Documente Academic
Documente Profesional
Documente Cultură
Cyberterrorism is no longer a matter of science fiction, it is part of our life and we don’t
have to be afraid of it but have to be aware of it’s presence and have to focus on preventing it’s
possible negative effects. This paper deals with this subject, the past, the present and the future of
cyberterrorism with a special focus on U.E. and Romanian legal framework preventing terorist
acts.
Introducere
Ceea ce părea să fie o poveste desprinsă dintr-un science fiction la începutul anilor '90
astăzi face parte din viaţa noastră cotidiană. Asistăm la dezvoltarea explozivă a internetului şi
tehnologia informaţiei cu toate componentele sale de hardware şi software pune stăpânire într-un
ritm alert pe aproape fiecare segment al unei societăţi. Persoanele fizice, entităţile private şi publice
devin din ce în ce mai dependente de tehnologie cu fiecare zi ce trece.
Deşi avem tendinţa să facem această confuzie, trebuie precizat încă de la început că
internetul nu este sinonim cu reţeaua mondială de informaţii (sau aşa cum obişnuim s-o numim:
WWW) ci mai degrabă am putea afirma că WWW este principala „aplicaţie” ce rulează pe
„suportul” numit internet. Pe lângă această „aplicaţie” principală internetul reprezintă suportul de
comunicare pentru multe alte „aplicaţii” importante cum ar fi schimbul de date între diverse
calculatoare aflate la distanţă (ca de exemplu calculatoarele unor filiale ale unei bănci sau
calculatoarele de la birourile de evidentă a populaţiei din întreaga ţară precum şi alte aplicaţii cum
ar fi serviciul VOIP - voice over internet protocol oferit de diverşi operatori de telefonie).
Aspectul benefic al reţelei mondiale de calculatoare, denumită generic „internet” este de
necontestat. Această reţea asigură, printre altele, legătura permanentă a câtorva zeci de milioane de
calculatoare aflate în diferite colţuri ale lumii, ce alcătuiesc suportul logistic al reţelei mondiale de
informaţii şi asigură accesul a miliarde de utilizatori la aceste informaţii. De asemenea, aşa cum am
menţionat mai înainte, internetul asigură suportul pentru schimbul instant de date între diversele
subunităţi ale unor entităţi atât din sfera privată cât şi din cea publică. Aceste legături se realizează
instant, indiferent de distanţa fizică dintre calculatoarele ce se interconectează.
Deşi de necontestat, tocmai beneficiul ce izvorăşte din inexistenţa barierelor de timp şi
spaţiu face ca această reţea mondială să reprezinte un mediu propice pentru proliferarea unui nou tip
de terorism şi anume cel de terorism cibernetic.
1
http://en.wikipedia.org/wiki/Cyberterrorism
2
http://www.zoominfo.com/people/Collin_Barry_934379.aspx
3
http://en.wikipedia.org/wiki/Cyberterrorism
4
Soobia Afroz: Cyber terrorism — fact or fiction? (http://www.dawn.com/weekly/dmag/archive/020616/dmag21.htm)
Cadrul juridic al Uniunii Europene şi al României privind combaterea terorismului
cibernetic
Reproducem mai jos prevederile Titlului III, Capitolul II din Legea 161/2003 privind unele
măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în
mediul de afaceri, prevenirea şi sancţionarea corupţiei (publicată în Monitorul Oficial al României
nr. 279/21.04.2003):
Cât de serioasă este ameninţarea terorismului cibernetic? Să reluăm puţin cazul Estoniei.
Sistemele informatice guvernamentale şi informatice au fost paralizate timp de două săptămâni, ca
urmare a unui atac de terorism cibernetic. Bine, ar putea spune cineva, dar care este problema? Ce i-
a determinat pe experţii în securitate de la NATO, UE şi alte organisme internaţionale să aterizeze
de urgenţă la Tallinn nu a fost grija pentru aceste reţele financiar - bancare sau guvernamentale, ci
mai ales îngrijorarea în ce priveşte securitatea sistemelor SCADA (Supervisory Control and Data
Acquisition), sisteme cu implicaţii asupra infrastructurii vitale ale naţiunii.
Aceste sisteme SCADA sunt niste sisteme de control industrial dirijate de sisteme de
calculatoare şi includ, printre altele, comutatoarele reţelei de căi ferate, sisteme de tratare a apelor
uzate, sisteme de coordonare ale traficului rutier, sisteme de distribuţie a energiei electrice, sisteme
de control ale reţelei de metrou precum şi alte sisteme vitale care, exploatate de mâini criminale, pot
cauza multe victime, inclusiv decese.7
Majoritatea acestor sisteme sunt conectate la internet şi rulează pe sisteme de operare
cunoscute, utilizând protocoale de comunicare standard, bine cunoscute de profesionişti. Un atac
concertat, focusat pe aceste sisteme poate avea un efect devastator asupra siguranţei publice şi al
încrederii. Dacă teroriştii ar ataca un astfel de sistem SCADA şi ar lansa simultan atacuri cu bombe,
panica publică ar scăpa foarte repede de sub control. Dacă teroriştii ar bombarda o intersecţie foarte
circulată a unui oraş mare şi simultan ar proceda la deconectarea de la distanţă (prin intermediul
reţelei de calculatoare) a reţelei de energie electrică a unui spital din apropiere - un atac combinat,
denumit „force multiplier” în termeni militari, aceasta ar avea drept consecinţă o panică generalizată
la nivel naţional.8
Într-un articol publicat în „The Guardian”9 Dickon Ross, autorul acestui articol
argumentează, prin citarea lui Richard Clarke, preşedintele comisiei de infrastructură critică al
preşedintelui SUA, că ameninţarea teoretică a terorismul cibernetic s-a transformat în ameninţare
reală tocmai din cauza evenimentelor tragice din SUA din 11 septembrie 2001. Înainte de
evenimentele din 11.09.2001 Al-Qaida ameninţa cu atacuri asupra vieţilor omeneşti, dar după
evenimente aceasta şi -a schimbat retorica şi şi-a îndreptat ameninţările împotriva infrastructurii
economice a occidentului. Cum aceasta este foarte dispersat teritorial pentru a putea fi distrus ca
urmare a unor atacuri cu bomba, singura explicaţie viabilă este aceea că teroriştii de la Al-Qaida se
reprofilează pe terorism cibernetic. Dar nu numai Al-Qaida este interesat în a utiliza terorismul
cibernetic. Un raport CIA realizat pentru Comisia de Informaţii al Senatului SUA completează lista
celor interesaţi cu extremiştii Sunni, Hezbollah-ul şi Aleph (iniţial cunoscut ca Aum Shinrikyo,
responsabil pentru atacul cu gaz toxic din metroul din Tokyo).
Acelaşi Clarke este citat, afirmând că Irakul, Iranul, Coreea de Nord, China şi Rusia
pregătesc deja oamenii pentru lupta din spaţiul cibernetic.
Aflăm din aceeaşi sursă, că la acea dată de apariţie a publicaţiei respective preşedintele
Bush a semnat o directivă secretă de instruire a guvernului cu privire la când şi cum poate SUA
lansa atacuri cibernetice împotriva reţelelor duşmane. Pe de altă parte, aproape fiecare stat
occidental (şi nu numai) şi-a creat propriul sistem instituţional de prevenire şi combatere a
terorismului cibernetic. Inclusiv în cadrul NATO s-a creat o trupă specială de urgenţă pentru a
proteja statele membre împotriva atacurilor teroriste cibernetice10.
Toate aceste indicii ne arată că terorismului cibernetic a devenit o problemă foarte actuală
şi este foarte posibil ca in viitorul apropiat atacurile teroriste vor căpăta din ce in ce mai des o
formă nouă, dezvoltată în spaţiul virtual. Spaţiul virtual este, fără doar şi poate, prima şi cea mai
elocventă formă a globalizării şi, ca orice formă de globalizare, aceasta presupune o standardizare
7
Cyberterrorism: A look into the future, by (ISC)2 US Government Advisory Board Executive Writers Bureau
(http://www.infosecurity-magazine.com/view/5217/cyberterrorism-a-look-into-the-future/
8
idem
9
Dickon Ross: Electronic Pearl Harbor, The Guardian, Thursday 20 February 2003
(http://www.guardian.co.uk/technology/2003/feb/20/security.onlinesupplement)
10
http://news.sky.com/skynews/Home/Sky-News-Archive/Article/20080641311860
internaţională a sistemelor ce îl alcătuiesc (hardware, software, protocoale de comunicare, etc.).
Tocmai această standardizare ce permite o mai uşoară interconectare a reţelelor din toate colţurile
lumii permite teroriştilor cibernetici să dezvolte şi să pună în aplicare metode noi şi eficiente de
ameninţare, cu impact pe scară largă.
Este adevărat, că şi în această confruntare din spaţiul virtual există, pe lângă elementul
negativ şi o contraparte pozitivă. Avem, la nivel global, foarte mulţi buni specialişti de securitate
care acţionează pentru îmbunătăţirea continuă a siguranţei spaţiului virtual, dar sarcina celui care
este în poziţie de apărare este şi în acest caz mult mai dificilă decât sarcina atacatorului, pentru că
spre deosebire de atacator, care trebuie doar să identifice o singură vulnerabilitate a sistemului
informatic pentru a-şi duce la îndeplinire misiunea, cel care apără trebuie să ţină sub control toate
posibilele vulnerabilităţi ale sistemului.
Nu este de neglijat nici faptul că, spre deosebire de terorişti, care fac o pasiune din
aducerea la îndeplinire a misiunii lor, adesea sacrificându-şi inclusiv viaţa pentru a-şi atinge
scopurile distructive, experţii şi profesioniştii, deşi îşi fac meseria cu maximă seriozitate, nu sunt
fanatici care să lucreze câte 20 ore pe zi pentru o ideologie extremistă.
Trebuie avut în vedere şi faptul că internetul nu a fost proiectat iniţial în ideea unui sistem
securizat, ci mai degrabă ca un mijloc de comunicare eficientă între două puncte aflate la distanţă.
Astfel, securizarea internetului se poate efectua cel mai eficient la punctele de acces (calculatoare,
telefoane mobile, PDA-uri, etc), iar în aceste puncte de acces intervine întotdeauna factorul uman,
factor ce reprezintă cea mai mare vulnerabilitate în sistemul de securitate. Este foarte dificil de
trecut de sistemul de securitate a unui server al unei instituţii de la distanţă, dar dacă prin neglijenţa
umana ai obţinut acces în reţeaua internă a instituţiei respective, lucrurile devin mult mai uşoare. Iar
neglijenţa umană este foarte mare şi din acest punct de vedere.
Poate cel mai vital factor în combaterea eficientă a terorismului cibernetic este eficienta
previziune a evoluţiei viitoare în domeniul tehnologiei informaţiei. Teroriştii cibernetici nu vor
ataca niciodată conform aşteptărilor noastre, dacă aceste aşteptări se bazează pe cunoştinţele
tehnologice actuale. Ei vor căuta întotdeauna să exploateze vulnerabilităţile noilor tehnologii care în
faza lor incipientă nu au putut fi suficient testate. Un exemplu ar putea fi tendinţa actuală a
„centralizării” resurselor informatice, incluzând hardware, software şi baze de date, aşa numitul
„cloud computing” termen ce presupune că utilizatorul închiriază spaţiu de stocare, software şi
capacitate de procesare de la un server central şi astfel nu mai depind de limitările locale ale
calculatoarelor deţinute.
Acest lucru este foarte bun pe de o parte, pentru că individul nu va mai trebui să
investească în tehnologie informaţională, nu va mai avea probleme cu capacitatea de stocare şi nu
va mai avea grija securităţii datelor personale, calculatorul personal devenind un simplu terminal de
accesare a acelui „cloud” care oferă aceste servicii. Pe de altă parte, această globalizare a serviciilor
informaţionale poate fi o ţintă perfectă pentru orice terorist cibernetic, având în vedere că odată pus
stăpânire pe un astfel de „cloud” ameninţarea nu mai este la adresa unui individ ci devine colectivă.
Concluzii şi propuneri
Ameninţarea terorismului cibernetic tinde să devină parte din viaţa noastră cotidiană, dar
acest lucru nu înseamnă că acest fenomen trebuie să genereze teamă sau frică nejustificată în rândul
omenirii. Tratat cu maximă seriozitate, fenomenul poate fi stăpânit, pentru aceasta însă avem nevoie
de o mai bună înţelegere a acestuia şi de o schimbare de mentalitate la nivelul instituţiilor
responsabile. Aşa cum am arătat în această lucrare, guvernele ţărilor dezvoltate au luat măsuri în
acest sens, dar fiind un fenomen global, nu numai unii trebuie să acţioneze. Atacul cibernetic vine
întotdeauna dinspre veriga cea mai slabă şi din acest punct de vedere România mai are mult de
recuperat.
Citind raportul CODEXTER am realizat că România nu dispune de un cadru instituţional
adecvat de luptă împotriva terorismului cibernetic. Bineînţeles, am aderat la tratatele europene
specifice, am creat un cadru legal de formă, dar în fond nu am progresat aproape deloc. Avem prea
multe instituţii care au atribuţii în domeniul prevenirii terorismului, dar nu avem o instituţie specială
pentru gestionarea terorismului cibernetic. Cadrul legislativ nu cuprinde prevederi specifice la
această formă a terorismului, aceasta fiind tratat în cadrul general al terorismului şi nu într-un cadru
special, dedicat activităţii de terorism cibernetic.
Avem un „renume” mondial în ce priveşte hackerii români, dar tot nu vrem să
conştientizăm că dispunem de suficientă materie cenuşie să excelăm în domeniul securităţii
informaţionale, pentru aceasta fiind necesară numai canalizarea corectă a acestei inteligenţe.
Trebuie sa depăşim faza acţiunilor formale, de altfel specifice societăţii româneşti, şi măcar în acest
domeniu, unde dispunem de potenţial, să trecem la acţiuni concrete, de fond.
Savanţii din domeniul tehnologiei informaţiei au înaintat ideea că în viitorul foarte apropiat
fiecare individ va avea propria adresă IP a creierului, lucru ce pare a fi science fiction acum, dar
ţinând cont de viteza evoluţiei tehnologice nu este o informaţie ce poate neglijată. Aşa cum am
prezentat în această lucrare, anticiparea este cuvântul cheie în combaterea eficientă a terorismului
cibernetic şi tocmai de aceea trebuie luate măsuri din timp astfel încât să fie anticipate orice posibile
acţiuni teroriste pe acest segment. Cred că oricine poate conştientiza că orice vulnerabilitate
neprevăzută pe o astfel de reţea ce implică şi creierul uman poate fi fatală!
Putem însă să luăm un exemplu mai concret în ceea ce priveşte lejeritatea cu care sunt
tratate probleme foarte serioase în România. Recent a fost adoptată în Parlament introducerea
paşapoartelor biometrice11. Din totalul de 232 deputaţi prezenţi la votul final au votat „pentru” un
număr de 206 parlamentari faţă de numai 26 voturi împotrivă şi abţineri. Am fost unul dintre
militanţii fervenţi împotriva adoptării acestei legi. Nu din considerente religioase, aşa cum mare
parte a societăţii civile a făcut-o, ci din considerente de securitate a datelor.
Am arătat atunci că, datele biometrice (amprentă, iris) sunt unice şi mai ales neînlocuibile,
astfel că fără garanţia securităţii acestor date este de neacceptat prelevarea şi păstrarea lor. Nimeni
nu mi-a putut oferi garanţii cu privire la acest aspect dar au spus că e o cerinţă a Uniunii Europene
şi trebuie să ne conformăm. Încă o decizie de formă, fără să ţinem seama de consecinţele deosebit
de grave ale unor astfel de decizii pripite!
Care pot fi consecinţele acestei decizii luate în grabă, de formă, fără un studiu minuţios al
consecinţelor? Furtul de identitate este o ameninţare care, practicată la scară largă poate crea
nelinişte în cadrul societăţii. Cred că nimeni nu s-ar mai simţi în siguranţă ştiind că amprenta lui
tocmai este reprodusă prin procedee biotehnologice şi utilizată în scopuri criminale. Teroriştii care
sunt conştienţi de acest lucru îl vor utiliza în mod cert pentru acţiuni de constrângere!
Oricum, viitorul este în mâinile noastre, şi depinde numai de noi cum îl gestionăm!
Bibliografie:
1. http://en.wikipedia.org/wiki/Cyberterrorism
2. http://www.zoominfo.com/people/Collin_Barry_934379.aspx
3. Soobia Afroz: Cyber terrorism — fact or fiction?
(http://www.dawn.com/weekly/dmag/archive/020616/dmag21.htm)
4. http://www.coe.int/t/e/legal_affairs/legal_cooperation/fight_against_terrorism/3_CODE
XTER/
5. http://www.coe.int/T/E/Legal_Affairs/Legal_cooperation/Fight_against_terrorism/4_The
me_Files/Country_Profiles/Cyberterrorism: A look into the future, by (ISC)2 US Government
Advisory Board Executive Writers Bureau (http://www.infosecurity-
magazine.com/view/5217/cyberterrorism-a-look-into-the-future/
11
Lege nr.264 din 7 iulie 2009 (publicat în M.Of. nr. 487/14 iul. 2009)
6. Dickon Ross: Electronic Pearl Harbor, The Guardian, Thursday 20 February 2003
(http://www.guardian.co.uk/technology/2003/feb/20/security.onlinesupplement)
7. http://news.sky.com/skynews/Home/Sky-News-Archive/Article/20080641311860
8. Lege nr.264 din 7 iulie 2009 (publicat în M.Of. nr. 487/14 iul. 2009)