Decizii critice pentru infrastructura critică – SUA și UE abordând îngrijorări în creștere

Incidentul Solar Winds, atacurile de tip ransomware din Statele Unite îndreptate împotriva companiilor JBS și Colonial Pipelines – cu toții am auzit despre ele, însă mare parte din sectorul privat nu este conștient de consecințele strategice ale acestor atacuri. Diferența dintre sectorul public și cel privat este în mare parte estompată în spațiul cibernetic în ceea ce privește securitatea infrastructurii critice, motiv pentru care ambele sectoare ar trebui să lucreze împreună pentru a răspunde în mod eficient la aceste amenințări.

Înainte de toate trebuie găsit răspunsul la întrebarea: ce este infrastructura critică? Cea mai ușoară și clară definiție este dată chiar de SUA: „[…] sisteme și bunuri, fizice sau virtuale, atât de vitale pentru Statele Unite încât compromiterea/distrugerea acestor sisteme și bunuri ar avea un impact debilitant asupra securității naționale și economice, sănătății și siguranței publice […]”. Astfel, infrastructura critică cuprinde sisteme precum cele de sănătate, alimentare, agricole, de apă, transporturi, comunicații, securitate, energie, facilități ale serviciilor guvernamentale și publice, baraje, industrie critică și chiar sisteme financiare.

Infrastructura critică reprezintă cel mai vulnerabil sector în fața unei amenințări cibernetice din moment ce aceasta este cea mai la îndemână țintă pentru operațiunile de acest tip care au ca și scop crearea de haos și maximizarea daunelor (chiar daca nu sub forma vieților pierdute cum ar fi în cazul acțiunilor militare convenționale). Ceea ce provoacă o și mai mare îngrijorare este faptul că, la ora actuală, ne confruntăm cu o triadă de amenințări oarecum interdependente: criminalitate, terorism și atacuri susținute de anumite state. În unele cazuri, atacurile sunt puse în practică prin combinarea unora sau a tuturor acestor elemente, complicând și mai mult situația. Așa-numita „ceață a războiului” menționată de către Clausewitz în cartea sa „Despre război” pare și mai evidentă în domeniul cibernetic.

Acest lucru este dovedit de creșterea numărului de incidente cibernetice care țintesc sectorul infrastructurii critice, având în vedere lipsa de pregătire potrivită a sistemelor, atât private cât și a celor naționale, operate de actori guvernamentali. În ziua de azi, sistemele din fiecare sector acționează într-un mod interdependent și profund conectat, iar un incident care în trecut ar fi fost ceva izolat și ușor de abordat, devine astăzi o amenințare care poate compromite un întreg sector și nu numai, ajungând până la întreruperea lanțurilor de aprovizionare. Perturbarea sau dezactivarea sistemelor de infrastructură critică ar putea reduce abilitatea de apărare a unui stat și de funcționare într-o criză majoră. Totodată, ar periclita încrederea populației în aceste servicii și ar scădea puterea economică și militară a țarii. Acesta este motivul pentru care reziliența cibernetică – capacitatea de a gestiona un atac cibernetic si de a minimiza daunele – este o misiune pe cât de importantă, pe atât de provocatoare.

Anul acesta, în urma unor atacuri din SUA, administrația Biden a decis că este momentul să facă un pas în direcția corectă  și să se concentreze pe asigurarea unui nivel mai înalt de securitate în ceea ce privește infrastructura critică. În mai 2021, Președintele Joe Biden a emis un Ordin Executiv cu scopul de a îmbunătăți securitatea cibernetică a țării. Deși inițiative similare au fost înaintate și de către alți președinți, diferența în acest caz este dată de faptul că Ordinul a fost urmat în luna iulie de un Memorandum care a are un obiectiv mai restrâns și anume îmbunătățirea securității cibernetice a sistemelor de control pentru infrastructura critică. Această inițiativă recentă are ca scop principal să aducă mai multă consistență pachetului de legi specifice fiecărui sector, ținând cont de faptul că legile au fost adoptate treptat, ca răspuns la diverse amenințări cibernetice care au atras atenția publicului, după cum admite însuși Președintele.

Ceea ce este și mai interesant în acest Memorandum este faptul că acesta pune accentul pe împărțirea responsabilității în mod egal între guvern și operatorii de servicii critice, evidențiind importanța cooperării cu scopul de a evita amenințările asupra acestui sector. Din perspectiva unei entități private, cele doua noi inițiative ale administrației (Ordinul Executiv și Memorandumul) pot fi văzute ca mult-așteptate, din moment ce aduc mai multă claritate și uniformizează oarecum așteptările pe care guvernul le are de la operatorii din sectorul critic. Pe de altă parte, aceste standarde de securitate înseamnă și mai multe investiții ce vor fi suportate de diferite companii și agenții pentru a moderniza capabilitățile de apărare cibernetică, atât la nivel privat cât și federal. Memorandumul dă autoritate Agenției de Securitate Cibernetică și Infrastructură (CISA) și Institutului Național de Standarde și Tehnologie (NIST) să vină cu o serie de obiective de performanță cibernetică, pe care administrația speră că operatorii și proprietarii de sisteme de infrastructură critică le vor adopta in mod voluntar. Acest efort colaborativ, dar opțional, poartă numele de Inițiativa de Securitate Cibernetica a Sistemelor de Control Industrial (pe scurt Inițiativa) și are ca scop principal încurajarea, dezvoltarea și facilitarea utilizării unor tehnici și sisteme de securitate cibernetică de bază. Deși respectarea acestor recomandări este complet voluntară, companiile sunt încurajate să evalueze continuu vulnerabilitățile de securitate și confidențialitate a datelor și să vină cu măsuri pentru a le remedia.

Obiectivul strategic al Washingtonului în domeniul cibernetic este, așadar, de a obține un ecosistem rezistent și de a impune anumite costuri pentru adversarii străini care atacă SUA. Pentru a crea acest ecosistem, actorii privați și publici, deopotrivă, trebuie să lucreze împreună, astfel încât să atingă acest obiectiv dificil. La ședința de la Casa Albă din 25 august, administrația Biden, împreună cu reprezentanți ai sectorului privat, au ajuns printre altele la concluzia că mecanismul NIST trebuie să fie consolidat pentru a proteja integritatea lanțului de aprovizionare din domeniul tehnologic, că sistemul de aprovizionare cu gaze trebuie să fie agregat la Initiativă. Mai mult, au discutat despre faptul că așa-numitul „multi-factor authentification”, împreună cu o cercetare avansată a programelor „zero-trust”, înregistrarea evenimentelor și formarea în domeniul conștientizării cibernetice trebuie să devină un pilon important în dezvoltarea Statelor Unite. Întâlnirea de pe 25 August reprezintă o inițiativă ambițioasă de resetare a posturii naționale de securitate cibernetică a SUA. Pentru asta, cel mai important este să se creeze un cadru legal și tehnic coerent, care să promoveze colaborarea dintre sectorul privat și cel public.

Peste ocean, Uniunea Europeană a venit, cu ani în urmă, cu o legislație, Directiva privind securitatea rețelelor și informațiilor (NIS), care se concentrează pe același subiect: securitatea rețelelor și a sistemelor informatice care acoperă și infrastructura critică. Directiva NIS are trei părți principale, abordând subiecte precum capacitățile naționale, colaborarea transfrontalieră și supervizarea, la nivel național, a sectoarelor critice. Când a fost adoptată , a venit cu un așa-numit „set de instrumente NIS” care conținea recomandări de implementare și bune practici în materie de securitate cibernetică pentru statele membre UE. În orice caz, aceste orientări au caracterul unui instrument obligatoriu din punct de vedere juridic, spre deosebire de cele neobligatorii care vor fi furnizate de CISA în SUA. Ca urmre a unei evaluări recent efectuată de către Comisia Europeana, s-a stabilit că pentru a spori aspectele legate de colaborare și aplicare este nevoie de o versiune consolidată (NIS 2). Comparând inițiativele UE și SUA în domeniul securitătii cibernetice, este clar că Uniunea este mai înclinată spre inițiative legislative obligatorii  pentru a face entitățile private și guvernele să respecte o abordare a securității cibernetice la nivel de bază, în timp ce SUA se bazează pe obiective și orientări voluntare, lăsând mai mult loc de interpretare diferitelor entități. Regulamentul General privind Protecția Datelor (GDPR) este un alt exemplu de utilizare al acestei abordări normative a UE.

Ceea ce este comun pentru ambele jurisdicții (UE și SUA) este faptul că lucrurile încep să se miște iar importanța serviciilor de infrastructură critică securizată este mai bine înțeleasă. Proliferarea incidentelor cibernetice care vizează NCI a dat naștere la îngrijorări cu privire la criminalitatea cibernetică, la actele de terorism și la atacurile cibernetice ale actorilor de stat sau ale împuterniciților acestora. Chiar și președintele Biden a declarat că un atac cibernetic ar putea duce într-o bună zi la un „război tradițional”. Unele evenimente, cum ar fi atacul de tip ransomware îndreptat împotriva Aramco în 2021 sau atacul WannaCry care a afectat Serviciul Național de Sănătate din Marea Britanie în 2017 sunt doar două exemple importante dintr-o multitudine de incidente care afectează sectoarele de infrastructură critică din întreaga lume.

Cursa dintre China și Statele Unite pentru un avantaj strategic este în desfășurare, iar securitatea cibernetică este o parte esențială a concurenței geopolitice.  Ca dovadă stă atacul recent asupra Microsoft Exchange APT, atribuit Chinei, care a afectat mai mult de 3000 de organizatii la nivel mondial. In plus, China a anunțat pe 1 septembrie că va adopta o legislație națională care va oferi o notificare timpurie asupra vulnerabilităților exploatabile de tip „zero-day” către guvernul chinez, permițându-i să actioneze rapid sau chiar să folosească informațiile în scopuri ofensive. Aceasta este o mișcare clară la intersecția dintre legislație și capabilitățile cibernetice care va oferi Beijingului acces timpuriu la informații sensibile, de la toate companiile care își desfășoară activitatea pe teritoriul chinez, inclusiv cele străine care ar putea opera și în sectoarele de infrastructură critică.

Valorile comune care stau la baza Alianței Transatlantice ar trebui transformate în linii comune de acțiune în sectorul cibernetic, inclusiv stabilirea unui teren comun pentru legislație națională și internațională in domeniul securității cibernetice, cu accent pe crearea unui cadru eficient de colaborare între sectoarele privat și public al infrastructurii critice. Lipsa de acțiune și acceptarea nu reprezintă o opțiune, deoarece evenimentele cibernetice afectează securitatea internațională și pun în pericol inclusiv siguranța și sănătatea publică, după cum s-a  văzut chiar și în timpul pandemiei de COVID-19. Nu numai că unele state au încercat să fure formulele de vaccin, dar pana și spitalele au fost ținta unor atacuri de tip ransomware și nu au mai putut trata pacienții cu COVID în mod eficient. Rămâne de văzut dacă politica cibernetică a lui Biden va continua cu sistemul de recomandări sau va urma abordarea europeană, va merge mai departe și va introduce o legislație federală. Un lucru este sigur însă: amenințările cibernetice sunt universale și cresc ca număr, complexitate și intensitate.

Deoarece instrumentele și armele din domeniul cibernetic se dezvoltă în mod constant și cu viteză mare, este crucial să se dezvolte politici naționale pentru identificarea și monitorizarea elementelor critice ale infrastructurii precum și pentru a le proteja mai bine de tot felul de atacuri cibernetice. În plus față de acest lucru, facilitățile de infrastructură critică ar trebui testate frecvent prin exercitii de adversarial simulation pentru a verifica în mod realist rezistența, răspunsul și eficacitatea infrastructurii de securitate în fața amenințărilor persistente avansate. Noi, la Cyber ​​Dacians, vedem zilnic evoluția instrumentelor și a armelor cibernetice și avem o experiență directă în ceea ce privește dificultatea de a fi cu un pas înaintea răufăcătorilor și ușurința cu care aceștia evita mecanismele defensive. De aceea, credem cu tărie în responsabilitatea și în efortul comun al actorilor privați și publici și suntem angajați sa contribuim ca furnizori de software ofensiv de securitate cibernetica și consultanță.

Autori:

Alexandra Ivan

Amb. (R) Timo S. Koster

Mihai Barloiu

Felix Staicu