Teama de un „Pearl Harbor” cibernetic a apărut prima dată în anii 1990, apoi în ultimele două decenii factorii de decizie s-au temut că hackerii ar putea arunca în aer conducte de petrol, contamina resursele de apă, deschide baraje ori ciocni avioane în aer prin preluarea sistemelor de control al traficului. În 2012, secretarul american al Apărării Leon Panetta a avertizat că hackerii ar putea „să blocheze rețelele de alimentare de-a lungul unor ample zone din țară”.
Nici unul dintre aceste scenarii catastrofale nu a avut loc, dar cu siguranță nu pot fi neglijate. La un nivel mult mai modest, hackerii au fost capabili anul trecut să distrugă un furnal de la un combinat siderurgic german. Așadar, întrebarea privind securitatea este cât se poate de directă: poate fi descurajată o astfel de acțiune distructivă?
Se spune adesea că descurajarea nu este o strategie eficientă în ciberspațiu, din cauza dificultăților privind identificarea sursei unui atac și din cauza unui număr mare și divers de actori statali și non-statali implicați.
Identificarea (atribuirea sursei unui atac) este, într-adevăr, o problemă serioasă. Împotriva cui să îți îndrepți represaliile dacă nu există nici o adresă de destinație? Atribuirea unui atac nuclear nu e perfectă, dar cel puțin există doar nouă state care dețin arme nucleare. Identificarea izotopică a materialelor nucleare este o procedură relativ bine cunoscută. Iar actorii non-statali nu au acces atât de ușor la arme nucleare.
Dar nimic din toate acestea nu mai este valabil în ciberspațiu, unde arma poate fi formată din doar câteva linii de cod care pot fi inventate (sau cumpărate de pe așa-numitul internet negru) de un număr nelimitat de actori statali sau non-statali. Un atacator sofisticat poate ascunde punctul de plecare a atacului în spatele unor false drapele pe servere aflate la distanță.
Deși criminaliștii pot urmări multe dintre aceste „sărituri” printre servere, o astfel de acțiune cere timp. De exemplu, un atac din 2014 în urma căruia adresele a 76 de milioane de clienți au fost furate de la JPMorgan Chase a fost atribuit, în mare, ca provenind din Rusia. În 2015, totuși, Departamentul de Justiție al SUA a descoperit că atacatorii erau, de fapt, o grupare infracțională sofisticată condusă de doi israelieni și un cetățean american care locuiește la Moscova și Tel-Aviv.
Atribuirea prezintă, totuși, diferențe de grad. În ciuda pericolelor ridicate de drapelele false și de dificultatea obținerii unei atribuiri rapide și de mare calitate care să reziste într-o sală de judecată, atribuirea poate fi adesea suficientă pentru a permite o acțiune de descurajare.
De exemplu, în atacul din 2014 asupra Sony Pictures, Statele Unite au a încercat inițial să evite o dezvăluire completă a mijloacelor prin care au atribuit atacul Coreii de Nord și s-au lovit, în consecință, de un scepticism larg. După câteva săptămâni, o dezvăluire de presă a arătat că SUA a avut acces la rețelele nord-coreene, scepticismul s-a diminuat, dar a fost plătit prețul dezvăluirii unei surse sensibile de spionaj.
Atribuirea rapidă, de înaltă calitate, este adesea dificilă și costisitoare, dar nu imposibilă. Nu doar că guvernele își îmbunătățesc abilitățile, dar multe companii din sectorul privat intră în acest joc, iar participarea lor reduce costurile pe care le suportă guvernele din dezvăluirea surselor sensibile. Și pe măsură ce tehnologia îmbunătățește abilitatea criminaliștilor de a identifica o sursă, forța descurajării poate crește. Mai mult, analiștii nu ar trebui să se limiteze la instrumentele clasice de pedeapsă și negare atunci când stabilesc nivelul de descurajare cibernetică. Atenția ar trebui să fie îndreptată și spre descurajare prin complicații economice și prin norme.
Obstacolele economice pot modifica rapoartele cost-beneficiu ale unui stat mare precum China, unde efectele de recul ale unui atac asupa, să spunem, rețelei de alimentare a SUA ar lovi în economia chinezească. O astfel de complicație are, însă, un efect diminuat asupra unui stat precum Coreea de Nord, care este puțin legată de economia globală. Nu este clar câte complicații pot afecta actorii non-statali. Unii pot fi ca paraziții care suferă dacă își ucid gazda, dar alții pot fi indiferenți la astfel de efecte.
Cât privește normele, statele mari au fost de acord ca războiul cibernetic să fie limitat prin legile conflictelor armate, care cer o diferențiere între țintele militare și civile și proporționalitate cu privire la consecințe. În iulie anul trecut, Grupul Experților Guvernamentali din cadrul ONU a recomandat excluderea țintelor civile din atacurile cibernetice, iar această normă a fost aprobată la sumitul G-20 de luna trecută.
S-a sugerat că un motiv pentru care armele cibernetice nu au fost folosite mai mult în războaie este tocmai acela că există o nesiguranță cu privire la efectele asupra țintelor civile și la consecințele imprevizibile. Astfel de norme ar fi putut descuraja folosirea de arme cibernetice în acțiunile SUA asupra apărării antiaeriene a Irakului și Libiei. Iar folosirea de instrumente cibernetice în războiul „hibrid” al Rusiei din Georgia și Ucraina a fost relativ limitată.
Relația dintre variabile în descurajarea cibernetică este una dinamică, modificată de tehnologie și descoperiri, pentru că inovațiile au loc la un pas mult mai rapid decât în cazul armelor nucleare. De exemplu, o mai bună identificare a surselor ar putea întări importanța pedepselor, iar o mai bună apărare prin criptare ar putea crește descurajarea prin negare. Drept rezultat, avantajul actual al atacului în fața apărării s-ar putea schimba de-a lungul timpului.
Dobândirea de cunoștințe în domeniul cibernetic este de asemenea importantă. Pe măsură ce statele și organizațiile ajung să înțeleagă mai bine importanța Internetului pentru bunăstarea lor economică, calculele cost-beneficiu pentru un război cibernetic s-ar putea schimba, așa cum noile cunoștințe au modificat înțelegerea cu privire la costurile unui război nuclear.
Spre deosebire de era nucleară, când vine vorba de descurajare în era cibernetică, o mărime nu se potrivește pentru toți. Sau suntem prizonierii unei imagini prea simple din trecut? La urma urmei, când pedeapsa nucleară părea prea draconică pentru a fi credibilă, SUA au adoptat un răspuns convențional flexibil pentru a adăuga un element de negare în efortul de a descuraja invazia sovietică în Europa de Vest. Și în timp ce SUA nu au fost niciodată de acord cu o normă formală de genul „nu folosești primul arma nucleară”, în cele din urmă un astfel de tabu a evoluat, cel puțin printre statele mari. Descurajarea în era cibernetică s-ar putea să nu mai fie ce a fost, dar poate că nu a fost niciodată.
Joseph S. Nye Jr., fost asistent al secretarului apărării al SUA și președinte al Consiliului Național de Informații al SUA, este profesor universitar la Universitatea Harvard. Este autorul volumului „S-a încheiat secolul american?“.
Copyright: Project Syndicate, 2015.
www.project-syndicate.org
