14 februarie 2021

Afacerea SolarWinds, volumul 4: transformările instituţionale din S.U.A.

Mircea Mocanu

Şocul sistemic cauzat de operaţia de spionaj cibernetic SolarWinds a impus măsuri urgente din partea echipelor de intervenţie la incidente cibernetice în majoritatea instituţiilor guvernamentale din Statele Unite şi în numeroase societăţi comerciale private. În continuare, sunt necesare ajustări la nivelul reglementărilor de protecţie cibernetică, plus o revedere semnificativă a arhitecturii instituţionale responsabile pentru protecţia spaţiului informaţional suveran al S.U.A. Care este viziunea Washingtonului şi care sunt soluţiile?

Sursă foto: Profimedia

Guvernul strânge rândurile

În „volumul 3” dedicat Afacerii SolarWinds am prezentat pe scurt primele măsuri tehnologice luate de autorităţile americane pentru limitarea pagubelor şi controlul efectelor acestei operaţii de spionaj cibernetic. Răspunsul Statelor Unite are, însă, şi o importantă componentă instituţională, pentru a consolida capacitatea guvernului de a face faţă unor astfel de activităţi ostile. Pornind de la vârful piramidei, preşedintele (pe atunci recent ales) Joe Biden a declarat: „Nu vom rămâne indiferenţi în faţa unor astfel de asalturi cibernetice asupra ţării noastre” şi „Administraţia mea va face din securitatea cibernetică o prioritate de vârf la toate nivelurile guvernului”. Dar şi preşedintele în funcţie Donald Trump acţionase imediat, anume prin Directiva de Politică Prezidenţială 41, prin care a dispus formarea unui Grup Unificat de Coordonare în domeniul Cibernetic (UCG – Unified Coordination Group).

Această structură de urgenţă aduce laolaltă eforturile a trei instituţii esenţiale implicate la nivel federal: FBI, CISA şi Oficiul Directorului Naţional pentru Intelligence (ODNI – Office of the Director National Intelligence). Între acestea, Agenţia pentru Securitate Cibernetică şi Securitatea Infrastructurii (CISA – Cybersecurity and Infrastructure Security Agency) este instituţia specializată din cadrul Departamentului Securităţii Naţionale (DHS – Department of Homeland Security). UCG a fost desemnat să coordoneze efortul întregului guvern american pentru a răspunde incidentului major SolarWinds. De altfel, Tom Bossert,  expert IT şi fost consilier în DHS, a susţinut pentru New York Times că „toate elementele puterii naţionale trebuie puse pe masă”. 

Operaţia SolarWinds, despre a cărei derulare am scris în „volumul 1”, s-a manifestat ca o infracţiune de amploare comisă pe teritoriul Statelor Unite. Ca urmare a acestei încadrări juridice, FBI a primit sarcina de a coordona răspunsul la ameninţare şi de a investiga incidentul pentru a colecta probele necesare atribuirii faptelor, urmăririi făptaşilor şi opririi actorilor responsabili pentru acestor fapte. În cooperare cu victimele identificate şi posibile, FBI urma să contureze indiciile de compromitere pentru uzul administratorilor de reţea şi responsabililor guvernamentali, în vederea unor viitoare acţiuni tehnice concrete.

Rolul agenţiei CISA este, bineînţeles, de a constitui nodul de referinţă pentru toate aspectele de natură tehnologică în efortul de răspuns, atât pentru instituţiile guvernamentale, cât şi pentru entităţile civile afectate sau potenţial afectate de malware. CISA asigură asistenţă tehnică la cerere şi oferă victimelor resursele disponibile pentru depăşirea crizei cibernetice. De altfel, CISA a emis şi principalul document de avertizare de securitate, Directiva urgentă instrumentată de „laboratorul informaţional” US-CERT.

La rândul său, ODNI are responsabilitatea de a reuni eforturile comunităţii americane de intelligence pentru a sprijini răspunsul la operaţia SolarWinds şi de a pune la dispoziţie resursele corespunzătoare în vederea distribuirii informaţiilor necesare în toate instituţiile relevante ale guvernului. Mai precis, instituţia care asigură „dispeceratul” eforturilor de intelligence este Consiliul Naţional de Securitate (NSC – National Security Council). Mai în detaliu, Agenţia Naţională de Securitate (NSA – National Security Agency) a emis un îndrumar intitulat „Detectarea Mecanismelor de Abuz la Autentificare”, prin care sunt oferite recomandări imperative tuturor administratorilor de reţea ai componentelor Sistemului Naţionale de Securitate din Departamentul Apărării şi industriei de apărare (DIB – Defence Industrial Base), în vederea detectării intruziunilor şi diminuării efectelor acţiunilor ostile de autentificare frauduloasă şi exploatare neautorizată a datelor protejate stocate în cloud.

Deficienţele sistemice constatate în mediul informaţional din Statele Unite

În „volumul 2” al seriei de articole dedicate „Afacerii SolarWinds”, am prezentat efectele de natură cibernetică ale operaţiei de spionaj asupra integrităţii reţelelor de calculatoare şi asupra datelor protejate ale beneficiarilor produsului software Orion Platform. Şocul de natură sistemică suferit de entităţile afectate a fost comparat cu cel cauzat de atacurile teroriste de la 11 septembrie 2001.

Deşi amploarea impactului nu se ridică până la dimensiunile istorice ale atacurilor Al-Qaida asupra clădirilor World Trade Center, directorul Microsoft, Brad Smith, a declarat pentru New York Times că „am uitat lecţiile primite la 11 septembrie” şi că săptămâna de coşmar de la finele lui 2020 „a transformat companii ca Microsoft în câini ciobăneşti care aleargă să adune laolaltă aceste agenţii federale pentru a împărtăşi celorlalţi ceea ce ştiu”. Este vorba despre mult-blamatul „efect de coşuri de fum” (stovepipe effect), coşuri care duc fiecare fumul până la ieşirea din clădire, fără absolut nicio legătură unul cu altul. Acest fenomen este numit şi „funcţionare de siloz” – perfect protejat prin secretizare şi izolat prin traseul unic al informaţiilor de la intrare până la ieşire. Senatorul Angus King (independent de Maine) a declarat că „una dintre problemele pe care le-am abordat [în bugetul apărării pentru 2020] la scară largă este problema silozurilor. Adevărat, avem silozuri foarte bune, dar ele sunt încă nişte silozuri”. Mai clar, este vorba despre păguboasa mentalitate a serviciilor de informaţii de a nu transmite unele altora informaţii relevante de securitate naţională, principala deficienţă responsabilă pentru lipsa de avertizare pentru atacurile teroriste din 2001.

În ansamblu, impactul operaţiei SolarWinds este perceput ca reflectând un eşec dezastruos al apărării cibernetice a Statelor Unite, o dovadă crasă a nepregătirii autorităţilor americane de a răspunde la o ameninţare majoră cunoscută. Diagnosticul pare a fi dur, dar este bazat pe realitatea faptului că Washingtonul a investit miliarde de dolari în sistemul Einstein, care este conceput exact ca să detecteze intruziuni digitale în produse software strategice. Deci sistemul Einstein a eşuat spectaculos, iar autorităţile nu pot spune că nu au fost avertizate: un raport întocmit de Oficiul pentru Responsabilitate Guvernamentală (GAO – Government Accountability Office) recomandase agenţiilor guvernamentale americane, încă din anul 2018, să acorde mai multă atenţie ameninţării cibernetice, cu referire explicită la securitatea lanţurilor logistice ale furnizorilor de software (acum faimoasele supply chains).

Pe de altă parte, în ultimele decenii au fost făcute eforturi şi investiţii mari în securitatea cibernetică. Se pare, nu îndeajuns. Instituţiile responsabile sunt încă deficitare la încadrare şi finanţare. Astfel CISA, înfiinţată în urmă cu doi ani, are doar 2.200 de angajaţi (faţă de Serviciul Parcurilor Naţionale, cu aproape de zece ori mai mulţi angajaţi care muncesc pentru a asigura calitatea vacanţelor turiştilor). În acest timp, cele mai multe agenţii federale nu întrunesc condiţii minime de „igienă cibernetică” şi standarde de management al riscurilor în domeniu. Experţii atrag atenţia şi asupra faptului că nu se poate să ai peste 130 de agenţii federale care să implementeze peste 130 de programe diferite de securitate cibernetică, cu atât mai mult cu cât problema a fost agravată în condiţiile pandemiei, când mulţi funcţionari lucrează de acasă. 

Evoluţia statistică a incidentelor cibernetice înregistrate de diverse entităţi arată că, în anul 2020, proporţia firmelor care au suferit diferite incidente cibernetice de factură ostilă a scăzut de la 61% la 39%. În schimb, pierderile înregistrate ca urmare a acestor incidente au crescut cam de şase ori. Totodată, impactul de securitate al incidentelor a crescut la niveluri îngrijorătoare, culminând, iată, cu efectele operaţiei SolarWinds.

Aceste efecte sunt datorate, în mare parte, delăsării instituţiilor şi societăţilor comerciale private în implementarea prevederilor de securitate cibernetică emise de CISA. Un alt raport GAO, chiar din decembrie 2020, arată că „niciuna dintre 23 de agenţii nu a implementat în întregime toate practicile [recomandate pentru managementul de risc al lanţurilor logistice], iar 14 dintre 23 de agenţii nu au implementat chiar niciuna dintre practicile recomandate”.  

Un aspect de luat în seamă este faptul că atenţia autorităţilor de securitate cibernetică a fost concentrată, în anul 2020, asupra securităţii procesului electoral, având în vedere antecedentele privind atacuri informaţionale asupra alegerilor din Statele Unite. Astfel, atenţia şi resursele auditorilor au rămas deficitare în privinţa altor domenii vulnerabile, cum este securitatea lanţurilor logistice ale companiilor IT.

Au fost scoase în evidenţă şi vulnerabilităţile cauzate de eşecul senzorilor de avertizare ale serviciilor de intelligence privind originea acţiunilor ostile, precum şi limitările atribuţiilor NSA şi Comandamentului Cibernetic de a se angaja în supraveghere în interiorul S.U.A.

Viziunea de răspuns instituţional la ameninţarea cibernetică

Un element spectaculos al situaţiei este faptul că liniile generale de dezvoltare a securităţii cibernetice în Statele Unite erau deja conturate înainte de constatarea dezastrului SolarWinds. Mai precis, încă din martie 2020, comisia specială a Congresului, coordonată de Angus King şi Mike Gallager, a dat publicităţii raportul Cyberspace Solarium Commission. Raportul include rezultatele unui studiu realizat prin metoda Delphi, cu intervievarea a peste 300 de experţi în domeniu, şi oferă numeroase recomandări ce reflectă o viziune la nivel global.

Reforma guvernamentală preconizată de Raportul Solarium clamează că „trebuie să fim mai rapizi şi mai isteţi în dezvoltarea abilităţii guvernului de a organiza eforturi convergente, continue şi de colaborare, pentru a ridica rezilienţa, pentru a răspunde ameninţărilor cibernetice şi pentru a păstra opţiunile militare care indică o capabilitate şi o voinţă de a impune adversarilor costuri [pentru faptele lor]. Un sistem reformat de supervizare şi organizare guvernamentală asigurat cu resurse şi încadrat corespunzător, în linie cu o strategie multistrat de descurajare, va permite Statelor Unite să reducă probabilitatea, magnitudinea şi efectele unor atacuri semnificative asupra reţelelor [informatice]”.

Principalele recomandări pentru reforma guvernamentală sunt următoarele:

  • Actualizarea strategiei naţionale de securitate cibernetică;
  • Înfiinţarea unor comisii cu componenţă selecţionată (cum există pentru intelligence), atât la Senat, cât şi la Cameră, pentru domeniul cibernetic;
  • Înfiinţarea funcţiei de Director Naţional pentru Securitatea Cibernetică (cu confirmare senatorială, la fel ca DNI pentru domeniul intelligence);
  • Întărirea CISA;
  • Adoptarea unei legislaţii şi implementarea de politici menite să îmbunătăţească sistemul de recrutare, dezvoltare şi retenţie a talentelor în domeniul cibernetic. 

Raportul Solarium prevede înfiinţarea de poziţii şi structuri administrative, dar viziunea porneşte nu de la înfiinţarea sau extinderea unor instituţii guvernamentale, ci de la acţiunile necesare şi responsabilităţile / cerinţele de dorit a fi rezolvate. Această abordare de un pragmatism tipic american urmează principiul conform căruia „funcţia creează organul” şi pleacă de la evaluarea că, „în prezent, guvernul S.U.A. nu este structurat să acţioneze cu viteza şi agilitatea necesare pentru a apăra ţara în spaţiul cibernetic”. De aceea, documentul formulează direcţii de dezvoltare pe trei niveluri conceptuale: 1) Modelarea comportamentului actorilor internaţionali în domeniul securităţii cibernetice la scară globală; 2) Interzicerea de beneficii pe care un actor internaţional ostil le-ar putea obţine în urma unui comportament neprietenesc în mediul informaţional; 3) Impunerea de costuri asupra actorilor internaţionali care ar opta, totuşi, să comită acte ilegale în spaţiul cibernetic.

Prima direcţie de acţiune se referă la activitatea internaţională realizată prin întărirea reglementărilor internaţionale şi prin instrumente ne-militare. În acest sens, Raportul Solarium propune crearea unei poziţii de Asistent al Secretarului de Stat al S.U.A. care să conducă un Birou pentru Securitatea Cibernetică şi Tehnologii Emergente. De asemenea, Raportul îndeamnă administraţia de la Washington să se angajeze în eforturi constructive în diverse forumuri internaţionale şi să acţioneze pentru îmbunătăţirea instrumentelor internaţionale în vederea consolidării unei ordini comun acceptate în mediul cibernetic global.

Cea de-a doua direcţie de acţiune se bazează pe trei piloni conceptuali: întărirea rezilienţei naţionale în domeniul securităţii cibernetice, remodelarea „ecosistemului cibernetic” în vederea consolidării securităţii, respectiv operaţionalizarea colaborării între guvern şi mediul privat, privitoare la securitatea cibernetică.

Primul pilon vizează sarcini pentru Congresul S.U.A. cu scopul îmbunătăţirii reglementărilor în domeniu: responsabilităţi instituţionale, asigurarea resurselor, managementul de risc general şi sectorial, asigurarea continuităţii economiei, stabilirea unor praguri privind „starea de afectare” (State of Distress) şi un Fond de Recuperare şi Răspuns la Criza Cibernetică, o Comisie pentru asistenţă în procesul electoral, educaţia digitală şi conştientizarea la nivelul întregii societăţi.

Al doilea pilon, referitor la „ecosistemul cibernetic”, promovează ideea unei Autorităţi Naţionale şi a unui program pentru supervizarea proceselor de stabilire a denumirilor de domenii şi certificare în securitatea cibernetică, inclusiv pentru certificarea securităţii datelor stocate în cloud, precum şi a unui Birou de Statistici Cibernetice sub autoritatea Congresului. Totodată, Raportul Solarium propune înfiinţarea unui centru de cercetare şi dezvoltare de profil în subordinea DHS şi implementarea unei strategii a domeniului informaţional pentru întreaga bază industrială a ţării, precum şi o nouă lege privind securitatea datelor şi protecţia confidenţialităţii informaţionale.

În cadrul celui de-al treilea pilon, se propune Congresului să legifereze conceptul de „infrastructură critică de importanţă sistemică” şi să înfiinţeze şi să asigure finanţarea unui Fond de Mediu întrunit, care să alimenteze instituţiile relevante cu toate informaţiile necesare securităţii cibernetice. De asemenea, acest al treilea pilon propune CISA să realizeze un studiu şi un raport anual de analiză sistemică şi să înfiinţeze o Celulă întrunită de planificare cibernetică în care mediul guvernamental şi cel privat să coopereze pentru îmbunătăţirea securităţii cibernetice la nivel naţional.

A treia direcţie de acţiune prevăzută de Raportul Solarium se referă la concepţia de contra-acţiune la evenimente cauzate de entităţi ostile, bazată pe pilonul instrumentului militar al puterii de stat şi pe celelalte opţiuni menite să descurajeze acţiuni ostile de orice fel împotriva suveranităţii cibernetice a Statelor Unite. În acest context, Raportul propune Congresului evaluarea forţelor americane cu atribuţii de securitate cibernetică, a vulnerabilităţilor tuturor segmentelor sistemelor de control al armamentului nuclear al S.U.A., precum şi impulsionarea participării industriei de apărare americane la programele de schimb de informaţii de securitate cibernetică şi la contracararea ameninţărilor în reţelele industriei de apărare.    

Opţiunea unui „ţar” al domeniului cibernetic

Raportul Solarium este generos în privinţa recomandărilor de mai multe categorii. Între acestea se numără întărirea atribuţiilor CISA până la nivelul de a emite citaţii cu valoare juridică pentru elucidarea suspiciunilor de natură cibernetică, înfiinţarea de noi structuri legislative sau guvernamentale, precum şi noi reglementări juridice sau tehnice (certificări şi scalarea riscurilor). Totuşi, ceea ce apare deosebit în dezbaterile din Statele Unite, şi cu totul diferit faţă de abordările din Europa, este importanţa acordată poziţiilor individuale de conducere a activităţilor privind securitatea cibernetică (adică leadership). Recomandările Raportului şi ale altor experţi vocali în siajul operaţiei SolarWinds includ necesitatea unei înalte poziţii politice responsabile pentru securitatea cibernetică, precum şi importanţa unei înalte poziţii cu autoritate de factură tehnologică.

Privitor la funcţia politică, trebuie spus că la Casa Albă a existat un coordonator pentru securitatea cibernetică, de nivelul cerinţei de a fi confirmat de Senat, iar funcţia chiar era ocupată de un fost hacker al NSA, Rob Joyce, dar postul fusese desfiinţat de fostul Consilier pentru Securitate Naţională, John Bolton. Potrivit unuia dintre coordonatorii Raportului Solarium, congresmenul Mike Gallager, chestiunea „depinde mult de viziunea preşedintelui asupra problemei... motivul pentru care am creat poziţia de director pentru securitate cibernetică având confirmare senatorială este pentru a-i conferi un nivel de autoritate şi putere transcendent structurilor Consiliului Securităţii Naţionale”. Reflectând această viziune extinsă în Statele Unite, un expert a declarat că preşedintele „Biden ar trebui să numească un Director Naţional pentru Securitate Cibernetică în primele 30 de zile ale administraţiei sale”.

Importanţa unui înalt responsabil chiar la Casa Albă este contestată din punct de vedere practic de către alţi experţi care subliniază, ca alternativă, rolul esenţial al unui director extrem de competent şi autoritar la şefia CISA. Acest punct de vedere susţine că un director la Casa Albă, extras din staff-ul Consiliului Securităţii Naţionale, ar avea nevoie de 80 de persoane care nici nu au loc în Casa Albă şi care ar fi amplasate în altă parte, ceea ce l-ar face irelevant. În schimb, mai important ar fi directorul CISA, ca punct focal al efortului naţional de consolidare a securităţii cibernetice.

Un prim răspuns a venit la 11 februarie, când Administraţia Biden a desemnat-o pe Anne Neuberger pentru conducerea eforturilor guvernamentale de control a urmărilor operaţiei de spionaj cibernetic SolarWinds. Anne Neuberger este adjunctul pentru securitate cibernetică al consilierului pentru securitate naţională al preşedintelui S.U.A., iar anterior a fost primul ocupant al funcţiei de director al Direcţiei pentru Securitate Cibernetică a NSA, creată în anul 2019. Această desemnare a fost foarte bine primită de conducerea Comisiei Selecte pentru Intelligence a Senatului S.U.A.

Puterea de exemplu şi de leadership a Americii

Sistemul macrosocial al Americii este diferit de sistemele europene, şi, cu atât mai mult, de situaţia din România. Mulţi se retrag defetist în faţa informaţiilor privind măsurile şi opţiunile luate „peste ocean”, dar sistemul şi soluţiile din Statele Unite nu trebuie neapărat copiate. Dimensiunile de sub-continent şi resursele imense permit Washingtonului să adopte şi să susţină soluţii inimaginabile în România. Dar nu putem ignora valoarea de inspiraţie oferită de realităţile Americii. Nu putem înfiinţa atâtea agenţii şi nu putem finanţa atâtea programe şi investiţii, dar diversitatea de soluţii şi transparenţa informaţională generoase ale Americii constituie veritabile resurse de idei şi opţiuni organizatorice. Cu siguranţă, viziunea pragmatică orientată către responsabilităţi juridice, rezultate certe şi măsurabile, constituie modele prioritare. Factorii de decizie din ţara noastră pot prelua concepte arhitecturale şi funcţionale şi le pot adapta la realităţile româneşti.

În spatele evoluţiilor din Statele Unite stă succesul general al societăţii americane, dar şi experienţa eşecurilor istorice prin care a trecut America. Poate că deficienţele constatate şi opţiunile eşuate din S.U.A. oferă mai mult de învăţat decât realizările susţinute de resurse imense. Între acestea, menţinerea atenţiei instituţionale către toate azimuturile riscurilor şi ameninţărilor sistemice este recomandabilă, mai ales într-un domeniu caracterizat de dinamica şi complexitatea spaţiului cibernetic.   

Abordarea generală holistică a riscului cibernetic este preferabilă limitării la rezolvarea ireproşabilă a unor incidente constatate, chiar dacă intervenţia este profesională şi întrucâtva oportună. România este încadrată în sistemul suprastatal al Uniunii Europene şi va urma, cu siguranţă, conceptele şi strategiile elaborate la nivel U.E. Dar asta nu înseamnă să nu studiem alternativele urmate în Statele Unite, măcar pentru motivul că acestea incumbă investiţii imense, iar noi putem beneficia pe gratis de concluziile aplicării lor la scară mare.