Odgovor na cyber prijetnje

Nakon napada u Estoniji 2007. godine, NATO neprestano povećava kapacitete cyber obrane, i one združene, i one na razini članica. Odnedavno je sve aktivnija i Europska unija, a jedan je od čimbenika razvoja tih sposobnosti Europska obrambena agencija. No, EU i NATO sve više razvijaju suradnju…

Priznato kao peta dimenzija ratovanja, cyber ratovanje, koje se vodi u kibernetičkom prostoru, uz uporabu računala, interneta i informatičke tehnologije, postalo je danas ratovanje koje vode i zemlje, i kompanije, i organizacije, i vojske, ali i pojedinci. Bez ispaljenog metka i uporabe konvencionalnog oružja, navode drugu stranu na povlačenje.

Prizor s NATO-ove vježbe cyber obrane Locked Shields 2016. Na nedavno završenom samitu u Varšavi, NATO je cyber prostor prepoznao kao novo područje operacija, a s EU-om potpisao Zajedničku deklaraciju koja se odnosi i na suradnju u suprotstavljanju hibridnim prijetnjama. (Foto: NATO CCD CoE)

Napadači kao oružje rabe internet, računalne mreže i telekomunikacijske sustave preko kojih, uz vrlo mali napor, mogu nanositi štetu infrastrukturi, gospodarstvu te političkim i vojnim sustavima neke zemlje. Iako takav sukob u virtualnom prostoru može biti i civilnog i vojnog karaktera, bojišnicu u tom slučaju ipak čini internet i moderna telekomunikacijska i informacijska tehnologija.

Hibridne prijetnje
O tome koliko hibridne i cyber prijetnje postaju sve važniji sigurnosni čimbenik, govori i činjenica da su se ministri obrane Europske unije sastali već dva puta od početka godine vezano uz te teme. Značajan je sastanak održan 19. travnja u Luxembourgu. Upravni odbor Europske obrambene agencije (European Defence Agency – EDA) izvijestio je ministre obrane, među ostalim, i o implikacijama hibridnog ratovanja na razvoj obrambenih sposobnosti. Visoka predstavnica Europske komisije za vanjske poslove i sigurnosnu politiku Federica Mogherini predstavila je i zajedničku komunikaciju svojeg ureda i Europske komisije o suočavanju s hibridnim prijetnjama koja treba razviti model i postupke za jačanje otpornosti zemalja na njih. Usvojeni su i zaključci kojima se članice pozivaju na mobilizaciju svih instrumenata Europske unije kako bi se oduprle tim prijetnjama. Ministar obrane RH Josip Buljević tom je prilikom istaknuo kako članice već imaju dovoljno instrumenata za borbu protiv hibridnih prijetnji, ali potrebno je razviti okvir za njihovu snažniju, koherentnu i sveobuhvatnu primjenu, pri čemu treba razvijati suradnju s drugim međunarodnim organizacijama, ponajprije NATO-om.
Hibridne prijetnje raznolike su radnje pri čijem se izvođenju kombiniraju i konvencionalne i nekonvencionalne, vojne i nevojne, otvorene i prikrivene metode kojima se države i nedržavni elementi mogu koordinirano koristiti, prouzročiti štetu, a da i dalje nisu na razini službeno proglašenog ratnog stanja. Cilj hibridnih prijetnji je destabilizirati zemlju ili regiju, a EU i njegove članice zadnjih su im godina sve su više izloženi. Posebno su ranjivi energetski sektor, svemirska infrastruktura, pomorska sigurnost, javno zdravstvo, zračni, pomorski, željeznički promet, komunikacije i financijski sustavi. Sigurnosno okruženje, koje se zadnjih godina drastično promijenilo, zahtijeva, kako ističe Mogherini, i dodatno jačanje i koordinaciju s NATO-om.

Obuka osoblja koje bi se trebalo suprotstavljati cyber prijetnjama među ključnim je akcijama koje poduzimaju relevantni subjekti NATO-a i EU-a (Foto: NATO)

Nova strategija
NATO je vjerojatno najiskusnija međunarodna organizacija kad je riječ o združenom odgovoru na cyber prijetnje. Cyber napad na članicu NATO-a Estoniju 2007. godine bio je zvono na uzbunu koje je potaknulo Sjevernoatlantski savez na akciju. Već u siječnju 2008. godine NATO je usuglasio, a na samitu u Bukureštu u travnju i odobrio Politiku cyber obrane (Policy on Cyber Defence) kako bi zaštitio vlastite komunikacijske mreže. Taj se dokument često osvježava i prilagođuje promjenama. U svibnju 2008. utemeljeno je NATO-ovo Združeno središte izvrsnosti za cyber obranu (NATO Cooperative Cyber Defence Centre of Excellence – CCDCOE) u Tallinnu, Estonija. Lokacija ima i simboličan značaj nakon cyber napada na estonske javne institucije. Savez je te godine započeo vježbu Cyber Coalition koja je postala najveća godišnja vježba obrane od mogućeg masivnog cyber napada na članice i partnere. Iako u NATO-u i dalje ističu kako su i same članice odgovorne za sigurnost svojih komunikacijskih mreža, govori se i o nužnosti poboljšanja razmjene informacija među saveznicima, kao i uzajamne pomoći u prevenciji, ublažavanju i oporavku od cyber napada. Upravo zbog činjenice da je cyber ratovanje priznato kao peta dimenzija sukoba, NATO je uvidio nužnost da se cyber obrana postupno nađe i izvan okvira nacionalnih dimenzija i da se počne postavljati kao pitanje koje treba rješavati na razini organizacija. Riječ je ponajprije o Europskoj uniji, koja je, međutim, već napravila važne korake vezane uz cyber obranu.

Aktivatori napretka i slobode
Europska unija napravila je 2013. važan korak donošenjem i usvajanjem Strategije cyber sigurnosti (EU Cyber Security Strategy) u kojoj je sažela napore usmjerene na razvoj otvorenog i sigurnog virtualnog područja. U dokumentu se naglašava kako su digitalne tehnologije i internet okosnica našeg društva i gospodarstva, ali i ključni aktivatori napretka i slobode. Incidenti koji se događaju putem informacijskih sustava, a mogu biti izazvani ljudskim djelovanjem ili nastati zbog prirodnih katastrofa, tehničkih kvarova ili zlonamjernih napada, i koji mogu biti sve veći, češći i složeniji, trebaju biti svedeni na najmanju moguću mjeru ili rano otkriveni. Nužna je stoga visoka razina mrežne i informacijske sigurnosti širom EU-a.
Otkako su uvidjeli da se suočavaju sa sve većom opasnošću od cyber napada, NATO i Europska unija pojačali su cyber obrambenu suradnju. U veljači ove godine sklopljen je svojevrstan tehnički aranžman između tih dviju relevantnih organizacija vezano uz cyber obranu. To su NATO-ov Computer Incident Response Capability (NCIRC) i Computer Emergency Response Team Europske unije (CERT-EU). Sporazum pruža okvir za razmjenu informacija i iskustava između NATO-ovih i EU-ovih timova. Vrlo je zapažen bio i Sporazum o suradnji koji su u travnju 2013. potpisali EDA i NATO-ovo Središte u Tallinnu.

Prekretnica za zajedničku cyber obranu: 10. veljače ove godine NATO-ov Computer Incident Response Capability (NCIRC) i Computer Emergency Response Team Europske unije (CERT-EU) sklopili su svojevrstan aranžman (Foto: NATO)

Važna prekretnica
Aranžman je pozdravljen i na sastanku ministara obrane članica NATO-a u Bruxellesu koji je održan istodobno s potpisivanjem, a na kojem je također sudjelovao ministar Buljević. Tijekom potpisivanja više je puta naglašeno kako su NATO i EU zajedno jači u obrani od cyber napada, te kako pojačana suradnja znači i učinkovitija predviđanja, otkrivanja i odgovore na cyber napade. Razmjena podataka glavni je cilj aranžmana koji, među ostalim, obuhvaća i razmjenu informacija o određenim cyber prijetnjama i razmjenu podataka o tehničkim postupcima i konfiguraciji mreža, a uključuje i partnerstvo s industrijom.
 Aranžman je najnoviji, ali i najbolji primjer da EU i NATO rade zajedno na jačanju cyber sigurnosti.
 “Naši timovi za hitan odgovor imat će strukturni okvir za razmjenu informacija i najboljih iskustava. Ovo je najkonkretniji primjer zajedničkog rada NATO-a i EU-a u cilju borbe protiv cyber prijetnji,” istaknuo je glavni tajnik NATO-a Jens Stoltenberg. U priopćenju koje je uputio NATO, djelatnici za cyber obranu iz Europske unije, koji su prije nekoliko godina i sami započeli sudjelovanje u NATO-ovim godišnjim vježbama Cyber Coalition, Sporazum su doživjeli kao “(…) važnu prekretnicu u jačanju suradnje s NATO-om u obrani cyber prostora”.

Prava priroda
Službeni EDA-in časopis European Defence Matters posvetio je gotovo cijelo jedno izdanje cyber prijetnjama i cyber obrani. U fokusu su se našle stalne cyber prijetnje i europski napori vezani uz njihovo rješavanje. Časopis donosi pristupe rješavanju problema, educira o cyber rizicima te napretku u inovacijama i vještinama cyber obrane. Izvještava o istraživanjima i obuci te mogućnostima u kontekstu suradnje NATO-a i EU-a u suočavanju s prijetnjama. No, prije svega ističe kako cyber obrana ostaje područje s velikim potencijalom za razvoj te kako su ključne postavke utvrđene europskom Strategijom cyber sigurnosti iz 2013. godine. Napori su, kako se ističe, usmjereni u prvom redu na temeljna prava svakog europskog građanina: slobodu, demokraciju i otvorenost, prava koja, međutim, u virtualnom prostoru mogu biti narušena. Osobni podaci, podaci o industrijskim inovacijama, vojnoj tehnologiji, potencijalne su mete za cyber kriminal. Prijetnje tih vrsta postale su danas trajna briga ne samo pojedinaca nego i vlada, vojnih i civilnih organizacija te tvrtki koje neprestano traže i razvijaju adekvatne mjere zaštite. European Defence Matters donosi stoga uvid u prirodu cyber prijetnji koje nas okružuju, ali i pregled aktivnosti koje se poduzimaju na razini Europske obrambene agencije. Upravo je EDA pokretač aktivnosti kroz čiju platformu članice EU-a mogu raditi na jačanju spremnosti kako bi suzbijale cyber prijetnje. Ističe se pritom i važnost suradnje s tijelima NATO-a, akademskom zajednicom te drugim zainteresiranim stranama, jer, kako napominju, zaštita cyberspacea ne smije biti prepuštena slučaju.

Broj potencijalnih cyber prijetnji stalno se povećava s razvojem novih računalnih programa i tehnologija, a sustavi obrane trebali bi uvijek biti korak ispred (Foto: NATO)

Ključna obrana
Michael Sieber u EDA-i je od 2010. godine. Bavi se sektorom istraživanja i tehnologije i jedna je od ključnih osoba zaduženih za pokretanje aktivnosti EDA-e u cyber obrani. Kaže kako je u današnjem svijetu cyber dimenzija neizbježna i sveprisutna stvarnost i da zato svakako treba identificirati i prednosti i rizike koje nosi. Napominje kako je cyberspace izgrađen od informacija i nije ograničen ni vremenom ni prostorom, nego samo hardverom i softverom, a odraz je gotovo bezgranične moći. U vojničkom kontekstu, virtualni prostor kao peta dimenzija sukoba dodatno je opasan jer se većina modernih oružnih i obrambenih sustava oslanja na informatičke sustave. Vrlo je bitno raditi na podizanju svijesti građana o cyber sigurnosti i privatnosti. EDA poduzima razvojne projekte na razini svih članica EU-a u zaštiti od cyber prijetnji, a jedna je od ideja i uspostava minimalnih standarda za svaku članicu. Trenutačno postoji oko stotinu projekata u organizaciji EU-a vezanih uz poboljšanje cyber obrambenih sposobnosti. Europska unija, također, obrambene sposobnosti povećava i izobrazbom stručnjaka iz područja kibernetičke obrane.

EDA-ine aktivnosti
Članice EU-a koje su dio Europske obrambene agencije prepoznale su još 2011. sustav cyber obrane kao temu, a EDA se otad sustavno bavi cyber prijetnjama. Započelo je kao cjelovit i sveobuhvatan pristup, stavljajući fokus na jačanje svijesti i edukaciju o cyber rizicima, a radilo se i na poboljšanju samih sustava cyber obrane. Riječ je bila u prvom redu o razvijanju vještina za bolju prilagodljivost na napade. EDA je također usmjerena i na tehnološke aspekte, sve u cilju provođenja strategija u različitim cyber domenama.
Napori EDA-e pomogli su u izradi spomenute Strategije cyber sigurnosti iz 2013. godine. Već krajem iduće godine, Vijeće EU-a usvojilo je temeljem Strategije i program nazvan Okvir za politiku cyber obrane (Cyber Defence Policy Framework) koji je otvorio mogućnost za buduće projekte i njihovo financiranje.
Iako nema potrebe da svi postanemo cyber stručnjaci, Wolfgang Röhrig, stručnjak koji radi na EDA-inim projektima vezanim uz cyber obranu, smatra kako bi svi trebali postati svjesniji cyber prijetnji, njihovih implikacija i utjecaja na tradicionalne vojne djelatnosti i postupke. EDA je već pokrenula koncept osmišljavanja obuke i vježbi. Razvijen je nastavni program za obuku i vježbe za različite skupine, najviše za njih četiri: osnovne korisnike, stručnjake za cyber obranu, više donositelje odluka (senior decision makers) i njihovo osoblje. EDA je 2014. i 2015. provela tri vježbe – u Portugalu, Češkoj i Austriji, za zadnje dvije skupine. Smisao je vježbi ponuditi osposobljavanje za donošenje odluka iz vladine perspektive kad se suoči s različitim dimenzijama cyber kriza. Projekti dovode i do standardiziranja postupaka cyber obrane kako bi se pomoglo donositeljima odluka.

Iako najčešći i najzapaženiji, računalni virusi samo su jedno od sredstava potencijalnih zlonamjernih cyber napada (Ilustracija: NATO)

Visoko na ljestvici
EDA nudi i izravnu potporu misijama i operacijama Europske unije u jačanju cyber osviještenosti, kao i integriranju cyber obrane u vojno planiranje. Tako je 2014. godine EDA prvi put provela tečaj za osoblje u vojnoj operaciji EU-a u Srednjoafričkoj Republici (EUFOR RCA) sa sjedištem operacije u Larisi, Grčka. Sličan je tečaj ponuđen i osoblju središta nove EU-ove misije na južnom i središnjem Sredozemlju (EUNAVFOR MED).
EDA je u zadnje četiri godine izdvojila oko 2,5 milijuna eura za projekte vezane uz cyber obranu. To, prema riječima Wolfganga Röhriga, “(…) samo dokazuje koliko cyber obrana stoji visoko na ljestvici prioriteta EDA-e.”

Snježana DUKIĆ