Cu prilejul Summit-ului de la Varşovia (8-9 iulie 2016), NATO a recunoscut spaţiul cibernetic drept domeniu operaţional în care Alianţa trebuie să se apere la fel cum o face în spaţiul aerian, terestru sau maritim. Această abordare „va îmbunătăţi capacitatea NATO de a proteja şi de a desfăşura operaţiuni în aceste domenii şi va menţine libertatea de acţiune şi decizie în toate circumstanţele. Va sprijini politica de descurajare şi apărare a Alianţei în general: apărarea cibernetică va continua să fie integrată în planificarea operaţiunilor şi misiunilor inter-aliate. (…) Mai mult, va asigura o organizare mai eficientă a apărării cibernetice a NATO şi o mai bună gestionare a resurselor, capacităţilor şi capabilităţilor“. Declaraţia naşte câteva semne de întrebare. Este o acceptare a stării de fapt actuale (nerecunoscută până în prezent de niciun document oficial la nivel internaţional), a faptului că lupta pentru putere între state s-a mutat în spaţiul cibernetic? Este o măsură de impulsionare a statelor membre NATO de a-şi dezvolta capacităţi şi capabilităţi în domeniu? Este o măsură de descurajare a inamicului din spaţiul cibernetic? Ce strategii ar trebui să adopte statele în noul context? Este România pregătită să se alinieze noilor cerinţe în domeniu?
Teoria realistă din domeniul relaţiilor internaţionale care porneşte de la ideea că „relaţiile dintre state au loc în absenţa unui guvern mondial“ poate ajuta la găsirea unor răspunsuri. Astfel, similar scenei relaţiilor internaţionale, spaţiul cibernetic este unul anarhic, caracterizat de lipsa unui cadru legislativ suficient de articulat şi coerent, precum şi de lupta pentru putere.
Spaţiul cibernetic, noul câmp de luptă
În prezent, principiile trasate de legislaţia internaţională, conceptele şi terminologia sunt aplicabile în spaţiul cibernetic doar prin interpretarea şi adaptarea prevederilor existente sau prin adoptarea de decizii politice, unanim agreate. Specificitatea domeniului impune însă definirea unui cadru legislativ dedicat, în acord cu principiile legislaţiei internaţionale. Cercetările bazate pe componenta tehnologică şi juridică a acţiunilor întreprinse în spaţiul cibernetic sunt încă în stadiu incipient: se definesc concepte specifice, politici şi se analizează reglementări legislative care sunt adesea supuse revizuirii pentru a fi în acord cu dinamismul domeniului cibernetic.
În acest climat, atacurile cibernetice fac parte din politica neoficială a multor state sau organizaţii, aducând atingere bunei funcţionării a societăţilor în ansamblu. Câteva exemple sunt ilustrative în acest sens. În primăvara anului 2007, o serie de atacuri cibernetice au afectat aproape întreaga infrastructură informaţională a Estoniei, provocând pagube financiare estimate la zeci de milioane de euro. În 2008, mai multe servere georgiene au fost blocate, paginile web ale instituţiilor publice, portalurile de ştiri, o mare parte a forumurilor online georgiene au devenit inaccesibile, iar tranzacţiile electronice ale celei mai mari bănci din Georgia au fost blocate. În 2010, atacul cibernetic Stuxnet a distrus centrifugele unei importante centrale nucleare din Iran prin infectarea calculatoarelor care nu aveau conexiune la internet şi care controlau sistemele SCADA conectate la centrifugele nucleare. În seria acestor atacuri cibernetice se înscriu şi Opi Israel, Red October (2012), Energetic Bear (2012) sau Ukraine Black Energy (2015), considerat primul atac cibernetic capabil să producă o pană de electricitate.
Derulate într-un context geopolitic tensionat, atacurile cibernetice prezentate nu au putut fi atribuite cu dovezi clare şi pertinente niciunui actor statal. S-au formulat ipoteze care au fost verificate prin prisma relaţiilor politice şi economice existente între state, dar şi prin analiza tehnicilor, instrumentelor şi modalităţilor de acţiune. Utilizate pentru a întrerupe funcţionarea anumitor sisteme decare depinde bunul mers al societăţii, pentru a extrage date, pentru a sabota şi chiar pentru a distruge, atacurile cibernetice pot fi considerate instrumente ale luptei pentru putere în spaţiul cibernetic.
Recunoaşterea spaţiului cibernetic ca domeniu operaţional de către NATO constituie, aşadar, acceptarea stării de fapt actuale.
La Summit-ul de la Varşovia, NATO şi-a reafirmat poziţia defensivă declarând ca priorităţi consolidarea mijloacelor de apărare a propriilor reţele, precum şi asistenţa acordată aliaţilor pentru consolidarea capacităţii de a răspunde rapid şi eficient atacurilor cibernetice. Cele mai multe state membre NATO au strategii de apărare cibernetică defensive, dispunând de mecanisme de apărare cibernetică, de sisteme informaţionale securizate, fără a dezvolta sau deţine (cel puţin declarativ) capabilităţi cibernetice ofensive.
Cu toate acestea, utilizarea măsurilor de apărare pasive în spaţiul cibernetic nu mai este suficientă pentru protejarea reţelelor, atacurile Cibernetice fiind tot mai complexe şi mai sofisticate din punct de vedere tehnologic. Pentru a face faţă evoluţiei din domeniu şi ameninţărilor provenite din spaţiul cibernetic, SUA au introdus in strategia de apărare cibernetică conceptul de apărare cibernetică activă (Active Cyber Defence/ACD). Apărarea cibernetică activă constituie un punct de plecare pentru dezvoltarea de noi concepte mai puţin exhaustive. Unul dintre acestea este apărarea cibernetică reactivă (Responsive Cyber Defence/RCD), definit ca „protecţie a infrastructurii Cibernetice împotriva unui atac cibernetic în desfăşurare prin măsuri îndreptate împotriva infrastructurii cibernetice de la care a fost iniţiat atacul sau împotriva unei infrastructuri ca parte terţă a acestuia“. Aparent similare, cele două concepte sunt total diferite în ceea ce priveşte aria de acţiune. RCD se adresează unui atac cibernetic în derulare şi nu incumbă acţiuni preemptive sau de represalii.
Definirea unei politici în sensul restrâns al RCD presupune utilizarea de măsuri cibernetice ofensive, punctual, în situaţii clar definite.
Strategii în operaţiuni cibernetice
Pornind de la premisa că strategia cibernetică este „o umbrelă pentru operaţiuni cibernetice diferite care au ca ultim scop atingerea unui obiectiv politic sau strategic“, Sven Herpig identifică cinci strategii aplicabile operaţiunilor cibernetice şi a căror implementare presupune existenţa unei securităţi Cibernetice proactive. Strategia Going Dark poate fi aplicată în cazul reţelelor care conţin informaţii şi date clasificate, sensibile. Strategia bazată pe descurajare (deterrence) include un set specific de măsuri de protecţie a sistemelor şi reţelelor şi are două abordări distincte: defensiv-descurajatoare (deterrence bydenial) care se rezumă la apărarea sistemelor şi reţelelor şi defensiv-punitivă (deterrence by punishment) care implică deţinerea de capabilităţi cibernetice ofensive. Strategia Sub rosa este aplicabilă operaţiunilor de cyberintelligence, iar strategia Shashou jian (buzduganul asasinului) este utilizată cu precădere în vreme de război deoarece presupune distrugerea capabilităţilor adversarului, dar poate fi utilizată şi pe timp de pace sub umbrela operaţiunilor de intelligence, caz în care este asociată mai degrabă sabotajului decât activităţilor de spionaj. În sfârşit, Herpig identifică şi analizează strategia războiului cibernetic care este considerată parte a războiului convenţional.
Concluzii
Prin recunoaşterea spaţiului cibernetic ca domeniu operaţional, NATO a acceptat abordarea acestuia ca mediu de confruntare şi a impulsionat statele membre să reconsidere domeniul apărării cibernetice, să dezvolte capacităţi şi capabilităţi defensive adaptate dezvoltării tehnologice dinamice, pentru a descuraja tentativele de atac cibernetic. Există state care au declarat că dezvoltă şi deţin capabilităţi cibernetice ofensive. Având în vedere caracterul defensiv al Alianţei, precum şi necesitatea de a descuraja tentativele de atac cibernetic, strategia defensiv-punitivă ar putea reprezenta o soluţie pentru statele membre NATO. Adoptarea unui cadru Legislativ coerent şi articulat în plan naţional, dar şi internaţional, ar putea permite statelor cu doctrine militare defensive să construiască strategii de apărare cibernetică reactivă.
În România, definirea unui cadru normativ care să reglementeze domeniul cibernetic şi acţiunile desfăşurate în spaţiul cibernetic este în fază incipientă, iar preocupările în acest sens sunt relativ noi. Însă capabilităţile şi expertiza în domeniu deţinute la nivel naţional oferă o perspectivă optimistă. Asumarea deciziilor politice adoptate la Summit-ul de la Varşovia de către România va consolida apărarea şi securitatea cibernetică la nivel naţional. Este necesară înţelegerea necesităţii unei strategii cibernetice de descurajare eficientă şi credibilă.
Abstract
NATO recognizes cyber space as an operational domain. Within this new approach, the Alliance will support the member states to enhance their cyber capabilities and capacities in order to face the existing and future challenges in the cyber domain. The new approach means redefining the national cyber defence strategies and policies by adopting a stronger commitment to a responsive cyber defence and to the deterrence by legal actions.
Autor: Daniela Luca
