Mediji su ovih dana posvetili dosta pažnje izjavi Leona Panete, američkog ministra odbrane, a ranijeg direktora CIA, koji je nedavno upozorio da se Sjedinjene Američke Države suočavaju sa mogućim sajber napadom u rangu Perl Harbora. Vest koja nije dobila publicitet u medijima, barem domaćim u Srbiji jeste pojava Talinskog priručnika (engl. Tallinn Manual), koji je pripremila nezavisna „Grupa međunarodnih eksperata" na poziv NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence). Ovaj priručnik, koji je rezultat trogodišnjeg rada ekipe stručnjaka, naročito pažljivo se bavi pitanjem kako se postojeće norme međunarodnog prava primenjuju na ovaj „novi" oblik ratovanja. Trenutno je raspoloživ nacrt, a do kraja godine bi trebalo da se pojavi i finalna verzija.
Računarski Pearl Harbor
Najave Leona Panete su delovale dosta dramatično. On je upozorio da je zemlja veoma podložna stranim računarskim hakerima koji bi mogli da blokiraju rad i poremete vitalne sisteme: elektro-mrežu, vodosnabdevanje, sistem transporta, finansijske sisteme i vladu. Paneta je u svom izlaganju pomenuo i na napad u avgustu na državnu naftnu kompaniju "Saudi Aramko" kada je zaraženo više od 30.000 kompjutera, zbog čega su bili potpuno neupotrebljivi.
Link na izlaganje Leona Panete.
Mnogi podsećaju na napad protiv firme RSA koji još nije razjašnjen do kraja ili barem nema zvaničnih informacija o tome. U tom napadu su, spekuliše se, ukradeni delovi izvornog koda za sisteme kontrole pristupa i autentifikacije (provere identiteta) ove velike i značajne firme, koji se koriste i za vrlo osetljive sisteme. Neke od ovih proizvoda koriste i najveći vojni snabdevači američke vojske, banke i druge finansijske institucije, velike korporacije i mnogi kritični sistemi. O incidentu i njegovim mogućim ozbiljnim posledicama sam pisao ranije u tekstu RSA - opasna radoznalost.
Njujork tajms ukazuje da su SAD, iako to nikada nisu zvanično priznale, i same protiv svojih protivnika organizovale sajber napade i da je predsednik Obama na početku svog mandata naredio sofisticirane napade na računarske sisteme koji upravljaju glavnim iranskim nuklearnim postrojenjima.
Izvori i poreklo nekih od najsofisticiranijih računarskih napada, koji su preduzeti do sada, su često nejasni i većina je, barem javno, u nivou medijskih spekulacija. Međutim, gde je precizno mesto i uloga ovakvih napada u prostoru međunarodnog prava, spoljne politike i mogućeg ratnog sukoba, je i dalje predmet ozbiljnih debata.
Posebno važno pitanje je koja vrsta računarskog napada je ekvivalentna tradicionalnom oružanom napadu i kada ona može izazvati vojni odgovor.
Odgovor na ovo pitanje je potražen od strane međunarodne grupe eksperata.
Tallinn Manual
Vest koja nije dobila naročito veliki publicitet u medijima, barem u Srbiji, jeste pojava Talinskog priručnika (engl. Tallinn Manual), koji je pripremila grupa međunarodnih eksperata na poziv NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence). Ovaj priručnik, koji je rezultat trogodišnjeg rada ekipe stručnjaka, se posebno pažljivo bavi pitanjem kako se postojeće norme međunarodnog prava primenjuju na „novi" oblik ratovanja.
Iako „neobavezujući" i više referentnog značaja, ovaj priručnik nudi autoritativno tumačenje prirode i odnosa postojećih međunarodnih zakona na sajber ratovanje. On praktično nudi pravne smernice napadačima, onima koji se brane i pravnim ekspertima, kako i kada računarski napadi mogu da se klasifikuju slično kao oružani napadi, u pogledu važećih međunarodnih zakona. Izraz „oružani napad" ima precizno značenje u međunarodnom pravu i ne mogu svi računarski, pa čak i ozbiljniji, napadi da se podignu na nivo oružanog napada. Definicija ove granice je izazov koji Talinski priručnik pokušava da definiše i razreši, ali ovaj delikatni proces će očito još prilično trajati. Ono što je sigurno je da će u budućnosti konvencionalni ratovi uvek biti praćeni i računarskim ratom, odnosno oni to već neko vreme jesu.
Računarski napadi već služe da potpomognu vojne kampanje, ali pitanje je koji je to nivo računarskog napada koji može izazvati klasičan vojni odgovor? Nije lako odrediti granicu, kao ni da li takav odgovor uopšte ima uporište u pravu. Takođe, obično nije lako odrediti ni poreklo odnosno izvor računarskog napada tj. odakle je on tačno lansiran, kao i ko iza njega stoji. Ovo može dovesti do brojnih nedoumica, proizvoljnosti, pogrešnih tumačenja, pa i zloupotreba sa tragičnim posledicama. Mogu stradati i oni koji sa konkretnim napadom nemaju nikakve veze. Moguće je čak i namerno lansiranje napada sa tuđe teritorije korišćenjem prethodno zaraženih računara i time „podmetanje" drugima.
U junu je, u Estoniji, održana konferencija CyCon 2012, sponzorisana od strane NATO-a, na kojoj se diskutovalo o ovoj tematici. Jedan oficir je tom prilikom rekao prisutnima da je određivanje granice rata u sajber prostoru više politički nego pravni koncept. Standardi dokazivanja koji važe u krivičnom pravu se ne primenjuju baš na isti način u vojnim i obaveštajnim operacijama. Dodao je da teškoće da se pouzdano prati napad do izvora zahtevaju da se koriste i druge metode i izvori, koji kombinovani daju „jasan mozaik odgovornosti." Otkrivanje ko je finansirao aktivnost ili obezbedio uputstva učesnicima odnosno izvršiocima, po njemu, nekada može biti dovoljno da se odredi odgovornost, pa i preduzmu dalje mere.
U pokušaju da razlučim šta je računarski rat, onako kako je definisano međunarodnim pravom i od strane UN, krenuo sam da čitam Talinski priručnik (tj. njegov nacrt). To je prilično veliki dokument koji ima 215 strana i nisam izdržao čitanje do kraja. Međutim, već u početnom delu se mogu naći reference na fizičku i kinetičku silu (engl. kinetic force) i narušavanje suvereniteta (napad na suverenitet druge zemlje) radi pravljenja štete. Interesantno je da međunarodna grupa eksperata nije mogla da se složi u nekim pitanjima, kao npr. da li postavljanje zlonamernog koda koji ne proizvodi fizičku štetu predstavlja napad na suverenitet.
Dalje čitajući, postaje jasno da su potrebna dva elementa da bi se nešto zvalo računarski ili sajber rat: narušavanje suvereniteta koje izaziva fizičku štetu i/ili upotrebu sile. Iz ovog dokumenta proističe da računarski rat ima nužnu kinetičku komponentu koja rezultira kršenjem suvereniteta i konačno gubitkom života.
Ostatak priručnika čini skup pravila koja bi trebala da objasne tj. da pomognu u razumevanju koja pravila postojećeg međunarodnog prava važe u sajber prostoru.
Za one koje zanima ovo je link na Tallinn Manual.
Otvorena pitanja
Mnoga pitanja su otvorena. U avgustu ove godine, zakon o sajber bezbednosti, koji je bio prioritet američke administracije u oblasti nacionalne bezbednosti, blokirala je grupa republikanaca, sa argumentacijom da bi to bilo preveliko opterećenje za korporacije. Naime, taj novi zakon bi zahtevao i nove standarde za ključna infrastrukturna postrojenja, kao što su elektrane, vodovodi i gasovodi, a gde bi računarski napadi mogli da izazovu ozbiljne gubitke i štetu. Pitanje je kolika je uloga politike i krupnog biznisa u celoj ovoj situaciji.
Na Internetu su se pojavila i tumačenja da je na sceni pokušaj donošenja zakonske regulative koja bi opravdala vojne udare po zemljama za koje USA i neke druge zemlje tvrde da pomažu i odobravaju računarske napade.
Drugi, pak, kažu da je u pitanju i bitan element unutrašnje političke borbe u američkoj predsedničkoj kampanji.
Ima i mišljenja da je to pokušaj širenja straha i dobijanja dodatnih para u vojni budžet.
Ostaje da pratimo situaciju i vidimo ko je u pravu.
Dodatak
Prepirka na relaciji US (House Permanent Select Committee on Intelligence, the Committee) - Kina (Huawei, ZTE):
• US committee: "China's Huawei and ZTE pose national security threat"
• Statement regarding HPSCI's report
Napomena:
Nadam se da će pravnici na ovom blogu dati doprinos diskusiji, obzirom da je ovo materija i za njih, možda i više nego za nas sa tehničkim obrazovanjem.