Statul cibernetic. Cum ne organizăm pentru a ne proteja în faţa agresorilor cibernetici?
autor: Gabriel-Cătălin Dinu
Preambul
Cât de mult ne poate afecta o problemă de securitate cibernetică?
Este o chestiune de interes la nivel local sau naţional ori a căpătat valenţe internaţionale ori chiar globale?
Cât de mult au înţeles factorii de decizie ce anume trebuie făcut pentru a ne proteja? Și dacă au înţeles, cât de mult au aplicat aceste cunoștinţe pentru a se organiza în ţara noastră?
Este necesară o legislaţie în domeniul securităţii cibernetice?
Aceste întrebări ar trebui să ne preocupe pe fiecare dintre noi atunci când ne confruntăm cu probleme de securitate cibernetică sau aflăm știri despre evoluţii îngrijorătoare în acest domeniu.
De ce trebuie să ne preocupe securitatea cibernetică?
Aceste valenţe au făcut ca spaţiul virtual să devină un adevărat câmp de luptă, pe care, în funcţie de cât de bine pregătit şi adaptat eşti, poţi să obţii rapid câştiguri extraordinare sau, din contră, să devii o victimă sigură.
Statele moderne sunt supuse unei presiuni pe de o parte pentru a investi în informatizare, crescându-şi astfel nivelul de competitivitate şi eficienţă, dar şi de a susţine investiţiile în tehnologia informaţiei şi comunicaţilor în mediul privat, şi pe de altă parte, trebuie să ia măsuri pentru a se asigura că nivelul securităţii cibernetice a infrastructurilor informaţionale este unul adecvat. Securitatea cibernetică a devenit atât de importantă pentru state, încât este menţionată în majoritatea documentelor strategice de securitate naţională din ultimii ani. Mai mult, un număr semnificativ de state au adoptat Strategii de securitate cibernetică, subiectul devenind în ultima perioadă din ce în ce mai accentuat abordat în domeniul apărării naţionale. Subiectul atacurilor cibernetice a devenit o problemă abordată la nivel internaţional şi subiect al dreptului internaţional, nu numai pentru legislaţia penală, unde există o serie de directive şi convenţii regionale şi internaţionale, dar şi, din ce în ce mai accentuat, pe problematica denumită cuprinzător „diplomaţie cibernetică”. Am putea defini termenul de „diplomaţie cibernetică” drept o componentă a diplomaţiei care urmăreşte rezolvarea problemelor apărute în spaţiul virtual1. Unul dintre scopurile urmărite de diplomaţia cibernetică este acela de a gestiona posibilităţile de apariţie a unor conflicte internaţionale cauzate de efectele utilizării infrastructurilor informaţionale pentru realizarea unor agresiuni cibernetice.
Pentru a avea un ordin de mărime al problemei securităţii cibernetice, putem lua în calcul faptul că la nivel mondial cheltuielile în domeniul securităţii cibernetice au atins cote semnificative, aflate într-un ritm crescător accelerat. Astfel, dacă în anul 2015 cota de piaţă a serviciilor de securitate cibernetică era estimată la 106 miliarde de dolari SUA iar pentru anul 2017 de 137,85 de miliarde dolari SUA, în 2022 aceasta este prevăzut să ajungă la valoare de 231,94 miliarde dolari SUA2.

Exemple recente de evenimente majore de securitate cibernetică
O parte dintre aceste incidente au fost generate de publicarea în luna aprilie, de către un grup cunoscut sub numele de „Shadow Brokers”, a unor instrumente cibernetice foarte puternice, care se presupune că ar aparţine National Security Agency4. Aceste instrumente conţineau şi exploit-uri pentru vulnerabilităţi de tip 0-day, care astfel au devenit disponibile oricărui actor interesat să le utilizeze.
Evenimentul menţionat a generat două valuri masive de atacuri de tip ransomware ( WannaCry şi Petya/NonPetya/Goldeneye), care s-au răspândit rapid afectând sisteme informatice de pe tot mapamondul. De exemplu, WannaCry a generat, în luna mai, disfuncţii în funcţionarea spitalelor aparţinând National Health Service din Marea Britanie, creând probleme pentru mulţi pacienţi britanici. O lună mai târziu, un malware de tip ransomware, cunoscut sub mai multe nume, în special Petya sau NonPetya, creat cu o tehnologie mai avansată decât WannaCry, a afectat reţele infor- maţionale din mai multă state, inclusiv companiile Merck, din SUA, Maersk din Danemarca, sau Rosnoft, din Federaţia Rusă, dar mai ales serviciile energetice, de transport şi bancare din Ucraina5. Petya/NonPetya este considerat de unii specialişti un atac ţintit împotriva infrastructurilor critice ucrainene, mascat sub forma unei campanii ransomware.

Luna mai a anului 2017 a fost cea mai bogată în evenimente, fiind marcată şi de dezvăluirea unui atac împotriva candidatului la alegerile prezidenţiale din Franţa, Emmanuel Macron, care s-a finalizat prin publicarea a circa 9GB de email-uri aparţinând echipei sale de campanie cu câteva zile înainte de alegeri7. Deşi echipa preşedintelui Macron a fost pregătită şi s-au luat la timp măsuri eficiente de contracarare a atacului, acest eveniment, care a urmat scandalului de anul trecut referitor la serverul DNC (Democratic National Commitee) din SUA a generat nelinişte şi nesiguranţă în statele europene în ceea ce priveşte posibilitatea influenţării de către un factor extern a unuia dintre pilonii societăţilor democratice – alegerea reprezentanţilor de către cetăţeni.
Înţelegerea de către factorii de decizie la nivel internațional a necesităţii de a proteja infrastructurile de comunicaţii şi tehnologia informaţiei
La nivelul NATO securitatea cibernetică a fost introdusă pentru prima dată pe agenda de discuţii a Summit-ului de la Praga în anul 2002, fiind astfel recunoscut statutul acesteia în cadrul domeniului apărării. Ca urmare a atacurilor cibernetice care au vizat în anul 2007 infrastructurile Estoniei (Parlament, sistemul bancar, mass-media), a fost elaborată Politica în domeniul apărării cibernetice a NATO. Ulterior, în cadrul Summit-ului NATO de la Lisabona din 2010 s-a luat decizia înfiinţării unei capabilităţi proprii de apărare cibernetică a infrastructurilor Alianţei, denumită NATO Computer Incident Response Capability (NCIRC). Cel mai important pas de până acum în evoluţia domeniului la nivelul Alianţei este momentul recunoașterii oficiale de către NATO a spaţiului cibernetic ca teatru de operaţiuni militare, în cadrul Summit-ului de la Varșovia din 08-09 iulie 20168.

În cadrul Uniunii Europene, un prim pas semnificativ a fost făcut în 2004, când a fost înfiinţată ENISA (European Union Agency for Network and Information Security), care are rolul de a coordona dezvoltarea culturii de securitate cibernetică în cadrul Uniunii Europene. În anul 2013, a fost adoptată „Strategia de securitate cibernetică a Uniunii Europene: un spaţiu cibernetic deschis, sigur și securizat”. În vederea implementării strategiei au fost dezvoltate și aprobate în anul 2016 două documente, unul în domeniul apărării cibernetice – „EU Cyber Defence Policy Framework”, respectiv o directivă cu rolul de protejare a securităţii cibernetice a pieţei comune, cunoscută sub numele de „Directiva NIS”10.
A fost creat, în anul 2017, și un „Set de instrumente privind diplomaţia cibernetică”, dezbătut de Consiliul Uniunii Europene în luna iunie, cu scopul de a dezvolta un cadru privind un răspuns diplomatic comun al Uniunii la activităţile cibernetice agresive. Unul dintre pilonii pe care se fundamentează viziunea din acest document este constituit de concluzia că nu pot fi descurajate agresiunile cibernetice utilizând exclusiv diplomaţia (soft power), ci trebuie dezvoltate suplimentar atât rezilienţa infrastructurilor cât și capabilităţile de retorsiune11. Instrumentele de diplomaţie cibernetică ale Uniunii Europene conţin referinţe specifice dreptului internaţional referitoare la utilizarea forţei și atacurile armate, asemănător cu abordarea NATO.
Direcţia conceptuală urmată de diplomaţia cibernetică a Uniunii Europene, care a abordat subiectul încă din anul 2015, este conformă cu concluziile evaluărilor realizate de grupurile de experţi din cadrul ONU (Organizaţia Naţiunilor Unite) și OSCE (Organizaţia pentru Securitate și Cooperare în Europa), în ceea ce privește folosirea instrumentelor de „soft power ” pentru gestionarea situaţiilor care ar putea naște un conflict ca urmare a utilizării infrastructurilor informatice și de tehnologia comunicaţiilor.
Atât ONU cât și OSCE depun eforturi pentru identificarea unor principii, norme, reguli și măsuri acceptate de actorii din plan internaţional în vederea creșterii cooperării pentru protejarea securităţii infrastructurilor informatice și de tehnologia comunicaţiilor și reducerea riscului de generare a unor conflicte ca urmare a utilizării acestora. În acest scop, experţii ONU au elaborat 3 rapoarte (UN GGE Reports) în anii 2010, 2013 și 2015, în cadrul cărora sunt enunţate o serie de norme cu caracter voluntar, precum și principii, dintre care cel mai important este cel al aplicabilităţii legii internaţionale în domeniul securităţii cibernetice12.
În consonanţă cu recomandările UN GGE, OSCE a mers mai departe și a reușit să adopte, prin două decizii ale Consiliului Permanent, 16 măsuri de creștere a încrederii (CBM’s), de asemenea cu caracter voluntar, care au rolul de a determina schimbul de informaţii între statele membre și implementarea unor mecanisme care să asigure adoptarea unei atitudini responsabile în utilizarea IC Ts și comunicarea între actorii statali cu privire la măsurile luate și incidentele și atacurile cibernetice13. În prezent, OSCE urmărește să identifice mecanisme adecvate și coerente pentru a putea pune în practică CBM’s, pornind de la modalitatea efectivă prin care statele pot comunica într-o situaţie de utilizare a infrastructurilor informatice care ar putea genera un conflict.
Raportarea la nivel naţional la riscurile şi ameninţările din spaţiul cibernetic

În primul rând, ENISA recomandă fiecărui stat să își stabilească o viziune, un scop al strategiei, obiective de atins și o serie de priorităţi, în funcţie de care să stabilească o foaie de parcurs pentru implementarea documentului de planificare strategică. Apoi, în baza unei analize de risc, realizată în cooperare cu toate părţile interesate, în baza căreia să fie stabilite sectoarele critice și riscurile principale care trebuie să fie avute în vedere pentru măsurile ce vor fi aplicate.
Următoarea etapă, de asemenea foarte importantă, o constituie crearea unui cadru organizatoric de guvernanţă în domeniul securităţii cibernetice, în cadrul căruia să fie identificate entităţile cu responsabilităţi în domeniu, cu atribuţii clar delimitate. Responsabilul pentru implementarea strategiei de securitate cibernetică este recomandat să fie de obicei un CIO (chief informations officer), desemnat de președinte sau de către premier. De asemenea, este ncesar să fie desemnată o structură de consiliere, cu membri din administraţia centrală și din mediul privat. Alte componente ale cadrului organizatoric naţional vor avea atribuţii de reglementare, colectare de date referitoare la ameninţări și vulnerabilităţi, răspunsul la atacuri cibernetice și managementul crizelor. ENISA recomandă și existenţa unui Centru Naţional de Securitate Cibernetică, responsabil de protecţia infrastructurilor critice informaţionale de la nivel naţional. Toate aceste entităţi trebuie să aibă definit un cadru de reglementare a modului în care vor interacţiona pentru îndeplinirea responsabilităţilor și sarcinilor trasate.
Strategia trebuie să identifice toţi stakeholder-ii, atât din mediul public cât și din cel privat, astfel încât toţi aceștia să participe la elaborarea reglementărilor și să aibă roluri și responsabilităţi clar definite. ENISA recomandă identificarea unor stimulente pentru a facilita implicarea entităţilor din mediul privat și cel public în participarea la acest proces. Incapacitatea de a îndeplini această recomandare stă de multe ori la baza eșecului demersurilor de reglementare a securităţii cibernetice. O altă problemă din aceeași categorie o reprezintă implicarea redusă a societăţii civile în acest proces, care produce ulterior efecte similare, contribuind la respingerea actelor normative prin opoziţia manifestată în momentul încercărilor guvernanţilor de a le promova.
Pentru a putea vorbi despre asigurarea unui nivel minim de securitate a infrastructurilor de tehnologia informaţiei și de comunicaţii, acestea trebuie să respecte niște cerinţe de securitate, care vor fi elaborate de către autorităţile cu rol de reglementare. Aceste cerinţe pot să aibă la bază standardele tehnice de securitate precum ISO27000, COBIT, ITIL. Rolul acestor cerinţe este, pe de o parte de a stabili un limbaj comun între autorităţi și organizaţiile publice și private, dar și de a crea un sistem cu practici armonizate și referinţe comune pentru toate aceste entităţi.
Este, de asemenea, foarte important, să fie înfiinţate platforme și mecanisme securizate pentru schimbul de informaţii. Dezvoltarea cooperării între toate entităţile interesate, care este esenţială pentru protejarea securităţii cibernetice are nevoie de stabilirea unor canale securizate de schimb de informaţii, pentru a crește încrederea participanţilor la acest schimb în capacitatea sistemului astfel creat de a le proteja interesele, fără a le pune în pericol informaţiile sensibile pe care acceptă să le împărtășească.
Un alt sistem necesar este cel de raportare a incidentelor de securitate cibernetică de către operatorii de infrastructuri de tehnologia informaţiei și de comunicaţii către entităţile cu rol de gestionare a incidentelor cibernetice și managementul crizelor. Astfel, un sistem eficient de raportare a incidentelor va putea conduce la scăderea timpilor de reacţie la incidente. De asemenea, analiza acestora precum și evaluarea modalităţii în care au fost rezolvate ajută autorităţile de reglementare să reevalueze, atunci când este cazul, atât riscurile și ameninţările cibernetice, cât și cerinţele minime de securitate.
Cooperarea este esenţială pentru asigurarea securităţii cibernetice. În primul rând, mai ales având în vedere interconexiunile între infrastructuri, aproape întotdeauna un incident semnificativ va afecta, măcar în plan secundar, și interesele cel puţin unei alte entităţi. Dacă statul are atributul fundamental al protejării siguranţei și intereselor cetăţenilor săi, mediul privat pe de o parte deţine sau administrează majoritatea infrastructurilor critice ale statului, de funcţionarea cărora depind atât propriile sale interese cât și ale cetăţenilor, și pe de altă parte deţine în general și capacitatea de a produce sau accesa cele mai puternice tehnologii de securitate cibernetică. Partenerialul public-privat este astfel o soluţie logică, deoarece alătură interesele complementare ale celor două categorii de entităţi, și ajută la utilizarea în comun a unor resurse mai greu de accesat separate.

O strategie de securitate cibernetică trebuie să cuprindă și dezvoltarea unor planuri pentru situaţiile de urgenţă, care să stabilească structurile responsabile, măsurile ce trebuie adoptate pentru restabilirea bunei funcţionări a infrastructurilor de tehnologia informaţiei și de comunicaţii afectate de incidente. Planificarea pentru gestionarea situaţiilor de urgenţă este esenţială în vederea obţinerii rezilienţei infrastructurilor unui stat faţă de atacurile cibernetice. Capacitatea de gestionare a incidentelor cibernetice și de recuperare a funcţionalităţii infrastructurilor afectate depinde astfel de măsura în care statul este capabil să își realizeze și pună în practică prin dezvoltarea de capabilităţi aferente acest gen de planuri, într-o manieră coerentă și eficientă.
Pentru a se asigura de buna funcţionare a sistemului de securitate cibernetică, strategia de securitate cibernetică trebuie să cuprindă obligativitatea adoptării unor măsuri de verificare și autoreglare, prin realizarea de exerciţii cibernetice. Prin acestea, se vor testa mecanismele aflate în funcţiune, nivelul de pregătire și capacitatea entităţilor implicate de a gestiona problemele de securitate.
Strategiile trebuie să aibă în vedere și dezvoltarea capabilităţilor cibernetice proprii, fie că sunt de natură tehnică, resurse umane sau know-how, necesare pentru asigurarea securităţii, a rezilienţei, a capacităţii de gestionare a incidentelor sau chiar de retorsiune. Pentru a-și asigura aceste capabilităţi, nu se poate baza numai pe cooperare și achiziţii financiare ci are nevoie să investească în domeniul de cercetare- dezvoltare și în realizarea unor programe educaţionale.
Un domeniu care nu trebuie neglijat în cadrul unei strategii de securitate cibernetică este cel al criminalităţii cibernetice, un flagel care are o răspândire transnaţională și afectează un număr foarte mare de entităţi. Amploarea acestuia face necesară implicarea statelor în formate de cooperare internaţionale pentru a putea contracara riscurile generate. Nu în ultimul rând, ci poate una dintre cele mai importante funcţii ale sistemului de securitate cibernetică o constituie realizarea activităţilor cu scop de creștere a nivelului de conștientizare a riscurilor și ameninţărilor de securitate de către public. Cetăţenii trebuie să înţeleagă necesitatea aplicării măsurilor de securitate cibernetică și să le susţină, iar acest lucru nu poate fi realizat decât atunci când sunt informaţi de către autorităţi și specialiști cu privire la efectele pe care le pot resimţi dacă nu se asigură un nivel corespunzător de securitate a infrastructurilor de tehnologia informaţiei și comunicaţii. Un alt element important în această ecuaţie îl constituie și menţinerea unui echilibru între securitate și protecţia drepturilor fundamentale și a intimităţii cetăţenilor.
O parte dintre elementele enumerate mai sus se regăsesc în Directiva NIS, transpunerea sa în legislaţiile naţionale ale statelor membre ale Uniunii Europene fiind obligatorie până în anul 2018. Dincolo de această obligaţie, fiecare dintre componentele strategiei ar trebui să fie dez voltate în legislaţiile naţionale ale oricărui stat responsabil, pentru a putea să contribuie la funcţionarea sistemului de securitate cibernetică al acestuia.
Concluzii
Pentru a atinge aceste scopuri, este necesară în primul rând alocarea în mod eficient a resurselor printr-o organizare clară şi coerentă a domeniului securităţii cibernetice. Tot acest efort pornește de la principiile stabilite și priorităţile strategice identificate în urma analizei de risc, soluţiile organizaţionale adoptate pe baza acestora depinzând ulterior, bineînţeles, atât de modalitatea de administrare cât şi de importanţa strategică ce i se va acorda domeniului de către decidenţi.
Un stat care nu este capabil să își dezvolte un sistem instituţional funcţional de protejare a securităţii cibernetice nu are cum să facă faţă provocărilor pe care le ridică realitatea confruntărilor din spaţiul virtual și nu își va putea proteja infrastructurile, interesele și cetăţenii împotriva agresorilor. Elementele de strategie descrise mai sus sunt esenţiale pentru îndeplinirea acestei funcţii, care începe să devină esenţială pentru orice stat modern, dar nu adoptate separat sau parţial, deoarece ele sunt complementare și compun un sistem. De exemplu, va fi dificil să fie adoptate reacţii eficiente și eficace la atacuri cibernetice de către un stat care și-a dezvoltat capabilităţi puternice de gestionare a incidentelor cibernetice și chiar și de retorsiune, dacă nu are un sistem funcţional de raportare a incidentelor cibernetice sau planuri coerente de răspuns la situaţii de criză în domeniul securităţii cibernetice.
În concluzie, adoptarea legislaţiei în domeniul securităţii cibernetice este o necesitate pentru orice stat, iar toţi stakeholder-ii, indiferent că aparţin aparatului guvernamental, ori legislativ, mediului privat ori societăţii civile trebuie să fie instruiţi cu privire la riscurile pe care le generează orice întârziere în finalizarea și intrarea sa în vigoare.
1 https://uscpublicdiplomacy.org/blog/cyber-diplomacy-vs-digital-diplomacy-terminological-distinction
2 http://www.marketsandmarkets.com/Market-Reports/cyber-security-market-505.
html?gclid=CNb6w7 mt8MgCFQoEwwodZVQD-g
3 Mariarosaria Taddeo, Ludovica Glorioso
4 https://arstechnica.com/information-technology/2017/04/nsa-leaking-shadow-brokers-just-
dumped-its-most- damaging-release-yet/
5 https://www.wired.com/story/2017-biggest-hacks-so-far/
6 https://wikileaks.org/ciav7p1/
7 https://www.cyberscoop.com/nsa-alerted-france-to-russian-hacking-against-presidential-
campaign-targets/
8 https://ccdcoe.org/news/
9 Michael N. Schmitt, pag. 111 și 116
10 „Directiva (UE) 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a reţelelor și a
sistemelor informatice în Uniune”
11 Erica Moret, Patryk Pawlak
12 Raportul UN GGE
13 Decizia nr. 1202 a Consiliului Permanent „OSCE ConfidenceBuilding Measures to Reduce the Risks
of Conflict Stemming from the Use of Information and Communication Technologies”
14 „National Cyber Security Strategies – Practical Guide on Development and Execution”
Bibliografie
„Talinn Manuall 2.0 – On the International Law Applicable to Cyber Operations”, editor Michael N. Schmitt, Cambridge University Press, 2017
Decizia nr. 1202 a Consiliului Permanent „OSCE Confidence Building Measures to Reduce the Risks of Conflict Stemming from the Use of Information and Communication Technologies” disponibil online la adresa https://www.osce.org/pc/227281?download=true
„Directiva (UE) 1148/2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune”, disponibilă online la adresa https://eur-lex.europa.eu.legal-content/EN/TXT/?uri=u riserv%AOJ.L_.2016.194.01.0001.01.ENG
„Ethics and Policies for Cyber Operations – A NATO Cooperative Cyber Defence Centre of Excellence Initiative”, editori Mariarosaria Taddeo, Ludovica Glorioso; dis- ponibil online la adresa https://ccdcoe.org/multimedia/ ethics-and-policies-cyber-operation-nato- cooperative- cyber-defence-centre-excellence.html
„National Cyber Security Strategies – Practical Guide on Development and Execution” disponibil online la adresa https://www.enisa.europa.eu/publications/ national-cyber- security-strategies-an-implementation- guide
Raportul UN GGE – Group of Governmental Experts on Developments in the Field of Informa- tion and Telecommunications in the Context of International Security – 2015, disponibil online la adresa https://www.un.org/ga/search/view_doc. asp?symbol=A/70/174
„The EU Cyber Diplomacy Toolbox: towards a cyber sanctions regime?”, editori Erica Moret, Patryk Pawlak, disponibil online la adresa https://www.iss.europa.eu/ sites/default/EUISSFiles/Brief_24_Cyber_sanctions.pdf
https://uscpublicdiplomacy.org/blog/cyber-diplo- macy-vs-digital-diplomacy-terminological-distinction
http://www.marketsandmarkets.com/Market-Re- ports/cyber-security-market-505.html?gclid=CNb6w7 mt8MgCFQoEwwodZVQD-g
https://arstechnica.com/information-technolo- gy/2017/04/nsa-leaking-shadow-brokers-just-dumped- its-most- damaging-release-yet/
https://www.wired.com/story/2017-biggest-hacks- so-far/
https://wikileaks.org/ciav7p1/
https://www.cyberscoop.com/nsa-alerted-france- to-russian-hacking-against-presidential-campaign- targets/
https://ccdcoe.org/news/