„Securitatea cibernetică în contextul amenințărilor asimetrice și riscurilor emergente”
(Comisia pentru Afaceri Europene din Camera Deputaților, 17 martie 2016)
Invenția scrisului a permis omenirii să depășească perioada preistorică, iar progresul ulterior al tehnologiei informației și comunicării a transformat permanent societatea. Astăzi, însă, dezvoltarea fără precedent a tehnologiei digitale face tot mai dificilă adaptarea societății la ritmul schimbării: dacă dezvoltarea telefoniei sau rețelelor de televiziune a durat decenii, timp în care societatea a avut timp să asimileze inovațiile, în prezent crearea unui serviciu media durează doar câteva săptămâni. Milioane de oameni ajung să-l folosească la câteva zile de la lansare, ideile lor propagându-se în câteva ore de la un continent la altul.
Internetul a devenit indispensabil în cotidianul secolului XXI, fiind strâns legat de viața noastră socială, obiceiurile de consum, activitatea profesională, relația cu instituțiile publice și accesul la utilități. Societatea este tot mai dependentă de o tehnologie ale cărei beneficii evidente riscă să ascundă implicații complexe, deseori necunoscute publicului.
1. Dependența de tehnologie, ca orice altă dependență, este percepută de actorii ostili drept o vulnerabilitate a societăților dezvoltate, ce poate fi lesne exploatată în absența conștientizării de către indivizi a riscurilor existente în mediul digital.
Securitatea cibernetică este legată de fiecare aspect al vieții noastre în care tehnologia a reușit deja să pătrundă (datele personale, fie ele de identitate, bancare sau legate de sănătate, proprietatea intelectuală, secrete industriale, secrete de stat etc.), fiind la fel de importantă pentru viitorul nostru ca și securitatea fizică. Concomitent, instituțiile de stat funcționează pe baza unor sisteme informatice complexe, ce pot fi cu ușurință dereglate de programe de tip malware.
Actuala dinamică a spațiului cibernetic, atât în termeni de inovații tehnologice cât și de diversitate geografică a furnizorilor de echipamente, nu permite înlăturarea acestei amenințări, ci doar gestionarea sa prin:
(i) responsabilizarea tuturor actorilor sociali cu privire la formele diferite pe care le pot lua atacurile cibernetice, de la compromiterea infrastructurii critice, până la furtul de informații clasificate, de date personale sau inovații tehnologice;
(ii) actualizarea permanentă a instrumentelor de apărare prin instalarea unor aplicații puternice menite să împiedice accesarea neautorizată a echipamentelor de la distanță;
(iii) vigilența sporită în privința furnizorilor de servicii/echipamente, care pot introduce hardware sau software compromis în diferite etape ale lanțului de aprovizionare.
2. La nivel global a crescut frecvența, amploarea, complexitatea și gravitatea atacurilor de tip cibernetic, concomitent cu diversificarea țintelor acestora. Tot mai mulți actori internaționali dezvoltă instrumente puternice în spațiul cibernetic pe care le folosesc ofensiv pentru a-și promova interesele ideologice, politice sau economice. Pe de altă parte, capabilitățile defensive se dezvoltă, cel puțin deocamdată, reactiv.
Principalii vinovați rămân actorii statali, cei non-statali - precum grupările teroriste și anti-sistem - rezumându-se deocamdată la a folosi tehnologia în special pentru comunicații, colectare/diseminare de informații, colectare de fonduri și recrutare.
Deși terorismul cibernetic nu a produs încă pagube însemnate, este clar că tehnologia atacurilor evoluează de la pagube medii la amenințări serioase la adresa securității informațiilor și infrastructurii critice naționale.
Amploarea acestui fenomen va crește pe măsură ce tot mai mulți actori internaționali vor conștientiza câștigurile însemnate ce pot fi obținute în urma unor atacuri cibernetice: efortul de realizare este relativ redus, inițial atacatorul deține toate avantajele, nu există nicio formă reală de descurajare, iar riscul de retaliere este minimal (este dificil de diferențiat între inițiativele actorilor statali și celor non-statali, dacă aceștia cooperează deschis sau tacit sau folosesc instrumente similare).
Cu toate acestea, riscul de atacuri cibernetice este în continuare dificil de estimat, de regulă lipsind datele necesare pentru a anticipa cu certitudine probabilitatea și consecințele acestora, ceea ce dă naștere unor interpretări subiective.
De regulă, pentru instituțiile din domeniul securității consecințele dezastruoase ale unui atac cibernetic de anvergură primează în fața probabilității reduse ca acesta să se întâmple. Astfel, există tendința de supraevaluare a riscului în cazul terorismului și războiului cibernetic. În același timp, pentru indivizi/companii impactul redus al unor episoade de criminalitate cibernetică și hacking atrage o subevaluare a riscului, în pofida frecvenței mari a acestor incidente și pierderilor cumulate semnificative.
3. Statele și societățile s-au definit tradițional pe criterii geografice, iar spațiul cibernetic le provoacă să se adapteze unei noi fațete a globalizării, cea în care interacțiunile virtuale transcend în timp record granițele convenționale. Din acest motiv statele încearcă să controleze diferitele dimensiuni ale internetului:
→ conținutul datelor circulate în mediul virtual, din rațiuni pornind de la respectarea drepturilor de proprietate intelectuală (temă specifică societăților democratice), până la cele de cenzurare a datelor (specifice regimurilor autoritare).
Concomitent se recurge la conștientizarea populației asupra instrumentelor de tip propagandă folosite în mediul virtual pentru a promova interesele diferiților actori.
Impactul geopolitic al efervescenței din spațiul digital crește exponențial odată cu schimbarea rapidă a demografiei utilizatorilor spațiului virtual dinspre Nord și Vest către Sud și Est. Este foarte posibil ca într-un viitor nu foarte îndepărtat alte voci decât cele americane și europene să vorbească mai răspicat în mediul virtual, promovând valori și idei diferite de cele cu care societatea occidentală este obișnuită;
→ nucleul tehnic al Internetului (format din protocoalele, standarde, sisteme de alocare a numelor de domenii etc.). Anterior domeniu adresat exclusiv „comunității tehnice”, acesta a intrat recent în sfera preocupărilor de securitate națională1.
Astfel, se pune problema respectării în domeniul datelor digitale a principiilor de confidențialitate (țintă a spionajului cibernetic), integritate (ținta criminalității cibernetice) și disponibilitate (ținta atacurilor de tip DOS și a ștergerii de date).
În absența unor norme unanim recunoscute ale spațiului digital, garantate de instituții cu atribuții în domeniu, acțiunile statelor de promovare a intereselor politico-economice la nivel global prin intermediul Internetului au transformat mediul digital într-un nou Vest Sălbatic.
Pe parcursul istoriei inovațiile tehnologice au contribuit decisiv la schimbarea balanței de putere, iar mediul digital nu face excepție, absența reglementărilor favorizând o cursă contra-timp a primilor veniți, urmată de o cursă digitală a înarmărilor între actorii consacrați. Mediul digital și-a câștigat, astfel, statutul de armă specifică războiului hibrid al secolului XXI, în detrimentul celui de bun comun global, caracterizat de respectarea valorilor universalității, interoperabilității și accesibilității datelor.
Deși probabilitatea unui atac cibernetic catastrofic la adresa României rămâne redusă, dependența în creștere a societății de tehnologie și interdependențele sistemice între diferitele sectoare ale infrastructurii critice creează aceleași vulnerabilități pentru toate statele dezvoltate. Acestea expun întreaga societate la atacuri cibernetice de amploare redusă și moderată, derulate cu o frecvență mare, ale căror costuri cumulative pot afecta sever interesele de securitate națională, fie că vorbim despre protejarea instituțiilor publice sau de competitivitatea companiilor autohtone pe o piața globală.
1Exemple: S-a ridicat problema ieșirii de sub influență americană a sistemului de administrare a numelor și numerelor pe internet/IANA, respectiv cea a integrării sistemelor de certificate de securitate/CERT.