Strategii europene şi americane de securitate cibernetică. Cum se combate decalajul dintre „do it Today” şi „fix it on Tuesday” (II)
Laurenţiu SfinteşRecent, am participat la o conferinţă organizată de către Institutul Danez de Studii Internaţionale, la Copenhaga, pe tema securităţii cibernetice. Ideile expuse, răspunsurile date de către invitaţi întrebărilor puse de un public avizat - s-au aflat în sală şi reprezentanţi ai Forţelor armate daneze - au adus argumente privind accentuarea eforturilor de reglementare a domeniului securităţii cibernetice, a elaborării strategiilor naţionale în domeniu, prezentând ameninţările existente şi viitoare ca fiind mult mai profunde şi cu implicaţii la adresa securităţii infrastructurii critice mult mai directe decât se discută şi se admite public. În continuare, câteva din aspectele relevate pe timpul conferinţei referitoare la situaţia actuală în acest domeniu, evoluţiile din ultima perioadă care au dus la necesitatea adoptării unor strategii naţionale, dar şi reglementări internaţionale şi naţionale de răspuns la ameninţările cibernetice.
Decizia SUA şi Marii Britanii, de elaborare şi publicare, în aprilie 2018, a unei „Alerte tehnice comune”, adresată în special marilor corporaţii, structurilor şi instituţiilor guvernamentale, demonstrează actualitatea nevoii de a decide şi implementa măsuri de protecţie a infrastructurii critice împotriva atacurilor cibernetice. Premisa este că atacurile care ar putea să urmeze se vor baza pe preexistenţa, în sistemele informatice ale ţintelor din cadrul celor două state semnatare ale alertei, a instrumentelor de infiltrare cibernetică ale atacatorului, cu trimitere către guvernul rus. Iar dacă două dintre cele mai importante state ale Alianţei au resimţit necesitatea acestei alerte, pe baza analizei incidentelor de securitate din ultima perioadă, situaţia poate fi, probabil, şi mai îngrijorătoare în alte state membre NATO, mai puţin protejate de instituţii şi sisteme performante de securitate cibernetică, prin comparaţie cu cele din SUA şi Marea Britanie.
Alerta este şi rezultatul cristalizării strategiilor de securitate cibernetică care, paradoxal, au cerut mult prea mult timp de materializare în acest domeniu care evoluează extrem de rapid. Desigur, documente de acest tip au fost elaborate periodic, dar prioritizarea conjuncturală a securităţii cibernetice în interiorul strategiilor naţionale de apărare a fost cea care nu a pus întotdeauna ameninţările cibernetice pe rândul din faţă.
Strategia cibernetică a SUA – o evoluţie sinuoasă, de la protecţia fizică la protecţia sistemelor
Pe 20 septembrie 2018, a fost semnată, de către preşedintele Donald Trump, Strategia Naţională Cibernetică (National Cyber Strategy / NCS) . Documentul este prezentat ca fiind cel mai articulat din domeniu în ultimii 15 ani, dar, desigur, el se bazează pe acţiuni anterioare de conceptualizare a ameninţătilor cibernetice, iniţiate în timpul mandantului preşedintelui George H. W. Bush (Senior), la începutul anilor 90.
Pe timpul preşedintelui Bill Clinton, accentul a fost pus pe implementarea economiei digitale, pe interconectarea, prin intermediul internetului, a infrastructurii critice, abordarea fiind de utilizare a oportunităţilor economice pe care le oferă internetul. Securizarea infrastructurii critice a devenit un topic de analiză către sfârşitul Administraţiei Clinton. Pe timpul preşedintelui George W. Bush, s-a produs atacul de la 9 septembrie 2001, care a avut, printre consecinţe, şi o schimbare în abordările de securitate americane, mutând direcţiile de acţiune de la protecţia internetului la protecţia fizică a clădirilor şi instituţiilor.
Astfel, pentru o perioadă de şase - şapte ani, securitatea cibernetică a trecut în plan secund. De abia după anul 2007, a început din nou discuţia despre protecţia şi securitatea cibernetică, într-un context creat de furtul de tehnologie americană care se producea, la acel moment, pe scară largă, prin intermediul internetului.
Pe timpul preşedintelui Obama, abordarea a fost relativ similara cu cea a preşedintelui Clinton, în sensul identificării oportunităţilor economice create de internet. Situaţia s-a schimbat atunci când au apărut scurgerile majore de informaţii şi incidentele de securitate - Bradley (Chelsea) Manning , cu cele 3 milioane de documente transferate Wikileaks, Edward Snowden , fostul angajat al National Security Agency / NSA, alte câteva incidente majore - şi securitatea sistemelor informatice a devenit, în final, o prioritate naţională. Abordarea actualei Administraţii Trump este direcţionată pe recunoaşterea problemei pe care o reprezintă incidentele interne de securitate, scurgerile de informaţii, fragilitatea reţelelor şi sistemelor şi pe identificarea soluţiilor care să le protejeze şi care să contribuie şi la ambiţiosul program politic şi economic prezidenţial.
Trecerea către o economie digitalizată, proces inevitabil, vine „la pachet” cu impunerea de reguli mai stricte în domeniul securităţii cibernetice. De asemenea, măsurile trebuie să fie globale sau, cel puţin, la nivelul Alianţei Nord Atlantice. Interconectivitatea impune un efort comun de minimalizare a riscurilor, de combatere a ameninţărilor cibernetice.
Punctele principale ale strategiei cibernetice a SUA, recent aprobate, sunt:
• protecţia ţării prin protejarea reţelelor, sistemelor, informaţiilor - urmare a problemelor de securitate întâmplate în ultimii ani;
• promovarea prosperităţii americane, prin crearea unui mediu propice şi sigur de funcţionare al economiei digitale, încurajarea procesului de inovaţie - urmare a nevoii de încurajare a economiei digitale, contributoare la creşterea PIB-ului naţional, precum şi a faptului că SUA îi lipseşte nivelul de inovare din domeniu, ceea ce nu se întâmplă la unele din ţătile cu care este în competiţie economică;
• menţinerea păcii şi securităţii, prin întărirea capacităţii SUA, împreună cu statele aliate şi partenere, să descurajeze, să pedepsească, dacă e necesar, pe cei care utilizează capabilităţile cibernetice pentru obiective contrare păcii şi securităţii sau în scopuri economice neconforme cu regulile pieţei llibere - urmare a creşterii riscului global al ameninţărilor cibernetice, a conştientizării faptului că o vulnerabilitate cibernetică locală poate deveni una internaţională;
• creşterea influenţei americane în străinătate, pentru a extinde principiile cheie ale unui internet deschis, interoperabil, fiabil şi sigur - urmare a recunoaşterii faptului că nu există un set de principii agreat internaţional care să guverneze acest domeniu, discuţiile pentru a crea unul având loc chiar în această perioadă la nivelul ONU.
Strategia Naţională Cibernetică impune Departamentului Apărării, comunităţii de informaţii, acţiuni pentru o mai bună securizare a sistemelor naţionale de securitate, a sistemelor militare, a celor utilizate de serviciile de informaţii.
În aceeaşi săptămână în care a fost aprobata strategia naţională, Departamentul Apărării a făcut cunoscute principiile propriei strategii, Strategia Cibernetică 2018 / Cyber Strategy 2018 direcţionată către:
• competiţia dintre marile puteri globale;
• apărarea înaintată;
• apărarea infrastructurii critice;
• promovarea unei abordări pro-active de apărare a intereselor americane.
În Strategia Cibernetică 2018 se apreciază că:
• Rusia şi China sunt principala ameninţare, crescând riscurile pe termen lung asupra SUA şi aliaţilor săi, din partea acestor două ţări. Descurajarea nu mai este pricipalul pilon al strategiei cibernetice, SUA optând pentru o abordare care să contracarareze mai activ aceste riscuri, să prevină, să reacţioneze, să descurajeze şi să învingă;
• se menţin angajamentele, stipulate în strategia din anul 2015, privind un sistem internet deschis care să asigure oportunităţi economice şi prosperitate, dar se menţionează că este nevoie de creşterea inovării tehnologice în acest domeniu (SUA suferind în ceea ce priveşte „talentele IT”) pentru a întări apărarea cibernetică şi elasticitatea sistemelor şi a menţine superioritatea capabilităţilor militare convenţionale ale SUA;
• se acţionează pentru desfăşurarea de operaţii / misiuni extinse şi proactive pentru o „apărare înaintată”, inclusiv cele care pot distruge capabilităţile cibernetice ale adversarului înainte ca acestea să poată atinge sistemele informatice ale SUA;
• se afirmă că este necesară o cooperare mai strânsă cu partenerii şi aliaţii SUA pentru întărirea capabilităţlor militare cibernetice, extinderea operaţiilor cibernetice, extinderea schimburilor de informaţii în domeniu.
Din analiza strategiei militare, dar şi din studiile dedicate acestui subiect, al confruntării între marile puteri pentru utilizarea spaţiului cibernetic, rezultă că în timp ce Rusia acţionează / lucrează la fundamentul sistemului democratic al SUA, prin atacarea instituţiilor şi mecanismelor democratice, China are o abordare mai curând economică, subminând SUA prin acţiuni din această sferă. Contracararea acestor două strategii ale adversarilor SUA, necesită abordări diferite.
Strategii cibernetice europene
Pe 13 septembrie 2017, Comisia Europeană şi Înaltul Reprezentant pentru Afaceri Externe şi Politica de Securitate au publicat un document comun intitulat „Rezistenţă, Descurajare şi Apărare: construirea unei puternice securităţi cibernetice pentru UE / Resilience, Deterrence and Defence: Bulding Strong Cybersecurity for the EU” .
Documentul propune reforme pentru crearea unei strategii unificate care să răspundă riscurilor de insecuritate din interiorul plaformelor digitale ale UE (apreciate a fi la nivelul unei economii digitalizate de 265 miliarde de euro /anual). Se propun trei principii / direcţii pentru strategia de securitate cibernetică:
1. construirea rezistenţei împotriva vulnerabilităţilor şi întărirea autonomiei strategice prin:
• transformarea ENISA / European Union Agency for Network and Information Security / Agenţia UE pentru Securitate Cibernetică într-o entitate autonomă şi dublarea bugetului acesteia la 23 de milioane euro;
• crearea Fondului de Urgenţă pentru Securitate Cibernetică;
• dezvoltarea unui Centru European de Cercetare în domeniul Securităţii Cibernetice
2. descurajarea statelor membre UE în executarea de atacuri cibernetice, prin:
• întărirea monitorizării criminalităţii cibernetice de către structurile legale cu responsabilităţi în domeniu;
• implementarea de proceduri şi practici noi de urmărire penală pentru activităţi gen falsificarea tranzacţiilor on-line, altor activităţi de acest gen;
3. creşterea cooperării la nivel european şi internaţional, prin:
• promovarea pieţei unice digitalizate, care ar putea ajunge la un total de 370 miliarde euro anual;
• promovarea unei creşteri a industriei digitale care sa ajungă la 7,2% din PIB UE, în anul 2020.
Aceste prevederi este de aşteptat să fie reflectate şi în strategiile naţionale de securitate cibernetică, adaptate desigur specificului naţional. Fundamental este ca aceste strategii să identifice soluţia potrivită pentru a armoniza interesul pentru promovarea unei economii digitale cu cerinţa de a asigura securitatea cibernetică necesară.
La nivel strategic, una din cerinţele principale este definirea a ceea ce face parte din „infrastructura critică” a unei ţări. Pentru că securitatea cibernetică la nivel strategic se adresează în special acestei infrastructuri. Reţeaua electrică, sistemele de aprovizionare cu apă, telecomunicaţiile, sistemul financiar pot fi printre acestea. La nivel european sunt identificate şapte infrastructuri critice , în timp ce în SUA, acestea sunt 16.
Astfel, se impune o viziune de nivel global pentru a coordona aceste strategii, pentru a pregăti modalităţile de răspuns la atacuri / incidente cibernetice. Paşii care ar trebui să fie urmaţi nu sunt foarte mulţi dar cer o coordonare între state care să depăşească rivalităţile economice, politice, eventual şi militare:
• un angajament asumat internaţional pentru proceduri / moduri de acţiune în managementul vulnerabilităţilor cunoscute, care să prevadă:
- obligaţia de a avertiza în cazul identificării unui atac cibernetic;
- obligaţia de a participa pentru rezolvarea cazurilor de criză cibernetică;
• implementarea unui sistem nou de comunicare şi avertizare pentru vulnerabiltăţi nou apărute şi identificate;
• schimbarea conceptului de piaţă a creării produselor hard şi soft digitale de la principiul „produ astăzi, repară mai târziu” / „do it Today, fix it on Tuesday” la principiul reponsabilităţii producătorilor pentru a rezolva imediat problemele apărute (ca în cazul rechemărilor maşinilor cu probleme din industria auto);
• reformarea standardelor internaţionale prevăzute de ISO/IEC 29147:2014 , pentru comunicări privind breşele şi incidentele de securitate, folosind tocmai datele publice şi notorii;
• renegocierea formatelor internaţionale (Grupul de experţi ONU, Acordul Adunării Generale a ONU din 2015) care reglementează şi produc principiile, regulile, măsurile de prevenire a utilizării rău intenţionate a Tehnologiei Informaţiei şi Comunicării / Information and Communication Technology / ICT.
Aceasta presupune ca guvernele naţionale, organizaţiile internaţionale relevante să conlucreze pentru:
• alinierea politicilor naţionale în domeniul securităţii economice şi cibernetice şi crearea unor proiecţii de acţiune agreate;
• participarea la dialogul internaţional privind internetul / Internet of Things (IoT), modul utilizare a acestuia pentru a creşte gradul de impermeabilitate a acestuia la o utilizare haotică şi fără reguli;
• clarificarea responsabilităţilor care aparţin fiecărui actor în acest sistem, identificarea instituţiilor care pot acţiona pentru ordonarea funcţionării lui;
• accelerarea cooperării dintre domeniile civil şi militar, mai ales în ceea ce priveşte identificarea „centrului de comandă” / instituţiei care să se ocupe cu securitatea cibernetică;
• creşterea fondurilor acordate pentru organismele create să reglementeze domeniul sau să propună soluţii în această direcţie;
• acţionarea în mod transparent pentru a permite o discuţie deschisă a măsurilor de luat şi a costurilor care pot fi în caz de insecuritate cibernetică / cyber insecurity.
Există diferenţe între modurile de abordare a securităţii cibernetice, în care se recunosc condiţionările politice, dar şi cele economice, priorităţile diferite, diferenţele culturale. Politicile diferite din domeniu amână deocamdată o abordare unitară, ceea ce se reflectă în întârzierea luării unor măsuri de reglementare a acestuia. Iar diferenţele sunt majore, uneori:
• SUA au o abordare specifică economiei de piaţă, în care rezolvarea problemei vine aproape de la sine din interiorul pieţei IT. Reglementările nu au fost numeroase şi, în general, nu au fost impuse de guvern;
• nu este cazul Franţei, unde intervenţionismul statului este aproape o cutumă, iar conexiunile dintre corporaţiile aparţinând statului şi cele private sunt mult mai profunde decât în alte părţi;
• Germania este interesată mai mult, în domeniul cibernetic, de protecţia proprietăţii intelectuale, de menţinerea capacităţilor economice. De aceea, accentul este pus pe combaterea încercărilor de acces la documentaţiile tehnologice;
• Italia s-a focalizat pe combaterea criminalităţii cibernetice, întrucât s-a confruntat destul de mult cu acest fenomen;
• Olanda are deja digitalizat un procent de 25% din economie, iar ambiţiile sunt de a intra în primele 10 principale state exportatoate de tehnologii IT;
• Marea Britanie a încercat mai multe abordări dar, probabil, se va întoarce la o viziune centralizatoare a abordării domeniului, nu în ultimul rând ca urmare a incidentelor de securitate din ultima perioadă (care au şi dus la emiterea „Alertei Tehnice Comune” cu SUA).
Crearea unei strategii naţionale de securitate cibernetică nu asigură succesul dacă nu este şi implementată. Pentru implementare este necesară nominalizarea instituţiei responsabile pentru aplicare, dar puţine state au identificat foarte clar cine se ocupă cu managementul domeniului, iar şi mai puţine dintre acestea acordă şi fondurile necesare, de aceea rezultatele nu sunt încă pe măsura aşteptărilor.
Între timp, produsele IT ne invadează toate domeniile existenţei noastre, iar „micile probleme” care coexistă cu imensele facilităţi pe care ni le oferă aşteaptă, generic, ziua de mâine, pentru a fi detectate, evaluate, izolate, neutralizate, eventual reparate.