Arme noi, doctrine vechi. Securitatea națională în spațiul cibernetic

Focus (de , January 11, 2018)

Autor: Mariana Urs, Cyberint

În fața atacurilor cibernetice de proporții petrecute în ultimii ani, deseori, replica statelor țintă a rămas nevăzută.

Însă în spatele ușilor închise, discuțiile au fost lungi și complicate, învârtindu-se în jurul câtorva întrebări la care nu s-au găsit încă răspunsuri1: Care este echivalentul unui atac cibernetic în repertoriul clasic al războiului și care se cuvine a fi reacția unei entități atacate? Care sunt granițele câmpului de bătălie cibernetic? Care dintre strategiile de securitate apărute pe parcursul anilor se potrivește mai bine spațiului operațional cibernetic2? În definitiv, dacă istoria nu se repetă, atunci ea… rimează. Cu ce rimează însă cyber-ul?

La începutul acestei veri, într-una dintre sălile de ședință ale Congresului Statelor Unite au fost chemate în audiența Comitetului Senatului pentru Servicii Armate câteva persoane: James Clapper, fostul director al National Intelligence, Michael Hayden, fostul director al CIA și James Stavridis, amiral în retragere al Marinei SUA. Discuțiile, prezidate de senatorul John McCain, au fost dedicate politicii descurajării (deterrence) în domeniul securității cibernetice. Dar, în vreme ce întreaga presă americană vuia din pricina scandalului provocat de spargerea serverelor Comitetului Național Democrat, la ședință nu asista mai nimeni. Așa cum a remarcat, nu fără o undă de regret, și unul dintre senatori, sala era aproape goală3.

În discursurile celor chemați în acea zi în fața Senatului SUA puteau fi recunoscute ecourile doctrinei îngrădirii – (containment) propuse de diplomatul și teoreticianul american George Kennan4 cu peste șaptezeci de ani în urmă. În 1946, în debutul războiului rece, SUA dețineau un avantaj militar și economic incontestabil, însă teoria avansată de Kennan, având la bază excepționalismul american și capacitatea de reziliență a însăși societății americane, pornea de la perspectiva unui conflict inerent cu Uniunea Sovietică, în care SUA urmau să fie angajate cu sau fără voința lor. Inevitabil, date fiind diferențele ideologice capitale, adversarul avea să forțeze starea de conflict.

George Kennan în 1947

Orice acțiuni, directe ori subversive, puteau fi folosite de statul sovietic pentru subminarea regimurilor diferite ideologic.

George Kennan, în perioada petrecută la Moscova, ajunsese la concluzia că acest conflict, care deja lua proporții, putea fi câștigat exclusiv prin impunerea unor limite clare geografice și de acțiune între cele două lumi și utilizarea unor mijloace diplomatice sau militare de fiecare dată când situația o cerea pentru asigurarea securității SUA și a aliaților săi5. În scurt timp, s-a ajuns la un echilibru de putere care a a condus la impunerea unei politici a descurajării (deterrence) continue a adversarului. Această doctrină s-a bazat pe (1) costul uriaș asociat utilizării capabilităților distructive (nucleare) deținute de ambele tabere, precum și pe (2) capacitatea de garantare a unei riposte dure la orice atac direct. În ce fel însă pot fi aplicate aceste doctrine, ale îngrădirii și descurajării, spațiului cibernetic6, în condițiile în care nici actorii și nici amenințările nu se circumscriu sistemului de putere definitoriu războiului rece, a devenit o chestiune aprins dezbătută. Într-o lume în care un actor statal, o grupare criminală sau o entitate teroristă pot avea, teoretic, acces la același arsenal cibernetic pe care îl îmbogățesc constant cu chiar armele adversarului, logica jocului de șah poate părea multora ca fiind deja perimată.

Pe de o parte, există voci care susțin că regulile containment-ului nu s-au schimbat în timp: câtă vreme se admite o definiție clară a atacului cibernetic, iar adversarul este convins de faptul că reacția statului țintă la un astfel de atac poate fi extrem de severă, doctrina funcționează7. Sau, așa cum scria George Kennan în 1946, „Dacă adversarul dispune de suficientă forță și transmite faptul că este pregătit să o folosească, atunci rareori trebuie să o și facă”, astfel încât, „dacă situațiile sunt gestionate corect, nu sunt necesare confruntări care să știrbească prestigiul uneia sau alteia dintre părți”8.

Pe de altă parte, regulile jocului în spațiul cibernetic fac încă subiectul negocierilor, atât la nivel național, cât și pe plan global. Dezbaterea actuală din SUA din jurul definirii unei strategii naționale de securitate cibernetică pune în discuție o serie de chestiuni stringente și edificatoare din perspectiva doctrinei descurajării atacurilor cibernetice: necesitatea evaluării impactului evenimentului produs, colectarea de informații din diverse medii, inclusiv prin colaborarea cu mediul privat, atribuirea atacului și adaptarea reacției la acesta în funcție de adversarul identificat, agrearea la nivel internațional a unui set de reguli și definiții privind activitatea în spațiul cibernetic.
Date fiind caracteristicile spațiului cibernetic, domeniile țintă se întrepătrund, fie că țin de securitatea națională, fie aparțin sectorului privat sau că afectează viața personală a cetățeanului. De aceea, nu trebuie pierdut din vedere nici faptul că măsurile enumerate mai sus se pot realiza doar pornind de la educarea și informarea cetățenilor, în spiritul unei transparențe vitale pentru un stat democratic.

Atunci când se vorbește despre conflict sau război în spațiul cibernetic, o premisă fundamentală de la care se pleacă și nu poate fi ignorată ține de diferența majoră față de războiul convențional: odată o armă cibernetică folosită, aceasta poate fi modificată de adversar și utilizată împotriva aceluia care a lansat atacul. În aceste condiții, problema fundamentală ține de capacitatea de apărare și reziliență a sistemelor IT&C care prezintă relevanță pentru securitatea națională. Dacă gradul de reziliență al acestor sisteme este redus, riscul asociat unui contraatac presupune un cost prea mare pentru securitatea națională, ceea ce afectează ab initio capacitatea unui stat de a duce o politică eficientă în privința descurajării atacurilor. Pentru a echilibra balanța, în viziunea multor experți și decidenți, descurajarea în domeniul cibernetic poate și chiar trebuie să ia și alte forme: riposta la un atac cibernetic poate veni pe orice alt plan și orice resurse ale statului pot fi utilizate, inclusiv stabilirea de sancțiuni economice sau in extremis, intervenție armată9. Punerea în practică a unei astfel de strategii este însă dificilă, așa cum sublinia și președintele estonian, Toomas Ilves: „Cea mai mare problemă în cyber ține de deterrence. Discutăm deja de ani de zile în cadrul NATO despre ce ar trebui să facem.”10

 

 

 

 

 

Barack Obama și Toomas Hendrik Ilves in 2009

Se impune, deci, construirea, într-o primă etapă la nivel național, a unor mecanisme clare și eficiente de reacție la amenințări cibernetice. Mai mult, aceste mecanisme trebuie să includă și definirea și evaluarea atacurilor din punct de vedere al pericolului pe care îl reprezintă pentru securitatea națională. Ce este un atac cibernetic și când devine un atac relevant din perspectiva securității naționale? Având în vedere că în fiecare zi se petrec sute de atacuri numai la nivelul infrastructurilor informatice de control industrial din SUA11, este indispensabilă stabilirea unor sisteme de referință și a unor parametri prin intermediul cărora să se evalueze gravitatea acestora și măsurile de intervenție necesare. O astfel de evaluare ar permite, în subsidiar, și alegerea unor priorități în descurajarea adversarului, căci „nu totul poate fi descurajat”12. Mai mult, dat fiind specificul domeniului cyber, pentru a avea un proces decizional eficient, informările către beneficiarii legali se cuvin a fi axate pe implicațiile la nivel

sistemic și pe evoluțiile preconizate, și mai puțin pe aspectele pur tehnice legate de un atac. Urmărind aceeași idee, un principiu care ar putea îmbunătăți mecanismul decizional este acela al separării instituționale între persoanele care stabilesc politicile naționale în domeniul cyber și cei care activează nemijlocit în zona tehnică sau în afaceri13.

Pentru ca aceste politici să aibă un impact real, este necesară crearea unui cadru prin care să se poată realiza un schimb de informații rapid cu mediul privat14, deoarece în cele mai multe țări, actorii economici privați dețin și administrează mare parte din infrastructura cibernetică a unui stat, în cazul SUA, procentul ridicându-se la 80-90%15. În stabilirea acestor colaborări se ivește însă problema, deloc banală, a gestionării informațiilor sensibile. Pe de o parte, supraclasificarea provoacă o serie de dificultăți atât în relația cu partenerii privați cât și în ceea ce privește capacitatea statului de a-și proiecta puterea prin intermediul dezvăluirii unor capabilități ofensive sau defensive din arsenalul cyber. Pe de altă parte însă, vehicularea datelor sensibile permite și altor actori din spatiul cyber să se „educe” privind capacitățile de care dispune un stat și să își adapteze atacurile în funcție de informațiile astfel aflate. Un prim corolar în ceea ce privește necesitatea schimbului de informații cu zona privată este, deci, verificarea atentă a entităților cu care se colaborează din perspectiva securității naționale16. Există însă și consecințe adiacente acestei colaborări: dată fiind dificultatea atribuirii publice a unor atacuri cibernetice de către stat, firmele private își pot asuma astfel de acțiuni atunci când la nivel oficial nu se dorește sau nu se poate asuma problema atribuirii. Creșterea gradului de transparență este, în definitiv, în interesul cetățeanului și al societății în ansamblul său. Există însă și un al doilea corolar: prin informațiile lansate public de firme private acestea pot urmări și protejarea și promovarea propriilor interese. Astfel, se poate ajunge la vehicularea unor interpretări discutabile asupra unor chestiuni tehnice sau sensibile care implică elemente ce rămân de regulă absconse publicului obișnuit. Caracterul global și concurențial al internetului și, implicit, al pieței pe care activează companiile de profil, nu constituie în sine un sistem de verificare absolut a informațiilor oferite de diferite entități.

Reacția la un atac cibernetic trebuie calibrată și în funcție de adversar17: se impune cunoașterea atât a actorului din spatele atacului, a obiectivelor și arsenalului cibernetic pe care îl are la dispoziție, cât și a grupului de interese care constituie sau este în strânsă relație cu factorii decizionali. Această cunoaștere trebuie să meargă până la nivel individual, pentru a fi astfel identificate pârghiile la care se poate face apel pentru descurajarea acestuia din a se implica sau din a lansa activități care să prejudicieze securitatea națională a statului țintă18. O lecție derivată și din experiența tratativelor purtate pe marginea înarmării nucleare19 este aceea a construirii unor strategii adaptate fiecăruia dintre actorii statali majori.

Mai mult, pentru asigurarea unui grad minim de securitate cibernetică la nivel global, definițiile, regulile și măsurile asociate acestui domeniu trebuie împărtășite la nivelul comunității internaționale20. Stabilirea unor rules of engagement, cu atât mai mult dacă ținem cont că spațiul cyber a fost definit ca domeniul operațional al NATO, poate simplifica mecanismele care vizează descurajarea adversarilor cibernetici. Indispensabilitatea unui atare demers este dată chiar de caracteristicile spațiului cibernetic. În condițiile în care un atac este atribuit unui actor cibernetic care nu este localizat pe teritoriul statului țintă, reacția față de acesta ar presupune utilizarea unor infrastructuri de comunicații aflate pe teritoriul altui stat. Se ivește următoarea dilemă: este utilizarea infrastructurii unui alt stat pentru desfășurarea unei operațiuni cibernetice ofensive un act de război? În definitiv, ce constituie, în plan practic, un act de război în domeniul cyber? Și cum ar putea arăta o definiție a unui act de război în spațiul cibernetic care să fie unanim recunoscută?21

Nu în ultimul rând, toate aspectele expuse mai sus nu sunt însă fezabile într-o societate democratică fără a avea cetățeni informați privind regulile minime de securitate online. În condițiile în care 60-70% dintre incidentele cibernetice ar putea fi prevenite în cazul aplicării unor măsuri de securitate minime, fără educarea cetățeanului, eforturile depuse la nivel instituțional riscă să nu aibă efect22. În definitiv, trebuie asigurată nu doar reziliența infrastructurilor cibernetice în fața unui atac informatic, ci și reziliența societății în ansamblul său. Așa cum în materie de politici sociale sau economice există mai multe curente de gândire, același lucru este deja valabil și pentru spațiul cibernetic. Perspectiva pe care să se fundamenteze cadrul legislativ privind spațiul cibernetic trebuie să fie înțeleasă și dezbătută la nivelul societății, cetățeanul trebuind să aibă acces la raționamentul din spatele unor politici naționale de securitate cibernetică.

Pe lângă aceste elemente referitoare la securitatea cibernetică, din punct de vedere doctrinar, se adăugă al țării respective26. Mediul cibernetic fiind profund interconectat, se impune deci, găsirea unui echilibru între legislațiile naționale și viziunea agreată la nivel internațional asupra regulilor aplicabile la nivel global pe internet.27 În definitiv, internetul poate și este folosit ca principal vehicul informațional, ceea ce are un impact notabil asupra securității naționale a unui stat28.

Cyber deterrence o doctrină funcțională?

 

 

 

 

 

Noua doctrină informațională rusă din decembrie 2016 și problematica securității informaționale, asociate implicit securității cibernetice de state precum Federația Rusă23. Dacă țările occidentale pun accentul îndeosebi pe asigurarea unei securități la nivel tehnic, perspectiva Federației Ruse este sensibil diferită, centrală ca importanță fiind informația care poate fi accesibilă prin intermediul tehnologiei24. Securitatea informațională25 aduce în discuție un set de probleme adiacente, care implică exercitarea suveranității naționale și controlul guvernamental asupra „segmentului” de internet

Așa cum am arătat și mai sus, doctrina descurajării29 se bazează pe două principii fundamentale: (1) convingerea potențialului adversar că un atac nu va avea sorți de izbândă, eventual nu fără un cost enorm pentru acesta și (2) încredințarea acestuia că un atac ar conduce inevitabil la un răspuns care să presupună pierderi mai mari decât ar fi dispus să sufere30. În timpul războiului rece, politica de deterrence se plia pe realitatea unei mutual assured destruction – distrugere mutuală asigurată, dată de prezența armelor nucleare. Mai mult, pacea a fost astfel menținută și mulțumită unui eșafodaj de tratate și instituții internaționale care au vegheat la neproliferarea armelor nucleare. „Armele cibernetice”, în schimb, nu pot face obiectul neproliferării, în condițiile în care acestea (1) pot fi dezvoltate și utilizate de orice tip de entitate, (2) atribuirea unui atac este dificilă și (3) în majoritatea situațiilor nu prezintă un pericol devastator31.

Dezbaterea asupra aplicabilității doctrinei descurajării în spațiul cibernetic a creat, în ultimii ani, mai multe tabere. Pe lângă aceia care remarcă absența unei strategii de deterrence și cer implementarea acesteia cât mai repede32, există experți care afirmă că deja ne bucurăm de efectele unui cyber deterrence apărută în mod natural în relațiile dintre state33 sau care, dimpotrivă, susțin că această teorie nu se poate aplica spațiului cibernetic decât parțial, pe cu totul alte coordonate decât cele ale conflictului convențional.

„Descurajarea funcționează deja. Funcționează chiar fantastic, dat fiind că, din ce ne putem da seama, încă n-a murit nimeni din cauza unui atac cibernetic”, spunea în iulie anul acesta Jason Healey, director al Consiliului Atlantic pentru Cyber Statecraft Initiative34. Realitatea de pe teren arată că în ciuda accesului la arme cibernetice care ar putea cauza daune și pierderi de vieți omenești similare actelor de război clasice, statele nu le folosesc (încă?) în acest scop. Pe de altă parte, același Healey arată că, dacă istoria digitală a ultimilor douăzeci de ani este străbătută de această veritabilă linie roșie, pe lângă ea, actorii statali nu recunosc alte reguli, făcând uz de arsenalul cibernetic în acțiuni de spionaj, furt de proprietate intelectuală și chiar distrugere de bunuri. În această logică, am avea de-a face cu conceptul de intra-war deterrence (descurajare intra-război): de câțiva ani se află deja în derulare un conflict cibernetic. O caracteristică specifică a acestuia este însă că diferențierea între capabilitățile ofensive și cele defensive ale unui stat sunt greu de identificat. Astfel, acest tip de conflict este deosebit de predispus escaladării, creându-se o dilemă de securitate pentru state, care se percep ca găsindu-se în mod constant prinse într-o „ambuscadă”. În acest context, măsurile de descurajare adaptate adversarului sunt sau pot fi interpretate, în același registru, ca fiind măsuri coercitive, obiectivul fiind mai degrabă asigurarea supremației, decât menținerea unei stări de stabilitate.

O interpretare concurentă prezintă însă spațiul cibernetic ca având caracteris­tici care nu suportă aplicarea unei strategii a descurajării. Pe baza teoriilor lui John Mearsheimer și Jonathan Shimshoni, dr. Richard Harknett de la Universitatea din Cincinatti35 argumentează că diferența majoră între armele convenționale și cibernetice și cele nucleare ține de costul utilizării acestora: folosirea armelor nucleare prezintă, în orice circumstanțe, un cost inacceptabil pentru un stat. De aceea, prezența armelor nucleare poate conduce la un echilibru stabil dat de inacțiune, în vreme ce utilizarea armelor convenționale sau cibernetice presupune un cost mai redus, acceptabil în anumite situații, ceea reduce gradul de stabilitate al mediului. Astfel, o politică a descurajării conduce la escaladarea conflictului, tocmai pentru că presupune un comportament reținut, care încurajează alte state să testeze limitele atacurilor cibernetice. Potrivit lui Harknett, normele în spațiul cibernetic nu pot fi impuse dintru început pe baze teoretice, ele pot apărea doar ca rezultat al unor comportamente și a unor acțiuni, iar nu în absența lor. Acesta susține, deci, că mediul operațional cibernetic nu seamănă cu nimic din ceea ce a fost până acum și de aceea strategia de securitate trebuie construită pornind de la caracteristicile sale specifice, iar nu de la bazele teoretice formulate până în prezent în relațiile internaționale.

Această perspectivă reține ca element esențial dinamicitatea spațiului operațional cibernetic, care este diametral opusă stării de echilibru dată de o politică clasică a descurajării. Harknett afirmă că operațiunile cyber, prin însăși natura lor, exclud descurajarea. Spațiul cibernetic, structural interconectat, este în continuă schimbare mulțumită progreselor constante ale tehnologiei, atât la nivel software, cât și hardware. Nu este un domeniu militar prin excelență, ci este un domeniu în care este necesar să se acționeze și din punct de vedere militar. Încercarea de a-l segmenta, pentru a-i aplica noțiunile de spațiu caracteristice războiului clasic, este inaplicabilă. Mediul cibernetic este interpretat ca fiind un „mediu strategic persistent-ofensiv”, un spațiu în care apărarea are un efect limitat strict în timp și nu produce un impact de lungă durată la nivelul capacității ofensive a adversarului. Mai mult, din perspectivă defensivă, persistența ofensivă se traduce prin faptul că la orice moment dat în timp, un stat poate presupune că există o entitate care îl atacă. O caracteristică a mediului cibernetic ar fi, deci, că, atât apărarea cât și atacul sunt ubicue, de aceea securitatea cibernetică necesită „persistență – câștigarea și reținerea inițiativei”. Aceasta se poate realiza prin anticiparea de către actori a felului în care un adversar ar reuși să le exploateze vulnerabilitățile și, de asemenea a felului în care pot fi exploatate vulnerabilitățile adversarului. Prima etapă presupune deci întărirea rezilienței sistemelor, precum și măsuri de apărare ale sistemelor a căror atacare poate produce un impact asupra securității naționale.

Care sunt, așadar, concluziile care se desprind, dincolo de abordările teoretice diferite? Este aplicabilă o politică de containment & deterrence spațiului cibernetic? Dat fiind dinamismul intrinsec acestui mediu, necesitatea dezvoltării constante a arsenalului defensiv, coroborată cu tentația testării în scop ofensiv a unor arme cibernetice mereu noi, conduce la asumarea de către unele state a unei stări de conflict perpetue36 și multi-direcționale, dar cu efecte limitate și controlabile ca impact asupra securității naționale a altor state. Îngrădirea și descurajarea adversarilor cibernetici se poate implementa doar în urma identificării și agreării la nivel internațional a unui prag-limită, dincolo de care costurile incursiunilor ofensive să crească exponențial. „Zona gri” a spațiului cibernetic va rămâne însă, inevitabil, un domeniu de vânătoare pentru actori mai mari sau mai mici37. În consecință, vulnerabilitățile, riscurile și amenințările la adresa securității naționale care provin din spațiul cibernetic pot fi contrabalansate doar prin implementarea sistematică a unor măsuri de apărare și întărire a rezilienței sistemelor IT&C care devin, pe zi ce trece, esențiale pentru stat, pentru societate, dar și pentru fiecare cetățean în parte.

În fața atacurilor cibernetice de proporții petrecute în ultimii ani, deseori, replica statelor țintă a rămas nevăzută.

Însă în spatele ușilor închise, discuțiile au fost lungi și complicate, învârtindu-se în jurul câtorva întrebări la care nu s-au găsit încă răspunsuri1: Care este echivalentul unui atac cibernetic în repertoriul clasic al războiului și care se cuvine a fi reacția unei entități atacate? Care sunt granițele câmpului de bătălie cibernetic? Care dintre strategiile de securitate apărute pe parcursul anilor se potrivește mai bine spațiului operațional cibernetic2? În definitiv, dacă istoria nu se repetă, atunci ea… rimează. Cu ce rimează însă cyber-ul?

La începutul acestei veri, într-una dintre sălile de ședință ale Congresului Statelor Unite au fost chemate în audiența Comitetului Senatului pentru Servicii Armate câteva persoane: James Clapper, fostul director al National Intelligence, Michael Hayden, fostul director al CIA și James Stavridis, amiral în retragere al Marinei SUA. Discuțiile, prezidate de senatorul John McCain, au fost dedicate politicii descurajării (deterrence) în domeniul securității cibernetice. Dar, în vreme ce întreaga presă americană vuia din pricina scandalului provocat de spargerea serverelor Comitetului Național Democrat, la ședință nu asista mai nimeni. Așa cum a remarcat, nu fără o undă de regret, și unul dintre senatori, sala era aproape goală3.

În discursurile celor chemați în acea zi în fața Senatului SUA puteau fi recunoscute ecourile doctrinei îngrădirii – (containment) propuse de diplomatul și teoreticianul american George Kennan4 cu peste șaptezeci de ani în urmă. În 1946, în debutul războiului rece, SUA dețineau un avantaj militar și economic incontestabil, însă teoria avansată de Kennan, având la bază excepționalismul american și capacitatea de reziliență a însăși societății americane, pornea de la perspectiva unui conflict inerent cu Uniunea Sovietică, în care SUA urmau să fie angajate cu sau fără voința lor. Inevitabil, date fiind diferențele ideologice capitale, adversarul avea să forțeze starea de conflict.

George Kennan în 1947

Orice acțiuni, directe ori subversive, puteau fi folosite de statul sovietic pentru subminarea regimurilor diferite ideologic.

George Kennan, în perioada petrecută la Moscova, ajunsese la concluzia că acest conflict, care deja lua proporții, putea fi câștigat exclusiv prin impunerea unor limite clare geografice și de acțiune între cele două lumi și utilizarea unor mijloace diplomatice sau militare de fiecare dată când situația o cerea pentru asigurarea securității SUA și a aliaților săi5. În scurt timp, s-a ajuns la un echilibru de putere care a a condus la impunerea unei politici a descurajării (deterrence) continue a adversarului. Această doctrină s-a bazat pe (1) costul uriaș asociat utilizării capabilităților distructive (nucleare) deținute de ambele tabere, precum și pe (2) capacitatea de garantare a unei riposte dure la orice atac direct. În ce fel însă pot fi aplicate aceste doctrine, ale îngrădirii și descurajării, spațiului cibernetic6, în condițiile în care nici actorii și nici amenințările nu se circumscriu sistemului de putere definitoriu războiului rece, a devenit o chestiune aprins dezbătută. Într-o lume în care un actor statal, o grupare criminală sau o entitate teroristă pot avea, teoretic, acces la același arsenal cibernetic pe care îl îmbogățesc constant cu chiar armele adversarului, logica jocului de șah poate părea multora ca fiind deja perimată.

Pe de o parte, există voci care susțin că regulile containment-ului nu s-au schimbat în timp: câtă vreme se admite o definiție clară a atacului cibernetic, iar adversarul este convins de faptul că reacția statului țintă la un astfel de atac poate fi extrem de severă, doctrina funcționează7. Sau, așa cum scria George Kennan în 1946, „Dacă adversarul dispune de suficientă forță și transmite faptul că este pregătit să o folosească, atunci rareori trebuie să o și facă”, astfel încât, „dacă situațiile sunt gestionate corect, nu sunt necesare confruntări care să știrbească prestigiul uneia sau alteia dintre părți”8.

Pe de altă parte, regulile jocului în spațiul cibernetic fac încă subiectul negocierilor, atât la nivel național, cât și pe plan global. Dezbaterea actuală din SUA din jurul definirii unei strategii naționale de securitate cibernetică pune în discuție o serie de chestiuni stringente și edificatoare din perspectiva doctrinei descurajării atacurilor cibernetice: necesitatea evaluării impactului evenimentului produs, colectarea de informații din diverse medii, inclusiv prin colaborarea cu mediul privat, atribuirea atacului și adaptarea reacției la acesta în funcție de adversarul identificat, agrearea la nivel internațional a unui set de reguli și definiții privind activitatea în spațiul cibernetic

Date fiind caracteristicile spațiului cibernetic, domeniile țintă se întrepătrund, fie că țin de securitatea națională, fie aparțin sectorului privat sau că afectează viața personală a cetățeanului. De aceea, nu trebuie pierdut din vedere nici faptul că măsurile enumerate mai sus se pot realiza doar pornind de la educarea și informarea cetățenilor, în spiritul unei transparențe vitale pentru un stat democratic.

Atunci când se vorbește despre conflict sau război în spațiul cibernetic, o premisă fundamentală de la care se pleacă și nu poate fi ignorată ține de diferența majoră față de războiul convențional: odată o armă cibernetică folosită, aceasta poate fi modificată de adversar și utilizată împotriva aceluia care a lansat atacul. În aceste condiții, problema fundamentală ține de capacitatea de apărare și reziliență a sistemelor IT&C care prezintă relevanță pentru securitatea națională. Dacă gradul de reziliență al acestor sisteme este redus, riscul asociat unui contraatac presupune un cost prea mare pentru securitatea națională, ceea ce afectează ab initio capacitatea unui stat de a duce o politică eficientă în privința descurajării atacurilor. Pentru a echilibra balanța, în viziunea multor experți și decidenți, descurajarea în domeniul cibernetic poate și chiar trebuie să ia și alte forme: riposta la un atac cibernetic poate veni pe orice alt plan și orice resurse ale statului pot fi utilizate, inclusiv stabilirea de sancțiuni economice sau in extremis, intervenție armată9. Punerea în practică a unei astfel de strategii este însă dificilă, așa cum sublinia și președintele estonian, Toomas Ilves: „Cea mai mare problemă în cyber ține de deterrence. Discutăm deja de ani de zile în cadrul NATO despre ce ar trebui să facem.”10

Barack Obama și Toomas Hendrik Ilves in 2009

Se impune, deci, construirea, într-o primă etapă la nivel național, a unor mecanisme clare și eficiente de reacție la amenințări cibernetice. Mai mult, aceste mecanisme trebuie să includă și definirea și evaluarea atacurilor din punct de vedere al pericolului pe care îl reprezintă pentru securitatea națională. Ce este un atac cibernetic și când devine un atac relevant din perspectiva securității naționale? Având în vedere că în fiecare zi se petrec sute de atacuri numai la nivelul infrastructurilor informatice de control industrial din SUA11, este indispensabilă stabilirea unor sisteme de referință și a unor parametri prin intermediul cărora să se evalueze gravitatea acestora și măsurile de intervenție necesare. O astfel de evaluare ar permite, în subsidiar, și alegerea unor priorități în descurajarea adversarului, căci „nu totul poate fi descurajat”12. Mai mult, dat fiind specificul domeniului cyber, pentru a avea un proces decizional eficient, informările către beneficiarii legali se cuvin a fi axate pe implicațiile la nivel

sistemic și pe evoluțiile preconizate, și mai puțin pe aspectele pur tehnice legate de un atac. Urmărind aceeași idee, un principiu care ar putea îmbunătăți mecanismul decizional este acela al separării instituționale între persoanele care stabilesc politicile naționale în domeniul cyber și cei care activează nemijlocit în zona tehnică sau în afaceri13.

Pentru ca aceste politici să aibă un impact real, este necesară crearea unui cadru prin care să se poată realiza un schimb de informații rapid cu mediul privat14, deoarece în cele mai multe țări, actorii economici privați dețin și administrează mare parte din infrastructura cibernetică a unui stat, în cazul SUA, procentul ridicându-se la 80-90%15. În stabilirea acestor colaborări se ivește însă problema, deloc banală, a gestionării informațiilor sensibile. Pe de o parte, supraclasificarea provoacă o serie de dificultăți atât în relația cu partenerii privați cât și în ceea ce privește capacitatea statului de a-și proiecta puterea prin intermediul dezvăluirii unor capabilități ofensive sau defensive din arsenalul cyber. Pe de altă parte însă, vehicularea datelor sensibile permite și altor actori din spatiul cyber să se „educe” privind capacitățile de care dispune un stat și să își adapteze atacurile în funcție de informațiile astfel aflate. Un prim corolar în ceea ce privește necesitatea schimbului de informații cu zona privată este, deci, verificarea atentă a entităților cu care se colaborează din perspectiva securității naționale16. Există însă și consecințe adiacente acestei colaborări: dată fiind dificultatea atribuirii publice a unor atacuri cibernetice de către stat, firmele private își pot asuma astfel de acțiuni atunci când la nivel oficial nu se dorește sau nu se poate asuma problema atribuirii. Creșterea gradului de transparență este, în definitiv, în interesul cetățeanului și al societății în ansamblul său. Există însă și un al doilea corolar: prin informațiile lansate public de firme private acestea pot urmări și protejarea și promovarea propriilor interese. Astfel, se poate ajunge la vehicularea unor interpretări discutabile asupra unor chestiuni tehnice sau sensibile care implică elemente ce rămân de regulă absconse publicului obișnuit. Caracterul global și concurențial al internetului și, implicit, al pieței pe care activează companiile de profil, nu constituie în sine un sistem de verificare absolut a informațiilor oferite de diferite entități.

Reacția la un atac cibernetic trebuie calibrată și în funcție de adversar17: se impune cunoașterea atât a actorului din spatele atacului, a obiectivelor și arsenalului cibernetic pe care îl are la dispoziție, cât și a grupului de interese care constituie sau este în strânsă relație cu factorii decizionali. Această cunoaștere trebuie să meargă până la nivel individual, pentru a fi astfel identificate pârghiile la care se poate face apel pentru descurajarea acestuia din a se implica sau din a lansa activități care să prejudicieze securitatea națională a statului țintă18. O lecție derivată și din experiența tratativelor purtate pe marginea înarmării nucleare19 este aceea a construirii unor strategii adaptate fiecăruia dintre actorii statali majori.

Mai mult, pentru asigurarea unui grad minim de securitate cibernetică la nivel global, definițiile, regulile și măsurile asociate acestui domeniu trebuie împărtășite la nivelul comunității internaționale20. Stabilirea unor rules of engagement, cu atât mai mult dacă ținem cont că spațiul cyber a fost definit ca domeniul operațional al NATO, poate simplifica mecanismele care vizează descurajarea adversarilor cibernetici. Indispensabilitatea unui atare demers este dată chiar de caracteristicile spațiului cibernetic. În condițiile în care un atac este atribuit unui actor cibernetic care nu este localizat pe teritoriul statului țintă, reacția față de acesta ar presupune utilizarea unor infrastructuri de comunicații aflate pe teritoriul altui stat. Se ivește următoarea dilemă: este utilizarea infrastructurii unui alt stat pentru desfășurarea unei operațiuni cibernetice ofensive un act de război? În definitiv, ce constituie, în plan practic, un act de război în domeniul cyber? Și cum ar putea arăta o definiție a unui act de război în spațiul cibernetic care să fie unanim recunoscută?21

Nu în ultimul rând, toate aspectele expuse mai sus nu sunt însă fezabile într-o societate democratică fără a avea cetățeni informați privind regulile minime de securitate online. În condițiile în care 60-70% dintre incidentele cibernetice ar putea fi prevenite în cazul aplicării unor măsuri de securitate minime, fără educarea cetățeanului, eforturile depuse la nivel instituțional riscă să nu aibă efect22. În definitiv, trebuie asigurată nu doar reziliența infrastructurilor cibernetice în fața unui atac informatic, ci și reziliența societății în ansamblul său. Așa cum în materie de politici sociale sau economice există mai multe curente de gândire, același lucru este deja valabil și pentru spațiul cibernetic. Perspectiva pe care să se fundamenteze cadrul legislativ privind spațiul cibernetic trebuie să fie înțeleasă și dezbătută la nivelul societății, cetățeanul trebuind să aibă acces la raționamentul din spatele unor politici naționale de securitate cibernetică.

Pe lângă aceste elemente referitoare la securitatea cibernetică, din punct de vedere doctrinar, se adăugă al țării respective26. Mediul cibernetic fiind profund interconectat, se impune deci, găsirea unui echilibru între legislațiile naționale și viziunea agreată la nivel internațional asupra regulilor aplicabile la nivel global pe internet.27 În definitiv, internetul poate și este folosit ca principal vehicul informațional, ceea ce are un impact notabil asupra securității naționale a unui stat28.

Cyber deterrence o doctrină funcțională?

Noua doctrină informațională rusă din decembrie 2016 și problematica securității informaționale, asociate implicit securității cibernetice de state precum Federația Rusă23. Dacă țările occidentale pun accentul îndeosebi pe asigurarea unei securități la nivel tehnic, perspectiva Federației Ruse este sensibil diferită, centrală ca importanță fiind informația care poate fi accesibilă prin intermediul tehnologiei24. Securitatea informațională25 aduce în discuție un set de probleme adiacente, care implică exercitarea suveranității naționale și controlul guvernamental asupra „segmentului” de internet

Așa cum am arătat și mai sus, doctrina descurajării29 se bazează pe două principii fundamentale: (1) convingerea potențialului adversar că un atac nu va avea sorți de izbândă, eventual nu fără un cost enorm pentru acesta și (2) încredințarea acestuia că un atac ar conduce inevitabil la un răspuns care să presupună pierderi mai mari decât ar fi dispus să sufere30. În timpul războiului rece, politica de deterrence se plia pe realitatea unei mutual assured destruction – distrugere mutuală asigurată, dată de prezența armelor nucleare. Mai mult, pacea a fost astfel menținută și mulțumită unui eșafodaj de tratate și instituții internaționale care au vegheat la neproliferarea armelor nucleare. „Armele cibernetice”, în schimb, nu pot face obiectul neproliferării, în condițiile în care acestea (1) pot fi dezvoltate și utilizate de orice tip de entitate, (2) atribuirea unui atac este dificilă și (3) în majoritatea situațiilor nu prezintă un pericol devastator31.

Dezbaterea asupra aplicabilității doctrinei descurajării în spațiul cibernetic a creat, în ultimii ani, mai multe tabere. Pe lângă aceia care remarcă absența unei strategii de deterrence și cer implementarea acesteia cât mai repede32, există experți care afirmă că deja ne bucurăm de efectele unui cyber deterrence apărută în mod natural în relațiile dintre state33 sau care, dimpotrivă, susțin că această teorie nu se poate aplica spațiului cibernetic decât parțial, pe cu totul alte coordonate decât cele ale conflictului convențional.

„Descurajarea funcționează deja. Funcționează chiar fantastic, dat fiind că, din ce ne putem da seama, încă n-a murit nimeni din cauza unui atac cibernetic”, spunea în iulie anul acesta Jason Healey, director al Consiliului Atlantic pentru Cyber Statecraft Initiative34. Realitatea de pe teren arată că în ciuda accesului la arme cibernetice care ar putea cauza daune și pierderi de vieți omenești similare actelor de război clasice, statele nu le folosesc (încă?) în acest scop. Pe de altă parte, același Healey arată că, dacă istoria digitală a ultimilor douăzeci de ani este străbătută de această veritabilă linie roșie, pe lângă ea, actorii statali nu recunosc alte reguli, făcând uz de arsenalul cibernetic în acțiuni de spionaj, furt de proprietate intelectuală și chiar distrugere de bunuri. În această logică, am avea de-a face cu conceptul de intra-war deterrence (descurajare intra-război): de câțiva ani se află deja în derulare un conflict cibernetic. O caracteristică specifică a acestuia este însă că diferențierea între capabilitățile ofensive și cele defensive ale unui stat sunt greu de identificat. Astfel, acest tip de conflict este deosebit de predispus escaladării, creându-se o dilemă de securitate pentru state, care se percep ca găsindu-se în mod constant prinse într-o „ambuscadă”. În acest context, măsurile de descurajare adaptate adversarului sunt sau pot fi interpretate, în același registru, ca fiind măsuri coercitive, obiectivul fiind mai degrabă asigurarea supremației, decât menținerea unei stări de stabilitate.

O interpretare concurentă prezintă însă spațiul cibernetic ca având caracteris­tici care nu suportă aplicarea unei strategii a descurajării. Pe baza teoriilor lui John Mearsheimer și Jonathan Shimshoni, dr. Richard Harknett de la Universitatea din Cincinatti35 argumentează că diferența majoră între armele convenționale și cibernetice și cele nucleare ține de costul utilizării acestora: folosirea armelor nucleare prezintă, în orice circumstanțe, un cost inacceptabil pentru un stat. De aceea, prezența armelor nucleare poate conduce la un echilibru stabil dat de inacțiune, în vreme ce utilizarea armelor convenționale sau cibernetice presupune un cost mai redus, acceptabil în anumite situații, ceea reduce gradul de stabilitate al mediului. Astfel, o politică a descurajării conduce la escaladarea conflictului, tocmai pentru că presupune un comportament reținut, care încurajează alte state să testeze limitele atacurilor cibernetice. Potrivit lui Harknett, normele în spațiul cibernetic nu pot fi impuse dintru început pe baze teoretice, ele pot apărea doar ca rezultat al unor comportamente și a unor acțiuni, iar nu în absența lor. Acesta susține, deci, că mediul operațional cibernetic nu seamănă cu nimic din ceea ce a fost până acum și de aceea strategia de securitate trebuie construită pornind de la caracteristicile sale specifice, iar nu de la bazele teoretice formulate până în prezent în relațiile internaționale.

Această perspectivă reține ca element esențial dinamicitatea spațiului operațional cibernetic, care este diametral opusă stării de echilibru dată de o politică clasică a descurajării. Harknett afirmă că operațiunile cyber, prin însăși natura lor, exclud descurajarea. Spațiul cibernetic, structural interconectat, este în continuă schimbare mulțumită progreselor constante ale tehnologiei, atât la nivel software, cât și hardware. Nu este un domeniu militar prin excelență, ci este un domeniu în care este necesar să se acționeze și din punct de vedere militar. Încercarea de a-l segmenta, pentru a-i aplica noțiunile de spațiu caracteristice războiului clasic, este inaplicabilă. Mediul cibernetic este interpretat ca fiind un „mediu strategic persistent-ofensiv”, un spațiu în care apărarea are un efect limitat strict în timp și nu produce un impact de lungă durată la nivelul capacității ofensive a adversarului. Mai mult, din perspectivă defensivă, persistența ofensivă se traduce prin faptul că la orice moment dat în timp, un stat poate presupune că există o entitate care îl atacă. O caracteristică a mediului cibernetic ar fi, deci, că, atât apărarea cât și atacul sunt ubicue, de aceea securitatea cibernetică necesită „persistență – câștigarea și reținerea inițiativei”. Aceasta se poate realiza prin anticiparea de către actori a felului în care un adversar ar reuși să le exploateze vulnerabilitățile și, de asemenea a felului în care pot fi exploatate vulnerabilitățile adversarului. Prima etapă presupune deci întărirea rezilienței sistemelor, precum și măsuri de apărare ale sistemelor a căror atacare poate produce un impact asupra securității naționale.

Care sunt, așadar, concluziile care se desprind, dincolo de abordările teoretice diferite? Este aplicabilă o politică de containment & deterrence spațiului cibernetic? Dat fiind dinamismul intrinsec acestui mediu, necesitatea dezvoltării constante a arsenalului defensiv, coroborată cu tentația testării în scop ofensiv a unor arme cibernetice mereu noi, conduce la asumarea de către unele state a unei stări de conflict perpetue36 și multi-direcționale, dar cu efecte limitate și controlabile ca impact asupra securității naționale a altor state. Îngrădirea și descurajarea adversarilor cibernetici se poate implementa doar în urma identificării și agreării la nivel internațional a unui prag-limită, dincolo de care costurile incursiunilor ofensive să crească exponențial. „Zona gri” a spațiului cibernetic va rămâne însă, inevitabil, un domeniu de vânătoare pentru actori mai mari sau mai mici37. În consecință, vulnerabilitățile, riscurile și amenințările la adresa securității naționale care provin din spațiul cibernetic pot fi contrabalansate doar prin implementarea sistematică a unor măsuri de apărare și întărire a rezilienței sistemelor IT&C care devin, pe zi ce trece, esențiale pentru stat, pentru societate, dar și pentru fiecare cetățean în parte.


Tags: ,

Trackbacks

Leave a Trackback