Alexandru Georgescu: “Către un cadru pentru o strategie NATO de apărare militară cibernetică” 11-13 aprilie 2016, Norfolk, Virginia, SUA
În perioada 11-13 aprilie 2016, a avut loc sub egida programului „Science for Peace and Security” al NATO un ARW (advanced research workshop) dedicat explorării problemelor legate de apărare colectivă cibernetică în cadrul Alianței. Evenimentul a beneficiat, în deschidere, de o cuvântare la distanță[1] din partea E.S. Amb. Sorin Ducaru, Asistent al Secretarului General NATO responsabil pentru securitate emergentă. Din România, au participat Liviu Mureșan și Alexandru Georgescu de la Fundația EURISC. Gazda evenimentului a fost Centrul pentru Studii de Securitate Cibernetică al Old Dominion University din orașul american Norfolk, care găzduiește, la rândul său, de peste 200 de ani, cel mai mare port militar american și numeroase facilități militare și civile navale. Printre sponsori s-au numărat Universitatea din Kiev și Academia Militară din Macedonia. Statul Virginia, în general, și orașul Norfolk, în particular, sunt puncte focale ale industriei de securitate și apărare americane, beneficiind de cheltuieli guvernamentale în valoare de 50 de miliarde de dolari anual. Universități cum ar fi Old Dominion University sunt o componentă importantă a angrenajului de educație, cercetare și dezvoltare care deservește aparatul de securitate american și o industrie cu o cifră de afaceri mai mare decât PIBul României.
Evenimentul a reunit experți din zona academică, cea militară, dar și sectorul privat din mai multe țări pentru a avansa discuția cu privire la securitatea cibernetică dincolo de nivelul țărilor sau entităților individuale, către o abordare colectivă, la nivelul Alianței. Au fost reprezentate țări membre NATO, țări invitate să adere și țări partenere NATO. Pe lângă grupele de experți din SUA, Turcia, Franța, Olanda, Italia și România, au fost prezenți experți civili și militari din țări cum ar fi Republica Moldova, Elveția, Ucraina, Macedonia, Bosnia-Herțegovina și Muntenegru. Au fost abordate o varietate largă de subiecte, printre care insuficiența cadrului legal internațional pentru a guverna răspunsul țărilor la amenințări și atacuri cibernetice, cooperarea dintre actori guvernamentali, universitari, antreprenoriali și civili pentru guvernanța riscurilor cibernetice și dezvoltarea rezilienței societale în fața noilor vulnerabilități și amenințări, dar și efectul noilor capabilități cibernetice asupra gândirii de securitate la nivel strategic, asupra echilibrului dintre puteri și asupra viabilității mijloacelor de conflict asimetrice utilizate nu doar de către actori statali, ci și de către actori non-statali. În ton cu specializările majorității participanților, subiectele principale de discuție au fost educația experților de securitate cibernetică necesari, complexitatea diplomației militare în domeniul cibernetic, deficiențele culturii de securitate și legătura evolutivă strânsă dintre mijloacele defensive și cele ofensive în plan cibernetic și ușurința proliferării amenințărilor cibernetice.
În următoarea perioadă, va fi publicat un raport al evenimentului și va fi editat un volum care va fi publicat de editura Springer. O prezentare scurtă a evenimentului[1], a vorbitorilor principali[2] și a prezentărilor formale și publice realizate[3] se află deja online[4].
Evenimentul a fost amplu și divers și au reieșit câteva idei notabile (chiar dacă unele nu pot face subiect de discuție publică).
A fost discutată fezabilitatea unei cooperări strânse pe partea de securitate cibernetică în interiorul Alianței. Succesele NATO în domeniul schimburilor de personal și antrenamentelor comune nu au fost replicate și în domeniul schimburilor de intelligence, care au un alt profil de securitate și prezintă fricțiuni și ezitări naturale. În același timp, rapiditatea evoluțiilor în domeniul cibernetic a creat o Alianță în „trei viteze”, a cărei cooperare și interdependență, în formula actuală, ar genera goluri de securitate importante și ar lăsa gradul colectiv de securitate la nivelul celui mai vulnerabil membru. Pe de o parte, avem statele care conștientizează problema securității cibernetice, care au resursele pentru a o aborda și se află de suficientă vreme în cursă pentru a se afla la frontiera cercetării și pregătirii în domeniu. Urmează statele care înțeleg culnerabilitatea lor și importanța ameliorării acesteia, dar nu posedă (sau nu au posedat până acum, ceea ce a împiedicat dezvoltarea unor capacități esențiale în domeniu) resursele necesare unei inițiative holistice de adresare constructivă a acestor probleme. Nu în ultimul rând, sunt statele care, indiferent de disponibilitatea resurselor, neglijează problema securității cibernetice sau au implementat o abordare unilaterală (spre exemplu, numai pe partea de securitate a sistemelor militare) care nu adresează vulnerabilitățile „sistemului-de-sisteme” care asigură funcționarea, prosperitatea și capacitatea de rezistență la agresiune (în plan material, militar, dar și moral) a unei societăți. De obicei, atitudinile ultimei categorii de țări poate fi pusă pe seama perspectivelor limitate ale liderilor și elitelor societății, sugerând că este, în primul rând, vorba despre o probleme de educație și conștientizare care ar putea fi rezolvată. Speranța este ca România să facă parte din a doua categorie și să încerce, în limita posibilităților sale, să intre în prima categorie, însă alte discuții au revelat complexitatea (inclusiv organizațională și socială) a implementării unei abordări coerente a securității întregului spectru de sisteme critice și interconectate vulnerabile la atacuri cibernetice.
Abordarea preferată de participanți pentru a sistematiza vulnerabilitățile cibernetice care trebuie adresate s-a bazat pe cadrul teoretic al identificării și protecției infrastructurilor critice naționale, regionale și globale. Au fost evidențiate vulnerabilitățile unor sisteme-de-sisteme extraordinar de complexe (cum ar fi cele SCADA, de control industrial), formate din componente, interconexiuni, standarde și mijloace de control stratificate în timp, prin decizii ad-hoc de îmbunătățire, reabilitare și interconectare. Ca element de noutare, reprezentanții EURISC au adus în discuție dimensiunile verticale ale securității și au ilustrat vulnerabilitatea cibernetică a infrastructurilor critice spațiale, față de care s-a conturat o dependență la nivel global, mai ales a statelor avansate.
Dezvoltarea și întreținerea multor sisteme complexe, mai ales a celor de control industrial, a devenit asincronă, dorindu-se asigurarea protecției unor sisteme formate, pe de o parte, din componente efemere, supuse unor îmbunătățiri sau înlocuiri continue, și, pe de altă parte, din componente cu durată îndelungată a vieții, a căror funcționare sau natură îngreunează „peticirea” lor. Mediul digital a devenit, în sine, o infrastructură critică care asigură interconectarea tuturor celorlalte, generând nu doar eficiențe sporite, dar și riscuri de transmitere în cascadă a efectelor unui atac cibernetic sau a unei simple defecțiuni. Astăzi, infrastructurile critice sunt difuze și fluide, iar o abordare strict sectorială se lovește de dificultatea în a identifica unde se oprește o infrastructură critică și unde începe alta. În fața acestei complexități, indiferent de cadrul de responsabilizare a actorilor privați care dețin 60-80% din infrastructurile critice, publicul și politicul se așteaptă la o apărare de ultim resort din partea forțelor armate. Or, această apărare (pasivă sau activă) presupune nu doar o expertiză generică în domeniul cibernetic, ci cunoștințe specifice legate de varii sisteme care nu pot fi centralizate într-o singură instituție. Din acest motiv, orice apărare cibernetică eficientă se va baza pe instituții și entității „condamnate să coopereze”, de la structuri militare, cele de securitate, guvernamentale, zona academică și cea privată, până la grupurile profesionale sau din societatea civilă.
Devine evidentă și importanța unei subsidiarități în apărarea cibernetică, care să nu suprasolicite resursele militare sau ale instituțiilor naționale. Apărarea cibernetică este în interesul tuturor grupurilor de stakeholder-i, iar cei cu competență în domeniu trebuie angrenați activ. Au fost date numeroase exemple în domeniu, de la „cyber militias” cum ar fi Liga de Apărare Estoniană, până la cooperarea dintre Garda Națională din statul american Michigan și corpul de pompieri pentru a stabili un Civilian Cyber Corps. Pe partea de cooperare (trans)sectorială și de reglementare, au fost date mai multe exemple de forme instituționalizate de cooperare, cum ar fi Asociația Olandeză a Consumatorilor și Reglementatorilor (care are o secțiune specială pentru securitate cibernetică). Ce este interesant este că țări cum ar fi Olanda sau Danemarca se află deja la a doua sau a treia iterație de astfel de instituții și aranjamente de cooperare între stat, mediul de afaceri, universități și societatea civilă. Cu fiecare iterație, modelul este îmbunătățit pentru a răspunde mai bine mediului de securitate în schimbare, dar și pentru a fi mai bine adaptat culturii naționale în domeniul organizatoric etc. Fix această evoluâie către specificitate în domeniul soluțiilor fiecărei națiuni subminează ideea unei apărări cibernetice colective eficiente, din cauza diversității culturilor țărilor membre sau partenere NATO. Iar goana către specific și departe de general este un trend format de către cei mai abilitați actori în domeniu, adică statele vestice, ceea ce ridică semne de întrebare cu privire la compromisurile care sunt posibile pentru asigurarea unui standard general al protecției cibernetice la nivelul Alianței pentru mecanisme colective. Mai degrabă, eforturile ar trebui centrate pe susținerea convergenței tehnice a țărilor individuale, până sa fie incluse într-un mecanism comun și limitarea acelui mecanism la „cel mai mic numitor comun” care să maximizeze câștigurile de securitate pe partea de apărare colectivă. Altfel, NATO se poate trezi cu un sistem amplu și holistic de apărare cibernetică colectivă care funcționează numai pe hârtie și transferă insecuritatea unor țări mai puțin avansate către țări mai diligente sau cu resurse mai importante. Nu trebuie neglijate nici mecanismele informale de cooperare, bazate pe crearea unor stimulente pentru ca actorii vizați să coopereze și să adopte politici raționale și pro-securitate în privința activității lor cibernetice. Or, un sistem foarte formalizat guvernat de către o autoritate statală fix acest lucru va neglija – diversitatea și divergența intereselor diverselor grupuri, mai ales în fața unei amenințări care poate se va materializa sau nu, dar care cere eforturi materiale și intelectuale considerabile în prezent.
Datorită profilului academic al majorității participanților, educația a fost un subiect dezbătut pe larg. Nevoile de securitate ale statelor membre NATO nu pot fi adresate decât printr-o forță de muncă specializată în astfel de probleme și un anumit grad de fluență în aceste probleme din partea forței de muncă mai generale. Aceste nevoi cer o resursă umană antrenată la un anumit standard, într-un anumit orizont de timp, cu un anumit cost și cu competențe generale sau specifice atestate printr-un sistem coerent de certificare. Nu mai este suficientă resursa informală de a recruta din rândurile hackerilor auto-didacți sau a miza pe formarea aleatoare a talentului în securitate în cadrul altor programe de studiu informatic. Mecanismul prin care va fi produsă această forță de muncă se constituie printr-un proces îndelungat de schimburi între educatori și beneficiarii finali. Universitățile sunt centrale în această ecuație, dar nu trebuie neglijate certificările din industria de specialitate. Educația universitară la zi este, de asemenea, centrală, dar nu trebuie neglijat nici aspectul de perfecționare continuă. Poate cea mai importantă diferență dintre vechea abordare a formării personalului specializat în calculatoare și cea nouă este gradul de conlucrare cu industria de profil sau cu agențiile de stat care apoi îi vor recruta pe acești studenți. Un exemplu în acest sens a fost oferit de Universitatea din Syracuse, statul New York, care a trecut dincolo de paradigma public-privat pentru a implementa un parteneriat tripartit cu centrul NATO din Rome, statul New York, și cu un contractor de apărare major pentru un program experiemental de pregătire a personalului de securitate cibernetică la nivel de licență, nu de educație post-universitară. A fost urmărită o educație matematică fundamentală și riguroasă și o latură practică bazată pe scenarii de analiză a securității cibernetice oferite de către NATO sau de către compania privată parteneră din surse reale. Totul la nivel de licență, pentru a integra cât mai repede absolvenții în organizațiile care îi vor angaja, până să își continue educația. O altă latură importantă a cursurilor specificată de către organizatori este capacitatea de analiză/audit de securitate în sprijinul proceselor de dotare a entităților reprezentate cu sisteme informatice noi. Mai mult, Universitatea Syracuse urmărește introducerea elementelor de securitate în fiecare curs legat de sisteme informatice.
O altă latură importantă a discuției a fost retenția angajaților în sectorul securității cibernetice, o problemă majoră care este agravată de competiția pentru talent, de aspectele ideologice și sociale ale activității și de costurile crescânde anticipate pentru formarea unui profesionist în domeniu. Pe lângă remunerație, trebuie abordată problema de sporire a statutului social a celor din domeniu, de prestigiu a meseriei, de inculcare a ideii unei misiuni sau vocații și de motivare pe linie ideologică a lucrătorilor în domeniu. Reprezentanții militari americani au experiență utilă în vicisitudinile recrutării și retenției de personal, dar au atras atenția și asupra problemei riscurilor de securitate venite chiar de la angajați. Deși nu a constituit un obiect al discuției, faptul că Edward Snowden a lucrat cu informații confidențiale pentru o companie privată în slujba NSA este un factor de îngrijorare pentru dinamicile viitoare ale domeniului de cyber-securitate, în care factorul uman este la fel de periculos ca cel programatic. Fenomenul Snowden face parte dintr-un trend mai amplu și fără precedent modern de privatizare a unor activități din domeniul militar, al securității sau al intelligence-ului, fără a fi conștientizate sau soluționate clar riscurile acestui outsourcing. În condițiile și politicile actuale, acest proces este necesar pentru reducerea costurilor, asigurarea capacităților vitale și încurajarea inovației, însă contractorii civili nu au trecut nici prin pre-selecția personalului militar, nici prin procesul lor de îndoctrinare sau de generare a obligațiilor sociale prin asumarea a unor responsabilități prin jurământ public. Cyber-warriors, mai ales, sunt din ce în ce mai mult, cyber-mercenaries, cu toți factorii de risc pe care îi implică. Nu în ultimul rând, fenomenul Bradley Manning arată că și tranziția generațională în sânul unei armate aflată în mijlocul unor schimbări majore poate pune probleme de natură ideologică care să genereze insecuritate informațională.
Acestea au fost doar câteva dintre schimburile care au avut loc. Pentru reprezentanții Fundației EURISC, în calitate de participanți din România, precum și pentru colegii din Balcani, câteva idei au ieșit în evidență:
- Discrepanța dintre resursele (financiare, umane, organizaționale) dedicate acestui domeniu în Vest, versus în România. Chiar și cu o convergență ipotetică pe partea militară, rămâne problema vulnerabilității infrastructurilor civile și a populației în general, precum și deficiențele în dialog productiv și coordonare. Rapiditatea cu care evoluează amenințarea cibernetică și proliferează armele cibernetice garantează că România va depăși sau a depășit deja pragul de la care o anumită expertiză indigenă deosebită ar putea compensa pentru celelalte neajunsuri ale sistemului de protecție cibernetică per ansamblu;
- Partenerii vestici ai României au mai multă experiență în integrarea categoriilor disparate de actori în scopuri productive (cum ar fi exemplul clasic al statului cu industria de apărare și cu cercetarea în universități). Paradigma propusă acum pentru sporirea rezilienței în fața amenințărilor asimetrice este mult mai avansată și se bazează pe experiența trecută a unui nivel de cooperare cărora vesticilor le vine „natural” dar în care România prezintă deficiențe majore. Decalajul dintre România și Vest poate chiar să crească, pe acest fond;
- România este mult mai vulnerabilă la atacuri cibernetice decât am presupune, chiar și într-un mediu de securitate dificil. Caracteristicile atacurilor cibernetice îi predispun pe potențialii atacatori la un comportament mai agresiv – atribuirea atacului este mai dificilă, costurile mai mici, iar daunele potențial foarte mari, însă incerte. Rezultatul este un stimulent pentru un comportament mai agresiv, care riscă să depășească „liniile roșii”, mai ales dacă atacatorul mizează pe schimbarea comportamentului țintei prin presiuni la nivelul societății;
Nu în ultimul rând, acest eveniment dovedește importanța diasporei științifice în susținerea intereselor de stat, putând chiar să compenseze pentru anumite lipsuri de inițiativă sau capital de cooperare la nivel internațional. Menționăm acest aspect și în contextul Congresului Diasporei Științifice a României care are loc în această perioadă la Timișoara. Spre exemplu, unul dintre organizatorii acestui ARW NATO a fost Prof. Dr. Adrian Gheorghe, Batten Chair of System-of-Systems Engineering de la Batten College din cadrul Old Dominion University, care este un expert recunoscut internațional în domeniul protecției infrastructurilor critice. Universitățile americane găzduiesc talent din toată lumea, care poate constitui o resursă importantă pentru țările de origine în termenii avantajării schimburilor dintre cele două țări. Un număr de țări își cultivă cu atenție o diaspora puternică, care să faciliteze diplomația științifică (un concept din ce în ce mai utilizat) și transferul de cunoștințe. În cadrul acestui ARW, a ieșit în evidență Turcia, care urmărește, pe plan militar, o politică de pregătire doctorală a experților militari și civili din domenii cheie în afara țării, unde să capete și experiență în cercetare.
Notă redactată de către Alexandru Georgescu
Ultima ora:
ObservatorCristina Popescu: Romfilatelia prezentă la Evenimentul de comemorare dedicat victimelor atacului terorist din 7 octombrie 2023, în Israel
PoliticKlaus Iohannis, mesaj de Ziua Mondială a Educației: A te dedica formării unor întregi generații este una dintre cele mai frumoase vocații
EconomieCristian Sporiș: Aderarea la OECD echivalează cu un certificat de bună purtare pentru România
ExternNicolae Ciucă: România rămâne un partener de încredere al Israelului în lupta împotriva terorismului
SocialMarian Staș: România 2024-2029 | Ieşirea din mediocritate. Schimbarea paradigmei educaţiei -leadership real în acţiune
EvenimenteCristina Popescu: Romfilatelia prezentă la Evenimentul de comemorare dedicat victimelor atacului terorist din 7 octombrie 2023, în Israel
EditorialIuliana Stan: Ce este cultura de organizație?
CulturaCristina Popescu: Cultura. De la tradiție la societatea informațională
Club Romania | Elite si idei / www.oranoua.ro - Open Source Internet Database part of a non-governmental project / Contact: office[at]oranoua[.]ro | Operated by CRSC Europe