În ultimii 3 ani, tot mai multe state au întreprins demersuri pentru crearea unui cadru legislativ care să reglementeze încercarea Guvernelor de a contracara eventualele atacuri venite din partea unor entități care au capacitatea de a lansa atacuri cibernetice sau de a susține financiar rețele de pirați informatici și intervenția rapidă și fermă pentru stoparea accesului la Internet, în contextul configurării și alimentării uneia dintre cele mai mari temeri cu care se confruntă lumea modernă, cuprinsă în semantica termenului „cyberterrorism”.
Atacurile informatice asupra instituțiilor statale (SUA, Estonia, Georgia ori Iran – prin virusul „Stuxnet”-) ori asupra corporațiilor, precum site-ul „Amazon.com”, din decembrie 2010, reprezintă doar câteva exemple care fac necesară adoptarea unei legislații pentru contracararea și combaterea lor.
Eforturile NATO și UE
Preocuparea pentru terorismul cibernetic se manifestă atât la nivelul str ucturilor suprastatale (NATO și UE) cât și la nivelul fiecărui stat. Pentru Alianța Nord-Atlantică, protejarea sistemelor informatice și de comunicații a fost mereu una din prioritățile sale. Pentru prima dată, această funcție a fost introdusă pe agenda politică la Summit-ul de la Praga din 2002 și a revenit în atenție după atacurile cibernetice care au avut loc în anul 2007 asupra instituțiilor publice și private din Estonia, membră a NATO.
Dacă, până în anul 2007, eforturile în domeniu ale NATO se concentrau, în principal, asupra apărării sistemelor de comunicații, evenimentele din Estonia au dus la extinderea eforturilor și pentru protejarea informațiilor din mediul Internet.
La Summit-ul NATO de la București, a fost ridicată, pentru prima dată, într-un cadru formal, problema cyberterrorism-ului. Discuțiile s-au concretizat prin adoptarea de măsuri la nivel operațional și strategic: înființarea Cyber Defence Management Authority (Autoritatea de Management a Apărării Cibernetice) care are ca principală responsabilitate coordonarea apărării cibernetice a Alianței și crearea, la Tallin, a Cooperative Cyber Defence Centre of Excellence (Centrul de Excelență pentr u Cooperarea în Domeniul Apărării Cibernetice), care are ca principală menire elaborarea și dezvoltarea strategiei de apărare contra terorismului informatic.
La nivelul Uniunii Europene, combaterea și prevenirea terorismului cibernetic revine European Network and Information Security Agency (Agenția Europenă pentru Securitatea Rețelelor Informatice și a Datelor), înființată în 2004, care, în plus, gestionează activitățile tehnice pregătitoare pentru actualizarea și dezvoltarea legislației comunitare în domeniul securității rețelelor și informațiilor.
Inițiative legislative naționale
Printre primele țări care au demarat lupta, pe plan legislativ, pentru prevenirea acestor tip de atacuri se numără Statele Unite ale Americii, Australia, Marea Britanie, Spania, Italia. România s-a raliat și ea, timpuriu, la noile tendințe în lupta împotriva terorismului cibernetic.
În Statele Unite ale Americii fenomenul a suscitat interesul întregii clase politice. Fostul director al serviciilor naționale de informații, Mike McConnell, a afirmat că, dacă în 2001 teroriștii ar fi lansat un atac cibernetic asupra World Trade Center, efectele economice produse ar fi fost mult mai devastatoare decât cele provocate de atacul de la 11 septembrie.
La rândul său, consilierul prezidențial pentru securitate internă și contraterorism, John Brennan, a declarat, în martie 2009, că securitatea și prosperitatea economică a SUA depind de „securitatea, stabilitatea și integritatea infrastructurilor de comunicații și informații care sunt, în mare parte, proprietate privată”.
Aceste declarații, precum și rapoartele publicate de institutele specializate au avut ca efect introducerea pe agenda legislativă, în 2009, de către senatorul democrat Jay Rockefeller și senatorul republican Olympia Snowe, a proiectului „Cybersecurity Act 2009″ (Legea pentru securitate cibernetică), în care se conferea președintelui SUA dreptul de a declara o „urgență cibernetică” și de a limita sau închide traficul pe Internet către sau dinspre orice rețea „critică” de informații a Statelor Unite ale Americii, dacă aceasta ar fi fost în pericol de a fi compromisă de către atacuri cibernetice.
Documentul prevedea ca înregistrările bancare, din sfera afacerilor și domeniul medical să fie accesibile pentru inspecție, la fel ca și mesajele personale instant și comunicațiile e-mail. De asemenea, potrivit proiectului, anumite sisteme informatice și rețele private ar fi urmat să fie administrate de către profesioniști în domeniul securității cibernetice, iar președintele le-ar fi putut solicita companiilor considerate critice pentru siguranța națională orice informație necesară documentării cazurilor aflate în atenția Guvernului.
Conform proiectului de lege, la 90 de zile după intrarea sa în vigoare (în cazul în care ar fi fost adoptat) autoritățile trebuiau să prezinte regulile și procedurile care se impuneau dacă se ajungea în situația aplicării legii. Proiectul de lege a fost aprobat de Comitetul Senatului pe probleme de comerț, știință și transporturi al cărui președinte este Jay Rockefeller, însă, la votul final, proiectul de lege a fost respins.
În mai 2010, Administrația de la Washington a înființat United States Cyber Command (USCYBERCOM), subordonat United States Departement of Defence care are, printre atribuțiuni, supravegherea operațiunilor derulate pe Internet. Inițial, înființarea acestui comandament a fost pusă în discuție în timpul mandatului lui George W. Bush, la acea dată dorindu-se ca instituția să fie „un răspuns la amenințările cibernetice aflate în continuă creștere”.
La conducerea USCYBERCOM a fost numit generalul Keith Alexander, în pofida criticilor potrivit cărora măsura este percepută drept „linia de demarcație” pentru o nouă etapă în „militarizarea spațiului cibernetic”.
La începutul lunii iunie 2010, în SUA, senatorul Joseph Lieberman a înaintat un nou proiect de lege în domeniul protecției cibernetice, intitulat Protecting Cyberspace as a National Asset Act (PCNAA), care propunea introducerea unui control al accesului la rețeaua globală de Internet. În conformitate cu prevederile proiectului, în cazul apariției unei amenințări la adresa securității interne, Guvernul ar avea dreptul de a restricționa accesul la Internet.
Inițiativa a avut ca scop, totodată, conjugarea eforturilor Guvernului cu cele ale sectorului privat în vederea asigurării securității cibernetice, prin înființarea unui Birou de Politică Cibernetică la Casa Albă, condus de un director confirmat de către Senat. Pentru a se asigura legătura între cele două sectoare, guvernamental și privat, PCNAA stabilește crearea unei noi agenții în cadr ul Depar tment of Homeland Security (Departamentul de Securitate Internă), denumită National Center for Cyber Security and Communications (Centrul Național pentru Securitate Cibernetică și Comunicații) ca verigă de legătură.
Deși, la 24 iunie 2010, proiectul de lege a fost votat în unanimitate de către Comitetul Senatului pe probleme de securitate internă și afaceri guvernamentale, prin adoptarea unui amendament adus acestuia la data de 7 august a aceluiași an, autoritatea „nelimitată” a președintelui de a stopa accesul la Internet a fost condiționată de obținerea unei aprobări din partea Congresului, aprobare care va fi dată numai după o verificare a rețelei, pentru o perioadă de 120 de zile.
Cea mai recentă variantă de propunere legislativă dezbătută în SUA, intrată pe agenda politică la sfârșitul anului 2010, este o combinație între inițiativa legislativă a lui Joseph Lieberman și normele legislative propuse de Jay Rockefeller. Documentul include prevederi care i-ar permite președintelui să limiteze accesul la zone întregi din Internet și să blocheze întregul trafic online dinspre anumite țări în urma declarării unei stări naționale de urgență.
Diferența dintre noul proiect de lege și versiunea lui Joseph Lieberman este aceea că durata de întrerupere, fără supravegherea Congresului, a fost limitată la 90 de zile, spre deosebire de perioada inițială de patru luni prevăzută de PCNAA. Astfel, președintele SUA ar putea emite o declarație de urgență care va intra in vigoare pentru o perioadă de 30 de zile, putând să o reînnoiască pentru încă 60 de zile.
Dacă proiectul de lege va fi adoptat de Congresul american, serviciile speciale americane, precum FBI, vor putea urmări legal activitatea utilizatorilor de rețele de socializare bănuiți de activități subsumate terorismului cibernetic. Legea va obliga furnizorii de servicii de comunicare pe Internet să prezinte toate informațiile solicitate în privința navigatorilor înregistrați.
Încă din anul 2008, Marea Britanie și-a anunțat intenția de a crea o imensă bază de date centrală, care să reunească detalii cu privire la fiecare text sau e-mail trimis, apel telefonic făcut și site vizitat de toată lumea de pe teritoriul său. În cazul în care va fi aprobat, Programul de modernizare a interceptării ar garanta agenților Government Communications Headquarters (GCHQ) posibilitatea de a monitoriza comunicațiile fiecarei persoane în țară, fără a mai fi nevoie de un mandat în acest sens. Monitorizarea s-ar realiza prin instalarea de „cutii negre” în nodurile de rețea ale furnizorilor de servicii Internet și companiile de telefonie.
La data de 8 iunie 2010 a intrat în vigoare Digital Economy Bill (Legea pentru economie digitală), care permite Secretarului de Stat pentru afaceri, inovare și aptitudini să impună furnizorilor de servicii Internet o „obligație tehnică”1 pentru a reduce sau chiar bloca accesul la Internet pentru anumite site-uri, dacă Guvernul va considera necesar acest lucru.
Eforturile de impunere a unor restricții similare pe Internet sunt în desfășurare și în Australia, unde Guvernul dorește implementarea obligatorie și la scară largă a unui „filtru” de Internet, scopul acestei măsuri fiind blocarea propagării pornografiei infantile. La 29.05.2009 a fost înființat, în Spania, Consejo Nacional Consultivo de Cyberseguridad (Consiliul Național Consultativ pentru Securitate Cibernetică) cu scopul de a stopa criminalitatea informatică, prin consultanță pe teme precum protejarea identității consumatorilor sau prin crearea de legislație specifică.
Datorită creșterii exponențiale a infracțiunilor electronice, acest organism a decis să se pună la dispoziția entităților guvernamentale sau private, principalele „îndatoriri” ale sale fiind protejarea infrastructurii critice și a informațiilor. Totodată, în februarie 2010, secretarul de stat pe probleme de securitate, Antonio Camacho, a anunțat că Guvernul spaniol lucrează la elaborarea unui Decret Regal care să vizeze infrastructurile critice, prin care se dorește coordonarea între administrația publică și sectorul privat.
La finalul anului 2009, în Italia, a fost înființat Centro di Eccellenza per la Sicurezza Informatica (Centrul de Excelență pentru Securitate Cibernetică), care se bazează pe o rețea puternică de parteneri, din partea Guvernului, sectorului privat și mediului academic. Cu această ocazie, ministrul italian pentru dezvoltare economică, Claudio Scajola, a subliniat importanța securității cibernetice, care a devenit o prioritate pe agenda instituțională.
În acest sens, Guvernul italian a decis să acorde sprijin total atât planului elaborat de grupul Poste Italiane, cât și cooperării internaționale în domeniu, în vederea asigurării dezvoltării politicilor menite să garanteze securitatea în mediul digital. Acordul semnat de Poste Italiane cu IMPACT (International Multilateral Partnership against Cyber Threats/ Parteneriatul Multilateral Internațional împotriva Amenințărilor Cibernetice) a conferit recunoaștere internațională proiectului întocmit de acest grup pentru protejarea de potențiale amenințări cibernetice.
În România, terorismul cibernetic este recunoscut în Strategia Națională de Apărare ca unul din principalele riscuri la adresa securității țării noastre.
În calitate de autoritate națională în materie de Cyber Intelligence, Serviciul Român de Informații se implică alături de alte instituții în coordonarea apărării spațiului cibernetic. În acest sens, SRI a inițiat, alături de MCSI, MAPN, STS și alte instituții de stat și companii private, programul ECIS 2009, având ca obiectiv stabilirea unui model de sistem de apărare cibernetică la nivel național, cu posibilitatea extinderii acestuia la nivel european.
Programul a devenit operațional în octombrie 2010 și are o perioadă de derulare de 24 de luni. Pentru realizarea acestei misuni, SRI a demarat crearea unui concept instituțional și a unei arhitecturi proprii Serviciului, care să ajute la îndeplinirea acestui obiectiv.
Înțelegând faptul că prevenirea cu succes a acestei amenințări se poate realiza numai cu sprijinul sectorului privat, se intenționază crearea unei interfețe de comunicare și cooperare între cele două sectoare.
În vederea coordonării eforturilor naționale cu demersurile derulate de actorii internaționali cu experiență într-un domeniu în care schimbul de informații și de expertiză sunt esențiale pentru contracararea fenomenului, protecția împotriva atacurilor cibernetice a fost introdusă și pe agenda discuțiilor care au avut loc în cadrul întâlnirii de la Cotroceni, între președintele Traian Băsescu, directorii principalelor servicii de informații din România și directorul CIA, Leon Panetta.
Protecție sau cenzură?
Deși măsurile legislative supuse dezbaterilor și adoptării, atât la nivelul fiecărui stat cât și la nivel suprastatal au ca scop protejarea infrastructurilor critice și a informațiilor în cazul unor atacuri cibernetice, contestatarii acestor inițiative consideră că măsurile îngrădesc libertatea de exprimare, extinderea politicilor de „cenzură” online deteriorând impactul și semnificația fluxului informațional și afectând conștiința colectivă din mediul virtual. Argumentele acestora sunt variate și reflectă ideea că amenințarea este exagerată („se întâmplă rar ca infrastructura critică să fie conectată în mod direct la rețeaua publică Internet2 ; sistemele din sectorul privat sunt departe de a fi lipsite de apărare, iar „poveștile de coșmar în privința vulnerabilității acestora sunt în mare parte apocrife”3), fiind un demers menit a justifica acțiunile ofensive ale structurilor militare în spațiul cibernetic și a atrage mai multe resurse financiare. În pofida acestor critici, riscul ca sabotarea sistemelor informatice ale entităților economice, financiare sau ale serviciilor publice ale unui stat este unul nu doar real, ci și materializabil, iar acțiunile preventive sunt nu doar necesare, ci imperative.
Autori: Cristiana Bucur și Mihai Filipescu
