Poate fi prevenit războiul cibernetic?
Teama de un „Pearl Harbour cibernetic“ s-a manifestat pentru prima oară în anii ’90, iar în ultimii douăzeci de ani, politicienii și-au făcut griji că hackerii ar putea arunca în aer conducte de petrol, contamina rezervele de apă potabilă, deschide vanele barajelor hidrotehnice sau redirecționa avioanele pe un curs de coliziune, prin atacarea sistemelor de control al traficului aerian. Leon Panetta, ministrul Apărării SUA, a avertizat în 2012 că hackerii ar putea „închide rețeaua de energie electrică pe teritorii vaste ale țării“.
Nici unul dintre aceste scenarii catastrofice nu a avut loc, dar ele nu pot fi cu totul excluse. La o scară mai mică, hackerii au reușit să distrugă anul trecut furnalul unei oțelării din Germania. Întrebarea cu privire la securitate e, ca atare, foarte clară: pot fi prevenite astfel de acțiuni?
Se spune uneori că prevenția nu e o strategie eficientă în spațiul cibernetic, datorită dificultății de a identifica sursa unui atac și din cauza numărului mare și divers de actori statali și non-statali implicați. Adesea, nu putem ști sigur ale cui sînt bunurile pe care le-am putea amenința și pentru cîtă vreme.
Identificarea vinovaților este, într-adevăr, o problemă complicată. Cum poți riposta cînd nu știi adresa expeditorului? Nici capacitatea de identificare a amenințării nucleare nu este perfectă, dar există numai nouă state care dețin arme nucleare; identificatorii izotopilor lor nucleari sînt relativ binecunoscuți; iar actorii non-statali se lovesc, în această zonă, de reguli de acces foarte stricte.
Nimic dintre toate acestea nu e valabil în spațiul cibernetic, unde o armă poate consta în cîteva rînduri de cod care pot fi inventate (sau cumpărate în așa-numitul dark web) de un număr nelimitat de actori statali sau non-statali. Un atacator capabil poate să-și ascundă adresa de origine în spatele unor falși indicatori ai mai multor servere.
Chiar dacă serviciile criminalistice pot urmări multiplele „salturi“ între servere, asta consumă, de cele mai multe ori, timp. Un atac din 2014, în care au fost furate de la JPMorgan Chase adresele a 76 de milioane de clienți, a fost, bunăoară, atribuit cu precădere Rusiei. În 2015 însă, ministerul american al Justiției a identificat ca atacator un grup infracțional complex, condus de doi israelieni și de un cetățean american care trăia la Moscova și la Tel Aviv.
Identificarea sursei este însă o chestiune de nuanță. În pofida pericolelor unor indicatori falși și a dificultății de a obține identificări rapide și precise, care să poată sluji drept mărturie în instanță, există totuși suficientă capacitate de identificare pentru a permite prevenția.
De exemplu, în cazul atacului din 2014 asupra Sony Pictures, SUA au încercat mai întîi să evite deconspirarea integrală a mijloacelor care le-au permis să atribuie atacul Coreei de Nord și, ca atare, au fost privite cu scepticism. După numai cîteva săptămîni, o scurgere de informații din presă a arătat că SUA au avut acces la rețelele nord-coreene. Scepticismul s‑a diminuat, cu prețul deconspirării unei prețioase surse de informații.
Identificarea rapidă și precisă este adesea dificilă și costisitoare, dar nu imposibilă. Nu numai că guvernele își îmbunătățesc capacitățile, dar multe companii din sectorul privat intră în joc, iar participarea lor reduce costurile pe care guvernele le plătesc atunci cînd sînt nevoite să divulge surse importante. Multe situații reprezintă o problemă de nuanță și, pe măsură ce tehnologia îmbunătățește demersurile de investigare, forța de prevenție crește.
Mai mult, în efortul lor de evaluare a prevenției cibernetice, analiștii nu trebuie să se limiteze la instrumentele clasice: pedeapsa și interdicția. Trebuie luate în seamă și prevenirea prin interdependență economică (economic entanglement) și prin norme.
Interdependența economică poate modifica calculul cost-beneficiu al unui stat de anvergură, precum China, unde repercusiunile unui atac asupra, să spunem, rețelei de curent electric a SUA ar prejudicia economia chineză. Interdependența economică ar avea pesemne un efect scăzut în state precum Coreea de Nord, minimal branșate la economia mondială. Nu e clar cît de mult îi afectează această interdependență pe actorii non-statali. Unii pot fi precum paraziții, care au de pierdut dacă își ucid gazda, alții, dimpotrivă, pot fi indiferenți la astfel de efecte.
Cît despre norme, statele mari au convenit ca războiul cibernetic să fie reglementat de legea conflictului armat, care presupune departajarea între țintele militare și cele civile, precum și proporționalitate în ceea ce privește consecințele. În iulie trecut, Grupul de experți guvernamentali al NATO a recomandat excluderea țintelor civile de la atacurile cibernetice, iar această normă a fost validată și la summit-ul G-20 de luna trecută.
S-a sugerat că unul dintre motivele pentru care armele cibernetice nu au fost folosite în mai mare măsură în război, pînă acum, se datorează consecințelor lor imprevizibile și faptului că nu se știe exact ce efecte au asupra țintelor civile. E posibil ca astfel de norme să fi împiedicat utilizarea armelor cibernetice în acțiunile SUA împotriva apărării antiaeriene irakiene și libiene. Iar utilizarea de către Rusia a instrumentelor cibernetice în războiul „hibrid“ din Georgia și Ucraina a fost, la rîndul ei, relativ limitată.
Raportul dintre variabilele prevenției cibernetice este unul dinamic, care va fi afectat de tehnologie și de învățare, cu un ritm al inovațiilor mai mare decît chiar în cazul armelor nucleare. S-ar putea, de exemplu, ca demersurile de investigare a sursei să sporească rolul pedepsei; iar o mai bună apărare prin criptare ar putea spori prevenția prin interdicție (lipsa accesului). Ca rezultat, s-ar putea ca avantajul actual al atacatorului față de apărare să se schimbe în timp.
Educația cibernetică este și ea importantă. Odată ce statele și organizațiile ajung să înțeleagă mai bine importanța Internetului pentru bunăstarea lor economică, calculele cost-beneficiu ale utilității războiului cibernetic s-ar putea să se schimbe, la fel cum, în timp, experiența a schimbat viziunea asupra costurilor războiului nuclear.
Spre deosebire de era nucleară, în era informatică nu există o soluție universală, atunci cînd e vorba de prevenție. Sau sîntem, oare, prizonierii unei imagini simplificate asupra trecutului? În fond, cînd pedeapsa nucleară părea să fie prea drastică pentru a fi credibilă, SUA au adoptat strategia unui răspuns convențional flexibil, pentru a adăuga o notă de interdicție eforturilor sale de a disuada o invazie sovietică în Europa Occidentală. Și, în vreme ce SUA nu au acceptat niciodată un angajament formal de „a nu ataca primul“, acest tabu a sfîrșit prin a evolua, măcar pentru puterile principale. Prevenția în era cibernetică s-ar putea să nu mai fie ceea ce a fost, și poate că nici nu a fost vreodată astfel.
Joseph S. Nye, Jr. este profesor la Harvard şi autor al cărţii Is the American Century Over?.
© Project Syndicate, 2015
www.project-syndicate.org
traducere din limba engleză de Matei PLEŞU
