Sajber pretnja nezadrživo raste, uporedo s usponom Interneta kao kritične infrastrukture za globalnu ekonomiju, sa stotinama novih funkcija koje se sele na Mrežu i hiljadama onih koje čekaju da tek nađu svoje mesto na klaud platformi: od pametnih sistema upravljanja električnim mrežama do komunikacije među samim mašinama, tvrdi Andrea Renda, istraživač Evropskog centra za studije politika (CEPS). Ipak, prejaka filtracija internet saobraćaja – kao metod odbrane – mogla bi usmrtiti slobodu izražavanja.
Prema podacima bezbednosne kompanije Trend Micro, ove vrste pretnji su samo na Android platformi povećane za više od 30 puta u periodu od aprila do decembra 2012, sa 11.000 na 350.000, a očekuje se da će ih do 2030. biti milion. Otuda ne čudi što je prošlu godinu obeležio uspon sajber bezbednosti kao “globalne brige br.1″.
Sajber pretnje imaju mnogo lica – od ugrožavanja ličnih podataka pojedinca, smeštenih na kreditne kartice ili zdravstvene kartone, do hakovanja državnih informacija američkog Odeljenja za pravosuđe ili iranskih nuklearnih postrojenja.
Istovremeno, sajber pretnje i napadi su i deo eskalacije „digitalnog hladnog rata“ gde su borci za sigurnost istovremeno i najverovatniji počinioci: Od upliva američkog NSA u svakovrsne globalne podatke pa do napada koje sponzorišu Kina ili Iran.
Napadi su, kako piše Renda, poprimali sve zamislive i raspoložive oblike, uključujući tu i masovni prodor na američko tržište pomoću jeftinih, često državno subvencionisanih tehnoloških giganata kao što su Huavei i Lenovo: SAD svake godine uvezu skoro 130 milijardi dolara haj-tek proizvoda. Jedan skorašnji kontroverzni izveštaj kompanije Mandiant o bezbednosti dokumenata govori da su aktivnosti sajber-špijunaže, realizovane u poslednjih nekoliko godina od strane hakerske grupe poznate kao „grupa za upadice”, bile uperene na više od 100 kompanija i organizacija iz različitih oblasti industrije (najviše su napadali IT sektor). Primećeno je da iz ove grupe stoji kineska tajna vojna jedinica sa sedištem u Šangaju, koja je, najverovatnije, pokretač serija hakerskih napada na SAD.
Zato i ne iznenađuje što se novim zakonom, kojeg je Kongres usvojio 27. marta 2013, zabranjuje svaki oblik nabavke kineskog hardvera koji bi se koristio u američkim državnim institucijama, i što je ovo pitanje obeležilo nedavne razgovore predsednika G2, Baraka Obame i Sji Đinpinga.
Istovremeno, kineski eksperti tvrde da je “Kina glavna meta sajber-napada pod pokroviteljstvom države, koji uglavnom dolaze iz SAD”. Uzgred, Rusija i Nemačka su najčešći izvori sajber-napada (po podacima iz marta 2013.), a potom Tajvan i SAD.
Šta se dešava na Internetu?
Prvobitno stvoren kao „glupa“ mreža, s “inteligencijom” distribuiranom po svojim obodima, ali ne i u centru, Internet je oduvek bio teško mesto za kreatore politika koji žele da sprovode zakone „stvarnog sveta“, prostor za uzbuđenje i opasnost od stavljanja “ad akta” mnogih zakona, pre svega onih o autorskim pravima. S tim u vezi su i konstantno neuspešni napori vlasti da ujuri „tehnomane“ i „hakere”, uprkos sporadičnim pobedama i kaznama za počinioce.
U pradobu sajber napada 2001. godine, među prvima se pojavila pretnja distribuiranog uskraćivanja usluga (DDoS*) – gde se napad uglavnom sastoji od privremenog ili trajnog prekida ili obustave usluge korisnika povezanog na Internet – da bi već 2004. institut za tehnologiju Britanske Kolumbije prijavio deset puta više sajber-napada no što ih je bilo u 2000-toj; bili su to napadi na sisteme za kontrolu procesiranja, usmereni na kritične usluge kao što su elektroprivreda, kanalizacija, vodovod i bežične mreže.
Logično je očekivati da će napadi imati sve razornije dejstvo uporedo sa našim sve većim oslanjanjem na IT infrastrukturu u svakodnevnom funkcionisanju, od podnošenja poreskih prijava do svakodnevnog obvaljanja posla, života u „pametnim gradovima“ i komunikacije „machine-to-machine“ gde je sve povezano sa svačim – od zgrada do vozova, od mašina za pranje do pametnih telefona – vođenih samo zagonetkom hardvera i softvera koji se nalaze negde u “oblaku”. Kao i u svakom terorizmu, i u sajber prostoru napad i napadač uvek imaju prednost u odnosu na strukturu odbrane, jer je mnogo teže predvideti gde, kako i kada će napadači pokrenuti svoj udarac i pretnju nego pronaći novu rupu u sigurnosnom sistem
Zato se naša globalna zajednica danas suočava s tragičnom dilemom. Prejaka filtracija internet saobraćaja mogla bi usmrtiti slobodu izražavanja, i to ubijanjem end-to-end arhitekture koja je od sajberspejsa napravila demokratski forum bez presedana u ljudskoj istoriji. S druge strane, troškovi očuvanja sloboda korisnika rastu iz dana u dan: izgleda da je SAD spremna da napusti dosad uspostavljeno pravo na privatnost – a u ime unapređivanja bezbednosti korisnika interneta – dok je nedavni skandal sa Prizmom samo potvrdio ovaj utisak. Ključne usluge kao što su e-trgovina, e-zdravstvo, e-uprava , M2M i tele-rad nikada ne bi ni mogli biti lansirani kada korisnici ne bi bili u stanju da rade u bezbednom okruženju.
S druge strane, sasvim je izvesno i da neke vlade ne vole ideju o slobodnoj razmeni informacija. Nedavni izveštaj lista The Economist bacio je svetlo na “informatičku Kinu”, koja ulaže ogromne resurse ne bi li sazdala što čvršći “gigantski kavez“, odnosno domaću verziju Interneta koja krajnjim korisnicima ipak omogućava određenu slobodu (kao što je otvaranje mikroblogova), ali sa automatskom ili čak manuelnom cenzurom korisnika (na kojoj, inače, radi čitava armija državnih službenika). Zemlje poput Pakistana i Kazahstana stvorile su zamašne sajber-zaštite na nacionalnom nivou, ne bi li tako ograničili ponašanje korisnika. Nedavno izabrani predsednik Venecuele Maduro navodno je na nekoliko sati isključio Internet na dan izbora, kako bi izbegao lako prijavljivanje neregularnosti u brojanju glasova. Ali, čak je i predsednik Obama 2009. dobio novo “dugme”, kojim je u mogućnosti da isključi tj naloži isključenje Interneta.
Otuda, kaže Randa, sve urgentnije postaje pitanje: da li smo za to da Internet ostane neutralna sredina – po cenu svake sajber pretnje – ili smo spremni da žrtvujemo svoju i slobodu Interneta na oltaru unapređene bezbednosti? Odgovor na ovo pitanje zahteva kratko objašnjenje o tome kako je Internet regulisan danas, i šta bi ga u budućnosti moglo promeniti.
Kraj Veba kakvog znamo?
Još od svojih najranijih dana, Internet je u velikoj meri ostao neregulisan od strane zvaničnih vlasti (počev od američkog zakona o telekomunikacijama iz 1996), postavši pitanje privatne samoregulacije, inženjera i stručnjaka koji su godinama donosili ključne odluke o upravljanju Internetom kroz prilično nestrukturirane procedure. Nema sumnje da je ovakav model funkcionisao u svojim začecima, tokom prvih godina. Ipak, kako je “sajber svemir” doživeo svoj Veliki Prasak, ulozi su počeli da rastu: pretežno neformalna tela kao što je ICANN, ili Asocijacija privatno zainteresovanih aktera, a pod blagonaklonim nadzorom vlade SAD, godinama su kreirali nazive internet-domena i drugih ključnih aspekata Interneta, suočavajući se sa sve većim izazovima usled svoje samo delimične nezavisnosti od američke vlade .
Najnovije odluke od strane ICANN-a, kao što su masivna liberalizacija domena najvišeg nivoa imena i stvaranje “.xxx” ekstenzija za pornografiju, ubrzali su ali i zaoštrili debatu o povećanom državnom učešću u kontroli i upravljanju Internetom, bilo putem specijalizovanih agencija pri UN ili preko Međunarodne unije za telekomunikacije (ITU), postojećeg organa Ujedinjenih nacija zaduženog da osigura međunarodno povezivanje i olakša raspoređivanje telekomunikacione infrastrukture, što je dosad bilo potpuno strano Internet svetu.
Tu su i istaknuti pojedinci, kao što je, recimo, komesar američke Federalne komisije za komunikacije (FCC) Robert Mekdauel, koji jasno stavlja do znanja da bi, ako bude napušten dosadašnji model odlučivanja više zainteresovanih nezavisnih strana, to značilo i kraj (besplatnog i slobodnog) veba kakvog znamo.
Zato nije iznenađujuće što je na Svetskoj konferenciji o međunarodnim telekomunikacijama (VCIT) u Dubaiju krajem prošle godine – održanom radi ponovne rasprave o međunarodnom sporazumu o telekomunikacionim propisima (ITR) – ova debata dostigla neslućeni vrhunac. Stvari su se zaoštrile preko svih granica. Svaki učesnik je bio u potrazi za drugačijim ishodom: međunarodna telekom Unija (ITU) je želela da proširi svoje ingerencije na Internetu, evropski telekom operateri želeli su da obezbede više prihoda promenom pravila interkonekcije, a Kina, Rusija i Indija želele snažniju državnu kontrolu nad internet arhitekturom i sadržajima, dok su mnogi iz SAD i Evrope stali u odbranu sadašnjeg multipartnerskog modela, koji je od nekad vrlo efikasnog regulatora (ICANN) postao izuzetno kontroverzan.
Konfuzija je prerasla u haos kada su brojne zemlje Afrike, Azije i Bliskog Istoka zatražile da se u novu međunarodnu regulativu o telekomunikacijama (ITR) uključi i deklaracija o pristupu Internetu kao osnovnom ljudskom pravu. Kada se sve ovo konačno prevede u predloženi novi ITR sporazum, čak je 55 zemalja (uključujući i SAD, Kanadu, Australiju, Veliku Britaniju i mnoge zemlje EU) odlučilo da je ne potpiše. Od tada ovo pitanje nije rešeno, a teško da će biti uspešno razrešeno tokom ove 2013.
Kuda idemo?
Veoma je mala verovatnoća da mnogi problemi koji utiču na sajberspejs danas budu rešeni u samo jednom zamahu. Postoje najmanje tri aspekta koji zaslužuju poseban, međunarodni sporazum: sajber bezbednost, Internet upravljanje i sloboda izražavanja. Pokušaji da se zajedno kombinuju ova tri pitanja bili bi osuđeni na neuspeh. Nasuprot tome, postoje rešenja za sva tri domena zasebno, koja bi takođe mogla da održavaju konzistentnost ukupne slike, kaže Renda.
Prvo: sajber bezbednost je potrebno podići na globalni nivo javno – privatnog partnerstva što podrazumeva sledeće korake:
• Države treba da uspostave opšte obaveze preduzimanja mera za borbu protiv botneta, kao i da se uzdrže od sajber napada pod okriljem vlada i državnih struktura.
• Sve vlade bi trebalo da uspostave timove za hitno računarsko delovanje (Computer Emergency Readiness Teams, CERT), koji bi od privatnih lica i sigurnosnih mreža dobijali obaveštenja ili direktno (kada je vlada u posedu mreže) ili indirektno, obeštećenjem mrežnih operatora za njihova ulaganja u unapređenje mreže i bezbednost – a to je nešto što se danas retko dešava u telekom regulativi.
• Privatni operateri bi trebalo da se dogovore o kodeksu ponašanja u svojoj branši na regionalnom i verovatno globalnom nivou, kako bi se osiguralo da protok informacija između operatora i javnih vladinih tela bude onoliko brz i pouzdan koliko je to moguće.
• Mora biti uspostavljeno poverenje između javnih i privatnih operatera kroz namenske
platforme, kao što je npr Evropsko javno-privatno partnerstvo za rad u kritičnim situacijama (European Public Private Partnership for Resilience, E3PR).
• Trebalo bi razviti taksonomiju i klasifikaciju velikih potencijalnih rizika, kao i obezbediti kontramere i strategije: to bi, zauzvrat, omogućilo zreliji razvoj tržišta uslugama sajber bezbednosti.
Drugo: ne postoji kredibilna alternativa sadašnjem modelu upravljanja Internetom – modelu kojim sada upravlja više zainteresovanih nezavisnih strana (multi-stakeholder sistem). Sjedinjene Države, ipak, moraju da shvate kako ključna internet-oprema ne bi trebalo da bude kontrolisana samo od strane američkih kompanija, kao što je to trenutno slučaj: i dok se više od polovine Internet korisnika nalazi u Aziji, Amerika i dalje preko svog upravnog tela IANA (Internet Assigned Numbers Authority) zadržava za sebe to ekskluzivno pravo da dodeljuje internet-brojeve, te da reguliše i upravlja razvojem DNS sistema i raspodelom IP adresnog prostora na globalnom nivou. Kompanijama koje nisu američke, uključujući tu i one koje su osnovane u EU, trebalo bi da, u najmanju ruku, bude dozvoljeno da učestvuju u nadmetanju za funkciju direktora ovih kritičnih resursa. Opšte uzev, ako želi da preživi kao nezavisni tj privatni nevladin regulator, ICANN bi trebalo da postane transparentniji, jasno strukturiran, da preuzima odgovornost i da u njemu zaista upravlja više zainteresovanih nezavisnih učesnika,: sve su oči uprte u ICANN procedure, a oni koji su u ovom telu više se ne mogu oslanjati tek na “načelni konsenzus“ između internet gurua, IT magova i inženjera. Potreban je sistem i konkretne odluke, jednom rečju – odgovorno upravljanje.
Treće: globalna zajednica treba da postigne dogovor o principima i pravima na korišćenje Interneta , uključujući i potrebne garancije da – kako i koliko god da u budućnosti provajderi budu gazili preko IP protokola – krajnji korisnici imaju barem delimičnu neutralnost Interneta i očuvanu end-to-end arhitekturu Mreže (tj komunikaciju među krajnjim korisnicima). Biće teško odupreti se ovome, jer to može dovesti do lakše anonimnosti preko potrebne sajber-kriminalcima: ipak, svaka alternativa bi značila ubijanje demokratije. Ovo, zauzvrat, znači da će Internet sve više ličiti na mesto na kojem se “vozite” na dva koloseka: jedan je osnovni, end-to-end Internet koji obezbeđuje neutralnost krajnjih korisnika (kao što je to dosad bio slučaj), koji treba da zaštiti slobode izražavanja; drugi kolosek su Cloud usluge, koje će obuhvatati mnoge od novih karakteristika savremene IT ekonomije: od transporta do pametno automatizovanih domaćinstava, pružajući poboljšani nivo bezbednosti i privatnosti – a sve to kroz pouzdano filtriranje internet saobraćaja.
broj 101, oktobar 2013.