Cyber rat: Ni zločini u bivšoj Jugi nikad se ne bi otkrili
Prije 34 godine jedan je glumac iz Austrije pokorio svijet. Bila je to priča o kibernetičkom organizmu koji je otputovao kroz vrijeme, vratio se u prošlost kako bi ubio majku velikog ratnog heroja i tako spriječio njegovo rođenje. Potragu za njom provodio je sustavno, u telefonskom imeniku pronašao sve žene koje se zovu Sarah Connor i krenuo.
Da se Terminator snima u današnje vrijeme, 2018. godine, potraga za pravom Sarah Connor završila bi, zahvaljujući današnjoj tehnologiji, za oko četiri minute. Rat protiv strojeva završio bi i prije nego je počeo, gotovo neprimjetno. No ono što je najstrašnije u mogućnosti bilo kakvog cyber ratovanja je njegova mogućnost detaljnog targetiranja. Neprijatelj tako može preskočiti niz državnih granica i napasti pojedinca, ili više njih, pa čak i cijelo područje. A možda čak i bez pomoći kiborga.
Po američkim podacima trenutačno u SAD-u živi 87 žena s imenom Sarah Connor. Većina njih zasigurno koristi neke od današnjih tehnologija, a ako ništa drugo, barem posjećuje liječnika koji njihove podatke čuva na računalu i u iznimno osjetljivom i ranjivom sustavu Windows XP-a.
Ratovanje možemo vidjeti na već tradicionalnim područjima, morskim, kopnenim, zračnim i svemirskim, ali i jednom sasvim novom - cyber prostoru. Dosada je ovim područjem američka vlada nespretno rukovala i većinom taj dio prepustila u ruke privatnom sektoru u suglasnosti sa novo strategijom Trumpove administracije i tako na neki način zemlju ostavila izloženu stranom napadu, piše Foreign Policy.
Oni funkcioniraju na sličan način kao i farmaceutske kompanije, i to tako da zapravo preventivna medicina postaje prijetnja poslovnom modelu. U međuvremenu mnogi su se okrenuli savjetima tzv. cyber stručnjaka koji umjesto svojim poslovnim dosezima, svoje mogućnosti dokazuju brojem pratitelja na društvenim medijima.
Povećani strah, nesigurnost i sumnja koji okružuju ovaj dio doveli su nas u trenutak u kojem ne možemo reći što se dogodilo a što nije. Priroda ove vrste ratovanja je nepredvidljiva. Osamljeni borci mogu pronaći i iskoristiti male rupe u velikoj obrani zemlje i velikim kompanijama. U takvim slučajevima nisu potrebni grandiozni napadi kako bi došlo do razornih posljedica.
Umjesto toga bit će to napadi na kontrolne industrijske sisteme, transportacijske mreže, i pružatelje zdravstvenih usluga, a sve će biti moguće zbog njihove zastarjele infrastrukture i lošeg održavanja. Puno će gore biti u slučaju nevidljive manipulacije javnim mišljenjem i rezultatima izbora uz pomoć digitalnih alata poput ciljanog oglašavanja i fake newsa, lažnih snimki koje mogu vjerno oponašati bilo kojeg svjetskog vođu.
Veliki izazov leži upravo u njihovoj nepredvidljivosti, a današnje strategije prevencije leže na pretpostavki da su pravila konvencionalnog ratovanja ista i u cyber svijetu. Iako taj svijet funkcionira po pravilima, ta su pravila daleko od onih na koja smo navikli. Među njima nema pravila o poštenoj igri. U njemu prednost neće biti na strani velikog dijela američkog tehnološkog sektora, a pravila će postaviti vlade i multinacionalne kompanije.
Nitko još zasada nije postavio funkcionalnu i operativnu definiciju globalno prepoznatog čina rata, što je prvi korak na putu prema njegovoj prevenciji. Najbliže tome došla je definicija američke vojske o "djelima sa značajnim posljedicama", što bi mogao postati i predmet evaluacije u Kongresu. No očekivati njihovu efektnu i brzu reakciju s obzirom na brzinu cyber napada, gotovo je nemoguće i nerealno.
U svijetu u kojem su i najmanje politike postale oružje, pametno odrađena politika dezinformacija od strane neke zemlje i usmjerne prema nekoj stranici može biti dobrodošla u očima drugih stranaka. Postoji i ozbiljan rizik kolateralne štete u takvim operacijama. Većina vojske je svjesna da njihova odgovornost ne leži samo na pogocima ciljanih meta već i na broju civilnih žrtava uslijed tog napada. Ne postoji međunarodni sporazum koji obvezuje zemlje da smanje kolateralne žrtve ili da se o njima brinu.
Veliki cyber napad na SAD iz 2014. pokazao je koliko su obični građani pogođeni ovim ratovanjem. Gotovo svi stručnjaci i FBI smatraju kako je hakiranje Sony Pictures došlo iz Sjeverne Koreje. Ta je zemlja napala američke civilne mete s ciljem destabilizacije velike korporacije. I u tome je uspjela. Sony je procijenio kako je 'čišćenje' koštalo više od 100 milijuna dolara, što bi u tradicionalnom smislu ratovanja bilo poput uništenja nekog naftnog polja u Texasu. Ako bi tako vrijedno civilno područje namjerno uništio strani protivnik, to bi se zasigurno smatralo ratnim činom.
U budućnost ovakvi napadi neće biti izuzetak. Ranjivost zemalja mogla bi dovesti do velikih žrtava, a zasada nema dogovorenih normi ili pravila kako bi se borilo protiv tih zločina ili ih kažnjavalo.
Jednom tjedno europski proizvođač zrakoplova čisti svoje sustave od mogućih prijetnji koje vrlo lako u kokpitu mogu prijeniti i piloti preko svojih mobitela i tako ih proširiti među svima. Zrakoplovi su prepuno bakterija i onih virtualnih i onih pravih, bioloških. I vrlo lako se s njima može manipulirati. Sms poruka koja se šalje svakom pilotu s mogućim upozorenjem mogla bi izazvati veliku konfuziju, promijeniti put zrakoplova, a sofisticirani napad može dovesti i do puno ozbiljnih posljedica.
No zrakoplovstvo nije jedini ranjivi sektor. Tu je i zdravstveni sustav, a onaj američki u kojem medicinski uređaji funkcioniraju na starim operativnim sustavima nije tako lako zaštiti. Manji bolnički sustavi počesto nemaju dovoljno sredstva za izmjenu medicinske opreme ili nadogradnje.
To je veliki problem u vrijeme kada se mnoge operacije izvode uz pomoć neke vrste robota, čiju sigurnost pokušavaju održati. Medicinska industrija puno se više temelji na djelima i zdravstvenom stanju pacijenata nego što brine o potencijalnom napadu. Cyber napad na bolničke uređaje može dovesti do smrtonosnih posljedica. Ako neka teroristička grupa ili zemlja odluče napasti npr. američkog senatora koji je na operaciji i zatim sakriti svoje tragove, malo toga se može napraviti. A identitet počinitelja bilo bi gotovo nemoguće otkriti. Kao što bi bilo teško i klasificirati takav čin ratnim. A ne postoje ni jasni protokoli kako na taj napad odgovoriti.
Niz je takvih diskretnih mogućnosti napada.
Nedavno se veliki propust dogodio u jednoj klinici u Clevelandu u kojoj zaposlenici nisu primijetili da je alarm na njihovih spremištima ugašen. Uništeno je više od 4000 jajnih stanica i embrija. Mnogi se u takvim institucija ne brinu oko izmjene lozinke ili sigurnosnih postavki što ih čini ranjivima u slučaju nekog napada, a u nekim slučajevima pomislit će kako je riječ o namjerno izazvano postupku kako bi se provjerila sposobnost za život takvih stanica.
Teško je otkriti da li je gubitak velikog broj jajnih stanica u Clevelandu bio jednostavno ljudska pogreška ili namjerni napad, no u trenucima kada takav postupak postane uobičajen u bogatijih zemalja, jednostavan napad poput spomenutog mogao bi uništiti tisuće budućih građana.
Cyber napadi događaju se stalno, pa čak i sada, tiho i daleko od očiju javnosti. Većina strahova i zbunjenosti oko takvih napada dolazi zbog iskrivljenog publiciteta. I dok stručnjaci ne mogu biti potpuno sigurni u postojanje nekih tih napada, možemo razumjeti veći sustav u kojem je cyber napad banalna i predvidljiva komponenta nacionalne infrastrukture. Rizik od takvih napada je vjerojatno poznat.
Tehnologije i cyber prostor mijenjaju se brže nego što zemlje mogu donijeti neke legislative za njihovu regulaciju. Dio problema definiranja takvog napada leži i u tome što nije jasno definirano što je nelegalni čin cyber napada. Njihov status ostaje nejasan, posebno reguliran kroz zakon o kompjuterskim prevarama i zloupotrebi iz 1986. godine koji su tehnički stručnjaci zaboravili, još na samom početku i od tada je postao samo nepopularniji.
Zakon je kreirao i nepotrebni strah da jednostavne i korisne informacije, metode sigurnosnog istraživanja, mogu biti sporne.
Te metode uključuju i alate poput Nmapa, alata za otkrivanje i mapiranje računalnih mreža, ili Shodana kako bi se pronašli nesigurni pristupi sistemu. Takvo skeniranje nije vrsta iskorištavanja ranjivosti na računalnoj mreži. U stvarno svijetu takvo nešto bilo bi slično primjećivanju razbijenih prozora i otvorenih vrata na kućama. Najbolje bi bilo stručnjake za sigurnost uključiti u preventivno istraživanje umjesto vezivati njihove ruke zakonima. Njihova plemenita svrha, barem bi to trebalo tako biti, čini se nije dovoljan razlog da se spriječi strah i od njihovih mogućih uplitanja.
Nastavak na sljedećoj stranici...
Dovelo je to do manjka vrhunskih stručnjaka na ovom području. SAD-u nedostaje održivi plan u zakonodavstvu kojim bi se učvrstila infrastruktura u borbi protiv tih napada ali i pronašao neki posebni talent za to područje. Takva obrana trebala bi uključivati strateški plan, tehničare koji će ga provoditi i eksperte koji će ga istraživati.
Slično je to u slučaju sistema autocesta u SAD-u koje su sada, iako krenule s velikim planovima na početku, prepune rupa, oštećenja i sl. Tisuće smrtnih slučajeva na američkim autocestama povezane su upravo sa lošim uvjetima. No rupe na cesti dosadan su problem, puno veću pažnju u javnosti dobit će npr. rušenje nekog mosta.Tako je i sa infrastrukturom u tehnologiji, ako taj posao cyber sigurnosti nije zapravo dosadan, ne radimo ga dobro.
Trebao bi biti sličan rutinskom cijepljenju, još jednoj stavci u državno proračunu, kao što je i održavanje cesta. U svaki organizacijski budžet trebale bi se ugraditi osnovne mjere sigurnost, kao što su nadogradnje, testiranje mogućnosti oporavka u slučaju gubitka podataka, rutinski revizija i sl.
Kada se dogodi neki incident, kao što je slučaju rušenja nekog mosta, trebali bi ga pogledati nadležni revizori i autoriteti, kao što je u mnogim drugim slučajevima. Sada SAD-u manjka upravo takva jedna služba sigurnosti u cyber sustavu. Zbog nedostatka stručnosti u samoj vladi, previše se oslanjaju na kompanije poput EY, PwC i Deloitte. Građani bi se trebali zapitati zašto vlada nije sposobna odgovoriti na te napade, već će ugovoriti nekog drugog da se time bavi. Možda odgovor leži u tome što je u slučaju ovakvih napada potrebno angažirati veliki broj visokoobrazovanih vladinih analitičara, a ne vojske računovođa i odvjetnika.
Ipak Bijela kuća, pod upravljanjem Donalda Trumpa, nije uspjela ispuniti ili izravno ukloniti svaku poziciju na ovom planu. Postoji nekoliko 'čuvara' koji pomažu na ovom putu, no nedovoljno su financirani. No bilo kakav cyber talent puno se brže crpi nego što se može osigurati njegova zamjena. Obrana od cyber napada nije neka čarolija. To je poput bilo kakvog posla, dosadno, teško i nema kraja.
Oni koji se njima bave više su služba za održavanje, nego tim glamuroznih marinaca. Namijenjen je ljudima koji imaju goruću želju održati ljude sigurnima bez neke potrebe za slavom osim one koja ih vodi na putu rješavanja zagonetke. Izazovi za one na vlasti su isti kao što su bili. Poboljšati najnižu zajedničku strukturu i razviti učinkovitu obranu od protivnika sa zlobnim mislima. No političari na ove potrebe i zahtjeve teško odgovaraju, a njihovo pozivanje na učvršćivanje šifri, staje uz bok njihovom naslikavanju na nekim političkim skupovima.
Razorne napade koji se dogode na američkom tlu, ljudi će opisati raznim metaforama. No one nisu potrebne kako bi se opisali napadi 11.9. ili Pearl Harbor jer nam je njihova važnost već jasna. Kada se dogodi cyber napad, zloglasni napad, bit će to tako zastrašujuć napad kojeg nećemo moći s ničim usporediti. Neće to biti cyber Pearl Harbor, već će dobiti svoje ime.
Do tada ovi napadi ostaju bezimeni. Ljudi se boje onoga što mogu vidjeti i razumjeti a ne onoga što ne mogu shvatiti ili ne mogu zamisliti. Zato i lako ignoriraju efekte udaljenog i tihog, a opet smrtonosnog napada.
Trebala su proći dva desetljeća kako bi se presudilo po pitanju ratnih zločin počinjenih na području bivše Jugoslavije uz pregršt dokaza. Stoga ne čudi što se međunarodne zajednica ne može dogovoriti oko pitanja kako odgovoriti na te cyber napade, posebno kada ih zapravo ne mogu ni definirati.
Prvi korak bi bilo definirati što je to napad, posebno napad neke strane sile u usporedbi sa običnom šalom ili industrijskom špijunažom. Tada bi dužnosnici trebali odlučiti što bi bio čin opravdane samoobrane tijekom i poslije napada. Do danas je bilo nekoliko takvih pokušaja. 2013. godine stručnjaci u Tallinnu, glavnom gradu Estonije, napisali su priručnik, nešto najbliže digitalnom obliku Ženevske konvencije.
Definirao je on karakteristike cyber napada, uključujući i onemogućavanje kritične infrastrukture, napade na zdravstvene ustanove, uništavanje transportnih koridora, između ostalog i pokušaje prodiranja u računalne mreže protivničkih vojnih snaga. Taj priručnik ipak nije objasnio slučajeve dezinformacija i utjecanja na izbore, no smatrao je uplitanje u izborni sustav neke druge zemlje kršenjem njihove suverenosti ukoliko je uključivao pokušaj promjene režima.
U povelji UN međunarodno priznati ratni čin nastaje u trenutku ulaska naoružane vojne sile u neku zemlju, no čini se kako je ova definicija rata u potpunosti zastarjela. Cyber napadi u Nizozemskoj 2017. i 2018. godine doveli su do uskraćivanja državnih sredstava i vitalnih usluga građanima, no budući da nisu upotrebljena konvencionalna oružja, odredbe povelje UN-a nisu prekršene. Zemlje se počinju udruživati u mišljenju kako su neki oblici aktivne protumjere opravdani, ako ne u stvarnom reciprocitetu, onda prema međunarodnom pravu.
Konsenzus po pitanju što pokreće pravo zemlje na samoobranu u slučaju takvog napada zahtjeva koherentno, zajedničko razumijevanje po pitanju gdje je granica između zlonamjernih ekonomskih ili obavještajnih aktivnosti i pravih cyber napada. Jedan model mogao bi se oblikovati ako se rusko uplitanje u strane izbore potvrdi izvan svake sumnje. Dokazivanje uplitanja pod sponzorstvom države koje je imalo utjecaja na ishod izbora moglo bi dovesti i do globalnog konsenzusa o pitanju o tome što čini vojnu aktivnost u tom prostoru.
Već je sad jasno kako je do uplitanja tijekom američkih predsjedničkih izbora i došlo, no nije došlo do odgovora. Iako je mjesec dana prije napuštanja ureda predsjednik Barack Obama najavio kako će SAD odgovoriti, njegov nasljednik Donald Trump nije tu prijetnju ostvario, barem ne što se tiče cyber prostora.
No ni jedna definicija ovakvih napada ne može biti učinkovita bez međunarodne legitimnosti. Ako jest točno kako se grupa stručnjaka obvezala da će napraviti na neki način digitalnu Ženevsku konvenciju, nije jasno iz čega će crpiti svoj autoritet. NATO je sponzorirao konferenciju iz Tallinna, iako nije riječ o obvezujućoj i službenoj publikaciji NATO-a. S obzirom na odnos SAD-a prema tom savezu, pitanje je bi li SAD poštivao bilo kakav dogovor koji dolazi iz NATO-a.
U nedostatku takvog zajedničkog ugovora svijet i dalje ostaje izložen miksu hakera, ratnika, operativaca inteligentnih službi, kriminalaca i ljutih tinejdžera koji se skrivaju u bespućima interneta. Gotovo je nemoguće identificirati počinitelja ako on poduzme one temeljene korake kako bi sakrio svoje tragove nakon takvih napada. Teško je razlikovati dobro pripremljen i smišljen napad npr. ruske vojne sile prilikom glasovanja od nekog 'dječjeg' napada za dokazivanje snage.
Dezinformacijske kampanje jednako su problematične za dokazivanje i kažnjavanje. Unatoč konsenzusu među stručnjacima o ruskom uplitanju u američke izbore 2016. godine pokazalo se kao je iznimno teško dobiti konsenzus da su ti ciljani ruski oglasi na društvenim medijima bili neprijateljski čin strane države.
Izazov današnjice je velika brzina kojom se cyber prostor mijenja i evoluira. Mijenjaju se toliko brzo da ih ne mogu uhvatiti ni dogovori na međunarodnim samitima, a svi pregovori duži od dva tjedna padaju u vodu. Navika postaje tradicija. Westfalski mir smatra se početkom moderne ere. Tim sporazumom stvorena je baza međunarodnog sustava suverenih država s obzirom kako je Westfalski mir potpisan 1648. između cara Ferdinanda III., njemačkih kneževa te predstavnika Nizozemske, Francuske i Švedske.
370 godina nakon koncept moderne države čini se uklesan je u kamen i još je dodatno osnažen okvirnom primjenom u odnosima.
Međunarodnoj zajednici potrebne su nove navike za novo razdoblje. Čelnici država moraju pratiti one dogovore iz Tallinna, i dogovoriti digitalnu Ženevsku konvenciju koja će ponuditi pravila vođenja rata u kiberprostoru. Cyber rat je nastavak kinetičkog rata sa uvjerljivo obeshrabrujućim sredstvima. Bez globalnog konsenzusa o tome što cyber rat je, svijet ostaje u anarhističkom sustavu u kojem vladaju proturječni zakoni i norme. Ranjiv je tako i izložen mogućnosti razornog rata kojeg se može lako i anonimno pokrenuti s nekoliko poteza na tipkovnici.