii noastre a avut o influenţă majoră în schimbarea caracteristicilor puterii și a generat practic apariţia acestei noi categorii – puterea cibernetică.
Există foarte multe încercări de a defini puterea cibernetică. Numai în literatura americană pot fi identificate câteva zeci, fiecare dintre acestea sur- prinzând doar o anumită faţetă a puterii sau doar o parte din ceea ce este în general puterea cibernetică.
Una din cele mai complete definiţii a termenului, general acceptată în literatura de specialitate, este cea oferită de Daniel Kuehl, care consideră că „puterea cibernetică este abilitatea de a utiliza spaţiul cibernetic pentru a crea avantaje și a influenţa elementele în toate mediile operaţionale și peste toate celelalte instrumente ale puterii”.
Se impun a fi făcute prin urmare câteva precizări.
În primul rând puterea cibernetică este o expresie firească a evoluţiei tipu- lui de geografie, practic un nou domeniu de manifestare a puterii. Acum 200 de ani puterea actorilor de pe scena internaţională se exercita prepon- derent terestru. Armate întregi, infanterii, cavalerie grea sau ușoară duceau greul luptelor preponderent pe uscat. La începutul secolului XX dezvoltarea tehnologiilor navale și apariţia flotelor maritime mari au pus în exploatare spaţiul maritim. Alfred Mahan, general american și profesor la Academia Navală de Război, a defilat la începutul anilor 1900 cu o imensă flotă americană de război atrăgând atenţia încă de pe atunci că o mare putere urma să apară: SUA5. Ulterior, odată cu dezvoltarea tehnologiilor aeriene, spaţiul aerian a început să fie utilizat ca resursă de putere. Se spune că al Doilea Război Mondial a fost câștigat ca urmare a contribuţiei decisive a flotei aeriene de care dispunea tabăra aliaţilor. În sfârșit, la începutul anilor 60-70 și ulterior perioada de apogeu din anii 80 în timpul administraţiei Reagan, odată cu începerea Războiului Stelelor și a cursei înarmărilor fără precedent, câmpul de luptă s-a mutat în extra spaţiu. De dată mai recentă, în contextul exploziei Internetului, resursele spaţiului cibernetic sunt din ce în ce mai utilizate spre a fi transformate corespunzător.
În al doilea rând, puterea cibernetică nu prezintă valoare fără capabilităţi de proiecţie. În accepţiunea behaviouristă, orice putere trebuie să aibă capacitatea de a se impune în faţa alteia, de a produce efecte și de a modela și influenţa comportamente.6 Pentru aceasta este nevoie de capacitate de proiecţie a puterii. Așa cum apariţia flotelor navale facilita transportul trupelor, mărea mobilitatea infanteriilor, îmbunătăţea capabilităţile logistice și proiecţia puterii cibernetice trebuie văzută în aceeași logică, capacitatea de proiecţie fiind prin ea însăși o resursă de putere. În cazul puterii ciber- netice proiecţia se realizează aproape instantaneu. Așa cum spunea un renumit strateg militar american, prin intermediul puterii cibernetice se pot produce daune la adresa unor infrastructuri aflate la mii de km depărtare într-o secundă, doar cu ajutorul unui click al unui mouse.7 Așadar, puterea cibernetică, deși asemănătoare la o primă vedere cu celelalte tipuri de putere (navală, aeriană sau spaţială), este diferită de acestea și în același timp superioară lor.

Concluzia care se desprinde de aici este că puterea cibernetică are cel puţin 4 dimensiuni manifestate în toate cele 4 tipuri de spaţii de care am vorbit (terestru-naval-aerian-cyber).

În al 3 lea rând puterea cibernetică nu este doar o expresie a noului tip de geografie sau a noului tip de spaţiu virtual. Aceasta, asemenea celor- lalte tipuri de putere (economică, militară, organizaţională sau socială), este o resursă sau o sumă de resurse care contează în indexul general al puterii. Mai mult fiind o resursă care poate influenţa fundamental celelalte tipuri de putere, se pare că deţine o pondere semnificativă în orice formulă menită să facă clasamente și să calculeze indexul general de putere.
Aceste sume de caracteristici ne deschid practic un nou orizont de in- terpretare. Fiind mai mult decât o expresie a spaţiului cibernetic, puterea cibernetică înseamnă mult mai mult decât ce a însemnat puterea navală în era dezvoltării maritime, sau puterea spaţială în anii Războiului Stelelor. La momentul respectiv niciuna dintre acele puteri nu putea fi considerată prin ea însăși pilon al puterii în general, ci cel mult indicator care de cele mai multe ori avea o reflexie în alte tipuri de putere, de cele mai multe ori militară dar și economică. Puterea cibernetică este însă o expresie a realităţii noastre zilnice, iar acest aspect alături de puterea economică, militară, organizaţională și socială o face un pilon al puterii în general, practic al 5-lea pilon al puterii generale. Nu se poate face abstracţie de tipurile de putere tradiţionale, pentru că ele contează în continuare. Multe doctrine militare subliniază faptul că acolo unde infanteria nu poate ajunge nu se poate vorbi de dominaţie! Recentele războaie din Irak și Afganistan par să demonstreze acest lucru. Însă cu siguranţă aceste tipuri de războaie nu se poartă exclusiv cu mijloacele de luptă tradiţionale!
Aceasta este accepţiunea acestui articol și anume aceea că puterea în sistem, atât în prezent dar mai ales în viitor, va depinde fundamental de resursele cibernetice existente și mai ales de cel care va deţine cât mai multe din astfel de resurse.

Resursele puterii cibernetice

Puterea depinde de resurse iar puterea cibernetică depinde în primul rând de resursele cibernetice și mai ales de capacitatea de transformare a acestor resurse în dividende reale de putere.
Paul Kennedy, în studiul său legat de ascensiunea și decăderea marilor puteri, arată că dinamica schimbării în sistem este impulsionată în principal de evoluţiile economice şi tehnologice8. Aceste evoluţii economico
– tehnologice au depins de variate categorii de resurse. Structurile producţiei s-au schimbat de la perioadă la perioadă iar acestea afectează în mod direct economia şi tehnologia. Capacitatea de inovaţie tehnologică a făcut în toate perioadele istorice diferenţa. Prin urmare capacitatea de conversie a resurselor este fundamentală şi oferă un anumit avantaj unor societăţi în raport cu altele. Apariţia corăbiilor cu bătaie lungă şi dezvoltarea comerţului în spaţiul atlantic după 1500 a adus bene- ficii acelor state europene care au ştiut să le fructifice, după cum dezvoltarea ulterioară a motorului cu abur şi resursele de cărbune şi metal pe care acesta se baza au sporit masiv puterea relativă a unor naţiuni diminuând-o pe a altora.9 Altfel spus, bogăţia sau puterea economică este necesară pentru a susţine puterea militară după cum puterea militară e necesară pentru a dobândi și a produce bogăţie. Așadar tipurile de resurse și putere se influenţează unele pe altele și creează avantaje relative la nivelul statelor care se află în vârful ierarhiei.
Însă niciuna din aceste resurse de putere nu a avut o influenţă multilaterală asupra celorlalte instrumente ale puterii așa cum se întâmplă cu resursele puterii ciberne- tice. Apariţia noului spaţiu cibernetic este cauza acestei stări de fapt, întrucât niciodată în istorie o dimensiune de acest gen nu a avut influenţă atât de covârșitoare asupra celorlalte. Resursele cibernetice au un rol esenţial asupra puterii economice, după cum aceleași categorii de resurse influenţează esenţial modul în care se duc anumite războaie moderne. Secolul XXI este prin excelenţă un secol al resurselor de tip cyber. Globa- lizarea şi revoluţia informaţiei generează noi resurse ale puterii. Controlul reţelelor şi conectarea devin o sursă importantă de putere.
Puterea cibernetică utilizează capabilităţile spaţiului cibernetic pentru a se putea manifesta. Resursele sale sunt cele izvorâte din mediul cibernetic iar eficienţa sa depinde asemenea celorlalte tipuri de putere de modul în care se pot combina toate aceste tipuri de resurse. Pen- tru aceasta este nevoie de o înţelegere cât mai aplicată a spaţiului cibernetic. Asemenea puterii, și spaţiul ciber- netic este privit într-o multitudine de accepţiuni și este analizat după o sumedenie de variabile.10
Într-o accepţie generală putem spune că „spaţiul ciber- netic este o realitate virtuală, complet imersivă, în interiorul căreia utilizatorii reţelelor de computere din lumea întreagă pot comunica și reacţiona reciproc”. 11 Acest spaţiu este re- lativ ușor de accesat de o gamă destul de mare de actori, este de asemenea relativ ieftin ceea ce îl expune nu doar unor oportunităţi ci mai ales unor riscuri.
Întrucât prezenta lucrare tratează puterea cibernetică și spaţiul cibernetic din perspectiva relaţiilor internaţionale se impune a se sublinia faptul că cyberspace-ul și noile tehnologii asociate acestuia au început încă din anii 90 să schimbe doctrinele militare de război. Războiul cen- trat pe reţea (network centric) a început să-l înlocuiască pe cel centrat pe platforme (capabilităţi militare) chesti- une subliniată încă acum 20 de ani de Jay Johnson (ex șef al operaţiunilor navale ale US Navy între 1996-2000).
Practic mecanismul de ghidare al unei rachete în dru- mul său către ţintă depinde de modul de poziţionare al unui satelit care la rândul său depinde de infrastructura și comenzile care sunt trasate prin cyberspaţiu. Mai mult, părerea unanimă a specialiștilor este că transformarea doctrinelor și mecanismelor operaţionale ale armate- lor moderne depinde în cea mai mare măsură de ex- ploatarea cât mai bună și mai eficientă a capabilităţilor cyberspaţiului.
Revenind la categoriile cele mai importante de resurse utilizate și aplicate în cyberspaţiu, se poate spune că acestea se clasifică în 3 mari categorii:

1. Resurse fizice: device-urile făcute de om la care se adaugă infrastructura care permite ca informaţia să circule (computere, telefoane celulare, fibre optice, sis- teme de comunicaţii spaţiale, infrastructuri critice, sisteme industriale)
Equation group victims mapControlul resurselor fizice care compun cyberspaţiul este extrem de important în indexul puterii ciberne- tice. Întreaga comunitate euroatlantică este cel puţin îngrijorată de invazia echipamentelor chinezești pe aceste pieţe. Preţul scăzut înaintat de aceste companii este aproape impo- sibil de a fi combătut într-o economie globală acest aspect fiind de natură să provoace foarte multe vulnerabilităţi. Grupul „Equation”, asociat de ma- joritatea experţilor de pe piaţa de reverse engenneering cu un gruparea de spionaj electronic a NSA-ului – TAO (Tailored Acces Operation), și-a bazat strategia de atac pe infecţia firmware-ului hardiskurilor celor mai impor- tante companii care comercializează astfel de produse pe piaţa liberă.
Pentru aceasta era nevoie desigur de acces la documentaţia de bază a hard diskurilor, ceea ce în realitate presupune deţinerea unor categorii de resurse pe care foarte puţini și le permit.

2.  Know how–ul care face ca informaţia să circule;
Know how-ul este de asemenea foarte important. Nici Stuxnet și nici Duqu nu ar fi putut produce pagube atât de devastatoare în sistemele industriale ale Iranului dacă nu ar fi fost rezultatul unei inginerii tehnologice foarte avansate și sofisticate. Vreme de câţiva ani experţii AIEE (Agenţia Internaţională de Energie Atomică) și un întreg aparat de specialiști ai statului iranian nu au reușit să găsească o explicaţie plauzibilă a cauzei care ducea la defectarea sistemică a centrifugelor din centralele nucleare de la Natanz, un oraș din centrul Iranului unde se aflau situate aproximativ 9000 de astfel de sisteme. Deși rata de defectare a acestora în condiţii de exploatare normale era de aproximativ 10% pe an, numai în câteva luni au fost înlocuite peste 2000 de centrifuge din totalul existent.15 Numai câţiva ani mai târziu o mică firmă ucrainiană de reverse engineering avea să descopere cauza: Stuxnet una din cele mai sofisticate arme cibernetice create vreodată, ascunse în 500 kb de memorie instalaţi într-un pachet „legitim” de date pe serverele care controlau centrala nucleară în cauză. Imensul scandal internaţional care a apărut în prima jumătate a anului 2010 a arătat într-un mod evident cum puterea cibernetică poate fi un instrument extrem de eficient chiar în faţa unei blocade economice sau acolo unde metodele tradiţionale nu pot interveni.

3.  Factorul uman – Factorul uman este de asemenea unul dintre cele mai importante resurse de putere. Puterea cibernetică fiind un pilon al puterii în general are nevoie la rândul său de un factor uman eficient. Cu cât factorul uman este înalt calificat cu atât șansele eficacităţii puterii ciberne- tice cresc. Este binecunoscut faptul că grupările hackiviste chinezești care deţin o pondere însemnată în economia grupărilor hackiviste din întreaga lume reușesc să provoace probleme majore pe scena internaţională, atât prin atacarea infrastructurilor critice cât și prin activităţi intruzive de asociate spionajului. Se impune a fi subliniat ca aceste echipe organizate de hacking sunt alcătuite din un număr foarte mare de persoane cu înaltă pregătire tehnologică. Factorul uman poate fi și o mare vulnerabilitate. Edward Snowden a provocat pagube enorme NSA–ului odată cu decizia sa de a face publice operaţiunile sale secrete. În plus apropierea acestuia de pu- terea rusă și Kremlin se pare că a oferit acestui stat oportunităţi pe care altfel nu le-ar fi putut avea.
La aceste resurse în funcţie de context se poate adăuga informaţia, ca resursă de putere cyberspaţiul fiind în sine un mediu informaţional unde informaţia este creată, stocată și ulterior împărtășită. Cunoașterea ulterioară care rezultă din acest proces și din aceste interacţiuni extrem de rapide este percepută ca resursă de putere și ajută de exemplu în decision-making.
Joseph Nye arată că și puterea cibernetică ca tip important de putere, are o dublă natură: hard și soft. Totodată aceasta se poate manifesta în interiorul cyberspaţiului cât și în exteriorul acestuia.17 Atacurile cibernetice care targetează o ţintă reprezintă un tip de resursă hard în timp ce o campanie de diplomaţie publică derulată prin Internet menită să influenţeze opinia publică poate fi considerată o resursă blândă de putere cibernetică. În acest proces este semnificativă credibilitatea actorului care diseminează mesa- jul, credibilitate care poate fi înţeleasă chiar ca o resursă de putere.18 Cu cât mai multă credibilitate deţine un actor cu atât mai multe șanse de eficienţă a mesajului diseminat există. Credibilitatea însă se construiește greu și se poate pierde într-o clipă. Strategia prin care se menţine și se conservă credi- bilitatea este o artă pe care în realitate foarte puţini o au. Așadar, așa cum spune același politolog american, în zilele noastre se poate ca războaiele să fie câștigate de „cei care au cea mai bună naraţiune”19. Și am putea adăuga, de cei care au cea mai bună naraţiune credibilă.
Provocarea majoră cu care ne confruntăm atunci când încercăm să analizăm puterea și resursele acesteia este reprezentată de evaluarea legată de ponderea fiecărei resurse în indexul general de putere. Și în cazul puterii cibernetice fiecare resursă are desigur influenţă diferită în ecuaţia finală. Mai mult acestea depind de un anumit context de manifestare, ase- meni puterii în general. Rămâne o sarcină a mediilor academice să facă în continuare aproximări legate de ponderea fiecărei resurse în ecuaţia finală de putere.

“Hacking” și „reverse engineering” – cele două fațete ale puterii cibernetice

Ca și în cazul celorlalte forme de putere și puterea cibernetică se exprimă nu doar prin resursele de care dispune sau capacitatea de proiecţie. Cel puţin la fel de importantă este capacitatea de apărare. Aceasta este preponderent un atribut al statelor, atunci când vorbim de protecţia unor infrastructuri cri- tice mari. Capacitatea de proiecţie a forţei sau a puterii trebuie sincronizată cu capacităţile de protecţie pentru că nimic nu poate fi mai devastator decât exploatarea unei securităţi defensive slabe sau a vulnerabilităţilor care apar în sistem atunci când protecţia este ineficientă.
Demult, în formele tradiţionale de putere, capacitatea de apărare era di- rect influenţată de resursele defensive specifice spaţiului fizic de care dispu- neau actorii din sistem. Existau așadar cetăţi și fortificaţii amplasate strategic, regimente și armate extrem de mobile pregătite să protejeze un teritoriu. Ulterior flotele navale și aeriene au avut menirea să apere actorii din sistem. Cele două feţe ale puterii cibernetice nu au acţionat însă separat. Multe doctrine militare susţin că cea mai bună formă de apărare este atacul. În zilele de azi un sistem avansat de protecţie poate fi văzut ca o ameninţare. Așa este cazul sistemului de apărare antirachetă a SUA dislocat în mai multe ţări europene văzut de Rusia ca o ameninţare directă la adresa securităţii sale, chiar dacă sistemul are menirea fundamentală să protejeze teritoriul american și nu are capabilităţi de atac. Dezvoltarea sistemului internaţional în special după cel de-al Doilea Război Mondial a arătat că practic cei mai importanţi actori din sistem au preferat să ţină conflictul militar în afara graniţelor naţionale. Așa se face că mecanismele de proiecţie a forţei au împins războaiele către periferie, în ţări din Lumea a III a, Coreea, Vietnam sau Afganistan fiind doar câteva exemple.
În cazul puterii cibernetice situaţia a suferit o schimbare majoră în- trucât realitatea ultimilor ani arată că inclusiv cei puternici pot fi loviţi major în interior și nu neaparat în afară, de capabilităţile cibernetice ale adversarului.
Există așadar 2 faţete ale puterii cibernetice sensibil corelate între ele:
O componentă defensivă – denumită în literatura de specialitate cybersecurity.
O componentă ofensivă care ţine mai degrabă de capacitatea de proiecţie a puterii.
Pentru ca un actor din sistem să deţină putere cibernetică semnificativă nu doar că este nevoie să deţină capabilităţi în ambele sensuri ci trebuie să identifice inclu- siv un mecanism de balansare a acestor tipuri de resurse. Problema majoră în cazul puterii cibernetice este că spre deosebire de formele tradiţionale de putere cele două faţete (ofensiv și defensiv) presupun antamarea unor ti- puri diferite de resurse. Așa se face că vulnerabilităţile re- zultate de pe urma unui sistem de protecţie ineficient nu pot fi suplinite de capacităţi de atac.
În privinţa conceptului de cybersecurity este aproape unanim acceptat că pentru ca protecţia să fie eficientă trebuie îndeplinite 3 obiective majore:20 confidenţialitate, integritate și disponibilitate.
Confidenţialitatea se referă la protecţia fizică a datelor. Aceasta se realizează prin mecanisme tehnice de criptare și control al accesului.
Integritatea presupune consolidarea mecanismelor astfel încât sistemul să nu fie afectat fără un tip de auto- rizare. Spre exemplu în cazul Stuxnet, pericolul și ulterior pagubele au apărut ca urmare a accesării sistemului și resurselor acestora de o intruziune care părea legitimă, astfel încât sistemul de antiefracţie (firewalul și anti- virusul instalat) nu numai că nu detectau intruziunea dar o vedeau ca fiind una normală.
Disponibilitatea sistemului presupune capacitatea de a menţine resursele și funcţionarea generală pentru o perioadă de timp. Principul de la care se pornește este că sistemul trebuie de așa natură creat încât nu trebuie utilizate vulnerabilităţile de nefuncţionare de către ata- cator. Disruperea unei întregi reţele de infrastructuri prin atacuri de tip DDOS ar putea exprima cel mai bine această caracteristică.
În viziunea Singer – Fridman, la aceste trei caracteristici este adăugată cea de-a patra: rezilienţa21. Aceasta pornește de la premisa că inevitabilul oricum se produce sens în care sistemul trebuie menţinut să funcţioneze chiar dacă este atacat. Pentru aceasta însă este nevoie de resurse foarte mari pe care nu orice actor și le poate permite.
Cele două faţete ale puterii acţionează diferit. Resursele antamate sunt diferite. Strategiile sunt de asemenea diferite. Paradoxal reverse engineering-ul este cel puţin la fel de complicat ca și hackingul. Printr-o analogie, este asemenea spionajului și contraspionajului. Prima metodă vizează captarea de informaţii de multe ori ca scop în sine, în timp ce a doua vizează soluţii de protecţie a sistemului de atacatorii spioni. Problemele apar însă atunci când adversarii nu sunt vizibili, întrucât eficienţa măsurilor tinde către zero.
Soluţiile pentru un sistem de cybersecurity avansat nu sunt foarte multe. S-ar putea de exemplu dezvolta anumite entităţi de protecţie antivirus (firme sau softuri) care să protejeze sistemele. Acestea sunt însă extrem de costisitoare și de multe ori își dovedesc ineficienţa. În alte cazuri parteneriatele public private sunt văzute ca o variantă suplimentară, cu menţiunea că nu toate statele sunt dispuse să apeleze la protecţia secretelor proprii externalizând serviciile de pază către entităţi private. În sfârșit, nu în ultimul rând se apelează la programe de security awareness sau early warning în rândul agenţiilor guvernamentale și a angajaţilor acestora. Armele ciber- netice sunt însă înalt tehnologizate și folosesc un know how sofisticat care face ca senzorii de protecţie să fie de foarte multe ori ineficienţi.

Actorii puterii cibernetice

Atunci când discutăm despre actorii puterii ciberne- tice ne lovim de o barieră importantă: imperceptibili- tatea acestora. Această caracteristică derivă din însăși na- tura spaţiului cibernetic, care, așa cum am arătat anterior, este din ce în ce mai permisiv și permite nu doar statelor ci și altor actori (non statali) să se manifeste.
De sute de ani încoace sistemul internaţional a fost clădit în jurul noţiunii de stat. Indiferent de forma sistemului (unipolar, bipolar, multipolar) după încheierea păcii de la Westphalia statele naţiune au devenit piatra unghiulară a sistemului internaţional. Puterea era prin urmare distribuită doar între acestea iar diferenţele de clasament se manifestau în sus sau în jos dar raportat ex- clusiv la astfel de entităţi. Puterea statelor și resursele de care acestea dispuneau erau vizibile și adesea măsurabile și se exprimau fie prin armate puternice, resurse naturale considerabile, tehnologii avansate sau economii eficien- te. Puterea era oarecum perceptibilă!
În zilele noastre, difuziunea puterii se exprimă prin di- luarea substanţei actorilor. Nu doar că actori non statali pot acumula putere relativă dar chiar indivizii pot pune probleme în cyberspaţiu unor actori mult mai mari pre- cum statele și asset-urile acestora. Se deduce așadar în momentul de faţă că „player-ii” din sistem sunt distribuiţi după o formulă care situează la un capăt indivizii apoi agregatele sau grupurile de indivizi cu organizare relativă (grupuri non statale, ONG uri, hackiviști) iar la celălalt capăt se află statul.
Acest tip de clasificare, fără alte explicaţii, este totuși simplistă atunci când vorbim de distribuţia puterii în sistemul internaţional. Problema majoră care se pune este legată de acele tipuri de transformări care pot cu adevărat să producă efecte în cadrul sistemului.
Equation group victims mapÎntrucât discutăm de sistemul internaţional și indexul general de putere una din întrebările prezentului studiu este legată de acea categorie de actori, resurse și evenimente care pot într-adevăr să influenţeze clasamentul din sistem. Din acest motiv, problema actorilor ca element definitoriu pentru puterea cibernetică în sistemul internaţional trebuie tratată în corelaţie cu tipurile de ameninţare dezvoltate precum și cu consecinţele și impactul acestor ameninţări. Nu în ultimul rând intenţiile actorilor și tipul de resurse utilizate reprezintă un indicator al naturii entităţilor deţinătoare de putere cibernetică din interiorul sistemului internaţional. Cu alte cuvinte, întrebările ar fi: care este intenţia adversarului, care sunt ţintele sale, ce tipuri de resurse accesează, care este impactul ameninţării?
Aceste noţiuni de clasificare sunt importante și le regăsim și în sistemul formulelor tradiţionale de putere. Numai că dacă în aceste din urmă cazuri indicatorii respectivi ajută mai degrabă la nuanţarea mecanismelor puterii în cazul puterii cibernetice criteriile sunt esenţiale pentru că ajută în procesul de atribuire. Cum altfel s-ar putea crea clasamentele cibernetice din sistem dacă nu în baza unor comparaţii între actori? Pentru aceasta este nevoie să fie cunoscut: cine sunt actorii și care este potenţialul lor de putere.
Aspectul corelativ al acestei concluzii se referă la problema conţinutului resurselor antamate. Cu alte cuvinte, accesul sau permisivitatea tuturor ac- torilor din sistem se manifestă uniform în privinţa tuturor categoriilor de resurse? Toţi actorii, indivizi, grupuri mai mult sau mai puţin organizate au acces la resursele de fibră optică care traversează oceanele sau sunt capabili să utilizeze resurse extrem de scumpe de tip „0 day”? Evident nu!
Făcând analogia cu formele tradiţionale ale puterii, entităţile care puteau cu adevărat să mobilizeze sume considerabile de resurse erau statele. Apli- carea sau utilizarea unui anumit tip de resurse (o escadrilă de bombardiere strategice de exemplu) nu numai că era extrem de costisitore dar era atribu- tul exclusiv al statelor. Escadrila de avioane nu era deţinută nici de grupări consolidate ad hoc și nici de indivizi răspândiţi în cele mai îndepărtate locuri pe glob. Mai mult, utilizarea acelui tip de resursă producea efecte în planul exercitării puterii din sistem.
În cazul puterii cibernetice lucrurile sunt oarecum diferite. Permisivitatea accesului la resurse și rapiditatea transformărilor poate face ca mai devreme sau mai târziu o categorie largă de entităţi să le poată utiliza aproape după bunul plac.
În fine, intenţiile și consecinţele care decurg din manifestarea unei ameninţări pot într-adevăr influenţa sau schimba puterea celuilalt? În formele tradiţionale de putere intenţia era reprezentată preponderent de dorinţa actorilor din sistem de a obţine poziţii dominante în raport cu ceilalţi actori, de regulă adversari. Se schimbă situaţia în cazul puterii cibernetice?
Includerea unor elemente de interpretare legate de intenţii, valori, forme organizaţionale ne aduc în zona teoriilor constructiviste și la o primă vedere pot complica mecanismul de evaluare a puterii cibernetice cel puţin din punct de vedere al potenţialităţii sale. Realitatea arată că intenţia poate fi un corelativ extrem de important atunci când încercăm exerciţii de atribuire a actorilor deţinători de putere cibernetică. Intenţiile ne pot oferi indicii su- plimentare legate de calitatea actorului. Spre exemplu un hacker situat în Singapore poate să își dorească să obţină credenţialele cardurilor câtorva clienţi din cadrul unei bănci pentru a le putea fura banii. În alte situaţii un grup organizat de hackeri ar putea să încerce să atace o companie pen- tru a vinde secretele concurenţei. Este puţin probabil însă ca aceste tipuri de activităţi și consecinţele care decurg de aici să producă efecte majore în sistemul internaţional. Dacă însă un așa zis de grup hackivist reușește să paralizeze sistemul bancar dintr-o ţară într-o perioadă de criză atunci este cu totul altceva. Dacă criza respectivă este asociată și cu un context militar încordat atunci avem indicii suplimentare legate de potenţiala identitate a actorilor implicaţi. Dacă atacul în cauză implică acces considerabil la resurse atunci este rezonabil să luăm în calcul faptul că în spatele atacurilor respec- tive ar putea fi un actor statal.
Concluzia care se desprinde de aici este că deși puterea este din ce în ce mai distribuită în sistem, totuși deţinătorii cei mai importanţi de resurse rămân în continuare statele. Aceștia nu sunt doar cei mai importanţi ci și „cei mai periculoși”.22 Experienţa demonstrează că cyberspionajul și cyber- sabotajul intră prin excelenţă în apanajul statelor, singurele care pot și au, cel puţin deocamdată, resursele dar și intenţiile și motivaţiile pentru a derula astfel de activităţi.
Dar cum putem spune dacă o armă cibernetică este utilizată de un stat sau de un grup hackivist independent? Sau care sunt criteriile in funcţie de care putem spune asta? Dacă o armată este vizibilă și măsurabilă atunci ea poate fi ușor legată de o anumită putere. Armele cibernetice însă sunt dificil de perceput. Rămâne în sarcina specialiștilor de cyberintelligence să rafi- neze criteriile de atribuire. Până atunci putem doar să încercăm să găsim criterii plauzibile de atribuire.
Există câteva mecanisme care oferă suport pentru atribuiri plauzibile. Se pot enumera printre acestea victimologia, intenţiile atacatorului și resursele utilizate. Desigur la acestea se pot adăuga ingineria mecanismelor de cercetare specifice reverse engineering-ului. Există în momentul de faţă multe firme specializate de profil care emit rapoarte pe acest segment. Nu toate dintre acestea sunt însă credibile și de multe ori dovezile pe care le scot pe piaţă se arată a fi insuficiente. Acest segment rămâne o poartă deschisă și poate unul din cele mai importante tronsoane pentru consolidarea unui spaţiu cibernetic sigur la nivelul entităţilor naţionale.
Așadar, combinând cuantumul resurselor, victimologia (răspândirea geografică și calităţile ţintelor) precum și intenţiile atacatorului putem obţine indicii rezonabile legate de potenţialul de putere cibernetică al acto- rilor din sistem și putem ajunge la identificarea acestora.
Există așadar 3 straturi sau mai bine zis 3 niveluri de concentrare a puterii24: la nivelul agenţiilor guvernamentale (statal), la nivelul organizaţiilor înalt structurate (companii, ONG uri, grupuri hackiviste) și la nivelul organizatiilor slab structurate (nivel individual).
Apoi, cele 3 straturi nu sunt stabile. Indivizii și know how lor pot suplini actori de pe eșichierul 2, adică organizaţii cu grad înalt de structurare. Aces- tea la rândul lor interacţionează cu guvernele lor, fie în baza unor parteneriate public private, fie, așa cum este în Rusia sau China, ca o consecinţă a culturii spaţiului, în baza unui control al statului destul de bine pus la punct. Know how ul circulă așadar în ambele sensuri în funcţie de aceasta asistăm fie la sporirea resurselor de putere ale unui actor fie la diminuarea altora.
Ar mai trebui adăugat că la nivelul de sus al sistemului internaţional, chiar dacă actorii non statali pot acumula un nivel de putere semnificativ, este doar o chestiune de timp până când aceștia vor fi conexaţi intereselor unui stat. Mai devreme sau mai târziu un actor statal va încerca să le acapareze și să le folosească în intere- sul propriu. Desigur, suntem pe tărâmul speculaţiilor, însă realitatea ultimilor ani arată că cele mai însemnate atacuri cibernetice au fost într-un anume fel legate de naţiuni stat.
Stuxnet, Duqu, Animal Farm, APT 28, Red October, toate sunt exemple ale unor arme cibernetice utilizate se pare atât de ţări din blocul NATO cât și de ţări din afara acestuia. Paradoxul care rezultă de aici este că în viitorul apropiat în sistem este puţin probabil să se nască o nouă putere hegemonică. Fiecare se concurează pe fie- care, cu arme din ce în ce mai sofisticate. Această stare de fapt ne conduce către o altă concluzie: resursele cibernetice ofensive creează un nou tip de balancing! Diferenţa este făcută de capacitatea de convertire a „outcom”-urilor în dividende reale de putere, ceea ce ne conduce către noi input-uri și ne produce noi orizon- turi de cunoaștere. Se deduce astfel că modul în care se combină resursele actorilor de pe scena internaţională este foarte important.

Cyberkut grupare hackivistă care luptă în războiul cibernetic ucrainian

La începutul anului 2014 după îndelungi proteste antiguvernamentale ale mișcărilor proeuropene din Ucraina favorabile procesului de apropiere de UE, fostul președinte pro rus, Viktor Yanukovich, a fost nevoit să părăsească ţara fiind găzduit de Rusia. La scurt timp, în condiţiile în care Rada ucraineană a votat o lege în urma căreia limba rusă a căpătat statut de limbă regională, armata rusă a mobilizat forţe însemnate la graniţa cu Ucraina. Câteva săptămâni mai târziu președintele rus Vladimir Putin a primit votul aproape unanim al Dumei de Stat pentru a interveni militar în Ucraina. Ulterior, fi- ind invocat un referendum organizat rapid de forţele pro ruse din Crimeea, în baza unei prevederi din Constituţia FR care stipula protecţia propriilor cetăţeni din afara graniţelor, Vladimir Putin a intervenit cu trupe în Crimeea, teritoriu care era „de jure” sub jurisdicţie ucraineană. În ciuda presiunilor Occidentului și a SUA forţele militare au fost menţinute ajungându-se la un conflict în toată regula.

Rolul geopolitic al Ucrainei și importanţa acesteia pentru Rusia nu mai pot fi puse la îndoială. Că Ucraina este fundamentală pentru Rusia este în afara oricărei îndoieli. Bătălia care s-a iscat însă are o componentă semnificativă care se poartă în cyberspaţiu, loc unde grupările hackiviste au devenit foarte active.
Una din cele mai vizibile este gruparea Cyberberkut. Aceasta este o grupare prorusă care a apărut imediat după invadarea Crimeii de către Vladimir Putin. Numele grupării este derivat din fostul nume al forţelor speciale ale Poliţiei din Ucraina – Berkut – create în 1992 și desfiinţate în urma represiunilor din Euromaidan. Cyberberkut impersonează simbolic vechiul grup, punând accent pe rolul major pe care urmau să-l joace pentru suportul libertăţilor și drep- turilor ucrainenilor, furate de huliganii pro-vestici care
luptau împotriva Rusiei.
Istoricul pe scurt al activităţii Cyberberkut reflectă atacuri de tip DDOS împotriva mai multor infrastruc- turi critice și agenţii guvernamentale din Ucraina dar și activităţi hacking asupra unor ţinte de maximă importantă de nivel NATO și UE.
Potrivit site-ului grupării aceștia și-au început activita- tea în luna martie 2014 când au atacat mai multe site-uri pro vestice din Ucraina care susţineau Revoluţia25. Acesta a fost urmat de atacuri similare împotriva militanţilor de dreapta, ajungându-se la blocarea comunicaţiilor a mai mult de 800 de telefoane mobile utilizate de militanţi26. Următoarele evenimente sunt doar câteva exemple ale războiului cibernetic pe care îl poartă:
– 15.03.2015 atac DDOS asupra mai multor siteuri NATO, incluzând Centrul de Excelenţă pentru Apărare Cibernetică din Tallin Estonia.27 Atacul este confirmat de NATO;
– 22.05.2014 cu câteva zile înaintea alegerilor prezidenţiale din Ucraina, Cyberberkut anunţă că a dis- trus și a atacat reţeaua CEC din Ucraina;28
– 26.07.2014 atac la adresa e-mail-ului personal al unui înalt oficial ucrainean din Ministerul Apărării din Ucraina;29
– 14.08.2014 gruparea anunţă blocarea site-ului președinţiei Poloniei și a Bursei de Valori din Varșovia;
– 22.11.2014 gruparea publică mai multe documente referitoare la cooperarea militară și tehnică între SUA și Ucraina, pe fondul vizitei la Kiev a vicepreședintelui american, Joseph Biden;
– 07.01.2015 dezafectarea conturilor de Twitter și facebook ale Parlamen- tului Germaniei și ale cancelarului Angela Merkel, sub motivaţia că SUA și Germania sprijină forţele proeuropene fasciste din Ucraina în luptele îm- potriva propriilor cetăţeni;31
– 11.07.2015 gruparea pretinde că a accesat computerul personal al sena- torului John McCain publicând un fișier ce reflecta un video fabricat într-un studio de film ce evidenţia un asasinat terorist. Filmul era special conceput spre a se justifica măsuri ulterioare de retorsiune împotriva unor ţări din Orientul Mijlociu.32
Și poate una din cele mai spectaculoase intervenţii ale grupării a apărut la 05.03.2014, atunci când a fost postată pe internet o convorbire telefonică între ministrul eston de externe, Umas Paet și ex-Înaltul Reprezentant pen- tru Afaceri Externe al UE, Catherine Ashton, în care cei doi discutau despre situaţia din Ucraina. Ulterior, Ministerul Eston de Externe a confirmat auten- ticitatea convorbirii, discuţia având loc la 26.02.2014. La momentul convor- birii diplomatul eston se afla pe teritoriu estonian iar Catherine Ashton în Bruxelles33.
Câteva observaţii pot fi făcute pe marginea celor expuse mai sus.
În primul rând victimologia reflectă o plajă largă de ţinte: Ucraina, UE, Germania, Polonia, SUA, NATO și exemplele pot continua. Gruparea pare să lupte împotriva ţărilor care sunt ostile intervenţiei ruse în Crimeea.
În al doilea rând, atacurile sunt diverse și vizează: blocarea sau distrugerea unor siteuri, pagini de web, sisteme de comunicaţii, uneori chiar infrastructuri critice;
exfiltrarea de date din emailuri ale oficialilor reflectând acorduri secrete ale Ucrainei cu ţări NATO și UE, demersuri ale oficialilor ucraineni legat de intervenţiile militare din estul Ucrainei; cyberspionaj atâta vreme cât sunt vizate și exfiltrate documente ce reflectă planuri militare sau asistenţă militară acordată de Vest trupelor ucrainene;
o intensă propagandă a grupării în favoarea intervenţiei proruse și profund împotriva forţelor proeuropene. Acesta pare să fie unul din obiec- tivele grupării, producerea de soft power fiind efectivă.
În al treilea rând activităţile grupării reflectă o foarte mare versatilitate și rapiditate.
În al patrulea rând capabilităţile lor tehnice par să fie foarte avansate atâta vreme cât sunt capabili să intercepteze și să înregistreze convorbiri tele- fonice din reţelele mobile europene și ucrainene.
În al cincilea rând resursele umane de care dispun ar trebui să fie semnificative atâta vreme cât gruparea este capabilă să reacţioneze imediat la aproape orice eveniment major din Ucraina.
În al șaselea rând, analiza activităţii grupării reflectă o evoluţie a tipologiei atacurilor de la cele de tip DDoS la furtul drepturilor de proprietate. Este evident că gruparea reușește să se plieze foarte rapid pe majoritatea eve- nimentelor importante din spaţiul fizic și să producă pagube acolo unde măsurile tradiţionale nu pot.
Din toate aceste observaţii, analizând victimologia, resursele, intenţiile și comportamentul organizaţiei create avem o atribuire plauzibilă și rezonabilă unui actor statal care are interese majore în Ucraina și care este ostil NATO! Cu toate acestea nu avem nici o certitudine tehnică. Actorul este difuz iar ţintele sunt lovite neașteptat de forţa sa. Suntem în faţa unei puteri difuze și a unei atribuţii plauzibile. Cu toate acestea un lucru este sigur: legătura dintre grupare și potenţialul actor statal reflectă capabilităţile cyber pe care statul le are.

Concluzii – Puterea cibernetică este o expresie a noului tip de spaţiu care a apărut odată cu explozia Internetului și a mijloacelor de comunicaţie moderne. Este fundamental diferită de celelalte forme de putere în primul rând prin ingre- dientele sale dar și prin influenţa pe care o exercită asupra tuturor celorlalte. Difu- ziunea sa, forţa de propagare și imperceptibilitatea o fac de multe ori aproape imposibil de contracarat. De aceea puterea cibernetică poate lovi fără dificultăţi actori mari din sistem fără ca aceștia să perceapă din timp acest lucru. Însă atât timp cât resursele spaţiului fizic sunt încă importante, puterea cibernetică și resursele sale nu pot substitui resursele tradiţionale de putere. Cu certitudine le pot amplifica importanţa și de cele mai multe ori pot face diferenţa. Din acest mo- tiv, puterea cibernetică este un pilon al puterii generale iar ponderea sa în indexul general de putere este semnificativă.
Asemenea puterii tradiţionale și puterea cibernetică este contextuală, cumulativă și reînnoibilă. Actorii care vor putea să maximizeze aceste caracteristici ale puterii cibernetice vor avea șansele cele mai mari să ocupe poziţiile de sus ale clasamentului.
În fine, deși resursele sale sunt mult mai accesibile pentru o plajă largă de actori, realitatea ultimilor ani arată că doar statele pot cu adevărat să acceseze acele asset-uri care pot face cu adevărat diferenţa. Se deduce astfel că puterea cibernetică ca pilon al puterii în sistemul internaţional este un atribut „smart” al statelor „smart”. De felul în care vor combina actorii din sistem toate tipurile de resurse și le vor transforma în putere efectivă va depinde nu doar modul de exercitare a acesteia ci și felul în care va fi distribuită în cadrul sistemului internaţional.


1 Singer Paul, Friedman Allan, Cybersecurity and cyberwar, Oxford, University Press, 2014 p. 2
2 Nye Joseph, Cyber power, Harvard Kennedy School, BelferCenter for science, May 2010, p 2
3 Singer Paul, Friedman Allan, op.cit., p. 2
4 Kuehl Daniel, From Cyberspace to cyberpower, defining the problem, in Kramer Franklin, Stuart Starr, Wentz Larry,
Cyberpower and national security, US National Defence University Press, Washington DC, 2009, p. 24
5 Paul Popescu Alina Bârgăoanu, Geopolitica, NUSPA, Bucharest, 2004, p. 46
6 Baldwin David, Power and international relations, Carlsnaes Walter, Risse Thomas, Beth Simmons, Handbook of
international relations, Sage publications ltd, 2013, p. 275
7 Singer Paul, Friedman Allan, op.cit., p.4
8 Paul Kenedy, Ascensiuneaşidecădereamarilorputeri, Polirom, Bucureşti, 2011, pag. 391
9 Ibidem pag 15
10 Kuehl Daniel, op.cit. p.3
11 Apud Samuel McQuade, Encyclopedy of cybercrime, GreenwoodPublishing Group p 52, în Șapte teme fundamentale pentru România, 2014, p.190
12 George Cristian Maior, State, Networks, Companies and Individuals: cyberspace paradoxes, in p. 190, in Seven fundamental issues for Romania, RAO Class, 2014, p.190
13 Singer Paul, Friedman Allan, op.cit., p.13
14 https://www.f-secure.com/weblog/archives/00002791.html
15 Zetter Kim, Countdown to zero day Crown Publishers, New York, 2014, p. 3
16 Daniel Kuehl, op.cit, p.6
17 Nye Joseph, op.cit., p. 5
18 Maior George Cristian, op.cit. p. 191
19 Nye Joseph, The future of power, Polirom, Bucharest, 2012, p 12
20 Alexander Klimburg, Cyberpower and international security in international relations, seminar, spot in https://mediacapture.brown.edu:8443/ess/echo/presentation/8792278f-7098-40ec-87a7-a51ac98c49fa
21 Singer Paul, Fridman Allan, op.cit. p. 36
22 Cosmoiu Florin, The impact of Global Cyber threat. Evolutions and perspectives in Romania, in Seven fundamental
issues for Romania, RAO Class, 2014, p.283
23 Klimburg Alexander, https://mediacapture.brown.edu:8443/ess/echo/presentation/8792278f-7098-40ec-87a7-a51ac98c49fa
24 Nye Joseph, Cyber power, Harvard Kennedy School, BelferCenter for science, May 2010, p.10
25 http://cyber-berkut.org/en/olden/index5.php
26 ibidem
27 http://www.rt.com/news/nato-websites-ddos-ukraine-146/
28 http://www.globalresearch.ca/unconfirmed-reports-electronic-files-of-ukraine-central-election-commission-cec-disabled-dnipropetrovsk-administration-computer-network-destroyed-unconfirmed-report-by-cyberberkut-hackers/5383742
29 http://cyber-berkut.org/en/olden/index1.php
30 ibidem
31 http://www.ibtimes.co.uk/german-government-websites-including-angela-merkels-hit-by-severe-cyberattack-1482345
32 http://leaksource.info/2015/07/12/leaked-video-shows-making-of-islamic-state-execution-in-studio-via-cyberberkut-
hack-of-sen-mccain-staffer/
33 http://leaksource.info/2014/03/05/ukraine-leaked-call-estonia-foreign-minister-and-catherine-ashton-snipers-
allegedly-hired-by-maidan-leaders/

Bibliografie

Singer Paul, Friedman Allan, Cybersecurity and cyberwar, Oxford, University Press, 2014
Nye Joseph, Cyber power, Harvard Kennedy School, Belfer
Center for Science, May 2010
Nye Joseph, The future of power, Polirom, Bucharest, 2012
Kuehl Daniel, From Cyberspace to cyberpower, defining
the problem, in Kramer Franklin, Stuart Starr, Wentz Larry, Cyberpower and national security, US National Defence University Press, Washington DC, 2009
Popescu Paul, Bârgăoanu Alina, Geopolitica, NUSPA, Bucharest, 2004
Baldwin David, Power and international relations, Carlsnaes Walter, Risse Thomas, Beth Simmons, Hanbook of international relations, Sage publications ltd, 2013
Kenedy Paul, The rise and fall of great powers, Polirom, Bucharest, 2011
Maior George Cristian, State, Networks, Companies and Individuals: cyberspace paradoxes, in p. 190, in Seven fundamental issues for Romania, RAO Class, 2014
Zetter Kim, Countdown to zero day Crown Publishers, New York, 2014
Klimburg Alexander, Cyberpower and international security in international relations, seminar, spot in https://media- capture.brown.edu:8443/ess/echo/presentation/8792278f-
7098-40ec-87a7-a51ac98c49fa
Cosmoiu Florin, The impact of Global Cyber Threat. Evolutions and perspectives in Romania, in Seven fundamental issues for Romania, RAO Class, 2014 http://cyber-berkut.org/en/olden/index5.php
https://www.f-secure.com/weblog/archives/00002791.html http://www.globalresearch.ca/unconfirmed-reports- electronic-files-of-ukraine-central-election-commission-
cec-disabled-dnipropetrovsk-administration-computer- network-destroyed-unconfirmed-report-by-cyberberkut- hackers/5383742
http://www.rt.com/news/nato-websites-ddos-ukraine-146/
http://www.ibtimes.co.uk/german-government-web- sites-including-angela-merkels-hit-by-severe-cyberat- tack-1482345
http://leaksource.info/2015/07/12/leaked-video-shows- making-of-islamic-state-execution-in-studio-via-cyberber- kut-hack-of-sen-mccain-staffer/ http://leaksource.info/2014/03/05/ukraine-leaked-call- estonia-foreign-minister-and-catherine-ashton-snipers- allegedly-hired-by-maidan-leaders/ http://natocouncil.ca/cybersecurity-and-the-ukraine-crisis- the-new-face-of-conflict-in-the-information-age/ http://thediplomat.com/2015/03/russia-tops-china-as- principal-cyber-threat-to-us/

În urmă cu câteva  săptămâni,  în mod discret  ca de obicei, dar cu un impact global de anvergură, a fost publicat noul Global Cybersecurity Index al ITU.

Trebuie amintit aici că este vorba despre unicul index despre cybersecurity  realizat în mod «supra partes», ITU (International Telecommunications Union) fiind agenţia ONU care are statutar leadershipul  mondial în domeniu,  așa cum a fost  hotărât  la adunarea generală a ONU din 2007.

Pentru a îndeplini cu succes această sarcină,  ITU a  creat din 2007 o  agendă globală pentru cybersecurity2,  care este singurul framework internaţional (aprobat  de cele 183 de ţări  membre) care încadrează   cooperarea multilaterală,  dar și PPP,  și implementarea bunelor practici pe plan global.

Originalitatea clasamentului  ITU  este  că,   pe de  o  parte,   se  bazează pe surse furnizate  de statele  membre dar și de organizaţii  terţe si din sectorul  privat. Pe de altă parte,  și aici este elementul fundamental  al  cercetării,  ia în  considerare  cei cinci piloni esenţiali ai unui ecosistem  naţional public-privat consolidat în materie  de rezilienţă: măsuri  legale, măsuri tehnice, structură organizaţională, construirea  de capacităţi la toate nivele  și, în sfârșit, cooperare  – cu alte state, între state și societatea civilă, între state și sectorul privat etc.

Prima constatare este că, contrar multor idei preconcepute, pe care le avem cu toţii, obișnuiţi cu rapoartele tehnice ale marilor firme de  ITC-security   sau ale celor de consultanţă specializată, nu sunt foarte bine clasate  ţări care sunt lăudate ca având cel mai bun sistem de apărare. Israel, de pildă, care este considerat de mulţi specialiști ca fiind inatacabil – ca stat și ca ansamblu de infrastructuri strategice –, nu depășește poziţia 20 în clasificarea ITU.
Apoi observăm că în comparaţie  cu ultimul index, cel din 2015, nu mai puţin de jumătate  din „top  ten” s-a schimbat, datorită unor ţări care au pierdut din robusteţea lor împotriva atacurilor şi a altora, care au făcut progrese fenomenale.

Stabile în top 10 sunt SUA, Malaezia, Oman, Estonia, Canada și Australia. Dar pe prima poziţie găsim Singapore, cea mai conectată ţară din lume, pe locul 6 Mauritius, care a implementat programe și legislaţie  exemplară în  domeniu, și pe locul 8, la egalitate, Franţa și Georgia, aceasta din urmă realizând  și implementând un plan de rezilienţă excepţional, ca o consecinţă directă a slăbiciunilor sistemelor naţionale evidenţiate de către atacurile digitale care s-au alăturat conflictului real cu Federaţia Rusă în 2008. Aceeași Federaţie Rusă intră și ea în top, pe locul 10.


Indexul cu țările cele mai avansate în 2017

Marii „învinși”? Noua Zelandă, Norvegia, Brazilia, Germania, India, Japonia, Coreea de Sud și UK
Dar România?  De pe locul 13 (la egalitate cu Luxemburg și Indonezia în 2015, adică locul 41-43 în realitate, ediţia  2015 fiind cu mulţi ex-aequo) rămâne stabilă, pe locul 42. Adică încă sunt multe de făcut pentru a construi un ecosistem de securitate care să cuprindă de la cetăţeni la organele vitale ale statului.
Un element esenţial de reţinut din acest studiu este că bogăţia unei ţări și capacitatea sa economică nu au legătură cu capacitatea ţării, atât în domeniul public, cât și în cel privat de a fi novatoare, la pas cu tehnologiile, cu legile potrivite și cu organele de dialog.


Indexul cu țările cele mai avansate în 2015

Creșterea rezilienţei prin dezvoltarea de capacităţi este una dintre cele mai importante chei prin care unele state au avut o performanţă extraordinară iar altele, în schimb, au pierdut teren în numai 2 ani. Într-un cuvânt, fie societatea în ansamblu este ajutată, informată și protejată de către ONG-uri și instituţii, fie Statul se limitează, cu o gândire foarte periculoasă pe termen mediu, să apere numai ceea ce este considerat vital pentru el și lasă companiile și cetăţenii să se informeze… sau nu.

autor: Laurent Chrzanovski

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut la Universitatea din Lausanne, o diplomă de cercetare postdoctorală în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorală la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități importante din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu.

795
Mihaela Mihai, Senior Workforce Consultant, Experis România
Mihaela Mihai, Senior Workforce
Consultant, Experis România

Incidente recente și vizibile de (in)securitate cibernetică au propulsat subiectul din sfera preocupărilor de IT, în sfera priorităţilor organizaţionale. Companiile au început să se întrebe dacă sunt pregătite să facă faţă complexităţii sporite generate de scala la care se creează și se schimbă informaţii în lumea contemporană, într-atât încât un studiu derulat de Bursa de New York observa, la sfârșitul anului 2015, că 45% din vice-președinţii companiilor listate (comparativ cu doar 28% din CIOs) plasau securitatea informaţiei pe locul 1 în lista preocupărilor. O posibilă cauză este identificarea unei vulnerabilităţi atipice, ce nu ţine de perimetrul sau practicile de securitate, ci de oameni.

Un studiu recent al Experis, companie specializată în recrutarea specialiștilor în IT, inginerie și finanţe, constată că angajatorii din întreaga lume resimt un acut deficit de talente cu pregătire și experienţă în securitatea informaţiei, regăsindu-se într-o cursă și într-un război al ofertelor pentru a atrage și reţine în organizaţie competenţele critice pentru a-și proteja informaţia și infrastructura. Discrepanţa între cererea și oferta de specialiști a fost estimată de analiști precum Frost and Sullivan la peste 1,5 milioane de oameni. Nevoia este confirmată de studiul Experis: 32% dintre angajatorii chestionaţi consideră ca specialiștii în cybersecurity sunt deopotrivă printre cei mai căutaţi și printre cei mai greu de găsit specialiști, stare de fapt ce nu se va atenua în următoarele 12-18 luni. Comparativ, doar 18% au considerat competenţele de programare ca fiind în topul celor greu de recrutat. O complicaţie suplimentară este structura dezechilibrată a pepinierei de talente, în care se regăsesc prea puţini specialiști seniori, dar și prea puţini specialiști cu competenţe de management.

Deficitul de talente vulnerabilizează companiile, care nu găsesc personalul necesar nici pentru a concepe și strategiza securitatea cibernetică în organizaţii, dar nici pentru a gestiona investiţiile și procesele existente sau a opera cu tehnologiile în care s-a investit, iar fără acţiune imediată situaţia nu poate decât să se agraveze.

Soluţiile nu sunt directe și unilaterale. Pe deoparte, este vorba de regândirea modului în care sunt formaţi acești specialiști, găsind alternative la educaţia tradiţională, prea lentă în a se adapta la noile nevoi, și acceptând aceste forme de calificare drept legitime în procesul de recrutare. Pe de alta, este vorba de parteneriate structurate între mediul academic și companii, care să vizeze nu acţiuni punctuale, ci o regândire a curriculei, programe de studiu combinate cu practică, ba chiar și o accelerare a procesului educaţional pentru studenţii cu potenţial. În fine, este nevoie de deschiderea companiilor către angajarea unor candidaţi mai puţin experimentaţi, pe care să-i crească și care să poate învăţa sub mentoratul unui senior. Altfel, toate companiile vor continua să pescuiască în același rezervor de specialiști, prea puţin populat și prea lent în expansiune, iar cele insuficient de competitive vor rămâne expuse în faţa atacurilor.

Autor: Mihaela Mihai
Material publicat în Cybersecurity Trends 2/2016

intelligence_31

SRI, Revista Intelligence, Numarul 31, iunie 2016, “Cyberspace, noul teatru de război https://www.sri.ro/fisiere/publicatii/intelligence_31.pdf

Ultimul număr ale revistei Intelligence este integral dedicat spațiului cibernetic, abordând scurt și clar mai multe tematici, precum vulnerabilități și tipuri de atacuri pe smartphones, identități diverse ale agresorilor, măsuri concrete luate în UE sau NATO în domeniu, precum și sfaturi pentru utilizatori.

online-guard

CERT-RO seria de 12 video “online guard”. Această serie propune, în mod clar și bine regizat, câteva sfaturi și interviuri foarte utile. Un exemplu de promovat, în sensul că folosește media cea mai atractivă (video) pentru a transmite un mesaj clar de interes public.
https://www.youtube.com/playlist?list=PLgFLlvXo7pW1r93XannaixnX0Xo8Qsyu7
Tot pe pagina Youtube a CERT-RO găsim seria de 7 video-uri din seria “awareness”, realizate în parte de către ENISA și traduse în limba română. În mai puțin de un minut, puteți învăța, de pildă, cadre sunt soluțiile potrivite pentru setarea diferitelor parole, stocarea lor, recomandări de unelte de control parental sau protejarea datelor personale.
https://www.youtube.com/playlist?list=PLgFLlvXo7pW2fFFAY3h21MSN-4SSHwG72

Articole și volume esențiale din ultimele luni

pt

Luciano Floridi, Despre demnitatea umană ca fundament pentru dreptul la viață privată, Filozofie și Tehnologie, aprilie 2016
Acest editorial de impact, publicat în revista Filozofie și Tehnologie, aprilie 2016, analizează un text care a trecut aproape neobservat: paragraful 88 din Regulamentul privind Protecția Generală a Datelor (General Data Protection Regulation) al Uniunii Europene, o reglementare adoptată de către Parlamentul European în 14 aprilie 2016. Acesta prevede faptul că legislațiile naționale ale statelor membre trebuie să “includă măsuri specifice și adaptate protejării datelor care pot afecta demnitatea umană, interese legitime și drepturi fundamentale, în special cu privire la transparența procesării și transferului datelor cu caracter personal în cadrul unui grup de entități, cu referire la grupuri de companii care desfășoară operațiuni economice comune și sistemele de monitorizare la locul de muncă”.
Ignorăm faptul că acest paragraf, combătut de anglo-saxoni la început, figurează deja ca o contramăsură politică față de concesiunile făcute Regatului Unit pentru a evita, fără succes, BREXIT. Ca efect, readuce în centrul dezbaterilor viziunea umanistă asupra societății și cetățenilor, conform căreia libertatea fiecărui individ trebuie să fie în acord cu a celorlalți, aspect revendicat de fondatorii Renașterii, fiind celebru discursul asupra Demnității Omului, al lui Pico della Mirandola.
În lumea Internetului, guvernată de libertatea totală de exprimare, așa cum este definită de constituția SUA, această decizie este un act de curaj și de refuz asupra exceselor. Ea aliniază în sfârșit, lumea virtuală în spațiul continental cu principiile Cartei Europene a Drepturilor Omului.
Acest aspect reprezintă un viraj de 180 de grade pe care UE încearcă să-l facă referitor la abordarea lumii virtuale: apărarea vieții private prin protejarea demnității și nu apărarea demnității prin implementarea unor norme de protecție a vieții private. Din punct de vedere juridic, această nouă viziune deschide numeroase perspective privind reducerea potențialului negativ generat de paginile web ce promovează conținut cu tentă extremistă și xenofobă, dar și calomniile anonime contra unor persoane sau grupuri sociale. Rămâne de văzut în ce măsură fiecare stat membru va adopta acest concept în legislația proprie, dar ceea ce este cert este că după 20 de ani de abordare superficială, Europa aduce demnitatea umană în centrul dezbaterii, cu prioritate asupra libertății totale de exprimare. Sub niciun aspect, această nouă viziune nu este o orientare către cenzură, ba chiar din contră, poate facilita mult mai eficient apărarea cetățenilor care cad victimă abuzurilor, de la cele legate de locul de muncă, până la cele care au loc prin utilizarea spațiului virtual.


social-media-management

Amy Van Looy, Managementul Tehnologiilor și Strategiilor Social Media pentru crearea de valoare adăugată în business, Springer, Cham 2016, 262 pp.
Acest manual este indispensabil pentru antreprenori, fiind conceput pe baza cursului scris de Amy Van Looy pentru studenții la MBA și reprezintă o veritabilă analiză a lumii rețelelor sociale, a avantajelor și riscurilor pe care le generează pentru mediul de afaceri. Aceste rețele, care în mod ideal ar trebui să fie utilizate la promovarea unei afaceri, a calității angajaților și produselor, să servească interacțiunii cu clienții și obținerii de informații despre domeniul de interes abordat – Business Intelligence sau la recrutarea de personal de valoare, implică nevoia unor colaborări multidisciplinare la nivelul oricărei companii private, pentru asigurarea succesului unui astfel de demers.
O astfel de strategie ar trebui coordonată de către o persoană care să posede competențe atât la nivel comercial, uman și social, dar și în ceea ce privește principiile de bază ale securității cibernetice necesare utilizării în siguranță a acestor categorii de rețele.
Acest volum, care se distinge prin claritatea și accesibilitatea limbajului utilizat de autor, analizează toate aspectele relevante pe care le implică un comportament online proactiv, care permite valorificarea potențialului tehnologiei în favoarea obiectivelor de business, dar și armonizarea cu etica profesională și respectarea drepturilor angajaților, abordând unitar subiectul protecției vieții private și responsabilitatea organizațiilor ce activează în mediul de afaceri în raport cu nevoie protecției drepturilor colaboratorilor lor.


cybersec-EU

George Christou, Securitatea Cibernetică în Uniunea Europeană – Reziliență și Adaptabilitate în Politica de Guvernanță, Amy Van Looy
Acest volum magistral, realizează totodată un istoric și o analiză detaliată a evoluției domeniului securității cibernetice în Europa, a autorităților competente și a perspectivelor ce se deschid o dată cu adoptarea Directivei NIS (Network and Information Security).
Se constată că reticența statelor membre de a ceda UE o parte din prerogativele legale naționale au condus continentul la întârzieri semnificative în fața celorlalte puteri de anvergură mondială. De exemplu, celebrul Centru de Securitate Cibernetică al Uniunii Europene, prevăzut a se înființa, pe hârtie, încă din 2011 și cu prerogative similare celor ale marilor agenții de securitate al Rusiei și SUA, a rămas la stadiul de proiect, singurele prerogative pe care le are în prezent fiind arbitrarea diferitelor think-thank-uri în domeniu și limitându-se la publicarea unor rapoarte lipsite de valoare reală. O posibilă cauză pentru aceste întârzieri, o poate reprezenta diferența de abordare a unor state membre, care, făcând parte din NATO, preferă aplicarea strategiilor Alianței în detrimentul unor strategii proprii, iar altele procedează invers.
Pe de altă parte, se remarcă o colaborare foarte bună și în creștere în domeniul afacerilor interne raportat la fenomenul criminalității informatice, Europolul, Centrul EC3, Interpolul și Eurojust derulând activități multiple și de mare succes în domeniul partajării de informații cu impact în reducerea și controlul legal al acestui fenomen. Apărarea militară este de asemenea pe o tendință crescătoare din punct de vedere al armonizării și cooperării, însă, axa centrală, care privește apărarea civilă a fost lăsată la latitudinea statelor membre, abordările comunitare fiind încă la stadiul de “under construction” (p. 136).

ciip
(Fig. 1, p. 3: cei trei piloni ai strategiei de securitate cibernetică ai Uniunii Europene)

Vestea bună este însă iminenta adoptare a directivei NIS care urmează să intre curând în vigoare. Dar nu sunt încă motive de sărbătoare: dacă UE este determinată să implementeze rapid acest act normativ, trebuie avute în vedere și potențiale inerții acționale din partea unor state sau chiar de opoziție în raport cu implementarea totală și coerentă a acestei noi legislații.
În România și Franța, celebra “platformă public-privată” se va limita încă pentru multă vreme la mesaje transmise de către stat către domeniul privat și de cereri din domeniul privat adresate statului, departe de crearea unor instanțe superioare de dialog constant formate din actori multipli și cu putere decizională, cum sunt modelele din Germania, Finlanda și Elveția (non-UE).
Rămâne deci un obiectiv al Uniunii Europene să nu lase aceste situații abordate superficial și să se asigure că fiecare stat membru asigură mijloacele legale și resursele necesare astfel încât astfel de instanțe colaborative să fie puse pe picioare rapid și eficient. Din nefericire, interesele interne din anumite state membre încă permit adoptarea unor decizii care sunt bazate pe nevoia de a deține controlul și nu pe necesitatea rezolvării unor probleme și crearea de competențe adaptate nevoilor de a controla acest nou domeniu, situație care poate menține pe termen lung lipsa de interoperabilitate și conformitate a diverselor modele naționale cu ceea ce se dorește la nivel comunitar.
Volumul se încheie totuși într-o notă pozitivă: dacă sunt analizați ultimii 20 de ani în care nu s-a făcut aproape nimic, Europa are, de doi ani și jumătate, o strategie clară în curs de implementare și directiva NIS. Aceste demersuri sunt de natură a determina guvernele și parlamentele fiecărui stat membru să asigure instrumentele necesare pentru a ajunge în final la o performanță similară celei înregistrate de SUA, Israel sau Rusia.


Social-Media-Parties-and-Political-Inequalities

Kristof Jacobs și Niels Spierings, Social Media, Partide și Inechități Politice, Palgrave-Macmillan, London-New York 2016, 225 pp.
Acest volum este o operă destinată tuturor, jurnaliști sau simpli cetățeni, structurilor politice și utilizatorilor profesioniști de rețele sociale.
Este un veritabil breviar care ne invită să parcurgem cei doi autori, având în vedere rezultatele studiilor exhaustive ale acestora asupra fenomenului în Olanda, din 2010 până astăzi, pentru a le putea compara cu ceea ce se întâmplă la nivelul altor țări.
Se va constata că rețelele sociale, în Europa, au devenit un cert vector de propagandă util în procesele electorale, dar că, deși sunt în plin proces de creștere a impactului asupra societății, nu au încă suficientă forță pentru a înlocui campaniile tradiționale. De asemenea, structura acestora nu permite decât vehicularea unor mesaje scurte din partea unei formațiuni politice – sau controversele din interiorul unei astfel de entități – fiind încă departe de “modelul Obama” în cele două campanii electorale majore, care sunt considerate ca un model de reușită în ceea ce privește utilizarea rețelelor sociale ca principal vector de difuzare a informațiilor din partea unui candidat.
Cartea, având o parte teoretică, o parte practică și exemple descrise, arată că partidele politice sunt determinate să angajeze specialiști care au sarcina de a adapta mesajele electorale la fiecare tip de rețea socială, aceste noi canale de comunicare publică având utilizatori cu profiluri destul de diferiți din toate punctele de vedere (vârsta, grup social, nivel de educație, sex, pasiuni etc.). A doua constatare este că, în ciuda influenței încă reduse din perspectiva impactului cantitativ asupra deciziei de vot a electoratului, acestea pot face diferența: dacă un partid, chiar creditat cu puține intenții de vot, știe să utilizeze rețelele sociale cu profesionalism, poate declanșa o reacție pe toate celelalte canale media, atrăgând atenția asupra lui și punând în dezavantaj de imagine un mare partid care nu a reușit să se promoveze într-o manieră similară.
Rețelele sociale sunt deci un atu, al cărui potențial complet n-a fost încă atins, pentru partidele minoritare care înfruntă forțe politice puternice, dar chiar și în interiorul acestora, notele discordante ale unor anumiți membri publicate în cadrul unui program electoral pe rețelele sociale putând aduce mari semne de întrebare asupra întregului program și afecta intenția de vot.


social-media-public-sphere-and-democracy

Petros Iosidis, Mark Wheeler, Contextul public și Rețelele Sociale în Contextul Vestic și mai Departe, Palgrave-Macmillan, London-New York 2016, 300 pp.
Acest volum extinde dezbaterea lansată de cartea descrisă anterior. De asemenea, ne invită la o călătorie intercontinentală și geopolitică. Debutează cu o viziune globală, unde rețelele sociale sunt în curs de extindere, în raport cu capacitatea de construire sau distrugere a imaginii, o veritabilă “a cincea putere”.
Cu curaj, autorii subliniază rolul de cele mai multe ori nefast al acestei noi puteri sociale, disecând vulnerabilitățile sale: în domeniile politic și religios, ei subliniază absența de structură a conținutului accesibil, cantitatea uriașă de informație neverificată și neverificabilă sau falsă, practica uzuală de a cenzura comentariile și absența voluntară de a lăsa loc de dezbatere critică. Autorii subliniază excelent, până la ce punct, chiar și în SUA sau UK, țările cele mai tolerante în materie de libertate de exprimare, anumite tipuri de conținut vehiculate prin rețelele sociale pun probleme juridice și nu permit utilizarea acestora ca și capital electoral în economia unor campanii electorale.
Al doilea capitol este dedicat rolurilor site-urilor web și rețelelor sociale în trei cazuri relevante: primăvara arabă, Wikileaks și dezvăluirile lui Snowden.
Regăsim în paginile scrise o analiză echilibrată, corectă, care reașează pe repere de normalitate exagerările anumitor jurnaliști asupra impactului direct pe care aceste tipuri de conținut, în cele din urmă două cazuri, deoarece difuzarea și existența lor în opinia publică la nivel global nu ar fi fost posibilă fără mijloacele media tradiționale.
În continuarea sunt analizate transformările suferite de diplomație și guvernarea 2.0, subliniindu-se de la ce nivel mijloacele de comunicare, dacă nu sunt înțelese de guverne, generează un haos informațional: unde se poate găsi punctul de vedere oficial? În discursul președintelui, în comunicate de presă, pe Tweeter sau în postări pe Facebook?
În final, cartea ne rezervă o surpriză, dedicând aproape o treime din conținutul prezenței țărilor BRIC, dar, de asemenea, Japonia și Coreea. Sunt analizate în detaliu diferențele, în special privind utilizarea de către stat a capabilităților tehnologice și obiectivele urmărite.
În final, ultimele 40 de pagini sunt consacrate regiunii celei mai inflamate de pe planetă în acest moment: Orientul Apropiat și Mijlociu – Turcia, Iranul, Palestina și unde se utilizează forța Internetului ca vector global de propagandă și cum este structurată prezența online a organizației teroriste DAESH (ISIS) și a altor mișcări teroriste. Se constată în acest context un fapt care merită întotdeauna repetat pentru a combate canalele media generaliste: grupările teroriste nu utilizează internetul masiv decât pentru propagandă, recrutare și comunicare, capabilitățile acestora de a derula atacuri cibernetice cu impact relevant fiind încă reduse. Activitățile de recrutare și propagandă online derulate de acești actori sunt extrem de complexe și utilizează toate opțiunile pe care le permite tehnologia: multiplicarea conturilor individuale, a site-urilor web, multiplicarea conținutului publicat și diversificarea permanentă, în vederea creșterii permanente a prezenței online și a impactului urmărit.


Evolution-of-Cyber-Technologies-and-Operations-to-2035

Misty Blowers (ed.), Evoluția Tehnologiilor Cibernetice și a Operațiunilor până în 2035, Springer, Cham 2015, 200 pp.
Acest articol reprezintă o călătorie în timp, foarte reușită, reunind concluziile unora dintre cei mai buni experți în vederea identificării evoluțiilor probabile și mutațiilor ce vor avea loc în următorii 20 de ani. Astfel, progresiv, cititorul este invitat să observe, în 2035, omniprezența obiectelor incluse în categoria Internet of Things și efectelor provocate de această situație, posibilitatea utilizării realității virtuale în domeniul investigațiilor digitale, creșterea impactului generat de Dark Web și de utilizarea evoluată, ca o veritabilă armă specifică lumii serviciilor de informații, a rețelelor sociale. Mai mult, autorii prezintă ca potențială evoluție de interes, posibilitatea crescută de a genera atacuri în viața reală inițiate din mediul virtual, plecând de la precedentul Stuxnet, evoluția conceptului “big data” în “giant data” și creșterea utilizării în scopuri infracționale a monedelor virtuale (cryptocurrencies, ex: Bitcoin), care ar urma să depășească cu mult cantitatea banilor tradiționali prezenți pe piață.
Conceptele științifice cunoscute astăzi sub numele sub denumirea de “quantum information” și skynet, sunt de asemenea invocate ca posibile soluții, cu toate delimitările necesar a fi realizate cu scopul ca acestea să devină aplicabile.
Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.

Material publicat în Cybersecurity Trends 2/2016

2523

afilip

Considerații cu privire la falsul informatic din noua legislație penală

Evoluția accelerată a tehnologiei informației a condus la dezvoltarea și perfecționarea de noi metode și tehnici de comitere a infracțiunilor, altele decât cele clasice, cu vechime în societatea noastră, legiuitorul îndreptându-și astfel atenția asupra fenomenului de criminalitate informatică, prin adoptarea unei legislaţii adecvate, armonizate cu legislația Uniunii Europene, precum şi prin îmbunătăţirea cooperării internaţionale.

Nevoia acută de a oferi un răspuns juridic situației actuale, situație determinată de numărul mare al infracțiunilor din mediul virtual, nevoia de a crea norme și măsuri de siguranță corespunzătoare care să susțină activitatea de prevenire, combatere și anihilare a faptelor antisociale, au determinat alinierea, preluarea și transpunerea normelor de incriminare prevăzute în Convenția Consiliului Europei din 23 noiembrie 2001 privind criminalitatea informatică, a celor prevăzute în legile speciale și în Noul Cod Penal.

Scopul urmărit de norma de incriminare este acela de a reglementa prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale.[1]

Locul infracțiunilor informatice în peisajul juridic penal a devenit în scurt timp la fel de important ca acela al infracțiunilor clasice deosebit de grave, gravitatea acestora fiind accentuată de ușurința comiterii și camuflării lor, de caracterul preponderant transfrontalier datorat mediului Internet și de potențialul devastator al efectelor acestor acțiuni.[2]

În contextul arătat mai sus și din dorința de a sistematiza infracțiunile informatice, legiuitorul român a considerat indispensabilă integrarea acestor infracțiuni în textul Noului Cod Penal, preluând, în principiu, toate infracțiunile prevăzute de legile speciale.

Astfel, odată cu intrarea în vigoare a noii legi penale, sunt reglementate infracțiuni care nu au corespondent în Codul Penal anterior, cum sunt cele prezentate în Titlul VI. Cap. III – Falsuri în înscrisuri, respectiv introducerea infracţiunii de falsificare a unei înregistrări tehnice (art. 324), a infracţiunii de fals informatic (art. 325) şi infracţiunile de fals comise în legătură cu autoritatea unui stat străin (art. 328).

Falsificarea informatică este una dintre cele mai grave fapte ilicite în legătură cu activitățile și serviciile societății informaționale, deoarece este de natură să submineze însăși încrederea în capacitatea societății informaționale de a asigura securitatea raporturilor juridice născute, modificate și stinse prin intermediul serviciilor specifice.[3] Astfel, potrivit art. 325, infracțiunea de fals informatic este definită ca fiind:
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoarea de la unu la 5 ani.

Textul juridic a fost preluat și transpus în legea penală, de legiuitorul român din legea specială nr.161/2003:
Art. 48 statuează:
Fapta de a introduce, modifica sau șterge, fără drept, date informatice ori de a restricționa, fără drept, accesul la aceste date, rezultând date necorespunzătoare adevărului, în scopul de a fi utilizate în vederea producerii unei consecințe juridice, constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.[4]

La o primă analiză putem afirma că, în raport cu articolul 48 din Legea nr. 161/2003, noua reglementare nu aduce modificări în structura acțiunilor ci doar o reducere a limitelor speciale a pedepsei.

Prin reglementarea acestei infracțiuni, legiuitorul a avut ca obiectiv protejarea securității juridice, prin încriminare acelor acţiuni și fapte care pot, prin modificarea datelor informatice, să atragă după sine consecințe juridice nedorite.

În concret, putem afirma că practica judiciară conțină să înregistreze tot mai multe cazuri în care infracțiunea de falsificare (infracțiune care nu de mult era inclusă în șablonul infracțiunilor tradiționale) se săvârșește în mediul virtual, datorită oportunităților oferite de tehnologiile tot mai avansate pe care indivizii societății moderne le au la dispoziție.

Un alt aspect important de notat, privind infracțiunea de fals informatic, este acela că numărul tot mai mare a acestora este dat de avantajele spațiului virtual, de faptul că mijloacelor folosite oferă autorului un grad ridicat de anonimitate și în același timp reduc semnificativ șansele de a fi descoperit și tras la răspundere. Toate acestea au determinat ca infracțiunea de fals informatic să fie reglementată ca infracțiune cu caracter special în raport cu infracțiunile clasice de fals.

O problemă întâlnită în practica judiciară se referă la autonomia infracțiunii de fals informatic, problemă raportată la situația în care infracțiunea de fals informatic este în mod natural absorbită de infracțiunea de fraudă informatică[5] în acele situații în care scopul faptei penale este obținerea unui beneficiu material pentru sine sau pentru altul.[6]

Diferența dintre cele doua infracțiuni se află chiar în norma de incriminare. Astfel dacă pentru reținerea infracțiunii de frauda informatică, infracțiunea este săvârșită „în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane”, pentru existența infracțiunii de fals informatic ar fi necesar ca fapta de a introduce, modifica, șterge date informatice să fie comisă cu scopul ca aceste modificări, în sens larg, să fie producătoare de consecințe juridice, fără însă a se urmări în mod direct obținerea unui beneficiu material.

De reținut însă este faptul că, pentru existența infracțiunii de fals informatic, acțiunile ce formează elementul material: introducerea, modificare, ștergerea, sau restricționarea accesului la datele informatice, trebuie să se facă fără drept. Astfel art. 35 alin. (2) – Legea nr. 161/2003 statuează:
(2) în sensul prezentului titlu, acționează fără drept persoana care se află în una dintre următoarele situații:
a) nu este autorizată, în temeiul legii sau al unui contract;
b) depășește limitele autorizării;
c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.

Actele prin care se săvârșește infracțiunea respectiv introducerea, modificarea sau ștergerea datelor informatice, poate fi realizată fie prin metode software ce implică modificarea datelor informatice utilizând comenzi, programe sau accesul la acestea, fără a interveni asupra echipamentului ce stochează datele, fie prin metode hardware respectiv prin aplicarea unor stimuli cu scopul de a distruge, degrada dispozitivele de stocare.

Astfel, distrugerea datelor informatice prin metodele software reprezintă o modificare prin care integritatea datelor este distrusă sau acestea devin inutilizabile, deținătorul ne mai putând folosi sau utiliza aceste date iar prin cele hardware, datele sunt doar deteriorate, fără a se utiliza operațiuni de modificare și fără ca sistemul să devină inutilizabil, toate acestea reflectând efectele negative asupra datelor în ceea ce privește capacitatea lor de a funcționa.

În practica judiciară locală, dar și internațională, cele mai întâlnite metode de realizare a falsului informatic sunt: simularea hiperconexiunilor și a web-ului. Folosite „ingenios” alături de ingineria social, aceste atacuri sunt cunoscute sub numele de Phishing.[7]

Phishing-ul sau înșelăciunea electronică, una dintre cele mai mediatizate infracțiuni informatice, este o formă de activitate infracțională, ce constă în obținerea de date cu caracter confidențial, (ca numere de cont, numere de card, coduri PIN, parole de acces, s.a.) prin clonarea unor pagini web, ce imită paginile oficiale ale unor instituții bancare sau de altă natură, ce sunt transmise prin metoda spam unui număr foarte mare de utilizatori ai serviciilor de e-mail, destinatarii fiind invitați sub diferite motive să acceseze un link și aici să introducă datele de securitate ale conturilor.

Pentru reținerea faptei, nu este esențială utilizarea efectivă a datelor informatice ci doar obținerea lor în vederea realizării scopului, cerut de norma de incriminare, respectiv: „de a fi utilizate în vederea producerii unei consecințe juridice”.

Grupul de lucru antiînșelăciune (APWG), o organizație creată de către forțele de apărare a legii și organizații comerciale, raportează o creștere permanentă a acestor tipuri de atacuri.[8]

O analiză mai atentă asupra faptei, relevă însă că numai două activități pot fi privite și încadrate juridic ca falsuri informatice, respectiv contrafacerea unei pagini web originale și, eventual, modificarea conținutului câmpului de expediție al mesajului e-mail de inducere în eroare.[9]

Conștientizarea existenței pericolului social al faptelor penale de natură informatică, a determinat schimbarea modului tradițional de incriminare a acestor fapte, noua reglementare legală urmărind protejarea, garantarea confidențialității și integrității sistemelor informatice și a datelor stocate pe acestea, prin crearea unei conexiuni între actele normative și tehnologie.

Interceptarea ilegală a unei transmisii de date informatice

Evoluția tehnicii din ultimii ani și utilizarea calculatoarelor în toate domeniile socio economice, pe lângă componenta de progres adusă societății moderne, aduce totodată, și inconveniente legate de comiterea unor infracțiuni în aceasta sferă. Și cum orice monedă are și reversul ei ne aflăm în situația în care, atât fluxul de informație, fie ea publică sau confidențială, transmisă în timp real, cât și mijloacele folosite, sunt supuse contrafacerii, furtului, interceptării, fraudei s.a. În acest sens s-a născut nevoia incriminării actelor antisociale în materia dinamicii informației, incriminare ce va suferi modificări de a lungul vremurilor, datorită update–ului permanent a celebrului „modus operandi” folosit de infractor.

Modelele societății informaționale au influențat inevitabil și activitățile de legiferare și de aplicare a dreptului[10], care s-a poziționat, față de societatea informațională, pe două seturi de coordonate, dobândind deopotrivă calitatea de beneficiar al tehnologiei informatice și aplicațiilor asociate[11], cât și pe cea de factor de regularizare și configurare a societății informaționale[12].

Gravitatea și amploarea fenomenului infracțional prin intermediul sistemelor informatice a determinat o activitate de legiferare în materie penală, la nivel național, menită sa incrimineze faptele care, în mod specific, aduc atingere societății informaționale și securității informatice.[13]

Toate acestea precum și dificultatea controlării infracțiunilor informatice, au condus la schimbarea modului clasic în care sunt analizate infracțiunile în sistemul actual de justiție penală, creând un nou cadru legislativ în materie ce a determinat legiuitorul să acorde o atenție deosebită domeniului criminalității informatice.
Astfel, prin legea de aplicare[14] a Noului Cod Penal [15] intrat în vigoare la 1 februarie 2014 legiuitorul preia, modifică și abrogă textele ce incriminau infracțiunile informatice principale, prevazute anterior de Legea 161/2003 si de alte legi speciale.

Prin aceasta, în mod justificat, s-a dorit obținerea unui cadru legislativ coerent, pentru a se evita eventualele suprapuneri de norme în vigoare, transpunerea reglementărilor adoptate la nivelul Uniunii Europene în cadrul legislativ penal naţional, precum și armonizarea dreptului penal material român cu sistemele celorlalte state membre ale Uniunii Europene, ca o premisă a cooperării judiciare în materie penală bazată pe recunoaştere şi încredere reciprocă[16].

Plecând de la aceste aspecte și văzând mijloacele avansate ale tehnicii din ultimii ani, când cu o ușurință demnă de invidiat este posibilă punerea sub ascultare și de asemeni supravegherea sistemelor de transmisie de date la distanţă precum si interceptarea de date în curs de transmisie s-a decis o dată cu intrarea în vigoare a Noului Cod Penal, preluarea integrală și fără modificări a textului incriminator, prevazut de art. 43[17] din Legea nr. 161/2003: Prevenirea și combaterea criminalității informatice, – Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice. Măsura, dacă i se poate spune așa a fost luată în scopul eliminării unei noi amenințări curente și substanțiale adusă realității sociale și economice.

Incriminarea acestei fapte a fost necesară dat fiind fenomenul interceptării cumpărăturilor on-line făcute de diverşi cetăţeni români sau străini ce au ales ca modalitate de plată cardul de credit, interceptări făcute în scopul furtului datelor aflate pe respectivele carduri, pentru ca acestea să fie folosite ulterior de către alte persoane decât adevăraţii titulari[18]. La momentul prezent, traficanţii de informaţii desfăşoară activităţi cu precădere în sfera financiară şi cea de business, de cele mai multe ori încercând să vândă informaţiile interceptate unor companii rivale.

Astfel, potrivit dispozițiilor art. 43 – Interceptarea ilegală a unei transmisii de date informatice, acțiunea ilegală de interceptare este definită de legea penală după cum urmează:
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracțiune și se pedepsește cu închisoarea de la 2 la 7 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice.

Este bine cunoscut faptul că textul prevăzut la articolul mai sus menționat a fost preluat din Convenția europeană în domeniul criminalității informatice, care inițial fusese prevăzut în Recomandarea 89/9 a Comitetului european pentru probleme criminale.[19]
Art. 361 statuează:
(1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepsește cu închisoarea de la unu la 5 ani.
(2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic, ce conține date informatice care nu sunt publice.

Comparând textul incriminator prevăzut de norma legală anterioară (Legea 161/2003) cu cel din Noul Cod Penal, constatăm faptul că legiuitorul reduce limitele speciale prevăzute pentru această infracțiune, respectiv noua pedeapsa fiind închisoarea de la 1 la 5 ani, și tot ca element de noutate se incriminează și tentativa, potrivit art 366.

Pentru a putea clarifica înțelesul unor termeni și pentru a evita totodată eventuale interpretări ale textului incriminator, Noul Cod penal definește noțiunile de sistem informatic și date informatice prin art. 181[20] :
Aliniatul (1) Prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic, respectiv aliniatul (2) Prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic.

De menționat este faptul că, definițiile acestor noțiuni se regăsesc în textul reglementat de Convenția privind criminalitatea informatică[21] fiind prevazute la art.1 alin. (1) litera a) si b), precum și din norma legală a Legii nr. 161/2003, prevazute la art 35 alin (1).

Convenția europeană privind criminalitatea informatică[22], prevede în mod expres că interceptarea trebuie să fie efectuată prin mijloace tehnice. În schimb, legiuitorul român în textul articolului 361 nu a prevăzut în mod expres ca realizarea interceptării să fie făcută prin mijloace tehnice, considerând a fi lipsită de relevanță și importanță o astfel de prevedere, având în vedere faptul că acțiunea incriminată de interceptare nu poate fi realizată în viziunea acestuia decât prin mijloace exclusiv tehnice.

Așa cum reiese din textul de incriminare a infracțiunii, interceptarea ilegală presupune accesarea intenționată și fără drept a datelor informatice, date ce nu sunt publice și nu sunt destinate, provenite sau aflate în interiorul unui sistem informatic, inclusiv a emisiilor electromagnetice provenind de la un sistem informatic care transportã asemenea date.

Pentru ca infracțiunea să existe în materialitatea ei este necesară interconectarea dintre sistemele informatice, respectiv sistemul informatic în legătură cu activitatea de interceptare ilegală trebuie să fie interconectat cu un alt sistem informatic, deoarece numai în cadrul unor comunicări între sisteme informatice diferite este posibilă realizarea acesteia, reglementarea legală protejând transmisiile de date informatice din cadrul sau între sistemele informatice, indiferent de modul cum acesta se realizează.

Astfel, infracțiunea de interceptare ilegală a unei transmisii de date informatice, trebuie să se realizeze în mod intenționat și nu din eroare de către făptuitor, prin utilizarea mijloacelor tehnice, având în vedere ca este vorba de o infracțiune privind date informatice ce se aflată în curs de transmitere între sistemele informatice, interconectate sau în interiorul sistemului informatic. Important de reținut este ca datele informatice să nu fie stocate pe un sistem informatic, deoarece, în această situație nu mai putem pune în discuție activitatea ilegală de interceptare (ca și activitate incriminată) ci de o accesare ilegală a acestora.

Interceptarea prin mijloace tehnice cuprinde ascultarea conţinutului comunicaţiilor, obţinerea conţinutului datelor, fie direct, accesând sistemul informatic şi folosindu-l, fie indirect, recurgând la procedee electronice de ascultare clandestine.

De exemplu, este interceptată o transmisie a unui mesaj prin intermediul poştei electronice (e-mail) sau este interceptată o conversaţie prin intermediul sistemului chat. De asemenea se mai poate comite această infracţiune prin ascultarea şi înregistrarea unei convorbiri între două persoane ce are loc prin intermediul sistemelor informatice.

Aliniatul (2) al articolului 361, prevede o alta cerință esențială pentru existența infracțiunii si anume ca datele să nu fie publice.

Infracțiunea de interceptare ilegală presupune, ca modalitate uzuală, folosirea unor programe și aplicații, în general ele însele având caracter ilegal, chiar aflate în concurs în situația dată, pentru a intercepta transmisii de date informatice, precum parole sau coduri de acces, date de securitate ale instrumentelor de plată electronică, date confidențiale s.a.

Putem afirma că infracțiunea de interceptare ilegală a datelor informatice poate constitui un mijloc de comitere a infracțiunii de acces, fără drept, la un sistem informatic.

De exemplu, prin folosirea unui program de tip trojan, se pot obține numele de user și parola de acces la un cont de e-mail și, utilizând aceste date, se accesează fără drept contul respectiv pentru obținerea unor date personale. Infracțiunea de interceptare ilegală a unei transmisii de date informatice poate fi văzută ca incriminare completatoare în raport cu accesul, fără drept, la un sistem informatic, în numeroase situații putând exista între cele două infracțiuni o legătură consecvențională.[23]

Astfel scopul săvârșirii infracțiuni prevazute de art. 361. este acela de a obține ilegal date informatice, care de cele mai multe ori sunt folosite ulterior de făptuitor pentru comiterea de infracțiuni contra patrimoniului, interceptarea având un caracter dinamic.

De menționat este și faptul că, nu prezintă relevanță forma în care datele informatice sunt interceptate, respectiv dacă acestea sunt criptate și în consecință inutilizabile făptuitorului. De asemenea trebuie avut în vedere faptul că normele de incriminare nu fac nicio distincție, după cum datele interceptate sunt sau nu utilizabile de către făptuitor și nu condiționează existența infracțiunii de utilizarea ulterioară a datelor informatice interceptate.[24]

Concluzionând, putem afirma faptul că incriminarea interceptării ilegale este o măsură, atât tehnică cât și juridică, Noul Cod penal român venind cu schimbări importante în ceea ce privește categoria infracțiunilor informatice, tratându-le cu mare strictețe, reușind corelarea prevederilor legale cu tehnologia actuală și noile metode de comitere a aestui tip de delicte .

[1] A se vederea prevederile art. 34 din Legea nr. 161/2003, TITLUL III, Prevenirea și combaterea criminalității informatice
[2] A se vedea rezumatul Tezei de doctorat – Florin Encescu, Criminalitatea Informatică, 2010, pg.7
[3] A se vedea Mihai Axinte – Dreptul societății informaționale, Ed. Universul Juridic, București 2012 , p.245
[4] Prin art. 130 pct. 2 din Legea nr. 187/2012. Capitolul III al Titlului III din cadrul Cărții I, Sectiunea a2-a, „Infracțiuni informatice”, art. 48 se abrogă.
[5] A se vedea prevederile art. 249 din Noul Cod penal la adresa http://legeaz.net/
[6] A se vedea http://www.criminalitatea-informatica.ro/legislatie/falsul-informatic-in-noul-cod-penal/
[7] A se vedea M.Dobrinoiu, Noul Cod Penal comentat, Partea specială, Ed. a II-a, revizuită și adăugită, Ed. Universul Juridic, București 2014, p.669
[8] https://ro.wikipedia.org
[9] A se vedea M.Dobrinoiu, Noul Cod Penal comentat, Partea specială, Ed. a II-a, revizuită și adăugită, Ed. Universul Juridic, București 2014, p.669
[10] A se vedea Henry R. Cheeseman, Contemporary Business Law and Online Commerce Law (6th Edition), Ed. Prentice Hall, 2008
[11] A se vedea Richard Susskind, The Future of Law: Facing the Challenges of Information Technology, Ed. Oxford University Press, 1998, p.47-63.
[12] A se vedea Alan Davidson, The Law of Electronic Commmerce, Ed. Cambridge University Press, 2009; Roger LeRoy Miller, Franck B. Cross, The Legal and E-Commerce Environment Today: Business in its Ethical, Regulatory and International Setting, Ed. South –Western College/West, 2004; M. Ethan Katsh, The Electronic Media and the Transformation of Law, Ed. Oxford University Press, 1999.
[13] A se vedea Mihai Axinte, Dreptul societății informaționale, Ed. Universul Juridic, București 2012, p. 238
[14] A se vedea prevederile din Legea nr.187/2012
[15] A se vedea prevederile Noului Cod Penal la adresa http://legeaz.net/
[16] A se vedea expunerea de motive, disponibilă la adresele www.just.ro și www.cdep.ro.
[17] Art. 43 din Legea nr. 161/2003 a fost abrogat prin art. 130 pct. 1 din Legea nr. 187/2012
[18] A se vedea A.Boroi,C.Voicu,F.Sandu, Drept penal al afacerilor, Ed. Rosetti, Bucureşti 2002, p.361
[19] A se vedea Raportul explicativ la Convenția europeană în domeniul criminalității informatice, art.3 Intercepția ilegală, paragraful 52.
[20] A se vedea prevederile Noului Cod penal la adresa http://legeaz.net/
[21] A se vedea prevederile art.1 lit.a) și b) din Convenția europeană în domeniul criminalității informatice
[22] A se vedea prevederile art. 3 din Convenția europeană privind criminalitatea informatică
[23] A se vedea http://www.criminalitatea-informatica.ro/legislatie/interceptarea-ilegala-in-noul-cod-penal/
[24] A se vedea Mihai Axinte – Dreptul societății informaționale, Ed. Universul Juridic, București 2012 , p. 243
Autor:
Gabriela Alexandra Filip a absolvit studiile liceale in cadrul Colegiului National “Roman-Voda”. A venit in Bucuresti urmand Facultatea de Marketing si Afaceri Economice Internationale.
Dupa finalizarea studiilor economice, a urmat cursurile Facultatii de Drept si Administratie Publica, specializarea drept, pe care a si absolvit-o in anul 2014.
In prezent este consilier juridic, tot in cadrul unei corporatii din domeniul IT si continua sa se perfectioneze in acest domeniu.

Material publicat în Cybersecurity Trends 2/2016

888

bc

“Charlotte”, un caz printre altele, a fost subiectul unei mici investigații pe care am făcut-o recent.

Totul pleacă de la imagine, din cauza componentei sale puternic emoționale. Exemplul de față este un caz real: Charlotte, o femeie frumoasă, blondă si zâmbitoare mi-a cerut să o adaug la lista mea de contacte Linkedin. Era deja un contact de nivelul al doilea, adică cineva din lista mea o «cunoștea».

cagnoni-1cagnoni-2

Așa că primesc un e-mail de la Charlotte via Linkedin, în care îmi cere să se conecteze cu mine. Mă uit la profilul ei, care este impresionant, bogat în competențe și experiențe profesionale. Nu pare nimic suspect în curriculum-ul său, acesta având toate elementele ce pot incuraja pe cineva să o accepte în lista sa de relații.

cagnoni-4cagnoni-3

În rolul de posibilă “victimă”, dar având cunoștințe de securitate în rețelele sociale, observ de la bun început că profilul este aproape prea bogat, aproape prea bun pentru a fi real. Un detaliu îmi atrage atenția: acest profil, atât de perfect, nu are nicio recomandare nici scrisă, nici sub formă de competențe specifice.

Mă întreb deci dacă acest profil corespunde unei persoane reale sau dacă este special creat pentru operațiuni de inginerie socială. În cel de-al doilea caz, scopul ar fi, în primul rând, să câștige încrederea victimelor, apoi odată ce acestea acceptă invitația, să le trimită email-uri în care să le recomande diverse link-uri de accesat.

Primul pas în rolul meu de investigator este foarte simplu: voi insera imaginea lui «Charlotte» în motorul de căutare de imagini Google. Și aici prima surpriză: fotografia ei apare pe numeroase site-uri, unele braziliene, altele englezești, oferind tot felul de servicii pentru femeile care doresc să reușească în viață.

cagnoni-5

Imaginea a fost deci aleasă cu atenție pentru caracterul său pur emoțional, pentru a viza în mod specific bărbații: o femeie frumoasă, blondă, tânără, la care se adaugă, în profilul Linkedin, mai multe elemente ce îi subliniază inteligența și multiplele talente, toate acestea traducându-se prin succesul său profesional incontestabil, în conformitate cu curriculum-ul publicat.

cagnoni-6

Folosind tot Google, am copiat apoi părți din acest curriculum, punându-le între ghilimele.

cagnoni-7

După trei căutări simple, am observat că “Charlotte” a împrumutat fraze existente: din Wikipedia în ceea ce privește descrierea societății unde lucrează, dar mai ales din profilul unei anumite Vivian Ying în ceea ce privește parcursul și aptitudinile profesionale.

cagnoni-8

Provocarea este de a determina acum care dintre cele două, Charlotte sau Vivian, este o persoană reală. Încep astfel analiza profilului lui Vivian. Ea este deja în rețeaua mea, ceea ce înseamnă că cei care au creat-o pe «Charlotte» au analizat persoanele care fac parte din cercul meu profesional extins, pentru a studia mai bine interesele comune care mă leagă de ele.

cagnoni-9

CV-ul lui «Charlotte» este identic cu cel al lui Vivian! Excepție face doar ultima linie, care include adresa de e-mail.

Pentru a înțelege mai bine detaliile “capcanei Charlotte” să comparăm acum cele două profiluri. Până acum știm că “Charlotte” are un profil format dintr-o imagine falsă, un parcurs copiat și un CV complet plagiat. Există, de asemenea, câteva greșeli de ortografie, descrierile lucrărilor sale curente sunt foarte generice și nu este, amintiți-vă, recomandată de nimeni.
Vivian, in schimb, are o imagine reală, este activă pe Twitter, are zeci de recomandări și, mai presus de toate, are un istoric profesional ale cărui elemente sunt confirmate deoarece ele corespund cu informațiile furnizate de site-urile web ale companiilor în care lucrează sau a lucrat în trecut.

cagnoni-11

Odată ce am stabilit în cele din urmă, fără nicio îndoială, că Charlotte nu este o persoană reală, în mod evident, vom respinge cererea sa de a se integra în rețeaua noastră.

Dar de ce sunt atât de multe “Charlotte” pe Linkedin? Există mai multe motive, complementare între ele. Prin intermediul acestui site destinat schimburilor profesionale, cei care se ascund în spatele unor “Charlotte” o fac, în cel mai fericit caz, pentru a descoperi competențele victimei și pentru a le vinde recrutorilor. Dar, de cele mai multe ori, atacanții folosesc această metodă pentru a colecta informații, în special lista de contacte a victimei, pentru a le trimite de la spam-uri la conținuturi tot mai periculoase fără a trezi suspiciuni, sau pentru a face profiling asupra țintelor potențiale pentru atacuri precise, de exemplu, în cercul profesional intern format din contactele victimei din propria companie.

În concluzie, ar trebui să fiți din ce în ce mai vigilenți atunci când vă conectați la rețelele sociale. Atunci când primiți o invitație de la o persoană necunoscută, este ideal sa faceți o analiză simplă, așa cum am explicat mai sus (“sanity check”), pentru a verifica dacă persoana este reală. Nu uitați că puteți întotdeauna să întrebați persoana care v-a invitat care sunt motivele care au determinat-o să își dorească să vă cunoască: aceasta este una dintre cele mai bune metode, pentru că “excrocii” (“scammers”), în principiu, nu răspund niciodată. Totuși, ca o măsură de precauție, nu acceptați nicio invitație de la persoanele pe care nu le cunoașteți și care au profiluri prea “generice”.

Autor: Battista Cagnoni
Material publicat în Cybersecurity Trends 2/2016

EDITIE SPECIALA – INTERNET OF THINGS

1807
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

1504
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

2809
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

1597
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

1530
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

1579
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...