Objavljeno 15. svibnja, 2021.
Vezani članci
TEMA TJEDNA: SKRIVENI I OPASNI INTERNET (I)
Prije gotovo dvije godine, u okviru NATO programa, prihvaćen je projekt doc.dr. sc. Dunje Duić s Katedre za ustavno i europsko pravo Pravnog fakulteta u Osijeku, naslovljen "Ususret učinkovitoj kibernetičkoj obrani u skladu s vladavinom prava".
POSTIĆI USKLAĐENOST
Što se u međuvremenu događalo s tim projektom, s njegovom provedbom u praksi?
- U okviru NATO programa "Znanost za mir i sigurnost" bila sam voditeljica projekta naslovljenog "Ususret učinkovitoj kibernetičkoj obrani u skladu s vladavinom prava". Projekt je bio namijenjen vojnim i civilnim pravnim savjetnicima u oružanim snagama, odvjetnicima sigurnosne zajednice, civilnim odvjetnicima na državnim sigurnosnim mjestima, stručnjacima za politiku koji savjetuju o kibernetičkim problemima i studentima.
Kao voditeljica projekta i vanjski ekspert za sigurnosna pitanja EU-a, bila sam pozvana uz ostale vanjske sudionike biti dio vojne vježbe Cyber Coalition kojom se upravljalo iz NATO-ovog kibernetičkog poligona u estonskom gradu Tartuu. Cyber Coalition podrazumijeva testiranje operativnih i pravnih postupaka, razmjenu informacija i rad s industrijom i partnerima u potpori savezničkih i nacionalnih sposobnosti kibernetičke obrane. Osmišljeni scenariji prilagođavaju se trenutačnoj situaciji i mogućim ugrozama koje bi se mogle dogoditi u području djelovanja oružanih snaga bilo koje od zemalja sudionica. Cilj mog sudjelovanja bio je pravnim savjetnicima iz područja kibernetičke obrane pomoći u aspektima vezanim uz europsko i međunarodno pravo te njihovoj primjeni u slučaju kibernetičke sigurnosti, kao i razrješavanje nekih od složenih pravnih pitanja koja se odnose na provedbu kibernetičkih operacija. Dodatno, projekt je bio temelj za objavu knjige kod međunarodnog priznatog izdavača IOS PRESS, koja je namijenjena praktičarima i znanstvenicima: Toward Effective Cyber Defense in Accordance with the Rules of Law.
Problemom sigurnosne politike bavite se i u svojoj knjizi iz 2018. (Vanjska i sigurnosna politika Europske unije). Tri godine kasnije, kakva je danas sigurnosna politika EU-a, uzimajući u obzir sve izazove, i fizičke i virtualne, koje je nametnula pandemija i koronakriza?
- Tri godine poslije u pogledu vanjske i sigurnosne politike možemo reći da svakako jača aspekt obrambene politike, posebice povezivanja obrambene politike i unutarnje sigurnosti vezana uz pitanja kibernetičke sigurnost. EU ima niz kibernetičkih strategija koje su u različitim fazama provedbe. Iako su te strategije plod koherentnog pristupa koje uključuju unutarnje i vanjske aspekte obrane i sigurnosti, punu usklađenost između svih nacionalnih i EU institucija, mreža i agencija koje su uključene u postupak tek treba u potpunosti postići. Nadležnosti EU-a u pitanjima kibernetske sigurnosti koje dolaze s područja unutarnjeg tržišta pokazuju operativnost kroz aktivnosti poput onih Agencija Europske unije za kibersigurnost (ENISA) i CERT-a. Suprotno tome, Zajednička sigurnosna i obrambena politika (nap.a. vojska), ostaje uglavnom u sferi isključive nadležnosti država članica. Nacionalne vlade nerado se odriču suvereniteta i usvajaju rješenja EU-a, iako se to polako mijenja s Europskim fondom za obranu kojim upravlja nova Komisija za obrambenu industriju i svemir (DEFIS). U tom smislu, interesi nacionalne sigurnosti država članica EU-a ne mogu se smatrati izoliranima od ciljeva kibernetičkih strategija na razini cijele Unije, međutim, potrebno je raditi na međusobnom poštivanju, usklađivanju i povjerenju.
SLOBODA IZRAŽAVANJA?
S tim u vezi, europarlamentarci su 28. travnja ove godine usvojili zakon za sprječavanje širenja terorističkog sadržaja na internetu. Vaš komentar?
- Parlament je u svom drugom čitanju, 28. travnja 2021. godine, usvojio Uredbu Europskog parlamenta i Vijeća o sprječavanju širenja terorističkih sadržaja na internetu. Prijedlog Uredbe Europska komisija prvi put predstavila je u rujnu 2018., nakon poziva čelnika EU-a. Parlament i Vijeće postigli su politički sporazum o ovom pitanju u prosincu 2020. Uredba bi trebala stupiti na snagu uskoro, nakon objave u službenom listu, dok se primjena Uredbe odgađa za 12 mjeseci od objave. Sukladno Uredbi, države članice morat će odrediti nacionalno nadležno tijelo za provedbu i dostaviti ga Europskoj komisiji. Nakon što nacionalno tijelo označi teroristički sadržaj, nalog za uklanjanje poslat će se internetskim platformama koje će imati sat vremena da ga izbrišu, ili će biti onemogućen pristup toj platformi iz svih država članica EU-a. Uredba cilja na materijale poput tekstova, slika, zvučnih zapisa ili videozapisa, uključujući prijenos uživo, koji potiču ili pridonose terorističkim djelima, pružaju upute za takva kaznena djela, ili poziva ljude da sudjeluju u terorističkoj skupini. Primjerice, ideja je ukloniti sadržaj koji pruža smjernice za izradu i uporabu eksploziva, vatrenog oružja i drugog oružja u terorističke svrhe. Iako je cilj Uredbe u skladu s načelima EU-a i kibernetičkim strategijama, postoji niz kritika vezanih uz provedbu Uredbe i zadiranje Uredbe u temeljna ljudska prava. Uredba ne predviđa sudsku kontrolu, stoga će biti upitna opresivnost i izvršenje naloga za uklanjanje. Dodatno, transnacionalni opseg naloga za uklanjanje prijete slobodi izražavanja. Konačno, rok od jednog sata svakako predstavlja problem za male platforme, gdje je ponuđeno rješenje da se tvrtke, koje nikada nisu dobile nalog za uklanjanje, treba kontaktirati 12 sati prije izdavanja prve naredbe o uklanjanju sadržaja i od nadležnog tijela dobiti informacije o postupcima i rokovima. Velik je teret i na međusobnoj komunikaciji država članica, tj. nacionalnih tijela, i tu vidim možda i najveći problema, s obzirom na to da države članice ne postižu ujednačen stupanj borbe za kibernetičku sigurnost na nacionalnoj razini. Potrebno je u ovom pitanju, ali i ostalima, ojačati nacionalne kapacitete.
Da bi savladala hibridne prijetnje, Unija mora riješiti koncept koji je povezan s mapiranjem tih prijetnji kako bi se lakše provodile ciljane i učinkovite protumjere. Iako je Europska unija dobro postavila stratešku vrijednost, mnoge konkretne mjere koje predviđaju strategije i dalje su neodređene, stoga uz sve potencijalne manjkavosti ovaj prijedlog Uredbe svakako predstavlja korak naprijed u borbi protiv kibernetičkih prijetnji.
(D.J.)
ROMAN DOMOVIĆ
HRVATSKA PRATI SVJETSKE TRENDOVE
Sigurnost se počela razvijati još sedamdesetih u okviru ARPANET-a, preteče interneta, i razvija se cijelo vrijeme. Problem je što su i napadači stručnjaci: pametni i inventivni, vješti programeri, izvrsni poznavatelji mreža i općenito računalne tehnologije. Razvoj interneta prati stalna borba napadača i obrane i tako će biti i ubuduće. Stopostotna sigurnost ne postoji i koliko god radili na obrani, uvijek je izgledno da će se u nekom trenutku negdje dogoditi uspješan kibernetički napad - kaže dr. sc. Roman Domović, viši predavač na Tehničkom veleučilištu u Zagrebu i potpredsjednik Instituta za istraživanje hibridnih sukoba.
Kibernetička sigurnost, koliko je ispred hakera i internetskog kriminala...? Čini se da su hakeri uvijek korak ispred...?
- Tako proizlazi kada znamo da su uspješni kibernetički napadi učestali unatoč velikim ulaganjima u sigurnost. Napadači su ispred jer mogu birati vrijeme, mjesto i metodu napada, osmisliti ili izabrati bilo koji napad na bilo koga. Zato svi, pa i krajnji, privatni korisnici, moraju poznavati sigurnosne smjernice na internetu baš kao što pješaci moraju poznavati sigurnost u prometu. Najvažnije jest poznavati glavne metode socijalnog inženjeringa da se ne bi postalo žrtva prijevare preko npr. zavaravajućeg e-maila, a roditelji trebaju poznavati zamke postavljene za djecu. Na poslovnoj i javnoj razini kakva je npr. državna kritična infrastruktura, organizacija obrane ovisi o veličini tvrtke ili institucije, financijskom ulaganju u sigurnost i poslovnim odlukama vezanim uz to. Ovdje ključnu ulogu u obrani od kibernetičkih napada imaju analitika, predviđanje, prevencija i posebno edukacija zaposlenika. No čak i uz znatna ulaganja teško je pokriti sve tzv. ulazne točke u sustavu preko kojih se može napasti jer obrana ima ograničene resurse. Poseban su problem tzv. zero day situacije kad napadač otkrije i iskoristi ranjivost u sustavu, a tu ranjivost stručnjaci za sigurnost spoznaju tek nakon što napad počne ili nakon što uspije.
ŠPIJUNAŽA I NAPADI
Kako se boriti protiv tzv. dubokog weba, čiji sadržaj nije dostupan preko konvencionalnih alata...?
- Stvarni svijet preslikao se u virtualni. Duboki web ili tamni web je virtualno podzemlje. Ljudi s druge strane zakona koriste tehnologiju za antisocijalna djela. S vremena na vrijeme dogode se uspješne akcije protiv dijelova dubokog weba u čemu je recimo uspješan američki FBI, ali onda se stvaraju nova mjesta. S tim da i osobe i organizacije koje stoje iza takvih mjesta osmišljavaju nove metode preko kojih bi što dulje ostali neotkriveni tako da se vraćamo na stalnu borbu između svijetle i tamne strane interneta.
Koliko je tzv. internetsko podzemlje stvarna ugroza za državu općenito?
- Kako za koju državu, ali opasnost postoji. Iza jako opasnih hakerskih grupacija mogu stajati i države. Međudržavni kibernetički sukobi konstanta su više od deset godina. Prošle godine izveden je vrlo sofisticirani kibernetički napad, zapravo špijunaža, na podatke američke savezne vlade. Mjesecima je bio neotkriven iako su korišteni razni vektori napada i razne mete. Napadom nije bila zahvaćena samo američka vlada nego npr. i Europski parlament. Upravo dok razgovaramo traje napad ucjenjivačkim programom na najveći američki naftovod koji je zbog toga isključen. Napadač, grupacija DarkSide, objavila je da to radi isključivo zbog financijskog dobitka, bez ideološke ili političke pozadine.
NATO I UNIJA
Gdje je Hrvatska u pitanju cyber sigurnosti u odnosu prema ostalim europskim državama...?
- Nitko se protiv kibernetičkih napada ne može boriti sam. Za Hrvatsku je bitna suradnja s partnerima iz NATO-a i EU-a, a unutar države suradnja znanosti i visokog školstva s privatnim sektorom i državnim institucijama. Na razini države imamo nacionalni CERT kao tijelo za prevenciju i zaštitu od računalnih ugroza, u okviru Hrvatske vojske imamo Zapovjedništvo za kibernetički prostor koje redovito sudjeluje u NATO-ovim vježbama kibernetičke obrane. Osim toga ušli smo i u NATO središte izvrsnosti za kibernetičku obranu, uključeni smo u Agenciju Europske unije za kibernetičku sigurnost, imamo niz zakona, uredbi i strategija koje sukladno pravnoj stečevini EU reguliraju područje kibernetičke sigurnosti itd. S te strane pratimo trendove i aktivno smo uključeni u procese vezane uz kibernetičku sigurnost.
Europarlamentarci su 28. travnja usvojili zakon za sprječavanje širenja terorističkog sadržaja na internetu. Koliko će to sve pomoći da se širenje terorističkog sadržaja svede na minimum ili posve isključi, je li to uopće moguće?
- Svaka akcija usmjerena protiv toga je dobrodošla, ali dosadašnje iskustvo govori nam da se uvijek pronađe način za širenje takvog sadržaja.
(D.J.)