Securitate? Libertate? Limitele şi costurile sistemelor de supraveghere în masă

FP România nr 46 (iunie/ iulie 2015)

Pentru evaluarea rolului securităţii cibernetice în interiorul frontului mondial împotriva terorismului, 2015 este un punct de cotitură. De Rufin Zamfir

Articol din dosarul de copertă al ediţiei FP România nr. 46 (iunie/ iulie 2015) 

La aproape 15 ani de la legislaţia americană botezată Patriot Act şi începutul epocii moderne de supraveghere a comunicaţiilor electronice prin colectarea în masă a urmelor lăsate de acestea în spaţiul virtual, o analiză a eficienţei „supravegherii” în planul securităţii mondiale dar şi a efectelor nedorite asupra libertăţii individului este necesară.

În momentul formulării, după 9/11, a măsurii de reţinere în masă a metadatelor comunicaţiilor electronice, în cadrul faimoasei şi controversatei Secţiuni 215 din Patriot Act, Al Qaeda era o structură organizată pe verticală, cu Osama bin Laden la vârf, secondat de consiliul consultativ. Acest tip de organigramă oferea premisele unor bune rezultate pentru sistemul american de mass surveillance, organizat ca un domino: porneai de la câteva date sumare (un nume, un număr de telefon, un loc), care generau alte conexiuni, care generau alte conexiuni şi tot aşa. Imediat după invazia americană din Afganistan, însă, Al Qaeda operează o schimbare internă majoră, descentralizându-se şi răspândindu-se dincolo de graniţele Afganistanului şi Pakistanului (cu celule în aproape 60 de ţări). Delegarea operaţionalizării deciziilor către paliere din ce în ce mai joase, adesea către celule de 5-6 oameni, de cele mai multe ori necunoscute una alteia şi care acţionează după un calendar propriu, a împiedicat apariţia rezultatelor aşteptate de la supravegherea în masă. Lipsit de captarea de informaţii prin mijloce umane (HUMINT), avantajul tehnologic al Vestului (signals intelligence - SIGINT) s-a dovedit futil.

Ce s-a întâmplat la Charlie Hebdo, mai mult decât să-i sublinieze necesitatea, exemplifică dureros incapacitatea unui sistem de mass surveillance de a opri la timp şi cu eficienţă orice tip de acţiune teroristă. În 2013, presa franceză a publicat documente din arhiva sifonată în presă de Edward Snowden care arătau că, doar într-o lună, NSA obţinuse 70 milioane (!) de înregistrări ale metadatelor unor convorbiri telefonice din Franţa. Toate acestea nu i-au putut opri pe fraţii Kouachi de la înfăptuirea actului terorist (deşi o multitudine de alte semnale justificau măsuri urgente şi ar fi putut fi asociate unei investigaţii eficiente în mediul virtual). S-ar putea dovedi eficientă, însă, în clarificarea situaţiei lui Hayat Boumeddiene, femeia care l-ar fi sprijinit pe Amedy Coulibaly, atentatorul de la un magazin alimentar evreiesc din Paris, sincronizat cu cel de la Charlie Hebdo. Cine se încumetă să spună că o măsură care nu a putut preîntâmpina acte teroriste dar ar putea să facă lumină în trecutul unei femei ce şi-ar fi sprijinit soţul în derularea unui astfel de act poate fi calificată ca una eficientă?

Cine poate controla fenomenul paradoxal al specializării teroriştilor, nevoiţi să înveţe „zborul sub radar” pentru a evita sistemul de monitorizare a convorbirilor, deci urmele pe care le lasă în spaţiul virtual?

Nu poţi găsi pe cineva dacă nu îl cauţi.

Orice nou atentat la securitatea şi viaţa oamenilor determină, instinctual, reacţia guvernelor de a impune noi măsuri de protecţie în forţă, cu impact vizual dar care, de cele mai multe ori, doar crează impresia de siguranţă, nu şi un climat de siguranţă mai bun. Ca exemplu, după 9/11, dispozitivele militare desfăşurate în aeroporturi (forţe de securitate, screening) sporesc sentimentul de siguranţă şi control. În realitate, culegerea de informaţii relevante prin HUMINT, interpretarea lor corectă şi coroborarea cu altele sunt aproape în totalitate cauzele care au condus la oprirea unor atacuri teroriste pe aeroporturi. Culegerea de informaţii în profunzime despre un set restrâns de „ţinte” identificate ca atare în analizele experţilor din intelligence, şi mai puţin de un algoritm aplicat unei baze de date „de dimensiuni orweliene” (sintagma aparţine judecătorului federal american Richard Leon, care în 2013 a declarat măsura drept neconstituţională), este cea care a ajutat la prevenirea unor catastrofe de dimensiuni comparabile cu cele de la World Trade Centre din New York. 

Fără să poată proba utilitatea şi necesitatea în planul luptei antitero a măsurilor de supraveghere în masă a comunicaţiilor electronice – în ultimii mai bine de 13 ani în care măsuri ce au costat câteva zeci de miliarde de dolari au condus la trimiterea în judecată şi condamnarea unui singur individ –, Congresul american se pregăteşte să analizeze păstrarea în vigoare a Patriot Act şi după 1 iunie, când prevederile legii expiră. Preşedintele Obama, semnatar în 2005, în calitate de senator, a unei scrisori care atrăgea atenţia asupra abuzurilor pe care aplicarea măsurii fără obţinerea prealabilă a acordului unei instanţe juridice (cam cum se dorea în proiectul respins de Curtea Constituţională a României) le generează, are de înfruntat o majoritate republicană dornică să menţină controlul discreţionar asupra metadatelor comunicaţiilor, fie şi prin diluarea măsurilor în mai multe acte normative.

În acelaşi timp, în Europa occidentală, superputeri precum Germania şi Marea Britanie trec prin anchete la cel mai înalt nivel care scot la iveală neprincipialitatea utilizării rezultatelor măsurilor de colectare în masă a metadatelor comunicaţiilor în spaţiul virtual al statelor lor. Franţa, încă afectată de atrocităţile de la începutul acestui an, tocmai a adoptat o nouă lege a securităţii cibernetice care a atras deja acuze vehemente în medii civile cum că un instrument care ar trebui să sprijine democraţia – aşa cum este supravegherea când ţinta ei este identificată strict, când este exercitată cu măsură şi arbitrată de o instanţă juridică competentă – este transformat într-un instrument în sprijinul puterii. Lipsa de transparenţă şi sfidarea prin refuzul de a prezenta garanţii suplimentare împotriva unor abuzuri sunt combustibilul care alimentează convingerea oponenţilor că niciun guvern care are la îndemână o rezervă practic nelimitată de date nu se va putea abţine de la a o folosi împotriva adversarilor politici, a protestatarilor sau a vocilor societăţii civile.

Cum să controlezi un rău necesar

La modul ideal, încredinţarea gestiunii unei asemenea baze de date unui terţ – un fel de organism hibrid care să cuprindă o parte statală, din zona serviciilor speciale şi/sau administrative, dar şi o parte privată, din zona operatorilor de servicii de comunicare – ar putea să aducă necesara garantare a utilizării cu înţelepciune şi în deplină concordanţă cu drepturile cetăţenilor a acestui sistem. 

Completarea necesarului pachet legislativ dedicat securităţii cibernetice cu reglementări în privinţa reţinerii metadatelor trebuie dublată de noi prevederi legale şi regulamentare în privinţa protecţiei/ luptei împotriva abuzului. Un sistem de mass metadata retention implică o verificare continuă a celor care au acces la datele reţinute, dar şi a celor care sunt beneficiari ai acestor date.

Un sistem de mass metadata retention implică o verificare continuă a celor care au acces la datele reţinute, dar şi a celor care sunt beneficiari ai acestor date.

„Transparenţa responsabilă” a procesului (oricât de forţat ar suna sintagma) este esenţială: spre exemplu, legea ar putea să permită furnizorilor de servicii de comunicaţii să facă publice, periodic, unor date precum: numărul de solicitări primite, categoriile generice de informaţii solicitate (telefonie, internet etc.), numărul de persoane care au făcut obiectul cercetărilor. Altfel, presiunea exercitată asupra angajaţilor de importanţa activităţii derulate poate creşte tentaţia de a sustrage astfel de date şi a le „scăpa” în medii necontrolate/ ostile. 

Nu ar trebui ignorat că, pe lângă investiţia în structura hard necesară stocării datelor, în mijloacele şi metodele de asigurare a integrităţii fizice a acestei structuri (costuri pe care operatorii le vor transfera către populaţie dacă nu vor fi preluate măcar în parte de state), cheltuielile permanente generate de aceste măsuri modifică substanţial costul reţinerii datelor ca mijloc în munca de informaţii.

Într-o epocă în care indivizii îşi oferă voluntar şi gratis, pe platformele de socializare, informaţii despre viaţa privată similare celor la care se poate ajunge prin analiza metadatelor comunicaţiilor, evaluarea eficienţei economice a reţinerii urmelor electronice ale tuturor interacţiunilor om-om, om-computer, computer-computer este un demers necesar, care trebuie să închidă analiza eficienţei măsurii în planul securităţii mondiale.

Rufin Zamfir este analist la Centrul GlobalFocus, specializat pe zona Balcanilor şi chestiuni de securitate-intelligence.