Un articol de Răzvan-Ovidiu Ceuca, de la Universitatea Babeș-Bolyai Cluj-Napoca
În timp ce noi contribuții științifice pe securitate cibernetică își fac apariția tot mai mult pe web, în România, discuțiile pe această temă (și pe alte teme conexe deopotrivă) se poartă în spatele ușilor unor comisii parlamentare de specialitate (Despa, 2021), asta în cel mai bun caz. La firul ierbii, societatea civilă, dependentă și interconectată de tehnologia informației și comunicațiilor (Deibert, 2015), pare să nu le acorde o importanță prea mare.
Și totuși, efectele interconectivității domeniilor și sistemelor informatice, precum și cele ale propriei noastre nepăsări în privința domeniului cibernetic s-au văzut odată cu declanșarea războiului hibrid din Ucraina, pe 24 februarie 2022, când magnitudinea operațiunilor cibernetice lansate de grupuri de hackeri (pro)ruși împotriva Ucrainei și a altor actori aliați acesteia a stârnit o „trezire la realitate”.
Desigur, România, devenită în ultimii ani un hub tehnologic cu reputație în Europa (Balazs, 2013; Maftei, 2020), nu putea fi evitată de către aceste grupări. Astfel, recenta campanie de activism prin hacking – denumit conceptual „hacktivism” – lansată de gruparea de hackeri (pro)ruși Killnet ne-a dovedit că și țara în care dosarul cu șină e la putere poate fi extrem de vulnerabilă chiar și în fața unor atacuri cibernetice de tip refuz distribuit de serviciu (DDoS), cu timp și impact limitat.
Dincolo de propriile noastre vulnerabilități, însă, dilema care apare în acest context este dacă nu cumva abordarea noastră de securitate cibernetică ar trebui să aibă parte de o actualizare majoră în conformitate cu noile tendințe ale comunității internaționale.
Apărarea cibernetică pasivă versus apărarea cibernetică activă
În raport cu mediul internațional de securitate cibernetică din care face și România, cercetările anterioare disting între două abordări principale de securitate cibernetică în rândul statelor, dar, mai nou, cu anumite prevederi și limite, și în cel al actorilor privați: apărarea cibernetică pasivă și apărarea cibernetică activă.
Prima abordare are un caracter pur reactiv și poate fi definită ca „o serie de acțiuni de apărare cibernetică întreprinse pentru a proteja confidențialitatea, integritatea și disponibilitatea sistemelor și rețelelor informatice, prin utilizarea dispozitivelor, proceselor și contramăsurilor de securitate stratificată a rețelei, pentru a proteja integritatea activelor informaționale dintr-o întreprindere” (Iasiello, 2014, p. 106).
Simplu spus, o abordare de securitate cibernetică menită să combată amenințările mediului digital „fără intenția de a avea o inițiativă în acest sens” (Wong, 2011, p. 13). Fără să știm că fac parte din acest spectru, noi, utilizatorii de rând, utilizăm câteva mijloace exemplare precum firewall-urile, programele antivirus și backup-urile de date (Dewar, 2014; Harrop și Matteson, 2015).
La polul opus, cea de-a doua abordare are un caracter proactiv-ofensiv. Din punct de vedere tehnic, apărarea cibernetică activă face trimitere la „o serie de acțiuni menite să răspundă atacurilor cibernetice prin mijloace ofensive” (Yağlı și Dal, 2014, p. 7). Totuși, trebuie avut în vedere faptul că natura proactivă și ofensivă a acestei abordări a generat numeroase dezbateri în rândul statelor democratice, în special atunci când vine vorba de contraatacurile cibernetice și pătrunderea neautorizată în rețeaua atacatorului, acțiuni care pot duce la încălcări ale dreptului național și chiar internațional.
Din acest motiv, în unele state s-au promulgat legi care stabilesc permisiunile și limitele utilizării apărării cibernetice active (Lachow, 2013; Dewar, 2014, 2017; Barnes, 2018; Gandhi, 2019).
Încasăm, #rezistăm… dar nu contraatacăm
Dacă un lucru e clar la noi în materie de securitate cibernetică, acela e că am evoluat de la „Hackerville” la „Silicon Valley de România”, adică de la stadiul de amenințare internațională de securitate cibernetică la cel de furnizor de servicii cu reputație internațională în domeniu (Bitdefender fiind un exemplu iconic în acest sens). Și totuși, mulți români, simpli utilizatori de tehnologia informației și comunicațiilor, se întreabă în sinea lor cum și unde se situează țara noastră în raport cu alți omologi în domeniul securității cibernetice.
Iar curiozitatea e cu atât mai relevantă cu cât, în primul rând, au fondata așteptare ca statul român să se ocupe de asigurarea securității cibernetice a acestora în fața amenințărilor tot mai sofisticate pentru ei (cea mai de seamă pe anul acesta fiind malware-ul Flubot care se propagă prin SMS și amenință telefoanele mobile cu sistem de operare Android), dar și cu cât, în al doilea rând, majoritatea covârșitoare a cetățenilor și-ar dori ca România să fie în rând cu „lumea bună” atunci când vine vorba de capabilitățile cibernetice.
Pentru o perspectivă detaliată este astfel nevoie de o privire asupra Strategiei de securitate cibernetică a României pentru perioada 2022—2027 și Legii nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice.
Strategia de securitate cibernetică a României 2.0 specifică cinci obiective de importanță strategică pentru intervalul 2022-2027:
1) Rețele și sisteme informatice sigure și reziliente,
2) Cadru normativ și instituțional consolidat,
3) Parteneriat public-privat pragmatic,
4) Reziliența prin abordare proactivă și descurajare și
5) România – actor relevant în arhitectura internațională de cooperare.
Acum să le luăm pe rând.
Primul obiectiv face trimitere la șașe dimensiuni propuse ca soluții: implementarea de politici și măsuri de securitate cibernetică, dezvoltarea capabilităților naționale de detectare, investigare și contracarare a atacurilor cibernetice, alocarea eficientă a resurselor financiare, tehnologice și umane, consolidarea mecanismului de raportare a incidentelor de securitate cibernetică, crearea unor mecanisme de certificare, conformitate și standardizare în domeniul securității cibernetice și securizarea lanțului de aprovizionare.
Cel de-al doilea obiectiv are în vedere două măsuri: consolidarea cadrului normativ (unde, printre altele, se face referire și la necesitatea adoptării legii privind securitatea și apărarea cibernetică) și consolidarea cadrului instituțional (cu accent pe COSC, SNSC și DNSC).
Cel de-al treilea obiectiv se leagă de următoarele aspecte: derularea unor programe de conștientizare publică și de creștere a nivelului de cultură de securitate cibernetică, dezvoltarea de programe educaționale în domeniul securității cibernetice, derularea unor programe de formare profesională pentru cei care desfășoară activități în domeniul securității cibernetice, dezvoltarea și consolidarea cercetării și inovării în domeniul securității cibernetice și dezvoltarea industriei naționale de securitate cibernetică.
Cel de-al patrulea obiectiv are în vedere următoarele: dezvoltarea de CERT-uri și SOC-uri sectoriale, derularea de exerciții cu aplicabilitate practică ridicată, precum și dezvoltarea unor capabilități proactive, reactive și de descurajare.
În final, obiectivul care prevede o poziție internațională mai fermă a României în domeniul securității cibernetice ține seama de următoarele măsuri: consolidarea rolului României la nivel global, consolidarea rolului României la nivel regional și pe plan bilateral, consolidarea rolului diplomației cibernetice, precum și consolidarea capacității de transfer de expertiză la nivel regional (Guvernul României, 2022).
În schimb, Legea nr. 362 din 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice nu aduce în discuție elemente legale sau ilegale care țin de cele două abordări anterior menționate.
Cele nouă capitole ale legii trasează: obiectivul și scopul promulgării acesteia, principalele concepte tehnice în jurul cărora gravitează prevederile, cele trei principii prezente și în dreptul internațional aplicabil în spațiul cibernetic (principiul responsabilității și conștientizării, principiul proporționalității și principiul cooperării și coordonării), domeniile de aplicare, rolurile și responsabilitățile, precum și cerințele de asigurare a securității rețelelor și sistemelor informatice, procedurile de audit și autorizare, precum și prevederile pentru cooperare, pentru ca, în final, să fie reglementate activitățile de supraveghere, control, sancționare.
Pe baza acestor prevederi se poate observa că nu se specifică, de exemplu, dacă autoritățile cu atribuții în domeniu pot utiliza mijloace digitale ofensiv-intruzive singure sau în colaborare cu alți actori și nici care este gradul de forță permis pentru a asigura un nivel ridicat de securitate cibernetică națională.
„Vrem o țară ca afară” chiar și în materie de securitate cibernetică
Așa cum reiese din analiza documentelor strategice și legale anterior menționate, România se situează în spectrul clasicei apărări cibernetice pasive. În altă ordine de idei, punem un extrem de mare accent pe componenta de reziliență, ceea ce e foarte bine având în vedere discuțiile din ultimii ani de la nivelul NATO și UE (Ducaru, 2016; Bendiek, 2018). De asemenea, suntem în trend cu alți actori în ceea ce privește cooperarea cu mediul privat, cu societatea civilă și cu mediul academic (cel puțin în teorie), în ceea ce privește adaptarea cadrului legal și instituțional la noile realități digitale, dar și în ceea ce privește conștientizarea importanței diplomației cibernetice în secolul 21. Cu toate acestea, se poate spune că este mult loc de mai bine.
E nevoie de mai multe resurse ca să facem trecerea spre apărarea cibernetică activă, în special spre mijloacele ofensiv-intruzive menite să descurajeze și să pedepsească aspru intențiile prezente sau viitoare ale altor actori de a amenința cibernetic țara noastră. Însă, pentru a vedea mai bine unde ne situăm în acest ecosistem internațional al abordărilor de securitate cibernetică, este nevoie de o comparație cu SUA, un stat care și-a conturat extrem de bine apărarea cibernetică activă.
Chiar dacă SUA, în a lor Strategie Cibernetică Națională, nu se menționează nicărieri despre utilizarea mijloacelor digitale ofensiv-intruzive pentru a atribui atacurile cibernetice și pentru a descuraja și trage la răspundere actorii responsabili (The White House, 2018), acestea și-au lansat, în 2011, propriul program de apărare cibernetică activă sub tutela Departamentului Apărării. Iar pentru o implementare și utilizare legală a acestuia, în 2019, în cadrul Subcomitetului pentru Criminalitate, Terorism și Securitate Internă din Camera Reprezentanților a Congresului, a fost propus un proiect legislativ numit Active Cyber Defense Certainty Act, al cărui scop constă în stabilirea procedurilor prin care se poate lansa o operațiune cibernetică ofensiv-intruzivă împotriva unui atacator, precum și a limitelor până la care poate merge apărătorul cu aceasta.
Conform Strategiei pentru Operarea în Spațiul Cibernetic a Departamentului Apărării din 2011, apărarea cibernetică activă a fost implementată ca o capabilitate defensivă menită să prevină intruziunile în sistemele și rețelele aflate sub egida Departamentului Apărării. Aceasta constă în „capacitatea sincronizată în timp real a Departamentului Apărării de a descoperi, detecta, analiza și atenua amenințările și vulnerabilitățile”, utilizând senzori, software-uri și intelligence pentru a opri activitatea malițioasă înainte de a produce pagube rețelelor și sistemelor informatice (Department of Defense, 2011, pp. 6–7).
Cu toate că nu este menționat în mod explicit, există un consens în rândul studiilor pe acest subiect că apărarea cibernetică activă nu se rezumă doar la măsuri defensive strict între granițele rețelei apărătorului, ci, dimpotrivă, presupune utilizarea capabilităților digitale ofensiv-intruzive în scop defensiv și în sistemele informatice utilizate de atacator (Wong, 2011; Cobb și Lee, 2014; Iasiello, 2014; Chesney, 2019).
Pentru a evita orice fel de controverse și escaladări ca urmare a acestui fapt, Active Cyber Defense Certainty Act face clarificări în acest sens. Pe de o parte, apărarea cibernetică activă constă în totalitatea măsurilor întreprinse de un apărător sau la îndrumarea acestuia, constând în accesarea fără autorizație a computerului atacatorului, folosind rețeaua proprie a apărătorului pentru a culege informații în vederea:
a) atribuirii activității malițioase în scopul colaborării cu organele de aplicare a legii și altor agenții guvernamentale ale Statelor Unite responsabile cu securitatea cibernetică;
b) perturbarea activității malițioase îndreptată împotriva rețelei apărătorului; și
c) monitorizarea comportamentului atacatorului pentru a dezvolta viitoare tehnici de prevenire a intruziunilor sau de apărare cibernetică.
Pe de altă parte, pentru a stăvili acțiunile defensive ale apărătorului, sunt stabilite următoarele șapte limite:
a) distrugerea intenționată sau inoperabilizarea informațiilor care nu aparțin victimei și care sunt stocate pe computerul altei persoane sau entități;
b) producerea imprudentă de vătămări fizice sau pierderi financiare;
c) crearea unei amenințări la adresa sănătății sau siguranței publice;
d) depășirea în mod intenționat a nivelului de activitate necesar pentru efectuarea recunoașterii pe un dispozitiv intermediar pentru a permite atribuirea originii intruziunii cibernetice;
e) accesarea intruzivă de la distanță a unui dispozitiv intermediar folosit în atac;
f) producerea de daune prin tăierea intenționată a conexiunii la Internet a unei persoane sau entități;
g) producerea de daune dispozitivelor care găzduiesc informații clasificate, respectiv sisteme informatice care sunt folosite de către sau pentru o entitate guvernamentală pentru înfăptuirea justiției, apărării naționale sau securității naționale.
Pe lângă permisiuni și limite, proiectul de lege stipulează că apărătorul, înaintea lansării măsurilor din spectrul apărării cibernetice active, trebuie să trimită FBI-ului o notificare pentru a primi acordul în acest sens, notificare care trebuie să conțină: tipul de breșă cibernetică la care apărătorul a fost expus, ținta vizată a măsurilor de apărare cibernetică activă, măsurile pe care apărătorul intenționează să le ia pentru a păstra dovezile intruziunii cibernetice a atacatorului, pașii urmați pentru a preveni deteriorarea dispozitivelor intermediare utilizate în atac care nu se află în proprietatea atacatorului, precum și alte informații solicitate de FBI.
Nu în ultimul rând, reprezintă excepții în ceea ce privește tehnologia utilizată în atribuirea atacurilor cibernetice următoarele:
a) programul, codul sau comanda provenit(ă) din computerul apărătorului, dar care este copiat(ă) sau eliminat(ă) de un utilizator neautorizat și
b) programul, codul sau comanda care nu are drept rezultat distrugerea datelor sau deteriorarea funcționalității sistemului informatic al atacatorului sau care nu creează în mod intenționat o breșă care să permită accesul intruziv în sistemul informatic al atacatorului.
În loc de concluzii
Chiar dacă România și-a adaptat în ultimii ani capabilitățile tehnice, cadrul legal și politica de securitate cibernetică în rând cu abordările altor state aliate, totuși, în urma analizei comparative dintre documentele strategice și legale ale țării noastre și ale SUA, se poate observa un decalaj politic și legal în ceea ce privește racordarea abordării noastre de securitate cibernetică la noile realități ale mediului virtual.
Din punct de vedere politic, măsurile de securitate cibernetică întreprinse, așa cum reies ele din Strategia de Securitate Cibernetică a României 2.0, ne plasează în spectrul apărării cibernetice pasive. Sigur, măsurile defensiv-reactive ne pot asigura un anumit grad de securitate cibernetică, însă nu unul suficient de ridicat pentru a face față noilor amenințări tot mai sofisticate ale mediului digital, precum și tendințelor de suveranizare ale acestuia de către regimurile autoritare.
Astfel, dacă Strategia în cauză face o singură mențiune privind capabilitățile de răspuns ofensiv (Guvernul României, 2022, p. 24), cred că este necesar să fie pus un accent mai mare pe această dimensiune în cadrul unor posibile viitoare politici și reforme în domeniul securității cibernetice a țării noastre. Iar acest aspect este cu atât mai important cu cât, prin calitatea de membru al sistemului de alianțe euroatlantic, ne asumăm să asigurăm, printre altele, un spațiu cibernetic deschis, liber, stabil și sigur în conformitate cu valorile acestuia și modelului de guvernare al mediului digital bazat pe participarea tuturor părților interesate (state, ONG-uri, companii, think tank-uri etc.) (Lantis și Bloomberg, 2018).
Din punct de vedere legal, Active Cyber Defense Certainty Act al SUA ar putea constitui un model de cadru legislativ prin care în România să fie permisă utilizarea mijloacelor apărării cibernetice active de către orice victimă a unui atac cibernetic neasumat sau neatribuit. Acest lucru este cu atât mai necesar cu cât atacurile cibernetice exploatează numeroase lacune legislative.
De exemplu, articolul 2, alineatul 4 din Carta ONU specifică faptul că statele trebuie să se abțină în relațiile internaționale de la a recurge la utilizarea forței sau amenințarea cu utilizarea ei, în timp ce articolul 51 din același document stipulează că acestea își pot exercita dreptul la autoapărare în cazul unui atac armat.
Cu toate acestea, deși cele mai multe atacuri cibernetice dirijate de state sau îndreptate împotriva acestora fac obiectul articolului 2, alineatul 4, acestea nu reprezintă atacuri armate care să declanșeze pragul necesar exercitării dreptului la autoapărare (Hathaway, 2014).
Prin urmare, statele care nu au un cadru legal care să traseze permisiunile și limitele apărării cibernetice active sunt puse în fața problemei de a se autoapăra fără a încălca dreptul internațional. Însă, dacă SUA a găsit soluția la această problemă, consider că putem și noi să facem același lucru mai ales din postura de parteneri strategici. În acest sens, adoptarea Legii privind Securitatea și Apărarea Cibernetică ar trebui să țină seama și de bunele practici ale Active Cyber Defense Certainty Act, dar cu o mențiune clară a nivelurilor de forță pe care România sau orice altă victimă de pe teritoriul acesteia le poate folosi în combaterea atacurilor cibernetice: nivelul benign care se rezumă acțiuni proactive limitate la granițele digitale ale țării noastre sau ale unei victime aflate pe teritoriul acesteia, nivelul intermediar care presupune acțiuni ofensiv-intruzive sub forma pătrunderii în sistemele informatice folosite în atac, fără a produce însă pagube și nivelul agresiv sub forma unor acțiuni ofensiv-intruzive menite să producă pagube în sistemele informatice utilizate în atac.
Bibliografie
Balazs, S. (2013) ‘How Central Eastern Europe Is Transforming From Outsourcing To A Real Tech Hub’, Forbes, 10 Februarie. Disponibil pe: https://www.forbes.com/sites/ciocentral/2013/10/02/how-central-eastern-europe-is-transforming-from-outsourcing-to-a-real-tech-hub/.
Barnes, I. (2018) Implementation of Active Cyber Defense Measures by Private Entities: The Need for an International Accord to Address Disputes. Naval Postgraduate School.
Bendiek, A. (2018) The EU as a force for peace in international cyber diplomacy. Berlin. Disponibil pe: www.ssoar.info.
Chesney, R. (2019) Hackback Is Back: Assessing the Active Cyber Defense Certainty Act, Lawfare. Disponibil pe: https://www.lawfareblog.com/hackback-back-assessing-active-cyber-defense-certainty-act (Accesat: 26 Iunie 2022).
Cobb, S. și Lee, A. (2014) ‘Malware is called malicious for a reason: The risks of weaponizing code’, în International Conference on Cyber Conflict, CYCON, pp. 71–84.
Deibert, R. (2015) ‘The geopolitics of cyberspace after Snowden’, Current History, 114(768), pp. 9–15.
Department of Defense (2011) Department of Defense Strategy for Operating in Cyberspace.
Despa, O. (2021) Analiză | De ce vrea Armata Română atribuții sporite în domeniul securității cibernetice, Europa Liberă România. Disponibil pe: https://romania.europalibera.org/a/mapn-si-securitatea-cibernetica/31712524.html?fbclid=IwAR0zbpt5QM6Uv58_dm26566T0qMu9s-Z1E-lUt4fPMlC3MDM5fVwtqA3P-o (Accesat: 28 Iunie 2022).
Dewar, R. S. (2014) ‘The “Triptych of Cyber Security ”: A Classification of Active Cyber Defence’, în 2014 6th International Conference on Cyber Conflict, pp. 7–21.
Dewar, R. S. (2017) Active Cyber Defense. Zürich.
Ducaru, S. D. (2016) ‘The Cyber Dimension of Modern Hybrid Warfare and Its Relevance for NATO’, Continuity and Change in European Governance, 10(1), pp. 7–24.
Gandhi, H. (2019) ‘Active Cyber Defense Certainty: A Digital Self-Defense in the Modern Age’, Oklahoma City University Law Review, 43, pp. 101–131.
Guvernul României (2022) Strategia de Securitate Cibernetică a României, pentru perioada 2022-2027, precum și a Planului de Acțiune pentru implementarea Strategiei de Securitate Cibernetică a României, pentru perioada 2022-2027. București.
Harrop, W. și Matteson, A. (2015) ‘Cyber Resilience : A Review of Measures Applied in the UK and USA’, în Lemieux, F. (ed.) Current and Emerging Trends in Cyber Operations. Londra: Palgrave Macmillan, pp. 149–166.
Hathaway, O. A. (2014) ‘The drawbacks and dangers of active defense’, in International Conference on Cyber Conflict, CYCON. Tallinn, pp. 39–50. doi: 10.1109/CYCON.2014.6916394.
Iasiello, E. (2014) ‘Hacking Back: Not the Right Solution’, Parameters, 44(3), pp. 105–113.
Lachow, I. (2013) Active Cyber Defense: A Framework for Policymakers. Washington, DC. Disponibil pe: https://s3.amazonaws.com/files.cnas.org/documents/CNAS_ActiveCyberDefense_Lachow_0.pdf?mtime=20160906080446.
Lantis, J. S. și Bloomberg, D. J. (2018) ‘Changing the code? Norm contestation and US antipreneurism in cyberspace’, International Relations, 32(2), pp. 149–172.
Maftei, S.-S. (2020) ‘Smart City Cluj, from Provincial Hotspot to Transnational Hub: The Adventures of a Would-Be Post-Industrial City in Romania’, Journal of Cultural Management and Cultural Policy / Zeitschrift für Kulturmanagement und Kulturpolitik, 6(1), pp. 143–158.
The White House (2018) National Cyber Strategy of the United States of America. Disponibil pe: https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf%0Ahttps://www.whitehouse.gov/articles/president-trump-unveils-americas-first-cybersecurity-strategy-15-years/.
Wong, T. P. (2011) Active Cyber Defense: Enhancing National Cyber Defense. Naval Postgraduate School.
Yağlı, S. și Dal, S. (2014) ‘Active Cyber Defense within the Concept of NATO’s Protection of Critical Infrastructures’, International Journal of Computer and Systems Engineering, 8(4), pp. 909–913.
Lasă un răspuns