Complicata pace caldă din noul război rece

Reacţiile nu au întărziat, mergând până la a considera acţiunea cibernetică drept „cea mai mare operaţiune de spionaj a Rusiei”, „un potenţial act de război împotriva Statelor Unite”, care necesită „represalii rapide din partea guvernului”.

Extinderea spaţiului cibernetic a făcut ca securitatea cibernetică să devină o caracteristică critică a securităţii globale.

În ce condiţii operaţiunile cibernetice, din ce în ce mai frecvente şi mai sofisticate, ar putea duce la escaladarea accidentală a conflictului şi chiar la utilizarea forţei militare?

„Am fost atacaţi. Cum răspundem?”

Atacul informatic asupra SolarWinds a ieşit la iveală pe 14 decembrie, când Microsoft şi FireEye au confirmat că hackerii au obţinut acces la reţeaua internă a companiei de software IT, unde au inserat programe malware în mai multe pachete de actualizare pentru inventarul de software Orion şi platforma de monitorizare IT.

Aproximativ 18.000 de companii private şi organizaţii guvernamentale au descărcat aceste actualizări şi au fost infectate cu o versiune a troianului Sunburst (Solorigate).

Dacă Donald Trump a părut că încercă să ocolească esenţa problemei, Joe Biden a declarat că Statele Unite trebuie să colaboreze cu aliaţii pentru „a înfiinţa un sistem internaţional destinat unui comportament adecvat în spaţiul cibernetic” şi „va răspunde oricărei ţări pentru încălcarea acestor reguli de bază”.

La rândul său, şeful de staff al noii administraţii de la Casa Albă, Ron Klain, a dat asigurări că răspunsul SUA la „un atac de această amploare va depăşi sancţiunile” şi va include măsuri „pentru a degrada capacitatea actorilor străini de a repeta acest tip de acţiune”.

Douglas Schoen, consultant politic şi fost consilier al lui Bill Clinton, pare convins că ceea ce s-a întâmplat „expune defectele sistemului american de intelligence” şi reprezintă „o ameninţare existenţială clară pentru Statele Unite”, care trebuie considerată drept un act de război, căruia trebuie să i se răspundă ca atare.

De răspuns, s-a răspuns: declaraţia comună a agenţiilor de intelligence - FBI (Federal Bureau of Investigation), CISA (Cybersecurity and Infrastructure Security Agency), ODNI (Office of the Director of National Intelligence) şi NSA (National Security Agency), membre ale Cyber Unified Coordination Group, un grup de lucru comun, înfiinţat de Consiliul Naţional de Securitate al Casei Albe, pentru a investiga şi a face faţă consecinţelor atacului SolarWinds.

Potrivit declaraţiei, un actor, „probabil de origine rusă”, este responsabil pentru un APT (advanced persistent threat), un atac informatic sofisticat prin care o entitate obţine acces neautorizat la o ţintă, un atac care rămâne, pentru o perioadă de timp îndelungată, neidentificat, şi are drept scop furtul de informaţii şi spionajul cibernetic. Se „crede” că este vorba de „un efort de colectare a informaţiilor”, fiind luate „măsurile necesare pentru a înţelege această campanie şi pentru a răspunde în consecinţă”.

Ca urmare, FBI se concentrează pe „identificarea victimelor, colectarea şi analizarea probelor, protejarea reţelelor, CISA se ocupă de „schimbul rapid de informaţii cu guvernul şi cu partenerii din sectorul privat”, creând, de asemenea, „un instrument gratuit pentru detectarea activităţilor neobişnuite şi potenţial dăunătoare legate de acest incident”, ODNI coordonează comunitatea de informaţii pentru a se asigura că grupul de lucru este în posesia informaţiilor actualizate, iar NSA sprijină acelaşi grup prin furnizarea de informaţii şi expertiză în securitate cibernetică.

Şi a mai existat un răspuns, ori o parte a răspunsului.

Cu două zile înaintea comunicatului serviciilor secrete a fost publicat un raport al Congressional Research Service, agenţie legislativă care funcţionează exclusiv pentru Congresul Statelor Unite, oferind analize politice şi juridice, „autorizate, confidenţiale, obiective şi nepartizane”, comitetelor şi membrilor Camerei şi Senatului, indiferent de culoarea politică.

Conform raportului:

Rusia a desfăşurat capacităţi cibernetice sofisticate pentru dezinformare, propagandă, spionaj şi atacuri cibernetice distructive la nivel global.

Operaţiunile cibernetice iniţiale ale Rusiei au constat, în principal, în atacuri cibernetice de tip DDoS (Distributed Denial of Service, o încercare frauduloasă de a indisponibiliza sau bloca resursele unui calculator) şi s-au bazat adesea pe cooptarea sau recrutarea de hackeri civili. Pentru desfăşurarea acestor operaţiuni, Rusia menţine numeroase unităţi supravegheate de diferitele sale agenţii de intelligence, iar, în ultimii 20 de ani, şi-a sporit personalul şi capacitatea de a întreprinde o gamă largă de operaţiuni cibernetice. Nicio agenţie rusă de securitate nu are, însă, responsabilitatea exclusivă pentru operaţiunile cibernetice. Acestea sunt concurente şi efectuează, adesea, operaţiuni similare pe aceleaşi ţinte, ceea ce face dificile evaluările specifice de atribuire şi decelare a motivaţiei.

Direcţia principală de informaţii a Statului Major General (GRU), a fost implicată în unele dintre cele mai cunoscute şi dăunătoare operaţiuni cibernetice din Rusia. Operaţiunile serviciului de informaţii externe (SVR) s-au concentrat asupra culegerii de informaţii, mai degrabă decât pe provocarea daunelor prin atacuri cibernetice. Serviciul Federal de Securitate (FSB) protejează Rusia de operaţiunile cyber externe şi monitorizează hackerii interni, misiune întreprinsă în comun cu Departamentul K al Ministerului de Interne. Recent, FSB şi-a extins misiunea pentru a include culegerea de informaţii şi operaţiuni cibernetice ofensive. Despre Serviciul Federal de Protecţie (FSO), care asigură securitatea comunicaţiilor guvernamentale, nu există nicio indicaţie că ar fi lansat operaţiuni ofensive.

Adesea denumită „fabrica de troli”, Agenţia de Cercetare a Internetului, organizaţie privată, finanţată de apropiatul lui Putin, Evgheni Prigojin, pusă sub acuzare, în 2018, de către guvernul SUA, pentru interferenţele în sistemul politic american, a sprijinit acţiunile de dezinformare şi operaţiunile de propagandă.

Dar, în pofida capacităţilor sale şi a ritmului operaţional ridicat, în prezent, Rusia se confruntă cu provocări semnificative în efectuarea operaţiunilor cibernetice. La fel ca alte agenţii guvernamentale, serviciile de securitate ruseşti au probleme cu recrutarea de personal calificat, ceea ce face ca, adesea, acestea să externalizeze operaţiuni către hackeri civili sau să achiziţioneze programe malware.

Serviciile de securitate din Rusia sunt, de asemenea, cunoscute pentru nivelurile ridicate de corupţie,  inclusiv în ceea ce priveşte comportamentul ofiţerilor ruşi care utilizează atacuri cibernetice pentru îmbogăţirea personală.

Cu alte cuvinte: „ştim ce faceţi, cum faceţi şi, mai ales, ştim că, la rândul vostru, sunteţi vulnerabili”. Cum acţionăm mai departe?

Competiţia de putere în secolul 21 implică din ce în ce mai mult utilizarea operaţiunilor cibernetice între statele rivale, iar, dacă până acum, cyber-spaţiul a fost un domeniu de război politic şi diplomaţie coercitivă, noile politici de autorizare a strategiilor cibernetice ofensive preventive „riscă să treacă un prag şi să schimbe regulile jocului”, iar schimbările politice „par să favorizeze soldatul în locul spionului”, creând riscul unor evenimente cibernetice care să declanşeze o escaladare involuntară între marile puteri.

Între 2000 şi 2016, au existat 272 de operaţiuni cibernetice documentate între state rivale, fiecare dintre ele implicând nu doar acţiuni cibernetice, ci şi alte instrumente ale puterii naţionale, precum negocieri diplomatice, sancţiuni economice şi ameninţări militare.

În Statele Unite, Cyber Command consideră că spaţiul cibernetic este un domeniu plin de riscuri crescânde, unde mari puteri precum China şi Rusia subminează puterea americană, iar singura soluţie, din această perspectivă, este să recurgi la operaţiuni ofensive.

În 2018, noua Strategie de Securitate Cibernetică a SUA, adoptată după o pauză de 15 ani, a introdus conceptul de defend forward (acţiune care precede perturbarea ori oprirea unei activităţi cibernetice dăunătoare), şi a autorizat operaţiunile cibernetice ofensive. Strategia îşi propune să „expună slăbiciunile adversarilor, să le înveţe intenţiile şi capacităţile şi să contracareze atacurile aproape de originea lor.” Cea mai bună apărare este o ofensivă bună: intri în reţelele adversarilor şi opreştie operaţiuni cibernetice care vizează Statele Unite înainte ca acestea să aibă loc. Acţiunea ofensivă ar descuraja agresiunea viitoare, semnalând hotărârea de a trece la acţiuni de represalii.

În 2019, New York Times cita oficiali americani potrivit cărora, US Cyber Command a realizat o serie de incursiuni în infrastructura electrică a Rusiei, ca un avertisment că SUA sunt dispuse să acţioneze mai agresiv în acest domeniu pentru a descuraja potenţialele atacuri cibernetice. Un înalt oficial al serviciilor de informaţii declara că au început să se facă lucruri „la o scară de neimaginat acum câţiva ani”. SUA ar sonda reţeaua electrică a Rusiei încă din 2012, dar aceste eforturi s-au intensificat semnificativ, trimiţând „malware cu potenţial distrugător în interiorul sistemului rus în profunzime şi cu o agresivitate nemaiîntâlnită”.

Dar eforturile depuse pentru o „prezenţă persistentă” în infrastructura Rusiei nu dezvăluie  niciun indiciu că SUA au lansat, de fapt, vreun fel de atac.

Acţiunile au părut similare celor pe care US Cyber Command le-a întreprins în noiembrie 2018 pentru a elimina operaţiunile derulate de Agenţia de Cercetare a Internetului înainte de alegeri, intenţia fiind aceeaşi: descurajarea potenţialelor atacuri, demonstrând că SUA sunt dispuse să recurgă la un atac cibernetic ca răspuns.

Există motive pentru a considera că o postură ofensivă în spaţiul cibernetic n-ar fi tocmai potrivită

În timpul Războiului Rece, în contextul deţinerii de arme nucleare de către două superputeri, conceptul de descurajare a avut un loc central în gândirea strategică: descurajarea adversarului prin pedeapsă (posibilitatea exercitării atacurilor de represalii) şi descurajarea propriu zisă. În sensul său cel mai larg, conform teoriei tradiţionale, descurajarea înseamnă să convingi un adversar să nu iniţieze o acţiune specifică deoarece beneficiile în urma acesteia nu justifică costurile şi riscurile la care se expune. 

Preluarea conceptului în cazul unui conflict cibernetic, în noua realitate a unei reţele globale de computere interconectate, se loveşte de unele impedimente.

Prima problemă este atribuirea. Dacă nu poţi identifica actorul responsabil pentru un atac cibernetic, cum îl poţi pedepsi? Atacurile cibernetice de represalii pot provoca, de asemenea, daune colaterale, pot atrage terţe părţi escaladând conflictul, legitimând utilizarea capacităţilor cibernetice pentru câştiguri politice şi strategice.

Obţinerea unei certitudini depline cu privire la sursa unui atac este dificilă în domeniul cibernetic. Mai mult, investigaţiile detaliate asupra atacului pot dura atât de mult încât oportunitatea pentru un răspuns eficient poate fi pierdută.

Apoi, chiar dacă sunt găsite dovezi solide cu privire la atacatorul cibernetic, s-ar putea ca aducerea la iveală a acestora să nu fie întotdeauna benefică şi să determine daune în ceea ce priveşte mijloacele de intelligence utilizate.

Implicarea actorilor nestatali în atacurile cibernetice complică, de asemenea, strategia de descurajare cibernetică.

Iar, spre deosebire de un atac cu represalii nucleare, este dificil să realizezi un atac cibernetic atât de distrugător încât potenţialul atacator să nu mai aibă niciun fel de posibilitate de ripostă.

„Armele nucleare au favorizat frica, dar nu a existat o mare îndoială sau incertitudine cu privire la întrebuinţarea lor. Ciberneticul poate fi opusul - incapabil să inducă în mod direct frica reală, poate fi capabil să ridice spectrul îndoielii şi incertitudinii …” (Martin Libicki, RANDCorporation)

Statutul juridic neclar al războiului cibernetic şi al măsurilor de contraatac în domeniul cibernetic reprezintă o altă provocare.

Manualele Tallinn 1.0 şi 2.0, elaborate de un grup de jurişti internaţionali, sub coordonarea lui Michael N. Schmitt, expert cyber din cadrul U.S. Naval War College, tratează o multitudine de aspecte de drept internaţional legate de operaţiunile cibernetice şi dezbat modul în care s-ar putea aplica reglementările actuale fiecărui scenariu cibernetic.

Dar, în multe cazuri, grupul care a realizat Manualul Tallin nu a reuşit să ajungă la un consens, experţii sugerând necesitatea unui manual Tallinn 3.0, care să ia în considerare inclusiv interese private şi interesele statelor non-membre NATO, să cuprindă mecanisme de definire a responsabilităţii şi să abordeze toate ambiguităţile existente.

La rândul lor, statele membre ale Uniunii Europene au dezvoltat aşa-numita cyber diplomacy toolbox, un cadru axat pe „eforturi diplomatice care au ca obiectiv prioritar să promoveze securitatea şi stabilitatea în spaţiul cibernetic printr-o cooperare internaţională sporită şi prin reducerea riscului de percepţie greşită, escaladare şi conflict care pot proveni din incidente cibernetice”.

Însă nici acesta nu rezolvă problemele de reglementare, fiind necesar un cadru juridic cuprinzător, atât la nivel intern, cât şi international, pentru a aborda eficient atacurile cibernetice. Iar cooperarea internaţională va fi esenţială pentru un răspuns juridic cu adevărat adecvat.

Dacă nu un contraatac, atunci care ar fi soluţiile?

Martin Libicki, autorul unei analize RAND Corporation, Cyberdeterrence and Cyberwar, susţine că războiul cibernetic ca strategie ofensivă nu este recomandabil.

Ciberneticul ar trebui să fie considerat doar o armă auxiliară, de pildă în timpul operaţiunilor militare tactice (cum ar fi dezactivarea sistemelor informatice ale adversarului utilizate pentru lansarea rachetelor).

Un război cibernetic strategic „riscă să declanşeze mai degrabă furia decât frica”, alternative fiind diplomaţia şi negocierile.

Uri Tor, cercetător în cadrul Proiectului de securitate naţională comparativă la Centrul interdisciplinary Herzliya, Israel, propune pentru spaţiul cibernetic „descurajarea cumulativă”, care este despre cum „să amâni, să limitezi şi să modelezi o serie de conflicte în curs, utilizând o varietate de actori statali şi nestatali”, şi nu despre prevenirea tuturor atacurilor în orice moment.

O strategie de combinare a apărării active şi a diplomaţiei coercitive, utilizarea „instrumentelor pozitive şi negative de putere pentru a modifica comportamentul adversarului”, activităţi defensive concepute pentru a creşte costurile viitoarelor incursiuni ale adversarului, sunt cele agreate de o parte a comunităţii cibernetice, mai degrabă decât realizarea de acţiuni ofensive preventive.

Ar trebui să se acorde o atenţie sporită rolului legilor şi normelor în descurajarea activităţii cibernetice rău intenţionate, cu atât mai mult cu cât există ţări care nici măcar nu au o legislaţie care să considere hackingul drept infracţiune.

O politică adecvată ar fi aceea de menţinere a controlului asupra armelor războiului cibernetic, iar teorii de tipul „cea mai bună apărare este un atac bun” ar fi bine să fie uitate, pentru spaţiul cibernetic „cea mai bună apărare fiind … o bună apărare”. (The Myth of the Cyber Offense: The Case for Restraint, Brandon Valeriano, Benjamin Jensen)

Răspunsul dacă un anumit atac cibernetic este un act de război se rezumă „la finalul zilei, la următoarea întrebare: este în interesul dumneavoastră să declaraţi acest lucru?”

În fond, nimic nu obligă un stat să trateze atacul cibernetic ca pe un act de război.