Statul cibernetic. Cum ne organizăm pentru a ne proteja în faţa agresorilor cibernetici?

Dezvoltarea tehnologică a făcut ca în acest moment aproape toate sistemele esenţiale pentru buna funcţionare a unei societăţi, începând de la infrastructurile din domeniile energetic, transporturi, financiar – bancar până la administraţie, servicii medicale şi de urgenţă, chiar şi alimentaţie publică, să fie puternic informatizate. Aproape toate faţetele vieţii social-economice depind, la începutul secolului XXI, de buna funcţionare a sistemelor şi reţelelor informatice şi de comunicaţii. Creşterea tot mai accentuată a Internet of Things, împreună cu răspândirea sistemelor informatice mobile (telefoane, tablete, ceasuri inteligente) implică din ce în ce mai mult oamenii în spaţiul virtual. Înconjurat de Internet, cu posibilitatea de a cumpăra şi vinde online, de a-şi plăti facturile şi taxele, de a interacţiona cu apropiaţii oricând şi aproape de oriunde, de a obţine răspunsuri rapide la tot felul de întrebări, cetăţeanul de rând devine şi el dependent de noile tehnologii. Un blocaj sau o eroare în funcţionarea acestor sisteme poate să genereze nu doar bătaie de cap pentru administratorul de reţea sau enervarea unui utilizator, ci şi pierderea a miliarde de dolari de pe pieţele financiare, accidente aviatice cu pierderi de sute de vieţi omeneşti, sau chiar afectarea funcţionării unuia dintre elementele esenţiale ale societăţilor democratice prin afectarea procesului electoral.
Aceste valenţe au făcut ca spaţiul virtual să devină un adevărat câmp de luptă, pe care, în funcţie de cât de bine pregătit şi adaptat eşti, poţi să obţii rapid câştiguri extraordinare sau, din contră, să devii o victimă sigură.
Statele moderne sunt supuse unei presiuni pe de o parte pentru a investi în informatizare, crescându-şi astfel nivelul de competitivitate şi eficienţă, dar şi de a susţine investiţiile în tehnologia informaţiei şi comunicaţilor în mediul privat, şi pe de altă parte, trebuie să ia măsuri pentru a se asigura că nivelul securităţii cibernetice a infrastructurilor informaţionale este unul adecvat. Securitatea cibernetică a devenit atât de importantă pentru state, încât este menţionată în majoritatea documentelor strategice de securitate naţională din ultimii ani. Mai mult, un număr semnificativ de state au adoptat Strategii de securitate cibernetică, subiectul devenind în ultima perioadă din ce în ce mai accentuat abordat în domeniul apărării naţionale. Subiectul atacurilor cibernetice a devenit o problemă abordată la nivel internaţional şi subiect al dreptului internaţional, nu numai pentru legislaţia penală, unde există o serie de directive şi convenţii regionale şi internaţionale, dar şi, din ce în ce mai accentuat, pe problematica denumită cuprinzător „diplomaţie cibernetică”. Am putea defini termenul de „diplomaţie cibernetică” drept o componentă a diplomaţiei care urmăreşte rezolvarea problemelor apărute în spaţiul virtual1. Unul dintre scopurile urmărite de diplomaţia cibernetică este acela de a gestiona posibilităţile de apariţie a unor conflicte internaţionale cauzate de efectele utilizării infrastructurilor informaţionale pentru realizarea unor agresiuni cibernetice.
Pentru a avea un ordin de mărime al problemei securităţii cibernetice, putem lua în calcul faptul că la nivel mondial cheltuielile în domeniul securităţii cibernetice au atins cote semnificative, aflate într-un ritm crescător accelerat. Astfel, dacă în anul 2015 cota de piaţă a serviciilor de securitate cibernetică era estimată la 106 miliarde de dolari SUA iar pentru anul 2017 de 137,85 de miliarde dolari SUA, în 2022 aceasta este prevăzut să ajungă la valoare de 231,94 miliarde dolari SUA2.

Luând în calcul acest indicator corelat cu evoluţia nivelului riscurilor generate de creşterea nivelului de informatizare şi impactul tot mai pregnant al agresiunilor cibernetice asupra domeniilor critice pentru funcţionarea statelor, cercetătorii în domeniul apărării îşi pun întrebarea în ce măsură atât statele cât şi actorii non-statali îşi mai pot permite să abordeze problematica conflictelor cibernetice dintr-o perspectivă etică, existând o presiune din ce în ce mai mare pentru luarea unor măsuri rapide şi eficiente pentru protejarea propriilor interese3.

Anul 2017 nu se anunţă a fi unul sărac în evenimente de securitate cibernetică. Numai în primul semestru au fost înregistrate câteva incidente importante, care ar trebui să servească drept memento-uri pentru persoanele de decizie, în ceea ce priveşte seriozitatea cu care trebuie privită securitatea cibernetică.
O parte dintre aceste incidente au fost generate de publicarea în luna aprilie, de către un grup cunoscut sub numele de „Shadow Brokers”, a unor instrumente cibernetice foarte puternice, care se presupune că ar aparţine National Security Agency4. Aceste instrumente conţineau şi exploit-uri pentru vulnerabilităţi de tip 0-day, care astfel au devenit disponibile oricărui actor interesat să le utilizeze.
Evenimentul menţionat a generat două valuri masive de atacuri de tip ransomware ( WannaCry şi Petya/NonPetya/Goldeneye), care s-au răspândit rapid afectând sisteme informatice de pe tot mapamondul. De exemplu, WannaCry a generat, în luna mai, disfuncţii în funcţionarea spitalelor aparţinând National Health Service din Marea Britanie, creând probleme pentru mulţi pacienţi britanici. O lună mai târziu, un malware de tip ransomware, cunoscut sub mai multe nume, în special Petya sau NonPetya, creat cu o tehnologie mai avansată decât WannaCry, a afectat reţele infor- maţionale din mai multă state, inclusiv companiile Merck, din SUA, Maersk din Danemarca, sau Rosnoft, din Federaţia Rusă, dar mai ales serviciile energetice, de transport şi bancare din Ucraina5. Petya/NonPetya este considerat de unii specialişti un atac ţintit împotriva infrastructurilor critice ucrainene, mascat sub forma unei campanii ransomware.

Un incident asemănător cu cel generat de „Shadow Brokers”, este cel al publicării de către WikiLeaks, în luna martie, a unei colecţii de instrumente cibernetice asociate atribuite serviciilor secrete americane, denumite generic „Vault 7”6. Situaţia a generat reluarea unor dezbateri cu privire la pericolul pe care dezvoltarea la nivel guvernamental a unor arme cibernetice îl poate constitui în situaţia în care acestea ajung în mâinile unor entităţi iresponsabile.
Luna mai a anului 2017 a fost cea mai bogată în evenimente, fiind marcată şi de dezvăluirea unui atac împotriva candidatului la alegerile prezidenţiale din Franţa, Emmanuel Macron, care s-a finalizat prin publicarea a circa 9GB de email-uri aparţinând echipei sale de campanie cu câteva zile înainte de alegeri7. Deşi echipa preşedintelui Macron a fost pregătită şi s-au luat la timp măsuri eficiente de contracarare a atacului, acest eveniment, care a urmat scandalului de anul trecut referitor la serverul DNC (Democratic National Commitee) din SUA a generat nelinişte şi nesiguranţă în statele europene în ceea ce priveşte posibilitatea influenţării de către un factor extern a unuia dintre pilonii societăţilor democratice – alegerea reprezentanţilor de către cetăţeni.

Problema securităţii cibernetice a căpătat o vizibilitate semnificativă la nivel internaţional la începutul secolului XXI.
La nivelul NATO securitatea cibernetică a fost introdusă pentru prima dată pe agenda de discuţii a Summit-ului de la Praga în anul 2002, fiind astfel recunoscut statutul acesteia în cadrul domeniului apărării. Ca urmare a atacurilor cibernetice care au vizat în anul 2007 infrastructurile Estoniei (Parlament, sistemul bancar, mass-media), a fost elaborată Politica în domeniul apărării cibernetice a NATO. Ulterior, în cadrul Summit-ului NATO de la Lisabona din 2010 s-a luat decizia înfiinţării unei capabilităţi proprii de apărare cibernetică a infrastructurilor Alianţei, denumită NATO Computer Incident Response Capability (NCIRC). Cel mai important pas de până acum în evoluţia domeniului la nivelul Alianţei este momentul recunoașterii oficiale de către NATO a spaţiului cibernetic ca teatru de operaţiuni militare, în cadrul Summit-ului de la Varșovia din 08-09 iulie 20168.
În cadrul „Manualului Tallin 2.0”, grupul de experţi ai ţărilor NATO a elaborat o serie de 154 de reguli derivate din studierea dreptului internaţional aplicabil, destinate a fi utilizate de specialiștii în domeniul securităţii cibernetice. Dintre acestea, consider relevante Regulile 20 și 21, care stipulează că un stat are dreptul să adopte contramăsuri (de natură cibernetică sau nu) la un atac cibernetic, ca răspuns la încălcarea de către alt stat a unei obligaţii rezultate din dreptul internaţional, dar numai cu scopul de a determina statul responsabil să își respecte obligaţiile pe care le are conform legii internaţionale faţă de statul afectat9.
În cadrul Uniunii Europene, un prim pas semnificativ a fost făcut în 2004, când a fost înfiinţată ENISA (European Union Agency for Network and Information Security), care are rolul de a coordona dezvoltarea culturii de securitate cibernetică în cadrul Uniunii Europene. În anul 2013, a fost adoptată „Strategia de securitate cibernetică a Uniunii Europene: un spaţiu cibernetic deschis, sigur și securizat”. În vederea implementării strategiei au fost dezvoltate și aprobate în anul 2016 două documente, unul în domeniul apărării cibernetice – „EU Cyber Defence Policy Framework”, respectiv o directivă cu rolul de protejare a securităţii cibernetice a pieţei comune, cunoscută sub numele de „Directiva NIS”10.
A fost creat, în anul 2017, și un „Set de instrumente privind diplomaţia cibernetică”, dezbătut de Consiliul Uniunii Europene în luna iunie, cu scopul de a dezvolta un cadru privind un răspuns diplomatic comun al Uniunii la activităţile cibernetice agresive. Unul dintre pilonii pe care se fundamentează viziunea din acest document este constituit de concluzia că nu pot fi descurajate agresiunile cibernetice utilizând exclusiv diplomaţia (soft power), ci trebuie dezvoltate suplimentar atât rezilienţa infrastructurilor cât și capabilităţile de retorsiune11. Instrumentele de diplomaţie cibernetică ale Uniunii Europene conţin referinţe specifice dreptului internaţional referitoare la utilizarea forţei și atacurile armate, asemănător cu abordarea NATO.
Direcţia conceptuală urmată de diplomaţia cibernetică a Uniunii Europene, care a abordat subiectul încă din anul 2015, este conformă cu concluziile evaluărilor realizate de grupurile de experţi din cadrul ONU (Organizaţia Naţiunilor Unite) și OSCE (Organizaţia pentru Securitate și Cooperare în Europa), în ceea ce privește folosirea instrumentelor de „soft power ” pentru gestionarea situaţiilor care ar putea naște un conflict ca urmare a utilizării infrastructurilor informatice și de tehnologia comunicaţiilor.
Atât ONU cât și OSCE depun eforturi pentru identificarea unor principii, norme, reguli și măsuri acceptate de actorii din plan internaţional în vederea creșterii cooperării pentru protejarea securităţii infrastructurilor informatice și de tehnologia comunicaţiilor și reducerea riscului de generare a unor conflicte ca urmare a utilizării acestora. În acest scop, experţii ONU au elaborat 3 rapoarte (UN GGE Reports) în anii 2010, 2013 și 2015, în cadrul cărora sunt enunţate o serie de norme cu caracter voluntar, precum și principii, dintre care cel mai important este cel al aplicabilităţii legii internaţionale în domeniul securităţii cibernetice12.
În consonanţă cu recomandările UN GGE, OSCE a mers mai departe și a reușit să adopte, prin două decizii ale Consiliului Permanent, 16 măsuri de creștere a încrederii (CBM’s), de asemenea cu caracter voluntar, care au rolul de a determina schimbul de informaţii între statele membre și implementarea unor mecanisme care să asigure adoptarea unei atitudini responsabile în utilizarea IC Ts și comunicarea între actorii statali cu privire la măsurile luate și incidentele și atacurile cibernetice13. În prezent, OSCE urmărește să identifice mecanisme adecvate și coerente pentru a putea pune în practică CBM’s, pornind de la modalitatea efectivă prin care statele pot comunica într-o situaţie de utilizare a infrastructurilor informatice care ar putea genera un conflict.

La rândul lor, marea majoritate a statelor au adoptat documente strategice oficiale pentru reglementarea internă a domeniului securităţii cibernetice. De exemplu, în cadrul Uniunii Europene Directiva NIS introduce obligaţia statelor membre de a adopta strategii naţionale în domeniul securităţii reţelelor și sistemelor informatice până la sfârșitul lunii mai 2018.

Tot în cadrul Uniunii Europene, ENISA a elaborat în 2012 un ghid de bune practici pentru întocmirea strategiilor de securitate cibernetică, în cadrul căruia sunt indicate o serie de probleme pe care aceste documente ar trebui să le abordeze pentru a putea să răspundă cât mai bine scopului pentru care un astfel de document este realizat14.
În primul rând, ENISA recomandă fiecărui stat să își stabilească o viziune, un scop al strategiei, obiective de atins și o serie de priorităţi, în funcţie de care să stabilească o foaie de parcurs pentru implementarea documentului de planificare strategică. Apoi, în baza unei analize de risc, realizată în cooperare cu toate părţile interesate, în baza căreia să fie stabilite sectoarele critice și riscurile principale care trebuie să fie avute în vedere pentru măsurile ce vor fi aplicate.
Următoarea etapă, de asemenea foarte importantă, o constituie crearea unui cadru organizatoric de guvernanţă în domeniul securităţii cibernetice, în cadrul căruia să fie identificate entităţile cu responsabilităţi în domeniu, cu atribuţii clar delimitate. Responsabilul pentru implementarea strategiei de securitate cibernetică este recomandat să fie de obicei un CIO (chief informations officer), desemnat de președinte sau de către premier. De asemenea, este ncesar să fie desemnată o structură de consiliere, cu membri din administraţia centrală și din mediul privat. Alte componente ale cadrului organizatoric naţional vor avea atribuţii de reglementare, colectare de date referitoare la ameninţări și vulnerabilităţi, răspunsul la atacuri cibernetice și managementul crizelor. ENISA recomandă și existenţa unui Centru Naţional de Securitate Cibernetică, responsabil de protecţia infrastructurilor critice informaţionale de la nivel naţional. Toate aceste entităţi trebuie să aibă definit un cadru de reglementare a modului în care vor interacţiona pentru îndeplinirea responsabilităţilor și sarcinilor trasate.
Strategia trebuie să identifice toţi stakeholder-ii, atât din mediul public cât și din cel privat, astfel încât toţi aceștia să participe la elaborarea reglementărilor și să aibă roluri și responsabilităţi clar definite. ENISA recomandă identificarea unor stimulente pentru a facilita implicarea entităţilor din mediul privat și cel public în participarea la acest proces. Incapacitatea de a îndeplini această recomandare stă de multe ori la baza eșecului demersurilor de reglementare a securităţii cibernetice. O altă problemă din aceeași categorie o reprezintă implicarea redusă a societăţii civile în acest proces, care produce ulterior efecte similare, contribuind la respingerea actelor normative prin opoziţia manifestată în momentul încercărilor guvernanţilor de a le promova.
Pentru a putea vorbi despre asigurarea unui nivel minim de securitate a infrastructurilor de tehnologia informaţiei și de comunicaţii, acestea trebuie să respecte niște cerinţe de securitate, care vor fi elaborate de către autorităţile cu rol de reglementare. Aceste cerinţe pot să aibă la bază standardele tehnice de securitate precum ISO27000, COBIT, ITIL. Rolul acestor cerinţe este, pe de o parte de a stabili un limbaj comun între autorităţi și organizaţiile publice și private, dar și de a crea un sistem cu practici armonizate și referinţe comune pentru toate aceste entităţi.
Este, de asemenea, foarte important, să fie înfiinţate platforme și mecanisme securizate pentru schimbul de informaţii. Dezvoltarea cooperării între toate entităţile interesate, care este esenţială pentru protejarea securităţii cibernetice are nevoie de stabilirea unor canale securizate de schimb de informaţii, pentru a crește încrederea participanţilor la acest schimb în capacitatea sistemului astfel creat de a le proteja interesele, fără a le pune în pericol informaţiile sensibile pe care acceptă să le împărtășească.
Un alt sistem necesar este cel de raportare a incidentelor de securitate cibernetică de către operatorii de infrastructuri de tehnologia informaţiei și de comunicaţii către entităţile cu rol de gestionare a incidentelor cibernetice și managementul crizelor. Astfel, un sistem eficient de raportare a incidentelor va putea conduce la scăderea timpilor de reacţie la incidente. De asemenea, analiza acestora precum și evaluarea modalităţii în care au fost rezolvate ajută autorităţile de reglementare să reevalueze, atunci când este cazul, atât riscurile și ameninţările cibernetice, cât și cerinţele minime de securitate.
Cooperarea este esenţială pentru asigurarea securităţii cibernetice. În primul rând, mai ales având în vedere interconexiunile între infrastructuri, aproape întotdeauna un incident semnificativ va afecta, măcar în plan secundar, și interesele cel puţin unei alte entităţi. Dacă statul are atributul fundamental al protejării siguranţei și intereselor cetăţenilor săi, mediul privat pe de o parte deţine sau administrează majoritatea infrastructurilor critice ale statului, de funcţionarea cărora depind atât propriile sale interese cât și ale cetăţenilor, și pe de altă parte deţine în general și capacitatea de a produce sau accesa cele mai puternice tehnologii de securitate cibernetică. Partenerialul public-privat este astfel o soluţie logică, deoarece alătură interesele complementare ale celor două categorii de entităţi, și ajută la utilizarea în comun a unor resurse mai greu de accesat separate.

Tot în paradigma nevoii de cooperare intră și cooperarea internaţională. Așa cum am arătat mai sus, problematica este abordată deja la toate nivelurile în plan internaţional, ameninţările cibernetice având, prin natura lor, un caracter transnaţional. Faptul că aceste ameninţări nu sunt afectate de graniţele fizice și se manifestă de multe ori la nivelul unui număr semnificativ de state face nu numai de dorit dar chiar necesară cooperarea între state. Fiecare stat are nevoie să își desemneze entităţi cu rol de punct de contact pentru cooperarea la nivel internaţional. Implicarea în tratate, convenţii, sau eforturi internaţionale în domeniul securităţii cibernetice este importantă și benefică pentru protejarea intereselor statului și păstrarea contactului cu demersurile realizate la acest nivel.
O strategie de securitate cibernetică trebuie să cuprindă și dezvoltarea unor planuri pentru situaţiile de urgenţă, care să stabilească structurile responsabile, măsurile ce trebuie adoptate pentru restabilirea bunei funcţionări a infrastructurilor de tehnologia informaţiei și de comunicaţii afectate de incidente. Planificarea pentru gestionarea situaţiilor de urgenţă este esenţială în vederea obţinerii rezilienţei infrastructurilor unui stat faţă de atacurile cibernetice. Capacitatea de gestionare a incidentelor cibernetice și de recuperare a funcţionalităţii infrastructurilor afectate depinde astfel de măsura în care statul este capabil să își realizeze și pună în practică prin dezvoltarea de capabilităţi aferente acest gen de planuri, într-o manieră coerentă și eficientă.
Pentru a se asigura de buna funcţionare a sistemului de securitate cibernetică, strategia de securitate cibernetică trebuie să cuprindă obligativitatea adoptării unor măsuri de verificare și autoreglare, prin realizarea de exerciţii cibernetice. Prin acestea, se vor testa mecanismele aflate în funcţiune, nivelul de pregătire și capacitatea entităţilor implicate de a gestiona problemele de securitate.
Strategiile trebuie să aibă în vedere și dezvoltarea capabilităţilor cibernetice proprii, fie că sunt de natură tehnică, resurse umane sau know-how, necesare pentru asigurarea securităţii, a rezilienţei, a capacităţii de gestionare a incidentelor sau chiar de retorsiune. Pentru a-și asigura aceste capabilităţi, nu se poate baza numai pe cooperare și achiziţii financiare ci are nevoie să investească în domeniul de cercetare- dezvoltare și în realizarea unor programe educaţionale.
Un domeniu care nu trebuie neglijat în cadrul unei strategii de securitate cibernetică este cel al criminalităţii cibernetice, un flagel care are o răspândire transnaţională și afectează un număr foarte mare de entităţi. Amploarea acestuia face necesară implicarea statelor în formate de cooperare internaţionale pentru a putea contracara riscurile generate. Nu în ultimul rând, ci poate una dintre cele mai importante funcţii ale sistemului de securitate cibernetică o constituie realizarea activităţilor cu scop de creștere a nivelului de conștientizare a riscurilor și ameninţărilor de securitate de către public. Cetăţenii trebuie să înţeleagă necesitatea aplicării măsurilor de securitate cibernetică și să le susţină, iar acest lucru nu poate fi realizat decât atunci când sunt informaţi de către autorităţi și specialiști cu privire la efectele pe care le pot resimţi dacă nu se asigură un nivel corespunzător de securitate a infrastructurilor de tehnologia informaţiei și comunicaţii. Un alt element important în această ecuaţie îl constituie și menţinerea unui echilibru între securitate și protecţia drepturilor fundamentale și a intimităţii cetăţenilor.
O parte dintre elementele enumerate mai sus se regăsesc în Directiva NIS, transpunerea sa în legislaţiile naţionale ale statelor membre ale Uniunii Europene fiind obligatorie până în anul 2018. Dincolo de această obligaţie, fiecare dintre componentele strategiei ar trebui să fie dez voltate în legislaţiile naţionale ale oricărui stat responsabil, pentru a putea să contribuie la funcţionarea sistemului de securitate cibernetică al acestuia.

Având în vedere complexitatea ameninţărilor şi riscurilor din spaţiul virtual şi implicaţiile numeroase pe care utilizarea infrastructurilor informatice le are, atât din punct de vedere legal, cât şi în planul securităţii naţionale și al relaţiilor internaţionale, este necesar în primul rând ca statele să îşi dezvolte rapid capabilităţi care să le asigure rezilienţa infrastructurilor critice, dar și capacitatea de a se apăra împotriva atacurilor cibernetice. Bineînţeles că abilitatea de a utiliza suplimentar și mijloace de retorsiune este, de asemenea, o modalitate prin care un stat își poate apăra interesele descurajând agresiunile împotriva infrastructurilor sale critice.
Pentru a atinge aceste scopuri, este necesară în primul rând alocarea în mod eficient a resurselor printr-o organizare clară şi coerentă a domeniului securităţii cibernetice. Tot acest efort pornește de la principiile stabilite și priorităţile strategice identificate în urma analizei de risc, soluţiile organizaţionale adoptate pe baza acestora depinzând ulterior, bineînţeles, atât de modalitatea de administrare cât şi de importanţa strategică ce i se va acorda domeniului de către decidenţi.
Un stat care nu este capabil să își dezvolte un sistem instituţional funcţional de protejare a securităţii cibernetice nu are cum să facă faţă provocărilor pe care le ridică realitatea confruntărilor din spaţiul virtual și nu își va putea proteja infrastructurile, interesele și cetăţenii împotriva agresorilor. Elementele de strategie descrise mai sus sunt esenţiale pentru îndeplinirea acestei funcţii, care începe să devină esenţială pentru orice stat modern, dar nu adoptate separat sau parţial, deoarece ele sunt complementare și compun un sistem. De exemplu, va fi dificil să fie adoptate reacţii eficiente și eficace la atacuri cibernetice de către un stat care și-a dezvoltat capabilităţi puternice de gestionare a incidentelor cibernetice și chiar și de retorsiune, dacă nu are un sistem funcţional de raportare a incidentelor cibernetice sau planuri coerente de răspuns la situaţii de criză în domeniul securităţii cibernetice.
În concluzie, adoptarea legislaţiei în domeniul securităţii cibernetice este o necesitate pentru orice stat, iar toţi stakeholder-ii, indiferent că aparţin aparatului guvernamental, ori legislativ, mediului privat ori societăţii civile trebuie să fie instruiţi cu privire la riscurile pe care le generează orice întârziere în finalizarea și intrarea sa în vigoare.