„Trei pe un fir“ ne face mai siguri, sau mai liberi? Despre costurile securităţii cibernetice
0Problema nu este una de cercetare a necesităţii unui pachet legislativ de reglementare a securităţii cibernetice, ci una de identificare a celui mai bun mod de formulare a normelor şi metodologiilor de implementare astfel încât pachetul să se dovedească a fi şi eficient. Este interceptarea comunicaţiilor un preţ corect de plătit pentru a fi protejaţi?
de Rufin Zamfir
Ministerul Comunicaţiilor şi Societăţii Informaţionale a organizat o dezbatere publică pe marginea proiectului de lege privind securitatea cibernetică. Ministrul de resort a avut, însă, doar rol de invitat, discuţiile fiind moderate de Violeta Alexandru, ministrul delagat pentru Consultare publică şi dialog social.
Demersul este unul de lăudat date fiind impactul larg al acestei legi, obligativitatea unui proces transparent de decizie mai ales în astfel de domenii şi, nu în ultimul rând, nevoia punerii bazelor unei culturi reale a dialogului stat-societate civilă. Rezultatele demersului arată, însă, că ne aflăm cu toţii la începutul unui drum lung. Cacofonia multora dintre luările de poziţie din sală şi stângăcia cu care autorităţile au răspuns, pe alocuri, sunt cu greu cuantificabile drept generatoare de clarificări în privinţa necesităţii realizării securităţii cibernetice.
Pofitând de contextul amintitei dezbateri publice, prezentăm mai jos varianta GlobalFocus de analiză SWOT a relevanţei măsurilor ce urmează a fi autorizate prin legea securităţii cibernetice în planul mai larg al realizării unei lupte eficiente împotriva ameninţărilor teroriste.
Strengths (Puncte tari):
Culegerea şi stocarea en masse a metadatelor comunicaţiilor electronice om-om, om-computer, computer-computer oferă posibilitatea creionării “portretului robot” al oricăror organizaţii teroriste. Accesarea nerestricţionată, practic, a acestor date concluzionează aproape fără dubiu asupra comportamentelor comunicaţionale (ce tip de comunicare se preferă, ce durată se preferă, de unde se comunică), lanţurilor de comunicare (cine comunică cui), se poate face harta grupării şi previziuni asupra evoluţiei spaţiale a acesteia (unde sunt poziţionaţi cei care comunică, către ce se îndreaptă), se poate face o evaluare a poziţiilor ocupate de comunicatori în interiorul organizaţiei (ierarhia organizaţiei/grupării). Cu sprijinul unui aparat analitic antrenat, chiar şi în România unde setul de date colectate ar fi mult diminuat faţă de occident, se poate restrânge foarte mult cercul de potenţiali utilizatori ai unui anumit canal de comunicare, se pot obţine date importante care să conducă la identificarea lui (dacă în fiecare an pe 29 februarie, numărul de telefoane pe care le primeşte este triplu decât în oricare altă zi din an, sunt şanse mari să fi aflat ziua de naştere a utilizatorului).
Ataşarea unor date personale la achiziţionarea unei cartele pre-pay restrânge munca de identificare a potenţialului utilizator al acesteia, reducând costurile muncii de culegere de informaţii (mai puţine mijloace umane şi logistice implicate în procesul de culegere).
Weaknesses (Puncte slabe):
Principalul punct slab, cel care se vede imediat, reiese din evaluarea momentului în care măsura devine eficientă în planul securităţii naţionale. Cantitatea copleşitoare de metadata de comunicare reţinute este utilă abia în pasul doi, după ce actul terorist s-a consumat, după ce efectele materiale, umane, psihologice nu mai pot fi remediate. Fără un aparat uman de culegere, sortare şi analiză a informaţiilor care să indice – măcar generic – unde anume trebuie căutată informaţia, fără formularea unui plan de căutare a informaţiilor, fără eficientizarea unui mecanism de punere în comun a informaţiilor captate de diferite instituţii ale statului cu atribuţii în asigurarea securităţii naţionale, măsura este ineficientă mergând până la a genera efecte dintre cele mai nocive (imaginaţi-vă un aparat uman care aşteaptă – din varii motive – ca un ansamblu maşină “să-i spună” ce să facă pentru a preîntâmpina, de exemplu, un atac terorist).
Stocarea unei cantităţi imense de metadate (la nivelul lui 2014 în România erau 9,4 milioane de abonamente GSM şi 12,9 milioane de cartele pre-pay; trageţi aer în piept şi imaginaţi-vă care este fluxul de comunicare între aceste terminale doar, fără a mai socoti şi comunicaţiile prin INTERNET) implică, în primul rând, investiţii pe măsură (de la logistica dislocată, la structura hard necesară, la mijloace materiale şi umane de asigurare a datelor stocate, reglementări noi în materie etc.). Fără a mai fi nevoie să aşteptăm un set de date autohtone de analizat, putem face o extrapolare a celor despre aparatul SUA în materie, făcute publice de către Edward Snowden: bugetul “negru” pe 2013 la dispoziţia NSA (National Security Agency, gestionarul metadatelor culese în SUA) era de 10,3 miliarde de dolari, iar rezulatul palpabil până la acest moment al măsurilor întreprinse de această agenţie este un singur caz (!) de terorism trimis în judecată (Basaaly Moalin, de origine somaleză, condamnat pentru susţinerea mişcării Al Shabab cu 8.500 de dolari!).
Aproape fără excepţie, toate atacurile teroriste date pe tărâm occidental în ultimii 15 ani au fost comise de indivizi deja cunoscuţi structurilor de forţă şi asupra cărora s-au derulat măsuri de supraveghere a comunicaţiilor. Unul dintre atacatorii de la Charlie Hebdo a fost încarcerat pentru că recruta jihadişti care să lupte alăturii de Al Qaeda. Celălalt era cunoscut pentru vizitele în Yemen unde se antrenase alături de Al Qaeda în Yemen şi studiase alături de Umam Farouk Abdulmutallab, la rândul lui arestat şi interogat de FBI în 2009. Creierul atacurilor sinucigaşe din Londra din 2005 era cunoscut pentru legăturile cu terorişti, la fel atacatorii din Mumbai din 2008, la fel Dzhokar Tsarnaev, unul dintre teroriştii acuzaţi pentru atacul cu bombă de la maratonul din Boston, 2013. Ce a împiedicat evitarea dezastrelor nu a fost lipsa datelor, ci dificultatea compilării lor şi formulării unor concluzii pertinente în lipsa unui aparat uman bine pregătit şi motivat.
Accesarea acestor date fără prezentarea unui aviz obţinut de la o instanţă judecătorească (art. 20, lit. d) aduce cu ea riscul slăbirii vigilenţei aparatului uman de intelligence, preocupat de a formula infailibil acea “justificare pertinentă” şi mai puţin de a discerne care sunt premisele reale pentru o asemenea solicitare. Evident, riscul apariţiei unor abuzuri – mai ales în contextul în care proiectul de lege nu formulează nici o recomandare, măcar, legată de întărirea/existenţa unui mecanism de verificare – creşte proporţional cu uşurinţa formulării acestor “justificări pertinente”.
Obligativitatea oferirii datelor personale la achiziţia unei cartele pre-pay nu poate fi, cel puţin în România, o măsură eficientă în combaterea unor ameninţări la adresa securităţii naţionale. Dacă este să amintim doar un episod de la începutul anilor 2000, momentul de maxim al aplicării pentru cetăţenie română de către cetăţenii moldoveni, în care secţiunea de mică publicitate din ziare era plină de oferte de “luare în spaţiu” fictivă, putem să ne închipuim cât de uşor va fi în România să obţii o cartelă înregistrată pe numele altcuiva.
Opportunities (Oportunităţi):
Oportunităţile pe care adoptarea unor măsuri de tipul celor analizate aici le generează sunt legate în special de consolidarea imaginii aparatului de intelligence român în faţa partenerilor externi (SUA se distinge). Fiind, teoretic, mai în măsură să furnizăm răspunsuri la solicitări exprese (produs al aparatelor de intelligence externe, nu al analiştilor autohtoni), vom ajunge în scurt timp la o mai bună colaborare cu aceşti parteneri externi. Disponibilitatea unei asemenea resurse de informaţii, chiar şi în lipsa unui aparat uman adecvat dimensionat şi care să şi poată face ceva cu ea, va conduce la creşterea profilului de cyber guardian al României. Nu în ultimul rând, adoptarea unui asemenea cadru lax va justifica solicitarea de sprijin extern în ce priveşte investiţiile de asigurare a bazei materiale şi de specializare/profesionalizare a corpului de experţi români.
Threats (Ameninţări):
Adoptarea unei legislaţii permisive în domeniul reţinerii şi apoi accesării metadatelor comunicaţiilor impune adoptarea unor reguli/legi noi în privinţa protecţiei şi luptei împotriva abuzului. Cu cât accesul la astfel de date este facilitat de coborârea palierului ce îl aprobă (cu atât mai mult cu cât el ar fi lăsat la îndemâna structurilor interne), cu atât mai mult apare tentaţia unor abuzuri. Un astfel de cadru trebuie dublat de punerea la punct a unui mecanism de verificare permanentă a celor cu acces la astfel de date, nu periodică aşa cum sunt practicile actuale. Acest nou proces permanent va modifica considerabil costurile informaţiei.
Încălcarea dreptului la viaţă privată devine extrem de uşor de realizat. –
vezi argumentaţiile oferite de Curtea Europeană de Justiţie în 2014, atunci
când a invalidat pachetul European de legi similare.
Manifestări de tipul “controlled whistleblowing” atunci când sunt constatate
încălcări flagrante ale legilor statului, trebuie facilitate. Dacă se menţine
cadrul actual, în care aceste sesizări sunt făcute tot în cadrul sistemului de
securitate (sistem care – ipotetic vorbind – îi adăposteşte şi pe cei care au
încălcat legile) şi nu se caută o posibilitate ca aceste sesizări să fie
adresate, spre exemplu, Comisiei de Spraveghere a Activităţii SRI, sau
CSAT-ului, va fi greu spre imposibil să se oprească orice fel de abuz.
Evaluarea scorului analizei SWOT arată că un pachet de legi care să faciliteze autorităţilor accesul masiv la metadatele de comunicare generează mai multe costuri decât beneficii. În mod paradoxal, cei care plătesc pentru aceste costuri nu sunt teroriştii, pentru că aceştia doar vor fi nevoiţi să găsească metode mai ingenioase de evitare a capcanelor întinse de autorităţi (aşa cum se întâmplă deja).
Decizia de supralegrementare a unui domeniu precum comunicaţiile, în contextul multitudini de canale prin care aceasta se face, a dezvoltării lor imposibil de cuantificat şi controlat, denotă o abordare rigidă şi o lipsă de înţelegere a dimensiunilor domeniului, până la urmă.
*Articolul este varianta editată a postării originale din data de 12.02.2016.