Cyber Safety

forum za bezbednost i demokratiju
demokratsko upravljanje izazovi sajber bezbednosti

Benjamin S. Buckland, Fred Schreier, Theodor H. Winkler
FORUM ZA BEZBEDNOST I DEMOKRATIJU: VIDICI I PUTOKAZI
demokratsko upravljanje izazovi sajber bezbednosti

Benjamin S. Buckland, Fred Schreier, Theodor H. Winkler
Sadraj
Rezime I Uvod
7
1.
1.1 1.2
Pretnje i akteri
Pretnje Akteri
11 11 11
2.
2.1 2.2 2.3
Izazovi za demokratsku vlast

Pregled Implikacije u zatiti ljudskih prava Zastraivanje i odgovor na sjaber rat
14 14 20 24
Zakljuci
29
Reference
31
Aneks 1: Zatita kritine infrastrukture, Zatita kritine informacione

strukture i sajber bezbednost: pregled specifinih organizacionih struktura po zemljama
33 42
Aneks 2: Meunarodni i regionalni odgovori
Pogovor
47
Rezime
Sajber bezbednost obuhvata izazove koji prelaze dravne granice, dok odgovori na njih, uz to i nedovoljni, preteno ostaju u dravnim vidokruzima. Postoje ogromne praznine u naem razumevanju ovog problema, kao i u tehnikim i sistemskim sposobnostima neophodnim da se sa njim izborimo. Pored toga, u debati skoro da u potpunosti izostaju problemi demokratskog upravljanja, naroito kad je re o pitanjima kontrole, nadzora i transparentnosti. Ove probleme u online bezbednosti svih vrsta ini jo drastinijim velika uloga privatnog sektora (kako kao samostalnog tako i u saradnji sa vladama). Imajui u vidu tempo kojim drave i privatne kompanije jaaju online bezbednost pripremajui se za sajber rat, obraanje panje na pitanja demokratskog upravljanja tim procesima nikada nije bilo hitnije. To je osnovna tema ove publikacije.
Uvod
Postoje mnoge meusobno suprotstavljene definicije sajber prostora. Meutim, za potrebe ovog dokumenta, on se odreuje kao meuzavisna mrea informacionih tehnolokih infrastruktura. On obuhvata internet, telekomunikacijske mree, kompjuterske sisteme i ugraene procesore i regulatore u raznim delatnostima.1 Poslednje dve decenije obeleene su eksplozijom sveopteg oslanjanja na mreno povezivanje. Razvoj interneta obeleavalo je naglaavanje interoperabilnosti, efikasnosti i slobode, ali nae rastue vezivanje za internet nije bilo praeno naporima da se on ouva bezbednim. Ovo se vie odnosi na izvornu svrhu interneta, sadranu u razmeni naunih podataka, nego (kao to je sada) na podrku celokupnoj globalnoj privredi. Eksplozija upotrebe i funkcionalnosti (kako u dobre tako i u loe svrhe) nadmaila je napore da se reformie i obezbedi izvorna infrastruktura. 2 Sajber (ili onlajn online termini se koriste naizmenino) bezbednost obuhvata izazove koji nadilaze dravne granice, dok odgovori na njih ostaju preteno u nacionalnim vidokruzima koji su, uz to, nedovoljni. Postoje ogromne praznine i u naem razumevanju problema kao i u tehnikim i sistemskim sposobnostima neophodnim da se sa njim izborimo. Pored toga, problemi demokratinosti upravljanja, naroito kad je re o pitanjima kontrole, nadzora i transparentnosti skoro su u potpunosti odsutni iz debate. Ove probleme u onlajn bezbednosti svih vrsta ini jo drastinijim velika uloga koju ima privatni sektor (i sam, a i u saradnji sa vladama). Imajui u vidu tempo kojim drave i privatne kompanije jaaju online bezbednost pripremajui se za sajber rat, obraanje panje na pitanja demokratskog upravljanja tim procesima nikad nije bilo hitnije. Ovo je osnovna tema ove publikacije. Kako to pokazuje diskusija koja sledi, postoji velika raznovrsnost vrsta online pretnji, kao i umeanih aktera. Meutim, kada se problem sagledava iz perspektive transparentnosti, nadzora i uvida, raznolike pretnje se mogu svrstati u dve glavne grupe. Drave su, razume se, naroito zabrinute za nacionalnu bezbednost i mogunost da dravni ili ne-dravni akteri ili grupe ukradu, promene, unite ili na drugi nain kompromituju kljune informacije i informacione infrastrukture. Za nacionalnu bezbednost je naroito znaajan problem ometanja telekomunikacija, elektrine energije, energetskih cevovoda, rafinerija, finansijskih mrea, zdravstvenih sistema i drugih esencijalnih slubi. 3 Sluaj Estonije (vidi Okvir br. 3) pokazuje kako ta zabrinutost nije neosnovana, a mnogi su otili toliko daleko da tvrde kako e sajber
1
2 3
Autori se zahvaljuju Tobiasu Bolligeru, Belindi Cleeland, Anji Ebnther, Paulu Meyeru, Danielu Stauffacheru, Barbari Weekes i Aidanu Willsu na njihovoj pomkoi i doprinosu tekstu. DCAF posebno eli da se zahvali enevskom Forumu za bezbednost na njihovom izutetnom doprinosu i partnerstvu u pripremi ove publikacije.. Lloyds Emerging Risks Team, Digital Risks: Views of a Changing Risk Landscape (London: Lloyds, 2009). White House, Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure (Washington DC: White House, 2009).
rat, kako se ova pretnja moe zvati u irem smislu, isto toliko dramatino izmeniti vodjenje rata koliko je to inilo i uvoenje novih tehnologija u prolosti.4 Moe se zaista govoriti o tome da e sajber rat biti pretea drugog talasa revolucije vojnih pitanja i da e kao glavni instrument ratovanja zameniti kinetiku energiju. Sajber rat pokree mnoga pitanja koja se odnose na ono to sainjava kritinu infrastrukturu, ta predstavlja napad i kakvu bi ulogu sistem bezbednosti mogao ili trebalo da ima u odbrani ili kontranapadu? Kako dole istiemo, sajber rat je zamaglio razliku izmeu obe (civilne i vojne) kategorije meta kao i kategorije napadaa. Odatle proistie ozbiljno pitanje ime, u sluaju velikog sajber rata, drave mogu verodostojno i legalno da prete diplomatskim demarom, formalnim protestom, ekonomskom odmazdom, krivinim gonjenjem ili vojnom intervencijom. 5 Jo vanije od toga je pitanje kojim bi se demokratskim procesima ili pravnim standardima trebalo rukovoditi prilikom donoenja odluke o eventualnoj reakciji. Ova poslednja taka je naroito vana jer neki faktori dramatino smanjuju transparentnost sajber rata u odnosu na druge tipove konflikata. O njima e se detaljnije govoriti u zavrnom delu ove publikacije. Meutim, na poetku, vredi pomenuti neka od njih. Prvo, retko se vide vatra i dim koji bi ukazivali na to da se dogodio sajber napad nepohodni su tehniko i visoko specijalizovano znanje za njegovu detekciju, identifikaciju i odmazdu, kao i saradnja privatnih aktera. Ovo u ogromnoj meri smanjuje transparentnost. Napad ili kontranapad velikih razmera bi se mogao odigrati a da nadzorno telo (relevantan skuptinski odbor, na primer) za to ni ne sazna. Pored toga, usled visoko tehnike prirode problema, (za razliku od slubi za sprovoenje zakona) uloga obavetajnih agencija je poveana, to jo vie smanjuje transparentnost i anse nadzora. Danas, izazovi nacionalnoj bezbednosti i kljunim dravnim infrastrukturama (u irem smislu) i dalje predstavljaju tek mali deo razmera pretnje. Mnogo vei problem, zbog ega je u ovom dokumentu na njega stavljen poseban fokus, predstavlja pitanje kako obezbediti demokratski nadzor nad propisima koji se odnose na regulaciju interneta i upotrebu onlajn infrastrukture u napadu na pojedince i druge aktere. Stoga se problem i ne tie toliko sajbet rata ili onlajn ranjivosti nacionalne infrastrukture koliko pitanja o cenzuri, nadzoru internetske korespondencije bez naloga ili prikupljanju i uvanju privatnih podataka od strane IT firmi (esto u ime drave ili u saradnji sa njom). Na ovaj nain, diskusije o onlajn bezbednosti , koje su u toku u nekim sektorima bezbednosti, odvijaju se paralelno sa debatama o tenziji izmeu nacionalne bezbednosti i onoga to je dobilo ime ljudska bezbednost . Ovaj odnos izmeu dravne bezbednosti i ljudske bezbednosti je skoro u potpunosti obuhvaen u okviru osnovne tenzije koja je sr sajber bezbednosti, s tim to ovde ulazi u kombinaciju i trei
4
John Arquilla and David Ronfeldt, eds., In Athenas Camp: Preparing for Conflict in the Information Age (Washington DC: RAND, 1997). John Markoff, David E. Sanger and Thom Shanker, In Digital Combat, U.S. Finds No Easy Deterrent, New York Times, 25 January 2010, World section.
10
imperativ koji bismo mogli nazvati privatna bezbednost bezbednost korporacija i privatnih kompanija. Sajber bezbednost tako nam se ukazuje kao trostruki izazov. Postoji dvostruki (ponekad i komplementaran) izazov promovisanja kako javne tako i privatne bezbednosti u obezbeivanju IT mrea i pobede nad kriminalnim i nasilnikim grupama koje ih koriste za ostvarivanje svojih ciljeva. To su izazovi koji zahtevaju izgradnju sveobuhvatnih mehanizama javno-privatne saradnje. Meutim, isto tako, sajber bezbednost predstavlja rastui izazov i za demokratski sistem, budui da javni i privatni napori da se obezbede IT mree i prati saobraaj koji one nose moraju biti u ravnotei sa bezbednou ljudi i, naroito, sa ljudskim pravima na privatnost i slobodu izraavanja i udruivanja. Diskusija koja sledi tako je podeljena na dva glavna dela. Prvi deo se ukratko osvre na vee pretnje i relevantne aktere, sa naroitim fokusom na javno-privatnu saradnju. Drugi deo se, zatim, fokusira na kljuno pitanje demokratskog upravljanja i podeljen je na pododseke o nadzoru, zatiti ljudskih prava i, konano, mogue probleme demokratskog upravljanja koji se odnose na sajber rat.
11
1. Pretnje i akteri
1.1 Pretnje
Jedno od naroitih obeleja sajber bezbednosti je da je esto izuzetno teko precizno identifikovati poinioce napada ili (esto) ak i zemlju njegovog porekla. Stoga je pojedincima ili grupi poinilaca relativno lako da prikriju vlastitu umeanost ili da se prerue u drugog korisnika.6 O ovom problemu e se raspravljati u daljem tekstu ali, ostavljajui probleme identifikacije po strani, dve tabele koje slede prikazuju ta su, generalno, kljuni izvori i ciljevi online pretnji.
1.2
Akteri
Jedan od kljunih izazova sajber bezbednosti i aspekt kome je posveeno naroito interesovanje je injenica da su, dok su vlade, u izvesnoj meri, odgovorne za informatike i komunikacijske mree, vlasnici tih mrea uglavnom privatni akteri.7 Kao to e se u ovom dokumentu kasnije raspravljati, ovaj zaplet znaajno komplikuje dvostruke izazove bezbednosti i demokratskog upravljanja. Konkretno, ove dve grupe aktera imaju specifine interese koji sputavaju i efikasnost i dejstvo napora u domenu sajber bezbednosti, kao to podrivaju i pokuaje zatite osnovnih prava i sloboda. Ove tekoe su jo vee zbog globalne prirode kako problema tako i njegovog reenja. Upravo je to podruje za ulogu meunarodnih aktera u razvoju globalnih standarda i identifikaciju najboljih praksi. Takvi akteri, isto tako, mogu da uestvuju u podsticanju harmonizacije nacionalnih propisa o istrazi, gonjenju, uvanju podataka, zatiti, privatnosti, pristupu odbrani mrea i odgovoru na napade. Pored toga, meunarodni akteri mogu i da doprinesu identifikaciji nedostataka u nadzoru i da ukau na najbolje prakse demokratskog nadzora aktera i partnerstava u online bezbednosti. Ova oblast zasluuje znatno veu panju, imajui na umu da su trenutni pokuaji da se nau najbolje prakse (na primer, kad je re o Podgrupi G8 za visoko-tehnoloki kriminal, Kongresu UN-a za suzbijanje kriminaliteta i krivino pravo ili Oktopus konferenciji Saveta Evrope o saradnji protiv Sajber Kriminala) vie fokusirani na efikasnost nego na transparentnost i nadzor, probleme kojima emo se ponovo vratiti kasnije. Ovih nekoliko poslednjih akcenata su naroito vani imajui na umu velike disproporcije koje postoje u pogledu tehnolokih kapaciteta i pravnih okvira izmedju razliitih drava. Dok mnoge drave, poput SAD i Velike Britanije, na sajber bezbednost troe milione i ubrzano razvijaju zakonodavstvo u toj oblasti, ostale nemaju
6 7
Markoff, Sanger and Shanker, In Digital Combat, U.S. Finds No Easy Deterrent Jennifer Wood and Benot Dupont, eds., Democracy, Society and the Governance of Security (Cambridge: Cambridge University Press, 2006).
12
ak ni osnovnu IT infrastrukturu, a kamoli strategiju za suoavanje sa sajber pretnjama koje pogaaju i/ili potiu sa njihovih teritorija. Otud potreba da se donesu zakoni o sajber bezbednosti i sajber kriminalu (koji bi ukljuivali i adekvatnu demokratsku kontrolu). Tamo gde nedostaju i relevantni kapaciteti i relevantno zakonodavstvo, istraga i procesuiranje sajber kriminala postaju teki, ako ne i nemogui, dok odsustvo odgovarajuih kontrolnih tela ine daleko izvesnijim krenje prava na slobodu izraavanja, privatnost i slobodu udruivanja. Relevantni meunarodni instrumenti ukljuuju: Rezolucije 55-63 Generalne skuptine Ujedinjenih nacija od 4. decembra 2000. godine i 56/121 od 19. decembra 2001. godine o Borbi protiv kriminalne zloupotrebe informacionih tehnologija; Smernice za saradnju policija i provajdera internetskih usluga u suzbijanju sajber kriminala, usvojene na svetskoj konferenciji Saradnja protiv sajber kriminala odranoj u Strazburu 1. i 2. aprila 2008.godine a, na regionalnom nivou Preporuku Saveta Evrope Br. R (89) 9 o kompjuterskom kriminalu i Evropsku konvenciju o sajber kriminalu koja od mnogih drava zahteva da usvoje zakonske mere za ustanovljavanje snaga i procedura za krivine istrage koje bi se odnosile na krivina dela poinjena korienjem kompjuterskih sistema i prikupljanjem elektronskih podataka. Takodje su bitni i meunardni i regionalni instrumenti za zatitu ljudskih prava ukljuujui: Meunarodnu konvenciju o graanskim i politikim pravima (naroito lan 17. o pravu na privatnost, lan 19. o slobodi izraavanja i lan 22. o slobodi udruivanja), Evropsku konvenciju o ljudskim pravima, Afriku povelju o pravima ljudi i naroda i Ameriku konvenciju o ljudskim pravima. Meunarodne i regionalne organizacije su takoe naroito pokuavale da obrate panju na zatitu elektronskih podataka, posredstvom mera i instrumenata kao to su: Smernice Generalne skuptine Ujedinjenih nacija za regulisanje kompjuterskih fajlova sa linim podatcima i Konvencija Saveta Evrope o zatiti pojedinaca prilikom automatskog procesuiranja linih podataka koja, posebno, ponovo naglaava zatitu koja se odnosi na privatnost i slobodu izraavanja u pogledu elektronskih podataka i prepiske. Javnost je jo jedan krucijalni element sa jasnom potrebom da joj se pristupi putem edukativnih kampanja koje promoviu svest o prevarama, kraama identiteta, razbojnitvu, etici, kao i o relevantnim pravima javnosti. Trea tabela prikazuje neke od kljunih aktera angaovanih u reagovanju na onlajn pretnje.
13
Tabela 1. Izvori sajber pretnji8

Izvor pretnje Drave Opis pretnje Strane obavetajne slube koriste IT sredstva za prikupljanje informacija i pijunau. Ovo moe biti usmereno na druge drave (prijateljske i neprijateljske) ili na ne-dravne pretnje. Drave takoe mogu napadati strane rivale u clju dezinformisanja, destabilizacije, zastraivanja ili ak potpunog sajber rata. Sa stanovita ljudske bezbednosti, drave bi mogle da predstavljaju pretnju svojim hvatanjem i korienjem linih podataka, u nekim sluajevima bez sudskog naloga ili adekvatnog demokratskog nadzora. Preduzea i korporacije (ponekad u saradnji sa organizovanim kriminalnim grupama ili individualnim hakerima) sprovode industrijsku pijunau i/ili sabotau. Kao to smo i gore naveli, korporacije predstavljaju pretnju ljudskim pravima skupljajui i analizirajui velike koliine linih podataka i, u nekim sluajevima, delei ove podatke sa vladama i drugim privatnim akterima. Nekada je bilo uobiajeno da hakeri upadaju u mree zbog uzbuenja i izazova ili da bi se hvalisali u hakerskoj zajednici, iako su, danas, ti motivi u svojoj prirodi mnogo vie kriminalni. Dok je ranije za hakovanje sa daljine bilo potrebno dosta vetine i puno znanja o kompjuterima, hakeri danas mogu da sa interneta download-uju scenarije napada i protokole i da ih upotrebe protiv sajtova rtava. Tako su sredstva za napade postala sofisticiranija i laka za upotrebu. Haktivizam se odnosi na politiki motivisane napade na internet stranice ili e-mail servere. Haktivisti ele da poremete, nagrde ili unite web sajtove da bi ostvarili politike ciljeve. Nezadovoljni insajderi predstavljaju veliku pretnju imajui na umu da im njihovo esto detaljno poznavanje sistema rtve omoguava neogranien pristup. Motivi insajdera mogu biti da izazovu tetu sistema ili da ukradu osetljive podatke. Federalni biro za istrage (FBI) u SAD izvetava da su insajderski napadi dvostruko verovatniji od napada tudjinaca. Teroristi ele da unite, onesposobe ili iskoriste kljunu infrastrukturu, ugroze nacionalnu bezbednost, izazovu masovne rtve, oslabe ekonomije i narue javni moral i poverenje. Mada mnoge teroristike grupe moda trenutno nemaju kapacitete za sajber napade ne postoji garancija da ih u budunosti nee imati (ili ih ak kupiti od organizovanih kriminalnih grupa). Botnet operateri su hakeri koji preuzimaju veliki broj raunara, koji se onda koriste za koordinaciju napada, fier prevare, spamovanje ili malver (zlonamerne) napade. Usluge ovih mrea su nekad dostupne na podzemnom tritu. Fieri su pojedinci ili male grupe koje se koriste prevarom ne bi li ukrali identitet ili informacije u svrhu ostvarivanja novane dobiti. Fieri esto koriste spam ili pijunski/maliciozni softver za ostvarivanje svojih ciljeva. Spameri su pojedinci ili organizacije, koje distribuiraju netraenu potu (esto sa prikrivenim ili lanim informacijama) ne bi li prodali proizvode, poinili fier prevare, rasturali pijunski/ zlonamerni softver ili napadali organizacije. Pojedinci ili organizacije koji sa zlom namerom sprovode napade na korisnike koristei i rasturajui pijunski i maliciozni softver Pedofili sve ee koriste internet za razmenu deje pornografije (preko e-mail-a, specijalizovanih programa za razmenu fajlova i P2P softvera) i nalaenje rtava (esto koristei programe za drutveno umreavanje ili priaonice).
Korporacije
Hakeri
Haktivistsi Nezadovoljni insajderi
Teroristi
Botnet operateri Fieri
Spameri
Autori pijunskog i zlonamernog softvera Pedofili
Adaptirano prema: United States Government Accountability Office, Information Security: Cyber Threats and Vulnerabilities Place Federal Systems at Risk (Washington DC: US GAO, 2009); William A. Wulf and Anita K. Jones, Reflections on Cybersecurity, Science 326 (13 November 2009): 943-4; See Martin Charles Golumbic, Fighting Terror Online: The Convergence of Security, Technology, and the Law (New York: Springer, 2007).
14
Tabela 2. Kategorije sajber pretnji

Kategorija Integritet Sajber napadi mogu da koriste hakerske tehnike da modifikuju, unite ili na drugi nain kompromituju integritet podataka. Podkategorija Propaganda-dezinformisanje Primeri Modifikacija ili manipulacija podacima ili ubacivanje kontradiktornih podataka radi uticaja na politike ili poslovne rezultate ili destabilizaciju stranih vlada. Napadi na websajtove ne bi li prinudili njihove vlasnike (javne i/ili privatne) da sklone ili modifikuju sadraj sajta ili da zauzmu drugaiji kurs. Trajno unitavanje podataka ne bi li se otetila konkurencija ili napale strane vlade. Ovo moe, na primer, da bude deo veeg konflikta. Uskraivanje usluga, napadi na dravne ili privatne servise dostupne javnosti, poput medija ili dravnih informativnih sajtova. Napadi na privatne ili dravne unutranje mree, poput slubi za hitne intervencije, infrastrukture za kontrolu energije ili transporta, e-banking sajtove, kompanijsku e-potu, komandne i kontrolne sisteme itd. Firme u potrazi za informacijama o svojim konkurentima; drave umeane u pijunske aktivnosti (usmerene protiv drugih drava ili protiv pojedinaca) Fiing napadi (i sl.) s ciljem da prevare korisnike i otkriju njihove line podatke, poput brojeva bankovnih rauna; virusi koji prikupljaju i uplouduju takve podatke sa njihovih kompjutera. Trojanski konji i sl. koji se koriste za krau podatakla o identitetu koji se potom koriste u izvravanju krivinih dela. Tehnike otvorenog izvora koje se koriste da bi se otkrile, na primer, line informacije iz javno dostupnih podataka. esto se rasturaju putem spam e-pote; pod prevarom se podrazumeva i popularni Nigerijski 419 ili prevara avansnog plaanja, kao i pokuaji da se primaoci ubede da kupe raznovrsnu lanu robu ili usluge.
Zastraivanje
Destrukcija
Dostupnost Napadi uskraivanjem usluga botnetova, mogu se, naprimer, koristiti da bi se spreio korsniki pristup podacima koji bi im inae bili dostupni.. Poverljivost Sajber napadi mogu biti usmereni na razliite vidove poverljivih informacija, esto zarad kriminalnih ciljeva..
Eksterne informacije
Interne informacije
pijunaa
Kraa linih podataka
Kraa identiteta
Kopiranje podataka
Prevara
15
Tabela 3. Odgovori na sajber pretnje

Tip Meunarodne i regionalne organizacije Primer Uloga Politika APEC-TEL, Evropska bezbednosna agencija za X mreu i informacije (ENISA) NATO Koordinacioni centar posebne sajber odbrane (CCDCOE), ASEAN, OECD, OAS Tim za teagovanje na kompjuterske bezbednosne incidente (CSIRT), Forum za upravljanje internetom (IGF), Meunarodna telekomunikaciona unija (ITU), Internetsko drutvo (ISOC), Internetska korporacija za dodeljena imena i brojeve (ICANN) Meridian CIIP, G8 Lion Grupa, Podgrupa za visokotehnoloki kriminal, UN, Savet Evrope (CoE) Organizacije za zatitu ljudskih prava (poput X Amerike unije za graanske slobode, Human Rights Watch-a, Amnesty International-a, Reportera bez granica, OpenNet inicijative), fondacije (poput World Wide Web Fondacije, Shadowserver fondacije), trustovi mozgova (kao to su CSIS, RAND), kao i mnogi drugi. Anti-Fiing radna grupa (APWG), Centar za X istraivanje i analizu funkcionisanja sistema (APWG) imenovanja domena (DNS-ORAC), Radna grupa za spreavanje zloupotreba poruka (MAAWG), Industrijski konzorcijum za podsticanje bezbednosti na internetu (ICASI), Infosecov savet naunotehnoloke istraivake Grupe za zlonamerne kodove (ISTSG), Radna grupa za internet ininjering (IETF), Institut za elektrine i elektronske ininjere (IEEE), tela koja se bave saobraajem (naroito bezbednou na aerodromima/kontrolom vazdunog saobraaja), druga industrijska tela koja se bave kljunom infrastrukturom. MUP, MIP, Ministarstva saobraaja, finansija, X bezbednosne agencije, policijska odeljenja (posebno namenjena za sajber bezbednost i jedinice za borbu protiv organizovanog kriminala), ministarstva pravde, timovi za hitne kompjuterske intervencije (CERTs), policajci za operativnu bezbednost, policajci specijalizovani za sajber bezbednost Specijalizovane firme za internet bezbednost, proizvoai hardvera, provajderi za mreno naplaivanje usluga, e-mail serveri, hostinzi (skladita) internet sadraja, banke i akteri iz sektora finansija, akteri u internet trgovini Vlasnici PC-jeva i korisnici X Odgovor X (ICANN, Meridian CIIP) Sprovoenje X (G8 Lion Grupa, Podgrupa za Visokotehnoloki kriminal)
Nevladine organizacije
Industrijska tela
Drave
Privatni sektor
Pojedinci
16
2. Izazovi za demokratsku vlast

2.1 Pregled
Suoene kako sa tradicionalnim tako i netradicionalnim bezbednosnim izazovima, drave su, delujui same, loe opremljene. Ad hoc upravljanje bezbednou mrea i, naroito, javno privatna saradnja, predstavljaju sve uestaliji odgovor. Moe biti primamljivo nazivati ovaj proces privatizacijom, ali time bi nam, kako istie Alison Bejls, promakle nijanse i kompleksnost situacije u kojoj se, od sluaja do sluaja, funkcije delegiraju ili raspodeljuju bez punog transfera ili svojine (...) kakvi se mogu pojaviti u industrijskoj >privatizaciji<. 9 Pojam upravljaka mrea je podesniji kada je u pitanju sajber bezbednost imajui na umu da se delegiranje ili transfer odgovornosti odvija u dva pravca. Drave se sputaju ka firmama dok se one penju ka dravi. Primer ovoga je skoranji sporazum o saradnji izmeu Google-a i Nacionalne bezbednosne agencije SAD-a (NSA) (o emu e biti vie rei kasnije), ne bi li se firmi navodno pomoglo da svoju mreu obezbedi nakon nedavnog napada kineskih hakera. Takve mree podrazumevaju saradnju izmeu vlada, privatnog sektora, nevladinih i meunarodnih organizacija, koja akterima omoguava korienje geografskih, tehnolokih i naunih resursa koje oni sami ne bi mogli da obezbede. Pojava ovih novih mrea upravljanja sadri kako teorijske tako i praktine izazove koji, do sada, nisu bili temeljnije istraivani. Na teorijskom planu, u naem razumevanju kompleksnosti upravljakih mrea postoje praznine. Na praktinom nivou postoje, za sada, pitanja bez odgovora koja se tiu transparentnosti, nadzora, odgovornosti i trokova (iroko definisanih) novih upravljakih mrea, kao i naina na koji one, na pozitivan nain, mogu da doprinesu boljoj bezbednosti. Ove rupe i problemi su naroito akutni kod pitanja javno privatne saradnje. Takva saradnja je, po svojoj prirodi, esto netransparentna i aktivnosti mrenih sastavnih delova su esto kompleksne i skrivene od oiju nadzornih tela i institucija demokratskog upravljanja. Pored toga, kako Bejls istie:
balans kontrole u javno-privatnim odnosima na polju bezbednosti se menja (...) ovih dana postoji malo sluajeva , ako ih uopte ima, u kojima vlada moe prosto da prisili preduzea da ine ta ona eli; ak i mnogo oigledniji metodi indirektne kontrole od nacionalnih i meunarodnih pravnih propisa do prepravljanja igre ekonomskih podsticaja postaju sve
9
Alyson Bailes, Private Sector, Public Security, in Private Actors and Security Governance, ed. Alan Bryden and Marina Caparini (Berlin: Lit Verlag, 2006), 42.
17
tei da se primene u okruenju na koje sve vei uticaj imaju netradicionalne, nedravne, multinacionalne i transnacionalne sile i akteri.10
U ovom pogledu upotreba privatnih vojnih i bezbednosnih kompanija je oigledno privukla najvei deo panje. Meutim, sajber bezbednost nam prua jo jednu, ne manje znaajanu, ilustraciju ove problematike. Postoje brojni faktori koji pogoravaju nadzor izazova koje predstavljaju sajber bezbednost i javno-privatna saradnja koja je prati. Dole se nalazi lista ovih izazova, posle kojih slede primeri dravne prakse iz Velike Britanije, SAD-a i Australije. Prvo, problemi nadzora pogorani su zbog kompleksnosti mree. Kao to se ilustruje u daljem tekstu, u sajber bezbednost ukljuen je veliki i raznovrsni broj dravnih, privatnih, meunarodnih i drugih nedravnih aktera. Slino tome, veoma raznoliki akteri participiraju i u onom to bi se u irem smislu moglo nazvati kao sajber napad. Kompleksnost mree nadzornim telima kao to su parlamentarni odbori (esto sa ogranienim ovlaenjima), oteava da prate relevantne aktere, stiu saznanje o njihovom postojanju i aktivnostima ili ak i pravni mandat da to ine. Drugo, probleme nadzora pogorava tehnika kompleksnost. Zbog izrazito tehnike prirode izazova sajber bezbednosti i odgovora na nju, nadzorna tela esto nemaju neophodnu strunost da ih razumeju i adekvatno nadziru. Javno privatna saradnja dodatno pogorava problem stvarajui razdor izmeu visoko plaenih i sofisticiranih tehnikih eksperata koji su ukljueni u sprovoenje direktive i (esto) slabo plaenih i slabije informisanih dravnih aktera koji su zadueni za njihov nadzor. Tree, probleme nadzora pogorava pravna kompleksnost. Sajber bezbednost nas suoava sa kompleksnim pravnim pitanjima koja se odnose (izmeu ostalog) na pravo privatnosti i slobodu izraavanja. Ova kompleksnost se dalje uveava kroz javno privatnu saradnju i povezana pravna pitanja u pogledu odgovornosti i kontrole. etvrto, probleme nadzora pogorava heterogenost aktera. U veini sluajeva, institucije nadzora su organizovane kao agencije ili funkcionalno slina tela. Na primer, parlamentarni odbor moe da nadgleda obavetajne slube i aktivnosti, oruane snage i pravosue. Meutim, javno privatna saradnja koju podrazumeva sajber bezbednost see preko agencijskih ovlaenja pa i izvan njihovog mandata. To rezultira velikim brojem podruja u kojima nadzora ili nema ili je on neadekvatan. Peto, probleme nadzora pogoravaju percepcije mandata. Generalno, dravna nadzorna tela se staraju o dravnim agencijama za iji rad su direktno odgovorne. Ovo ostavlja privatne partnere takvih agencija izvan dometa nadzora, ak i u sluajevima kada ih takve agencije direktno finansiranju ili sa njima blisko sarauju.
10
Bailes, Private Sector, Public Security, 42.
18
esto, probleme nadzora pogorava naruavanje odnosa principal/agent. Postupci svakog dravnog agenta povezani su lancem odgovornosti od principala ka agentu. Na primer, policajac u Parizu preko svog ili njenog prevota (nadreenog oficira u policiji), sa perfektom (politiki imenovanim efom policije) i, konano, sa Ministarstvom unutranjih poslova i sa egzekutivom. Tako postoji lanac odgovornosti i nadzora izmeu demokratskih institucija (poput parlamenta) i pojedinaca ili agencija koje sprovode dravne direktive. Ove veze prekinute su uvoenjem privatnih aktera i stvaranjem javno privatnih mehanizama saradnje. Iako se javna IT preduza naizgled ponaaju kao puki agenti drave (principala), taj odnos je generalno mnogo sloeniji i zamagljeniji zbog mnogobrojnih asimetrinih informacija koje smanjuju transparentnost i spreavaju efikasno delovanje nadzornih mehanizama. Budui da onlajn bezbednost, u mnogim dravama, predstavlja relativno nov problem za aktere na polju bezbednosti, demokratski nadzor, u vidu ombudsmana, parlamentarnih odbora i drugih specijalizovanih tela, se s njim sporo hvataju u kotac. U Velikoj Britaniji, na primer, nadzor dravne sajber bezbednosti poveren je meuodeljenskim nadzornim komisijama, Kabinetu odbora za nacionalnu bezbednost, meunarodne odnose i razvoj i njegovom podkomitetu za proaktivnu bezbednost i reagovanje. Razmatrajui ovaj problem zajedno sa tradicionalnim pitanjima odbrane, efikasnost nadzora u Velikoj Britaniji mogla bi biti ranjiva zbog problema tehnike kompleksnosti, percepcije mandata i pravne kompleksnosti koje smo razmatrali gore. Slino tome, u Australiji, dravne aktivnosti na polju sajber bezbednosti nadziru postojea tela i komiteti, poput (kada su u pitanju obavetajni akteri) Generalnog inspektora za obavetajni rad i bezbednost i Zajednikog parlamentarnog odbora za obavetajni rad i bezbednost. Ovo bi probleme nadzora moglo ostaviti podlonim problemima koji se odnose na percepciju mandata i heterogenost aktera, koje smo, prethodno razmatrali. U SAD je situacija neto bolja, iako propusti u nadzoru i dalje postoje. Egzekutiva je imenovala zamenika za graanske slobode za potrebe Kancelarije za graanske slobode i privatnost pri Kancelariji direktora za nacionalnu bezbednost, ija e uloga biti da nadzire aspekte privatnosti u vladinoj politici sajber bezbednosti. Meutim, na nivou Kongresa, nadlenost dele bar etiri odbora za odobravanje i slian broj odgovarajuih podobora. Svaki odbor bi mogao da drugaije posmatra problem i da ga rei po svojoj meri. Kao i kod mnogih kompleksnih problema koji se tiu heterogenosti umeanih aktera izdeljen nadzor mogao bi da potkopa napore da se formira jedinstven pristup problemu. Uzmimo noviji primer: Google i NSA su nedavno udruili snage zbog skoranjih napada velikih razmera usmerenih na ovu kompaniju, za koje se veruje da su potekli iz Kine. Izvetaji iz Vaington Post-a tvrde da je savez osmiljen na nain koji bi omoguio dvema organizacijama da meusobno dele kljune informacije bez krenja Google-ove politike ili zakona koji tite privatnost amerikih onlajn komunikacija.11 Meutim, nije jasno koliko je ovakva garancija
11
Ellen Nakashima, FBI Director Warns of Rapidly Expanding Cyberterrorism Threat, The Washington Post, 4 March 2010.
19
podlona proveri od strane postojeih demokratskih mehanizama nadzora, ili ak koliko zatite prua stranim licima.
2.2
Implikacije u zatiti ljudskih prava
Tempo kojim problemi bezbednosti mrea pretiu sposobnosti nadzora i nadzornih tela da ih kontroliu je naroito zabrinjavajua kada se imaju u vidu njene implikacije na prava na privatnost, slobodu izraavanja i udruivanja. Kljuni deo strategije sajber bezbednosti meu vladama, pojedincima i privatnim preduzeima je korienje fajervola (firewall). U sutini fajervol odreuje granice izmeu dve ili vie mrea i regulie saobraaj meu njima u skladu sa setom pravila, tj. politikom razliite kompleksnosti i sofisticiranosti. Na osnovnom komercijalnom nivou, fajervoli podrazumevaju javno privatnu saradnju zbog toga to, kao to smo gore opisali, privatne firme esto razvijaju hardver i softver neophodan za njihovo funkcionisanje. Ovaj odnos tek oekuje ekspanziju budui da drave irom sveta ele da proire primenu sredstava koja trenutno tite visoko poverljive mree na mnogo iri spektar dravnih agencija. 12 Meutim, na mnogo sofisticiranijem nivou, javni i privatni akteri su sve vie povezani sloenim regulatornim okvirima, naroito onima koji se odnose na elektronsku zatitu kljune infrastrukture. Uzimajui u obzir raznolikost aktera koji poseduju ili na drugi nain kontroliu kljune infrastrukture (elektrine centrale, aerodrome, bolnice itd.), jasno je da postoje ogranienja pristupa koji titi samo dravne mree. Meutim, iako se prialo o izgradnji fajervola za sve Amerikance na mrei,13 uvidelo se da je trka u proizvodjenju fajervola u krajnjoj liniji beskorisna. Ovo je naroito sluaj kada se uzme u obzir da su (kao u primeru koji smo gore naveli) takvi sistemi odbrane samo u dravnom vidokrugu. Kao to Pavan Dugal, indijski ekspert za sajber pravo, opravdano kae, dravno zakonodavstvo je od ograniene koristi u zatiti korisnika od sredstava za komunikaciju koja prevazilaze dravne granice14
12
13 14
Ryan Singel, Report: Governments Cyber Security Plan is Riddled With New Spying Programs, Wired, 15 May 2008, Threat Level. Ibid. Pavan Duggal cited in William Maclean, Cyber Evil Will Thrive Without Global Rules Good Luck With That, Wired, 22 February 2010, Epicenter.
20
Tabela 4. Cenzura interneta15
U skladu sa OpenNet Inicijativom, prema nivou cenzure interneta drave se mogu podeliti u sledee tri kategorije. Totalna Izrazita Nominalna Burma (Mjanmar), Kina, Kuba, Egipat, Iran, Severna Koreja, Saudijska Arabija, Sirija, Tunis, Turkmenistan, Uzbekistan, Vijetnam Australija, Bahrein, Juna Koreja, Ujedinjeni arapski emirati, Jemen Belorusija, Belgija, Brazil, Kanada, ile, Hrvatska, eka, Danska, Estonija, Fidi, Finska, Francuska, Nemaka, Gana, Irska, Indija, Izrael, Italija, Jordan, Malezija, Maroko, Holandija, Novi Zeland, Norveka, Pakistan, Poljska, Rusija, Singapur, Slovenija, vedska, Tajland, Turska, Velika Britanija, SAD
Pokuaji izgradnje dravnih fajervola (ili slinih sistema za kontrolu meunarodne razmene podataka) su se esto suoavali sa estokim otporom privatnih aktera i njihova saradnja sa dravama u ovoj oblasti je najee iznuena. U Australiji, na primer, gde je aktuelna vlada predloila zakon koji bi provajdere internetskih usluga (IPS-ove) prinudio da blokiraju odreene sajtove i sadraje, ovaj predlog je otro kritikovan od strane privrede i civilnog drutva. Google je, recimo, rekao da je predloeni zakon prestrog i da moe da podstakne ozbiljna pitanja vezana za ograniavanje pristupa informacijama i potom dodao da iako je ova vrsta sadraja moda neprijatna i neukusna (...) drava ne bi trebalo da ima pravo da blokira informacije koje mogu da poslue u debati o kontroverznim problemima.16 Pored toga, disperzija odgovornosti koja je esto svojstvena javno privatnoj saradnji, na primer, ima direktne posledice u zatiti ljudskih prava. Kada drave i privatna preduzea sarauju radi sprovoenja zakona kada se, recimo, utvrdi da je dolo do krenja ljudskih prava, postaje mnogo tee pripisati odgovornost. U skoranjem maratonskom sluaju u SAD bilo je otkriveno da je AT&T, telekomunikacijski gigant, na tanjiru, bez naloga, Nacionalnoj bezbednosnoj agenciji (NSA) predao ogromnu koliinu komunikacijskih podataka (elektronsku potu, telefonske pozive i sl.). U pravnom postupku koji je sledio bilo je teko odluiti se da li okriviti telekomunikacione firme ili dravu jer ni jedni ni drugi ne ele da preuzmu odgovornost.17 (Vidi okvir1.) Dodatan razlog za zabrinutost predstavlja i injenica da postoji sutinska tenzija izmeu zatite privatnosti i poboljane identifikacije i provere identiteta korisnika. Ovo svojstvo sajber bezbednosti tekoe i tehnoloka ekspertiza neophodna za identifikaciju onlajn negativaca direktno je dovelo do drugog problema: injenice da drave i firme esto bez adekvatnog demokratskog nadzora skupljaju i obrauju veliku koliinu linih i privatnih podataka radi vlastite bezbednosti (kao i bezbednosti njihovih klijenata),. Uistinu, general-potpukovnik Aleksandar Kejt, imenovan kao
15 16
17
OpenNet Initiative, Country Profiles, OpenNet, http://opennet.net/research/profiles Google, Our views on Mandatory ISP Filtering, Official Google Australia Blog: News and notes from Google Down Under, 16 December 2009. David Kravets, Courts, Congress Shun Addressing Legality of Warrantless Eavesdropping, Wired, 29 January 2010, Threat Level.
21
voa nove Sajber komande SAD, rekao je u Komitetu za oruane snage Senata SAD da je uticaj novih IT bezbednosnih mera na privatnost poverljiva informacija. 18 Bilo je raznih predloga mera i projekata za brzu identifikaciju hakera i sajber kriminalaca. U jednom primeru, Amerika agencija za napredne odbrambene projekte i istraivanje (DARPA) je iznela plan za neto to ona zove sajber genom, projekat koji bi omoguio praenje dokumenata i ifara do njihovog izvora neka vrsta modernog ekvivalenta kada je u Drugom svetskom ratu postala mogua identifikacija radio operatera, ak i preko ifrovanih kanala, na osnovu zvuka koji su pravili prilikom udaranja po Morzeovom tasteru.19 Manje ekstremni planovi podrazumevaju zakonodavstvo, koje je predlagano u mnogim oblastima, koje bi ISP-ere nateralo da nekoliko godina uvaju podatke korisnika ukljuujui i onaj kojem je korisnikom raunu i kada dodeljena dinamika IP adresa. Okvir 1. Imunitet Telekoma20
Juna 2008. Predstavniki dom amerikog kongresa usvojio je zakon kojim se garantuje imunitet od gonjenja odreenom broju amerikih telekomunikacijskih kompanija, ukljuujui AT&T i Verizon. Ovaj imunitet ih titi u vie od etrdeset parnica koje su posledica njihove uloge u dravnim programima nadzora internetskog saobraaja i e-pote bez sudsklog naloga, koje je pokrenula Buova administracija,. U parnicama se tvrdi da su pomenute firme krile pravo privatnosti i da su omoguile pijuniranje bez sudskog naloga.. Zakonodavstvo i postupci amerikih telekomunikacijskih firmi iznedrili su vana pitanja o odgovornosti privatnih aktera u javno privatnoj saradnji u domenu sajber bezbednosti. Kako je rekao Patrik Lehi, senator Demokratske partije i predsedavajui Odbora za pravosue u Senatu: Nije mi interes da otetim nosioce telekomunikacija. Podrao bih dravno obeteenje ili da na njhovo mesto u ovim parnicama doe drava (...) Ali, to se mene tie, mora postojati odgovornost.
Primera radi, Evropski sud za ljudska prava je 2008. godine, u sluaju KU protiv Finske, presudio da postoji dovoljno propisa koji podravaju pravo drava lanica da od provajedra internetskog servisa trae podatke kada su ovi neophodni u voenju krivine istrage.21 Sud je svoju presudu zasnovao na nizu sluajeva i na praksi evropskog prava, ukljuujui Preporuku Saveta ministara br. R (95) 13 koja se odnosi na krivino procesno pravo za visoko-tehnoloki kriminal i Evropsku konvenciju o sajberkriminalu, koje provajderima nameu obavezu da, kada to od njih zahtevaju nadleni istrani organi, prue informacije radi identifikacije korisnika.22 Sud se takoe osvrnuo na lan 5. Direktive EU 2002/58/EC u kojem pie: Drave lanice e se postarati da sledee kategorije podataka podvedu pod ovu direktivu: (a) podaci neophodni za praenje i identifikaciju izvora komunikacije (...) (2) kada je u pitanju pristup internetu, internet e-pota i internet telefonija (...) (iii) ime i adresa pretplatnika
18
19
20 21 22
Steven Aftergood, Privacy Impact of Internet Security is Classified, NSA Says, Secrecy News: Secrecy News from the FAS Project on Government Secrecy, 21 April 2010. Noah Shachtman, Dont Be Evil, Meet Spy on Everyone: How the NSA Deal Could Kill Google, Wired, 4 February 2010, Danger Room. Elana Schor, Telecoms Granted Immunity in US Wiretapping Probe, The Guardian, 20 June 2008. KU v. Finland [2008] ECHR 2872/02) Ibid.
22
ili registrovanog korisnika kojem je internet protokol (IP) adresa, korisniki ID ili telefonski broj dodeljen u vreme obavljanja komunikacije.23 Meutim, ovi trendovi se suoavaju sa pritiskom iz suprotnog pravca. U 2008. godini, lan 29.- Radne grupe EU za zatitu podataka, na primer, izvrio je veliki pritisak na Google zbog njegove politike zadravanja podataka. Evropski komesar za pravosudje ak Baro rekao je za Rojters da odluka pomenute kompanije da IP i cookie podaci budu anonimni posle 9 meseci (umesto ranijih 18) predstavlja korak u dobrom pravcu, iako to i dalje nije dovoljno da zatiti privatnost korisnika. tavie, globalna priroda umeanih mrea znaajno komplikuje problem. Na ovom planu efikasna sajber bezbednost se suoava sa istim ogranienjima kao i drugi vidovi meunarodne saradnje, sa dodatnom komplikovanou umeanosti privatnog sektora (videti Okvir br.2). Ako vebsajt sa zlonamernim sadrajem ima, na primer, .ch (vajcarsku) adresu, ali je vlasnik sajta u Rusiji dok se sajt hostinguje u Holandiji - ko je, onda, odgovoran i koji se pravni sistem primenjuje? ak je i za dolaenje do ovakvih informacija ko je iza IP adrese neophodna saradnja aktera iz privatnog sektora, od kojih mnogi ili nemaju te podatke ili su nevoljni da ih dele iz straha da e time razjuriti muterije. Problem se dodatno pogorava time to mnoge drave nemaju (ili ih imaju veoma malo) zakone koji reguliu ovu oblast. U mnogim od ovih pravnih sistema, ak i kada bi postojala politika volja ne postoje tehnoloki kapaciteti neophodni da se napravi i sprovede takav zakon, ak i kada bi postojao. Odsustvo zakonodavstva i kapaciteta znai da kriminalci mogu anonimno da pristupe internetu iz siromane zemlje (preko, na primer, neregistrovane SIM kartice) i da u inostranstvu nekanjeno ine krivina dela.24 Takve drave su u opasnosti da postanu ono to je Datuk Muhamed Nor Amin, predsedavajui Meunarodnog multirateralnog partnerstva protiv sajberkriminala pri OUN, nazvao neuspelim sajber dravama.25 Uzimajui u obzir visoke trokove online bezbednosti (procenjenih na od 3 do 10 posto IT budeta) nejasno je koliko e brzo takve drave biti u stanju da prikupe neophodna sredstva. Postoji potreba za zajednikom strategijom i normama na meunarodnom nivou. Meutim, napori da se podstakne meunarodna saradnja e se neminovno suoiti sa izazovom balansiranja anonimnosti, privatnosti i otvorenosti sa naporima usmerenim na deljenje informacija i bolje proganjanje kriminalaca. Ovakva vrsta orua koje opisuje DRPA na primer, veoma bi koristila represivnim reimima za suzbijanje politikih disidenata. ak i zadravanje korisnikih podataka od strane ISP-a Centar za demokratiju i tehnologiju okarakterisao je kao napadan, rizian, nepotreban i vrlo verovatno neefikasan.26 ta vie, u velikom broju zemalja ne postoji dovoljan nadzor
cited in KU v. Finland [2008] ECHR 2872/02 Maclean, Cyber Evil Will Thrive Without Global Rules Good Luck With That Noor Amin cited in Maclean Cyber Evil Will Thrive Without Global Rules Good Luck With That Julian Sanchez, New Bill Would Force ISPs to Retain User Data for Two years, Ars Technica, 19 February 2009.
23 24 25 26
23
da se spree mogue zloupotrebe takvih zahteva za podatke o identitetu i njihovu upotrebu od strane drave, zbog mnogih razloga koje smo ranije ve naveli. Kako Centar za strateke i meunarodne Studije (CSIS) predlae u svom skoranjem izvetaju iako anonimnost i slaba provera identiteta stvaraju neke od najveih bezbednosnih izazova u sajber prostoru, oni takoe slue za zatitu onih koji, na primer, ele da se upuste u raspravu o nepopularnim temama.27 Izvetaj predlae reenje koje se zasniva na rangiranju rizinosti onlajn aktivnosti, od aktivnosti poput kupovine putem interneta na jednom kraju spektra (mali rizik) do pristupa kontrolnim sistemima za kljunu infrastrukturu na drugom (visoki rizik). Pojedinci bi onda bili slobodni da koriste slabiju proveru identiteta za neke online radnje dok bi za radnje sa viim rizikom morali da imaju jaku akreditaciju.28 Okvir 2. Meunarodna saradnja i Mariposa botnet
U maju 2009. godine Defence Intelligence, privatna kanadska firma za bezbednost, pronala je ogroman botnet, ifra Mariposa, koji je zarazio vie od 13 miliona raunara u vie od 190 zemalja. Meu zaraenim raunarima su bili i kompjuteri velikih banaka i vie od polovine 1.000 najveih svetskih kompanija. Botnet su koristili panski vlasnici za krau ogromne koliine linih podataka, naroito bankarskih i onih o kreditnim karticama. Delovi botneta su takoe bili iznajmljivani raznim organizovanim kriminalnim grupama. Nakon njegovog otkria u maju, Defence Intelligence je radi otkrivanja vlasnika mree i, eventualno, njihovog hapenja i prilikom gaenja mree saraivala (izmeu ostalih) sa panskom firmom Panda bezbednost, kao i sa amerikim FBI-em i panskom Policijom.
2.3
Zastraivanje i reagovanje na sajber rat
Jedna od posledica gore opisanog problema da je poreklo pretnje teko utvrditi je ta da su naruene tradicionalne politike zastraivanja i reagovanja. Zato to je izrazito teko utvrditi izvor napada, teko je spreiti i dalje nanoenje tete putem pretnji odmazdom.29 Poznavaoci sajber rata su otud zakljuili da se ne moe stei nikakva, ili se moe stei veoma mala, odbrambena korist posedovanjem velikih napadakih kapaciteta. Dejms. A. Luis, iz Centra za strateke i istraivake studije, primeuje da je opteprihvaeno da SAD poseduju najmonije ofanzivne sajber sposobnosti ali da to ne doprinosi, ili doprinosi malo, odvraajuem efektu.30 Mogue je, naravno, da relevantni mehanizmi odvraanja tek treba da budu identifikovani ali, za sada, skoranje sajber bitke su potisnule napore da se on pronae. Kako Josef Nie komentarie za Njujork Tajms, sada smo u istoj fazi u kakvoj smo se nali tokom ranih pedesetih godina, nakon to su Sovjeti dobili bombu (...) nee imati isti oblik kao nuklearno odvraanje (...) moemo napraviti neke velike trokove napadaima.31
27
28 29 30 31
Center for Strategic and International Studies, Securing Cyberspace for the 44th Presidency: A Report of the CSIS Commission on Cybersecurity for the 44th Presidency (Washington DC: CSIS, 2008). Ibid. Martin C. Libicki, Cyberdeterrence and Cyberwar (Washington DC: RAND, 2009). Markoff, Sanger and Shanker, In Digital Combat, U.S. Finds No Easy Deterrent quoted in Markoff, Sanger and Shanker, In Digital Combat, U.S. Finds No Easy Deterrent
24
Dodatni problem je to to bi , ak i kada je napada propisno identifikovan, moglo biti teko adekvatno reagovati. Ovo je delom posledica ekstremnih tekoa na koje se nailazi pri jasnom razgraniavanju izmeu vandalizma, komercijalne krae ili sajber rata koji sponzorie drava.32 Takoe, na isti nain na koji je zamaglio razliku izmeu kategorija napadaa, sajber rat je takoe zamaglio razliku izmeu civilnih i vojnih meta. Tako sajber napad moe efekasno da onesposobi neku zemlju napadajui, na primer, njenu finansijsku strukturu, a da se nikada ne gadjaju vojni ili dravni objekti.33 Ova injenica stvara ozbiljne probleme za one koji ele da reaguju. Povelja Ujedinjenih nacija u lanu 2 (4) kae: Sve lanice u svojim meunarodnim odnosima suzdravae se od upotrebe pretnji ili oruane sile protiv teritorijalnog integriteta ili politike nezavisnosti bilo koje zemlje, ili na bilo koji drugi nain nesaglasan sa ciljevima Ujedinjenih Nacija. Ovaj princip, koji sada predstavlja deo obiajnog meunarodnog prava, zabranjuje upotrebu sile u svim, osim u dvema paljivo definisanim situacijama: prva, u kojoj Savet bezbednosti moe da odobri kolektivnu akciju za odravanje i sprovoenje meunarodnog mira i bezbednosti i druga u kojoj drave imaju pravo na individualnu ili kolektivnu samoodbranu u sluaju oruanog napada na tu dravu. Kada priamo o Estonijskom sajber ratu (vidi Okvir br.3), ak Avikso, ministar odbrane Estonije, je prokomentarisao:
Kako stvari sada stoje, NATO ne definie sajber napade kao istu vojnu akciju. Ovo znai da se propisi iz lana 5. Severnoatlantskog sporazuma, ili drugim reima, kolektivna samoodbrana, nee automatski pruiti napadnutoj zemlji (...) Ni jedan ministar odbrane iz zemalja lanica NATO-a ne bi u ovom trenutku sajber-napad okarakterisao kao vojnu akciju. Meutim, ova situacija e se morati reiti u doglednoj budunosti.34
U meuvremenu, nastavlja se debata o tome ime su drave u stanju da kredibilno zaprete diplomatskim demarom, formalnim protestom, ekonomskom odmazdom, krivinim gonjenjem, preventivnim napadom ili vojnom intervencijom.35 Stvaranje NATO Koordinacionog centra posebne sajber odbrane (CCDCOE) u Talinu, sa mandatom da pobolja sajber odbranu, nagovetava da saveznici pretpostavljaju da je Estonski sajber rat tek poetak. tavie, na veb sajtu centra se tvrdi da se: Moderne vojske pripremaju da koriste sajber prostor kao paralelno bojno polje u buduim konfliktima (...) ak i kada je napad zasnovan samo na mrei malo verovatan, sajber napadi u kombinaciji sa konvencionalnim orujem postae standardna operativna procedura u buduim konfliktima.36 I dok se mnoge drave utrkuju u sticanju tehnolokih sposobnosti neophodnih za uestvovanje u ovoj revoluciji u vojnim poslovima, relevantne norme i strukture koje se odnose na transparentnost, odgovornost i nadzor te napore teko mogu sustii.
32 33
34
35
36
Markoff, Sanger and Shanker, In Digital Combat, U.S. Finds No Easy Deterrent Franklin D. Kramer, Stuart H. Starr and Larry Wentz, eds., Cyberpower and National Security (Washington DC: Center for Technology and National Security Policy, National Defence University, 2009). Jaak Aaviksoo quoted in Ian Traynor, Russia Accused of Unleashing Cyberwar to Disable Estonia, The Guardian, 17 May 2007. Jeffrey Carr, Responding to International Cyber Attacks as Acts of War, in Inside Cyber Warfare: Mapping the Cyber Underworld (Sebastopol CA: OReilly Media, 2010). Cooperative Cyber Defence Centre of Excellence, General Trends, CCDCOE, http://www.ccdcoe.org/8.html
25
Okvir 3. Estonski sajber rat37

Kao jedna od elektronski najrazvijenijih drava na svetu, estonska vlada sve vie prebacuje svoje poslove u virtuelni domen. Sastanci kabineta se odvijaju online i estonski graani mogu na nacionalnim izborima da glasaju i preko svojih kompjutera. 2007. godine Estonija je rangirana kao 23.- zemlja po e-spremnosti. Skoro 61 % populacije ima online pristup svojim bankovnim raunima i 95 procenata bankarskih transakcija su elektronske. Ova umreenost, meutim, je takoe i slabost. Aprila 2007. estonski parlament, ministri, banke i medijske institucije su bili pogoeni nizom koordinisanih napada distribuiranog uskraivanja usluga (DDoS). Relokacija Bronzanog vojnika iz Talina, ratnog spomenika iz sovjetske ere, izazvala je proteste i nemire ruske manjine u Estoniji. Ovi protesti su bili praeni napadima distribuiranog uskraivanja usluga (DDoS) koji su teili da privremeno spree pristup (u nekim sluajevima i diskredituju) jednom broju kljunih veb sajtova u Estoniji. Poziv na akciju, sa preciznim uputstvima o tome kako sudelovati u DDoS napadu, brzo se irio po ruskim onlajn et sobama. Kao rezultat ovoga, sajtovi Ministarstva spoljnih poslova i Ministarstva pravde morali su biti ugaeni, dok je sajt Reformske partije premijera Adrusa Ansipa bio izvrgnut ruglu. Napad je, takoe, privremeno onesposobio nacionalne telefonske linije za hitne sluajeve. Naizmenini sajber napadi na dravne sajtove, ukljuujui i Dravni sekretarijat i Dravnu izbornu komisiju su se nastavili ak do sredine maja 2007. godine. Procene koje se tiu teine i implikacija ovog napada su veoma razliite, to se dodatno komplikuje nekim dokazima koji ukazuju na to da je Rusija koordinisala ili podravala te napade. Deo problema, kao i sa bilo kojim internet kriminalom je i to to, iako je koren napada poznat, nije postojao odgovarajui resurs. Uprkos nekim udnovatim tvrdnjama iznetim u to vreme sada je, meutim, generalno prihvaeno da su napadi bili vie sajber rasprava nego sajber rat i iako problematini za malu dravu poput Estonije da sa tehnike take gledita nisu bili naroito sofisticirani, niti mogu biti indikator toga ta nam donosi budunost. ta vie, estonski kompjuterski tim za hitno reagovanje (CERT) kao i u mnogim drugim dravama, telo koje koordinie javne i privatne aktere u suoavanju sa onlajn pretnjama brzo je i pouzdano reagovao na napad, koristei filtriranje poiljki i druge dobro uhodane i uspene tehnike. Mnogi su ukazivali na to da su dogaaji u Estoniji tek mala prethodnica mnogo ozbiljnijih i razornijih bitaka u budunosti. Opasnost, meutim, kako ukazuju neki analitiari, lei u tome da bi smo preuveliavajui domete sluajeva poput estonskog mogli previe da zalutamo u suprotnom pravcu, ka zatvorenijem internetu, u kojem bi moda bilo lake utvrditi identitete napadaa, ali u kojem su osnovne slobode - poput prava na privatnost i slobodu izraavanja takoe, manje zagarantovane. Konkretno, kritiari istiu da bi predlozi za, na primer, rekonstruisanje interneta kako bi se pripisivanje, geo-lokacija, analiza obavetajnih podataka i procena njihovog znaaja uinili podesnijim za rukovoenje, koje predlae da sprovedemo Majkl Mekkonel, bivi direktor Amerike nacionalne obavetajne slube, takoe doveli do neeljene dravne kontrole i nadzora nad onim to piemo u svojoj e-poti, ukucavamo u nae pretraivae ili preuzimamo sa veb sajtova.
Demokratsku vlast kada je u pitanju regovanje na sajber rat podriva niz dodatnih problema. Prvi meu njima je disperzija odgovornosti. Ukratko, zbog velikog grupisanja nekada samostalnih aktera esto je izuzetno teko utvrditi ko je zaduen za konkretnu oblast. Zbog toga postoji potreba da se premoste preanje pojedinane uloge, ministarstava, i mehanizami pretnji i reagovanja. Ovo je naroito sluaj kada je u pitanju sve vie vetaka podela na bezbednost drave i druge dravne mree sa razliitim ulogama i odgovornostima. Isto vai i za pravni domen, gde postoji popunjavanje praznina zakonima, koje je uzelo maha, ne bi li pokrilo ono to je nekada bilo veoma jasno odvojeno u razliitim podrujima aktivnosti. Vie nego
37
Neki od podataka u okviru su dobijeni ljubaznou g-dina Freda Schreiera. Vidi jo: Cyrus Farivar, Cyberwar I. What the Attacks on Estonia Have Taught Us About Online Combat, Slate, 22 May 2007; Johnny Ryan, iWar: A New Threat, Its Convenience and Our Increasing Vulnerability, NATO Review, Winter 2007; Shaun Waterman, Who Cyber Smacked Estonia? United Press, 11 June 2007; Kevin Poulsen, Cyberwar and Estonias Panic Attack, Wired, 22 August 2007, Threat Level; Singel, Report: Governments Cyber Security Plan is Riddled With New Spying Programs
26
ikada, postoji jasna potreba za jasno definisanim ulogama i odgovornostima, kako u javnom tako i u privatnom sektoru.38 Drugi problem predstavlja to to su umeani akteri esto veoma nevoljni da dele informacije, to postaje sve vea briga za politiare, kada se uzme u obzir veliki broj igraa koji imaju vremesnki-kritine informacije. Da uzmemo samo jedan primer, postoji podsticaj za firme da mere bezbednosti uvaju u tajnosti dok se one ne sprovedu, ne bi li tako zatitile vredne vlasnike informacije. Posledica ovoga je da se nedostatci takvih mera uvide tek kada ponu da se sprovode.39 Osim ako nisu eksplicitna meta, drave esto nemaju nain da saznaju da li je preduzet napad. Kada se osvrnemo na skoranji napad na Google, na primer, jedan stariji obavetajac rekao je da, verovatno nikada ne bi smo primetili napad na Google i druge kompanije da nas o njima Google nije obavestio. Kada razmislite o tome, to je zaista zastraujue.40 Paralelan problem, naravno, je to to drave moda nisu svesne da ljudi ili firme koriste dravnu teritoriju kako bi sa nje pokretali napade. Mogua reenja ovog problema ukljuuju predloene pragove sajber incidenata nakon kojih prijavljivanje postaje obavezno, iako nije jasno koliko bi ovo globalno bilo efikasno, kada se uzme u obzir da postoji veliki broj dogaaja niskog nivoa rizika koji zajedno stvaraju mnogo veu tetu. Slino besplodno reenje postoji u Velikoj Britaniji, koja je razvila sistem koji ohrabruje deljenje informacija u kojem se vlasnitvo nad podacima nikada ne menja. Umesto toga, oni se dodeljuju provajderima za bezbednost informacija od poverenja koji umesto drave deluju kao spona za objedinjavanje podataka.41 Poverenje i transparentnost su kljuni problemi za privatne aktere, od kojih se mnogi plae i da e izgubiti udeo na tritu u sluaju ako budu prisiljeni da vlastima otkriju previe informacija (o klijentima i sl.) kao i od zlonamernih hakerskih napada. Takoe postoji niz nereenih pravnih pitanja koja se ondose na koncentraciju ovlaenja koja su na raspolaganju vlastima, ta su vlasti spremne da preduzmu radi zatite kljune infrastrukture koja je u privatnom vlasnitvu, postavljanje softvera za monitoring, automatizovanih senzora za detektovanje i upozoravanje na napad, deljenje podataka sa treim licima i odgovornost za privatni sektor. Neki su predlagali stvaranje monih entiteta na dravnom niovu koji bi skupljali informacije od raznih aktera (poput lokalnih centara za sajber bezbednost) sa ciljem da se razvije razumljiva predstava o sajber pretnjama i statusima mrea, kao i da se obezbedi podka koordinisanom regovanju na incidente. Na dravnom nivou, koordinacija iziskuje neophodnu saradnju izmeu policije, obavetajne slube, kontra-obavetajne slube i vojske pri svim spoljnim upadima, insajderskim operacijama i ranjivostima lanca snabdevanja,42 Sve ovo mora da se integrie u jedan sveobuhvatan okvir, naroito kada je u pitanju reagovanje na incidente i od poetka do kraja dizajniran sistem neto za ta trenutno niko nije zaduen.
38 39 40 41 42
White House, Cyberspace Policy Review Jim Giles, Benevolent Hackers Poke Holes in E-Banking, New Scientist, 29 January 2010. Markoff, Sanger and Shanker, In Digital Combat, U.S. Finds No Easy Deterrent White House, Cyberspace Policy Review Ibid.
27
Okvir 4. Gruzijski konflikt43

Sajber napad na Gruziju predstavlja prvi onlajn napad koji je sproveden u kombinaciji sa vojnom ofanzivom. DDoS-ovi malih razmera su poeli u junu, skoro dva meseca pre petodnevnog rata izmeu Rusije i Gruzije oko gruzijske otcepljene pokrajine Juna Osetija. Dvadesetog jula, Fondacija Shadowserver, grupa uvara interneta, primetila je vie DDoS napada uperenih na zvanini sajt Gruzijskog Predsednika Mihajla Sakavilija. Napad, zbog kojeg je predsedniki sajt bio ugaen vie od 24 sata, je bio koordinisan preko amerikog servera, to je injenica koja naglaava nadgraninu prirodu ove pretnje. DDoS napad na gruzijsku nascet internet infrastrukturu dostigao je alarmantan nivo 8. avgusta, prvog dana rata. Toga dana, Shadowserver je detektovao prvi napad est razliitih botnetova na gruzijsku Vladu i vebsajtove medija. Kako se konflikt zaootravao, tako su eskalirali i onlajn napadi, u kojima su ruski haktivisti gasili i rasturali sajtove Predsednika, gruzijskog Parlamenta, Ministarstva odbrane i spoljnih poslova, gruzijske Narodne banke i dveju onlajn novinskih agencija. Gruzijska vlada reagovala je brzo i kreativno. Sa Googlovim odobrenjem, sajtovi Ministarstva spoljnih poslova i civil.ge su privremeno premeteni na Blogspot domen gde su bili bolje zatieni od napada. Devetog avgusta Tulip Systems inc., provajder internetskih usluga sa seditem u Atlanti, iji je vlasnik Nino Doijavili, poreklom Gruzijac, poeo je da houstuje Predsednikov vebsajt. Kao gest solidarnosti Predsednik Republike Poljske, Leh Kainjski, ljubazno je ustupio prostor na svom sajtu za zvanina saoptenja za tampu gruzijske Vlade. Estonska vlada je pruila znaajnu podrku prihvativi sajt Ministarstva spoljnih poslova i poslavi dvojicu specijalista za informacionu bezbednost da pojaaju gruzijsku sajber odbranu. Prema ekspertu za digitalnu aktivnost iz Belorusije, Evgeniju Morozovu, koordinacija napada je uglavnom sprovoena sa onlajn haker foruma StopGeorgia.ru. Osnovan samo nekoliko sati nakon to su oruane snage Rusije izvrile invaziju na Junu Osetiju, ovaj forum je na sebi imao konstantno auriranu listu sajtova-meta, ohrabrujui posetioce da preuzmu besplatni program uz pomo kojeg su mogli da se odmah prikljue napadima. Postoje i dokazi koji ukazuju na to su takoe korieni prostiji ali jednako efikasni ubrizgavajui SQL napadi. Ovi napadi preoptereuju napadnutu bazu podataka sa milionima nebitnih upita i time ine odgovarajui server neupotrebljivim. Iz hakerske perspektive, SQL imaju dve glavne prednosti. Prvo, kada se koriste u kombinaciji sa tradicionalnim DDoS napadima izuzetno ih je teko primetiti. Drugo, SQL ubrizgavajuim napadima je potrebno mnogo manje kompjutera da bi postigli isti cilj ako DDoS napadi, koji ne mogu biti efektivno odravani bez botnetova. Na kraju, sajber napadi su naneli malo tete budui da gruzijska ekonomija i kljuna infrastruktura jo nisu integrisane u internet. Svejedno, kampanja koju su vodili nacionalistiki haktivisti, podstaknuti na akciju uz pomo ruskog onlajn haker foruma, efikasno je poremetila distribuciju informacija Vlade Gruzije u kljunom trenutku konflikta.
43
Podaci u okviru dobijeni su zahvaljujui ljubaznosti g-dina Freda Schreiera
28
Zakljuci
Iz prethodne diskusije je jasno nekoliko stvari. Prvo, borba protiv onlajn pretnji zahteva od drava da gledaju iznad celokupne paradigme dravne vlasti i da umesto toga prihvate pristup koji svoju sutinu zasniva u efikasnoj javno privatnoj saradnji. Navedimo samo jedan primer: rad agencija za sprovodjenje zakona je otean disperzijom napora i odgovornosti, injenicom da su orua neophodna za reagovanje esto u tuim rukama (odbrambenih ili bezbednosnih agencija na primer) i da je kanale javno privatne saradnje teko formalno uspostaviti i dovesti u funkciju. Ovo poslednje se pogotovo dogadja kada obe strane moda ele da zadre tajnost najvanijih informacija posebno kada su u pitanju meunarodne ili inostrane firme. Ova partnerstva moraju da obuhvataju ne samo privatne aktere angaovane u takozvanim kritinim sektorima, ve i specijalizovane firme za bezbebednost interneta, dizajnere softvera, proizvoae hardvera, provajdere onlajn platnog prometa, servere elektronske pote, hostig onlajn sadraja, banke i aktere iz finansijskog sektora, aktere onlajn trgovine i fizika lica. Kako su onlajn pretnje po svojoj prirodi esto internacionalizovane, takodje mogu biti neophodna transnacionalna partnerstva. Meutim, ovde su problemi jo izraeniji nego na nacionalnom planu pa su zajednike politike i pristupi meu regionalnim i meunarodnim akterima jo uvek nedovoljno razvijene. Probleme dodatno oteava to to u sposobnostima (po pitanju opreme, strunosti i, posebno, institucija i nadzora) izmeu drava postoji veliki jaz koji e se sve vie produbljivati. Drugo, ova publikacija je uinila jasnim da javno-privatna saradnja koja je neophodna za sevobuhvatnu i efektivnu sajber bezbednost povlai za sobom komplikovana i jo nereena pitanja koja se odnose na nadzor i odgovornost i, naroito, na osnovna prava poput prava na privatnost, slobodu izraavanja i udruivanja. Kako smo gore istakli, izazovi onlajn bezbednosti stvaraju tenziju (prisutnu i u drugim oblastima bezbednosti) izmeu bezbednosti drave i bezbednosti pojedinca, sa dodatom dimenzijom monih privatnih aktera koji imaju svoje vlastite motive i prioritete. Nepostojanje transparentnosti dodatno uveava niz tekoa sa kojima su suoena relevantna nadzorna tela, tamo gde ona uopte postoje. Tree, mogunost sajber rata uporednno s pitanjem koliko e zaista biti veliki njegov uticaj na voenje rata postavlja nova pitanja u vezi reagovanja drave, demokratskog nadzora i pravnih izazova sa kojima bilo kakvo reagovanje mora da se suoi. Gde je granica nakon koje napad postaje sajber rat i koja se sredstva mogu koristiti kao odgovor, jo uvek su pitanja bez odgovora, pitanja koja proizvode nova pitanja kod reagovanja i upravljanja sajber bezbednou. Ova publikacija prua kratak pregled ovih problema. Dosledno, kao i druge iz (DACAF-ovog op.red.) serijala Horizont 2015, ona vie tei tome da postavlja pitanja nego da na njih odgovora. Neka od ovih pitanja ukljuuju:
29
Kako se mogu nadzirati evolucija i identifikacija sajber pretnji (i poboljati sredstva za reagovanje), a da se i dalje ouva anonimnost na mrei?? Kako poboljati ovlaenja i mandat relevantnih nadzornih organa da se izbore sa ovim prelomnim i visoko tehnikim problemom, naroito kada se uzme u obzir sve vea umeanost obavetajnih agencija? Ako postoji sajber jaz izmeu SAD i Evrope i sajber ambis izmeu OECD-a i zemalja u razvoju, kako spreiti nastajanje neuspelih sajber drava i poboljati sposobnost juga da prebrodi bezbednosne, regulatorne i tehnike izazove onlajn bezbednosti? Kako da drave detektuju i reaguju na rastuu pretnju sajber rata? Jasno je da su neophodni novi oblici privatno-javne saradnje, ali kakvi bi oni trebalo budu, koliko bi trebalo da budu transparentni i kako ih najbolje podvrgnuti demokratskoj i parlamentarnoj kontroli? Kakva je odgovornost drave kada su u pitanju napadi koje grupa ili pojedinac izvode sa njene teritorije? Kako se regulatorno moe izboriti sa meunarodnom prirodom ove pretnje? Kakve meunarodne norme i pristupi su zamislivi i neophodni? Ko bi, kad je o ovome re trebalo da preuzme vodeu ulogu? U kom smeru ide internet: ka demokratskoj kontroli ili velikim korakom ka 1984. Dodra Orvela.? Kako, u otvorenoj diskusiji, formulisati nacionalni konsenzus, strategiju i politiku u ovoj oblasti? Da li sajber rat zamenjuje kinetiku energiju kao jezgro vojne moi? Da li mi nesvesno prisustvujemo drugom talasu revolucije u vojnim poslovima? Da li e izgled sukoba biti iz korena promenjen? Ako je tako, kakve to posledice moe da ima po oruane snage i bezbednosni sektor kao takav? Kakve e posledice izazvati u obavetajnim agencijama? U agencijama za sporvodjenje zakona? Da li vreme radi za nas? Ili je tehnoloki napredak izmakao regulatornim naporima i tenji za demokratskom kontrolom? Odgovori na ova i na druga pitanja moraju biti predmet dalje i detaljne analize.
30
Reference
Aftergood, Steven. Privacy Impact of Internet Security is Classified, NSA Says. Secrecy News: Secrecy News from the FAS Project on Government Secrecy, 21 April 2010. Arquilla, John and David Ronfeldt, eds. In Athenas Camp: Preparing for Conflict in the Information Age. Washington DC: RAND, 1997. Bailes, Alyson. Private Sector, Public Security. In Private Actors and Security Governance, edited by Alan Bryden and Marina Caparini, 41-64. Berlin: Lit Verlag, 2006. Carr, Jeffrey. Responding to International Cyber Attacks as Acts of War. In Inside Cyber Warfare: Mapping the Cyber Underworld, 45-74. Sebastopol CA: OReilly Media, 2010. Center for Strategic and International Studies. Securing Cyberspace for the 44th Presidency: A Report of the CSIS Commission on Cybersecurity for the 44th Presidency. Washington DC: CSIS, 2008. Cooperative Cyber Defence Centre of Excellence. http://www.ccdcoe.org/8.html (accessed 20 April 2010). General Trends. CCDCOE.
Farivar, Cyrus. Cyberwar I. What the Attacks on Estonia Have Taught Us About Online Combat. Slate, 22 May 2007. Giles, Jim. Benevolent Hackers Poke Holes in E-Banking. New Scientist, 29 January 2010. Google. Our views on Mandatory ISP Filtering. Official Google Australia Blog: News and notes from Google Down Under, 16 December 2009. Golumbic, Martin Charles. Fighting Terror Online: The Convergence of Security, Technology, and the Law. New York: Springer, 2007. Kramer, Franklin D., Stuart H. Starr and Larry Wentz, eds. Cyberpower and National Security. Washington DC: Center for Technology and National Security Policy, National Defence University, 2009. Kravets, David. Courts, Congress Shun Addressing Legality of Warrantless Eavesdropping. Wired, 29 January 2010, Threat Level. KU v. Finland [2008] ECHR 2872/02) Libicki, Martin C. Cyberdeterrence and Cyberwar. Washington DC: RAND, 2009. Lloyds Emerging Risks Team. Digital Risks: Views of a Changing Risk Landscape. London: Lloyds, 2009.
31
Maclean, William. Cyber Evil Will Thrive Without Global Rules Good Luck With That. Wired, 22 February 2010, Epicenter. Markoff, John, David E. Sanger and Thom Shanker. In Digital Combat, U.S. Finds No Easy Deterrent. New York Times, 25 January 2010, World section. Nakashima, Ellen. FBI Director Warns of Rapidly Expanding Cyberterrorism Threat. The Washington Post, 4 March 2010. OpenNet Initiative. Country Profiles. OpenNet. http://opennet.net/research/profiles (accessed 20 April 2010). Poulsen, Kevin. Cyberwar and Estonias Panic Attack. Wired, 22 August 2007, Threat Level. Ryan, Johnny. iWar: A New Threat, Its Convenience and Our Increasing Vulnerability. NATO Review, Winter 2007. Sanchez, Julian. New Bill Would Force ISPs to Retain User Data for Two years. Ars Technica, 19 February 2009. Schor, Elana. Telecoms Granted Immunity in US Wiretapping Probe. The Guardian, 20 June 2008. Shachtman, Noah. Dont Be Evil, Meet Spy on Everyone: How the NSA Deal Could Kill Google. Wired, 4 February 2010, Danger Room. Singel, Ryan. Report: Governments Cyber Security Plan is Riddled With New Spying Programs. Wired, 15 May 2008, Threat Level. Traynor, Ian. Russia Accused of Unleashing Cyberwar to Disable Estonia. The Guardian, 17 May 2007. United States Government Accountability Office. Information Security: Cyber Threats and Vulnerabilities Place Federal Systems at Risk. Washington DC: US GAO, 2009. Waterman, Shaun. Who Cyber Smacked Estonia? United Press, 11 June 2007. White House. Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure. Washington DC: White House, 2009. Wood, Jennifer and Benot Dupont, eds. Democracy, Society and the Governance of Security. Cambridge: Cambridge University Press, 2006. Wulf, William A. and Anita K. Jones. Reflections on Cybersecurity. Science 326 (13 November 2009): 943-4.
32
Aneks 1.
Zatita kritine infrastrukture (CIP), Zatita kritine informacione infrastrukture (CIIP) i Sajber bezbednost: Pregled specifinih organizacionih struktura po zemljama.44
U Australiji Operativni centar za sajber bezbednost je odgovoran za CPI/CIIP. Poeo je da radi 2009. na osnovu vladine strategije za sajber bezbednost, a sa njim rukovodi Uprava za odbrambene signale (DSD). Osoblje ine specijalisti iz DSD-a, Odbrambene obavetajne organizacije, Odbrambenih snaga, Federalne policije, i Australijske bezbednosne obavetajne organizacije. Njegove specifikacije ostaju tajna ali centar savetuje vladu u pogledu najbolje zatite drave od sajber pretnji, povezujui eksperte i obavetajce u koordinisani odgovor.. U Austriji ne postoji poseban autoritet odgovoran za CPI-CIIP. Svako ministarstvo ima svoje specifine mere za odbranu od spoljanjih napada i spreavanje neovlaene upotrebe podataka. Nekoliko odeljenja Ministarstva unutranjih poslova (BMI) bavi se sa CIIP, to se delimino odnosi na bezbednost podataka i sajber kriminal. Centralna uprava za javnu bezbednost u Federalnoj kriminalistikoj policiji vodi centar za obavetavanje za deiju pornografiju. Federalna agencija za zatitu drave i borbu protiv terorizma (BVT) odgovara za koordinaciju line bezbednosti i bezbednost instalacija.. Drugo odeljenje Ministarstva odbrane je odgovorno za sve aspekte informatikog ratovanja i ispunjava svoje dunosti u bliskoj saradnji sa dva obavetajna servisa. Jedan od njih, Abwehramt, ima specijalno odeljenje za elektronsku odbranu. Ministarstvo za saobraaj, inovacije i tehnologiju (BMVIT) je odgovorno je za CPI drave. Takoe koordinira Austrijskim bezbednosnim, istraivakim programom. U Austriji je sajber bezbednost uglavnom shvaena kao pitanje zatite podataka, kao Austrijski e-vladin program, Oficijelni austrijski vebsajt bezbednosnih podataka ili Pilot projekat okrenut bezbednosti plastinih kartica gradjana. U Belgiji, Ministarski komitet za bezbednost i obavetajnu delatnost ima ultimativnu odgovornost za razvoj nacionalne policije za informacionu bezbednost. Federalna direkcija za javne slube Optu prinudu i posredovanje je glavna organizacija zaduena za implementaciju politike. Komisija za zatitu privatnosti obezbeuje zatitu linih podataka. Belgijski Institut za potanske usluge i telekomunikacijske prekraje je odgovoran za implementaciju i obezbeivanja saglasnosti sa zakonima o elektronskim komunikacijama. Nacionalni tim za odgovor na raunarsku opasnost (CERT) tek treba da bude osnovan, iako BELNET mrea vodi CERT kao svoj konstituent u javnom i sektoru za edukaciju. U 2008., nekoliko akademskih i privatnih asocijacija zajedno su objavili beli papir kojim su eksperti za IT bezbednost, predlagali uspostavljanje strategije za sajber bezbednost i nekoliko mera za unapreenje belgijske informatike bezbednosti.
44
Informacije u aneksu dobijene su ljubaznou g-dina Freda Schreiera
33
U Brazilu, dravni napori koji se odnose na CIIP ukljuuju: Komitet za bezbednosno upravljanje informacijama, sastavljen od predstavnika iz svih ministarstva; dravnu policiju za ICT pod pokroviteljstvom Ministarstva za nauku i tehnologiju, Ministarstvo za komunikacije i Brazilski centar za informatike mree. Brazil ima kompleksan i sofisticiran sistem institucija ukljuenih u razvoj politike za bezbednost informacija. Informatiki bezbednosni sadraji su pod jurisdikcijom Institucionalnog kabineta za bezbednost (GSI), organa koji ima glavnu odgovornost za koordinaciju informatike bezbednosti. GSI se pitanjima bezbednosti ne bavii direktno, ve posredstvom drugih povezanih organizacija. Kad je re o dravno-privatnom partnerstvu, Anatel (federalno telo za regulaciju telekomunikacija) Serpro (federalni sevis za obradu podataka) i CERT rade na unapreenju i produbljenu kooperacije izmeu dravnog i privatnog sektora. U Kanadi, Kanadski centar za odgovor na sajber incidente (CCIRC) odgovoran je za nadgledanje i pruanje odgovora na sajber pretnje i koordinaciju dravnog odgovora na bilo kakav bezbednosni sajber incident. Njegov fokus je na zatiti kritine dravne infrastrukture od sajber incidenata. Veliki broj kanadskih odeljenja, ukljuujui i Kraljevsku kanadsku kojnjiu policiju, Ustanovu za bezbednost komunikacija, i Kanadsku bezbednosno obavetajnu agenciju ukljuen je u odvraanje od sajber pretnji. U februaru 2010., Vlada je objavila da e biti doneta Nacionalna strategija sajber bezbednosti, najavljujui, trei put u periodu kraem od jedne dekade, da e takva strategija biti doneta. U Estoniji, Strategija sajber bezbednosti objavljena 2008. procenila je status quo i odredila politiku unapreenjivanja sajber bezbednosti. Ne postoji jedinstveni centar koji bi bio odgovoran za CIIP. Neposredno, ukljueno je nekoliko ministarstva i njihovih posebnih odeljenja. Glavni zadatak za CIIP dodeljen je Ministarstvu ekonomije i komunikacija (MEAC). MEAC igra vodeu ulogu u pogledu informacione bezbednosti a podredjene su mu dve centralne agencije za nacionalnu IT politiku: Odeljenje dravnih informacionih istema (RISO) i Estonski informatiki centar (RIA) (koji razvija i upravlja slubom za prenos podataka za vladine organizacije, odgovara za tehniku bezbednost dravnog CIP, i nadgledanje svih IT bezbednosti). Estonski tim za kompjutersku opasnost (CERT) osnovan je u okviru RIA. Estonski dravni bord za komunikacije upravlja i regulie potanski sektor kao i trite elektronskih komunikacija u Estoniji. Druge vane dravne agencije koje se bave sa CIIP su locirane u Ministarstvu unutranjih poslova i Ministarstvu odbrane. Ova dva ministarstva su odgovorna za unutranju bezbednost i krizni menadment. Raunarska zatita 2009. je projekat od velike vanosti za javno privatno partnerstvo, iji je cilj da pobolja informacionu bezbednost. U Finskoj se na sajber bezbednost gleda kao na bezbednost podataka i kao pitanje od ekonomske vanosti koje je blisko povezano sa razvojem finskog informacionog drutva. Postoje tri glavne dravne agencije koje se bave sa CIIP: Rukovodstvo za regulaciju komunikacija (FICORA) u Ministarstvu prevoza i komunikacija (koje unapreuje Informatiko drutvo i radi na tehnikoj regulaciji i standardizaciji); Dravna agencija za snabdevanje u sluaju opasnosti (NESA) (koja analizira pretnje i rizike protiv CII); i Upravni odbor za bezbednost podataka u dravnoj administraciji (VHATI) (koji razvija politike smernice i praktine vodie za bezbednost IT sistema).
Osim toga, postoje tri dravno privatna partnerstva u polju CIIP: Nacionalni savet za krizno snabdevanje (NESC), Sveobuhvatni nadzorni bord informatikog drutva, i Finski centar za razvoj informacionog drutva (TIEKE). U Francuskoj, Generalni sekretarijat nacionalne odbrane (SGDN), pri Kancelariji predsednika vlade, nosi kompletnu odgovornost za organizovanje CIP. U Francuskoj se sajber bezbednost sagledava i kao visoki tehnoloki kriminal i kao stvar koja utie na razvoj informatikog drutva. Centralna kancelarija za borbu protiv kriminalnih radnji vezanih za informacione i komunikacione tehnologije (OCLCTIC), nastala u maju 2000. i deo Poddirekcije za ekonomske i finansijske poslove centralne direkcije policijskih organa za praenje istrage imaju zadatak da istrauju sadraje vezane za kriminal. U julu 2009. osnovana je Nacionalna agencija za bezbednost informacionih sistema (ANSSI) u Ministarstvu odbrane i odgovorna je za CIIP i sajber bezbednost. Osim toga, postoji Meuministarska komisija za bezbednost informacionih sistema (CISSY). Kao dravno-privatno partnerstvo, Strateki savetodavni bord za informacione tehnologije (CSTI) nastoji da povee predstavnike vlade, biznisa i direktore u industriji, kao i predstavnike iz zajednice za istraivanje i razvoj. U Nemakoj, Nacionalna strategija za zatitu kritike infrastrukture (CIP strategija) sumira ciljeve i namere Vlade i njen politikostrateki pristup. Ovo je ukljueno u Nacionalni plan za zatitu informacione infrastrukture (NPSI). Federalna kancelarija za informacionu bezbednost (Bundesamt fr Sicherheit in der Informationstechnik [BSI]), koja je deo Ministarstva unutranjih poslova, je vodei autoritet u oblasti sajber bezbednosti. BSI razvija procenu i analizu pretnji i koncept zatite zajedno sa Federalnom kancelarijom za civilnu zatitu i pomo u katastrofama (BBK), Federalnom kancelarijom kriminalistike policije (BKA), Federalnom policijom (BPOL) i Federalnim institutom za tehniku podrku. Za koordinaciju sa ministarstvom i podreenim agencijama osnovana je operativna grupa za CIP (AG KRITIS). Strateki razvoj i implementacija su takoe koordinisani sa drugim federalnim ministarstvima, naroito Federalnim ministarstvom ekonomije i tehnologije, Kancelarijom premijera, Federalnim ministarstvom pravde, Federalnim ministarstvom spoljnih poslova, Federalnim ministarstvom odbrane i drugim relevantnim agencijama, kao to je Federalna agencija za mree. Osim toga, takodje se konsultuju i strateki partneri iz privatnog sektora. U Maarskoj, vlada je bila reizabrana u 2006. U odnosu na CIIP i razvoj informacionog drutva, najvanija promena je bila integracija Ministarstva informatike i komunikacija koje je bilo glavno telo koje se bavilo pitanjima povezanim sa ICT u Ministarstvo ekonomije i transporta i Kabinet premijera vlade. Glavni zadaci CIIP su sada locirani u vie ministarstva. Kao ministarstvo zadueno za odravanje i razvoj ekonomske infrastrukture, ukljuujui i informatiku infrastrukturu, Ministarstvo ekonomije i transporta koordinie razliite CIP i CIIP napore. Preko Eletronskog centra Vlade, Kabinet premijera koordinie napore koji se odnose na e-upravljanje kao i druge CIIP sadraje. Ministarstvo odbrane je odgovorno za nacionalnu bezbednost, ukljuujui i bezbednost informacija i zatitu dravnih tajni i dravnih podataka. Dunosti i odgovornosti Ministarstva pravde i jaanja zakona ukljuuju prevenciju kriminala i zatitu podataka, takoe i kontrolu dravne administracije i kancelarije Centralnog eletronskog javnog servisa, koja je u stvari centralno telo za sve zadatke povezane sa snabdevanjem e-dravnog servisa i upravljanje elektronskim arhivima i dokumentima. Rukovodstvo za nacionalne
komunikacije (NCA) je nezavino regulatorno telo za komunikaciju koje podrava razvoj trita komunikacija i osigurava da svaki graanin ima pristup dostupnom i raspoloivom komunikacionom servisu. Takoe je odgovorno za Nacionalnu slubu za upozorenje (NAS) u potanskom i sektoru komunikacija. Otkako su informaciona bezbednost i CIIP postavljeni horizontalno, posredstvom odgovornosti pojedinanih vladinih odeljenja, Maarska je uspostavila veliki broj meu-ministarskih tela koje se bave sa ovim problemom. Osim toga, Fondacija Teodor Puka dravno privatno partnerstvo, igra znaajnu ulogu u CIIP, jer rukovodi sa Nacionalnim timom za odgovor na raunarsku opasnost (CERT- Hungary). U Indiji, Nacionali informatiki bord (NIB) se satoji od 21-og lana i nalazi se na vrhu nacionalne informacione strukture. Direkto je povezan sa Dravnom organizacijom za tehnoloka istraivanja (Technical Cybersecurity) i Dravnim odeljenjem za koordinaciju informatike bezbednosti (NISCC), koje je deo Sekretarijata Saveta za nacionalnu bezbednost (NSCS). NISCC se bavi sa CERT funkcijama, ifrovanjem, zakonima, presretanjem i ranim upozoravanjem, sajber kriminalom, obukom i meunarodnom saradnjom. NIB je izdao uputstva za NSCA da koordinie aktivnosti sajber bezbednosti u celoj zemlji. To se obavlja putem Sektorske kancelarije za sajber bezbednost (SCOs). Direktno potinjen NIB-u je Centar za zatitu informacione infrastrukture (IIPC), pa sledi dravna sajber policijska stanica; indijski tim za odgovor na raunarsku opasnost (CERT-In), dravni i sektorski CERT. Razliita ministarstva koja koordiniu specijalne funkcije takoe su svrstana na ovaj nivo, kao to je Sekcija za razvoj i propagandu Ministarstva komunikacija i informacionih tehnologija (MOC). Kao iniciativa javno-privatnog partnerstva, Indo-US Forum za sajber bezbednost nastoji da raspravlja i implementira poveanje kooperacije u visokoj tehnologiji izmeu ove dve zemlje. U Italiji, glavna tela Vlade koja se bave sa CIIP su Ministarstvo unutranjih poslova (Potanska i komunikacijska policija) i Ministarstvo inovacija i tehnologija. Policijska sluba za potanske komunikacije takoe ima i upravlja Centrom za vanredne akcije na nacionlnom i regionalnom nivou, u nameri da se efikasnije bavi sa sluajevima raunarskog kriminala. Ministarstvo komunikacija je takoe ukljueno u razliite aktivnosti unapreenja bezbednosti informacionih i komunikacijskih mrea. U nameri da poboljaju CIIP na svim nivoima, dravne slube takoe blisko sarauju sa privatnim sektorom. Najvanije dravnoprivatno partnerstvo u polju CIP je Asocijacija italijanskih eksperata za kritiku infrastrukutu, i Ekspertska grupa strunjaka iz dravnog i privatnog sektora. U Japanu, Kabinet sekretarijata je uglavnom glavni akter u polju CIIP i informacione bezbednosti. Ima Strateki savet za IT koji se sastoji od dvadeset eksperata. U 2005., u Kabinetu sekretarijata ustanovljeni su Policijski savet za informacionu bezbednost (ISPC) i Nacionalni centar za informacionu bezbednost (NISC), i oba su fokusirana na CIIP politiku. ISPC, koji igra centralnu ulogu u razvoju i pregledu bezbednosnih strategija i politika, vodi ef Kabineta sekretarijata i formira deo IT stratekog taba sa lanovima iz razliitih ministarstva i eksperata iz javno-privatne sfere. NICS je centralno telo za implementaciju IT bezbednosnih pitanja. Kabinet sekretarijata potpomau Ministarstvo ekonomije, trgovine i komunikacija (METI), Nacionalna policijska agencija (NPA), i Ministarstva unutranjih poslova i komunikacija. METI
36
je odgovoran za planiranje i implementaciju informatikih politika pod nadzorom IT Stratekog taba i reava pitanja koja se odnose na e-trgovinu, e-upravljaje, zatitu podataka i istraivanje i razvoj povezane sa IT. NPA odrava raunarsku i mrenu bezbednost i istrauje sajber kriminal posredstvom svog Odeljenja za visoko tehnoloki kriminal (HTCTD), koje je zadueno za prevenciju i minimalisanje irenja masovnih sajber incidenata i hapenja sajber kriminalaca. Jedan ogranak sastoji se od mobilnog tehnikog tima, rasporeenog po celom Japanu, koji vodi Centar za sajber snage. MIC je odgovoran za stvaranje nacionalne infrastrukture i objavljivanje godinjeg Belog papira o informacijama i komunikacijama u Japanu. Kao inicijative javnoprivatnog partnerstva, CEPTOAR (Mogunosti za ininjerstvo i zatitu, tehnike operacije, analizu i odgovor) nastoji da pobolja informacionu podelu izmeu vlade i privanog sektora.. U Republici Koreja, sve vladine organizacije i njihova pomona odeljenja odgovaraju za CIIP. Nacionalni centar za sajber bezbednost (NCSC), koji radi pod pokroviteljstvom Nacionalne obavetajne agencije (NIS), koordinie rad ovih agencija i odeljenja, slui kao platforma koja spaja privatni, javni i vojni sektor u borbi protiv sajber pretnji i centralno je mesto Vlade za identifikovanje, prevenciju i odgovor na sajber napade i pretnje u Koreji. Glavnu ulogu u istrazi i prevenciji sajber kriminala igra Centar za istraivnje internet kriminala (ICIC) pri Kancelariji vrhovnog dravnog tuilatva. Eletronski i telekomunikacioni istraivaki institut (ETRI) ima vodeu ulogu u razvoju tehnologija i obezbeivanju podrke za CIIP. Ministarstvo za dravnu administraciju i bezbednost (MOPAS), Korejska komisija za komunikacije, Ministarstvo nauka i ekonomije i Korejski Centar za bezbednost na internetu (KISC, KrCERT/CC), u Korejskoj agenciji za informatiku bezbednost (KISA) unapreuju kulturu bezbednog interneta i telekomunikacionih mrea i dele odgovornosti povezane sa CIIP. KISA ukljuuje Odeljenje za zatitu informatike infrastrukture sa Timom za planiranje CIIP, Timom za bezbednosni menadment informacione infrastrukture, i Korejski centralni tim za sertifikate. Nacionalni savez za internet bezbednost (NISA), koji se sastoji od 22 vladine organizacije i slubenika koji se bave informacionom bezbednou iz 17 dravnih preduzea, provajdera za mrenu komunikaciju i eksperata iz industrije i sa fakulteta, je javno privatno partnerstvo radei na razmeni informacija u cilju obezbeenja infromacione bezbednosti. U Maleziji, Administrativni modernizator za Maleziju i Jedinica za menadment planiranja (MAMPU) upravljaju pitanjima bezbednosti u dravnom sektoru, ICT odeljenje za bezbednost rukovodi CERT-om vlade, i sadri Vladin ICT komandni centar za bezbednost, koji prati sajber pretnje. Ministarstvo nauka, tehnologija i inovacija (MOSTI) ima raznovrsne odgovornosti koje se odnose na nacionalnu ICT politiku, CIIP i sajber bezbednost. Jednica policije za sajber kriminal je odgovorna za ispitivanje i prevenciju komercijalnog sajber kriminala, dok je CIP odgovoran ministarstvu energetike, voda i komunikacija (MEWC). Malezijska komisija za komunikacije i multimedije (MCMC) ima ulogu koordinacije i obezbeivanja bezbednosti informacija, integriteta i pouzdanosti mrea Malezije. U Holandiji, odgovornost za CIP lei u brojnim rukovdstvima, ali Ministarstvo unutranjih poslova i odnosa Kraljevine koordinira CIP/CIIP politiku kroz sve sektore, rad drugih ministarstava koja su za to odgovorna, meunarodnu politiku, i nacionalno upravljanje krizama, to ukljuuje Nacionalni centar za krize. Generalna
37
obavetajna i bezbednosna sluba (AIVD) je takoe ukljuena u zatitu informacione bezbednosti. Na Novom Zelandu, Centar za zatitu kritine infrastrukrute (CCIP), lociran u Vladinom birou za komunikacionu bezbednost, je centralna institucija koja se bavi sa sajber bezbednou i radi sa Kritinom nacionalnom infrastrukturom (CNI), organizacijama, industrijom i vladom da poboljaju CIIP i raunarske bezbednosti. CCIP ima za cilj da postane puzdan i prepoznatljiv izvor informacija relevantan za CNI zatitu, obezbeujui 24/7 nadzor i upozoravanje, i istrauje i anlizira sajber incidente. Glavni akter koji je zaduen za formulisanje bezbednosne politike Novog Zelanda, ukljuujui i sajber bezbednost, je Unutranji i spoljanji sekretarijat (DESS) sekretarijat za podrku Oficijelnom komitetu za unutranju i spoljanju bezbednosnu koordinaciju (ODESC), kojim predsedava predsednik vlade. Vladin bord za bezbednost komunikacija (GCSB) daje savete i asistira vladinim odeljenjima i agencijama koje su okrenute bezbednosti sistema za obradu i procesuiranje informacija i podnosi izvetaje direktno predsedniku vlade. U Norvekoj, kljuni dravni igra u civilnom kriznom planiranju, Direktorat za civilnu zatitu i vanredno planiranje (DSB), takoe je kljuni igra i za CIP/ CIIP pitanja. Podreen je Ministarstvu pravde i policije. Glavno rukovodstvo za ICT bezbednost je Ministarstvo za vladinu administraciju i reformu. Ministarstvo odbrane je odgovorno sa vojne strane. Ministarstvo transporta i komunikacija ima odgovornost za sektor komunikacija, ukljuujui i sva pitanja bezbednosti. Norveko rukovodstvo za nacionalnu bezbednost (NSA) koordinie preventivne IT bezbednosne mere. Nacionalni savet za koordinaciju informacione bezbednosti (KIS) nema autoritet odluivanja, ve obezbeuje platformu za diskusiju i savetovanje ministarstava i agencija u stvarima povezanim sa ICT bezbednou, CIP i CIIP. Sastoji se od predstavnika iz est ministarstava, kancelarije predsednika vlade i 10 razliitih direkcija. U Poljskoj, dva ministarstva imaju odgovornost koja se odnosi na zatitu informatike infrastrukture Ministarstvo za nauku i visoko obrazovanje i Ministarstvo za unutranja pitanja i administraciju. Glavni igra i jedino telo za politiku nauke i tehnologije je Ministarstvo za nauku i visoko obrazovanje, koje je ukljueno u sve politike koje se odnose na informatiku infrastrukturu i njenu zatitu. Daje savete svim ministarstvima i institucijama o ICT strategijama i obezbeuje kompatibilnost nacionalnog javnog IT sistema. Ministarstvo unutranjih poslova i administracije je odgovorno za nacionalnu IT infrastrukturu, nacionalni telekomunikacioni sistem i nacionalni informacioni amdinistrativni sistem. U Rusiji, , glavne organizacije odgovorne za informacionu bezbednost su Savet za bezbednost, Federalna bezbednosna sluba (FSB), Federalna sluba za zatitu, Federalna sluba kontrole tehnike i izvoza i Ministarstvo za informacione tehnologije i komunikacije. Savet za bezbednost definie ruske dravne interese koji se odnose na informacije, odreuje resurse koje treba uvati, i koordinie dooenje informacione bezbednosne strategije. FSB uva Rusku Federaciju i CIIP. Ima Direkciju za raunarsku i informacionu bezbednost pri svojoj Kontraobavetajnoj slubi, planira i implementira nauno-tehnoloku bezbednosnu politiku za ICT sisteme, uva dravne tajne i sve vrste komunikacija. Federalni servis za zatitu ima Specijalnu slubu za komunikacije i informacije koja sada delimino radi ono to je radio FAPSI dok nije ukinut 2003., sa svojim funkcijama distribuiranim izmeu FSB, Slube za zatitu i Generaltaba.
38
Sluba kontrole tehnike i izvoza pod jurisdikcijom Ministarstva odbrane obezbeuje informacionu bezbednost u ICT sistemima, suzbija stranu tehniku pijunau i titi poverljive informacije. Ministarstvo za informacione tehnologije i komunikacije implementira dravnu politiku u komunikacionom sektoru. U Singapuru, Infocomm rukovodstvo za tehnoloku bezbednost Singapura (SITSA), odeljenje pri Unutranjem resoru za bezbednost u Ministarstvu unutranjih poslova (MHA), ima misiju da obezbedi singapursko IT okruenje protiv pretnji nacionalnoj bezbednosti, kao to su sajber terorizam i sajber pijunaa i odgovorno je za operativni IT bezbednosni razvoj i implementaciju na nacionalnom nivou. SITSA jaa kritiku Infocomm infrastrukturu (CII) protiv sajber napada i nastoji da postigne vii nivo nacionalne pripravnosti. Kontrolni organ je odgovoran za IT bezbednosnu implementaciju u njihovim sektorima u koordinaciji sa SITSA. Odgovornost za vladine i infocomm sektore preuzima Infocomm rukovodstvo za razvoj (IDA) u svojstvu Glavnog vladinog obavetajnog biroa. Nacionalni Infocomm bezbednosni komitet (NISC) je nacionalna platforma za formulisanje IT bezbednosnih politika i seta stratekih uputstava na nacionalnom nivou sa IDA koji mu slui kao sekretarijat. U paniji, razliiti aspekti CIP i CIIP politika uglavnom se nalaze pod pokroviteljstvom Ministarstva industrije, turizma i trgovine, Ministarstva za javnu administraciju i Ministarstva untranjih poslova. Postoje dva dravna sekretarijata pod upravom Ministarstva industrije, turizma i trgovine: Dravni sekretarijat za turizam i trgovinu i Dravni sekretarijat za telekomunikacije i za informatiko drutvo. Poslednji obuhvata resor dve generalne direkcije: Generalne direkcije za telekomunikacije i informacione tehnologije (DGTTI) i Generalne direkcije za razvoj informacionog drutva (DGDSI). U odnosu na pansku informatiku i komunikacionu infrastrukturu i njenu bezbednost vane su tri inicijative pod pokroviteljstvom Ministarstva za javnu administraciju: e-Vladin savet, njegov Tehniki komitet, i Technimap projekt. Zadatak e-Vladinog saveta je da priprema, razrauje, razvija i primenjuje vladine IT politike i strategije i razvija bezbednosne politike u saradnji sa Nacionalnim kriptolokim centrom u sastavu Nacionalnog obavetajnog centra za razvoj informacionih i komunikacionih bezbednosnih mera i bezbednosnih sistema. Tehniki komitet za bezbednost informacionih sistema i obradu linih podataka (SSITAD) je odgovoran za sajberbezbednost i podrku e-Vladinom savetu. Technimap je konferencija koja povezuje ICT eksperte iz razliitih oblasti dravne administracije, glavnih kompanija na tom polju, i druge eksperte. Pod pokroviteljstvom Ministarstva unutranjih poslova, Nacionalna policija i Civilna zatita bave se sa sajber kriminalom. Nacionalna policija radi putem Jedinice za kriminal informacionih tehnologija, a Civilna zatita ima Odeljenje za visoko tehnoloski kriminal. Odeljenje nacionalne policije i Generalno odeljenje sudske policije imaju slubu za krizno stanje izazvano sajber kriminalom. Nacionalni centar za zatitu kritike infrastrukture (CNPIC) je odgovoran za voenje, koordinaciju i nadzor nacionalne CIP. Osim toga, postoje dva dravno-privatna partnerstva u ovom polju: Informaciono drutvo i Centar za analizu telekomunikacija / ENTER i AETIC, panska asocijacija za elektroniku, informacionu tehnologiju i telekomunikacionu industriju.. U vedskoj je u CIP/CIIP ukljuen veliki broj organizacija. 2009., vedska agencija za civilne vanredne situacije (MSB) u Ministarstvu odbrane imala je za zadatak da do januara 2010. podnese predlog za prevenciju i rukovanje IT incidentima u vedskoj.
39
Njena namera je da pri agenciji osnuje Nacionalni operativni centar za koordinaciju za sajber bezbednost. Osnovni predlog Centra je kooperacija izmeu vladinih agencija sa operativnim delovanjem u informacionoj bezbednosti kao centralni deo sistema kriznog menadmenta. Agencija za krizni menadment (SEMA) u Ministarstvu odbrane takoe ima znaajnu ulogu. Osim toga, postoji Zajednika akciona grupa za informacionu bezbednost (SAMFI) pod upravom MSB, koja ukljuuje predstavnike iz vedskih oruanih snaga, vedske nacionalne odbrambene radio ustanove (FRA), vedske potanske i telekomunikacione agencije (PTS), i vedskog nacionalnog policijskog borda. U kancelariji Kabineta, kros-kabinetski posao je izveden na takav nain da implemenitra nalaze SEMA i da reformie CIIP u vedskoj. Dravnoprivatno partnerstvo u vedskoj trenutno ukljuuje SEMA napore da promovie interakciju izmeu dravnog i privatnog sektora, Delegaciju bezbednosne industrije (NSD) i vedsko drutvo za obradu podataka (DFS). U vajcarskoj, postoji veliki broj razliitih organizacionih jedinica koje se bave sa CIP/CIIP. Jedno od glavnih tela CIIP je Federalna strateka jedinica za informacionu tehnologiju (FSUIT). Jedan deo Federalnog ministarstva finansija donosi instrukcije, metode i procedure za informatiko drutvo, odgovoran je za Specialnu operativnu grupu informacionog osiguranja (SONIA) i za Centar za obavetavanje i analizu za informaciono osiguranje, koji ima kljunu ulogu u Koordinacionoj jednici za sajber kriminal, i oba se nalaze u Federalnoj policijskoj kancelariji (FEDPOL). Federalna kancelarija informacionih tehnologija, sistema i telekomunikacija (FOITT) je takoe deo Federalnog ministarstva finasija i na operactivnom nivou za bezbednost i spremnost na krize odgovorna je federalnoj administraciji IT sistema. Takoe postoji ICT Infrastrukturna jedinica federalne kancelarije za snabdevanje nacionalne ekonomije, Federalna kancelarija civilne zatite (FOCP) odgovorna za CIP, i GovCERT. Sa vojne strane nalazi se Komanda za podrku (FUB). Dravno-privatno partnerstvo je meu centralnim stubovima vajcarske CIIP politike. U Ujedijenom Kraljevstvu, Strategija sajber bezbednosti 2009. naglaava potrebu koherentnog pristupa sajber bezbednosti u kome svoju ulogu imaju vlada, organizacije svih sektora, dravni i medjunarodni partneri. Uvode se dve nove organizacije (obe poinju da rade od marta 2010). Prva je Kancelarija za sajber bezbednost (OSC) pri Kancelariji Kabineta koja vladi treba da obezbedi strateko vostvo i koherentnost. Takoe e imati ulogu u koordinisanju kapaciteta za sajber napade koji su izgraeni postojeim resursima Ministarstva odbrane (MoD), obavetajne slube i policije (Jedinica Gradske policije za e-kriminal, Centar za onlajn zatitu od zloupotrebe dece i Agencija za organizovani kriminal, Soca). Drugo novo telo je Centar za rukovoenje sajber bezbednou (CSOC) baziran u GC tabu u eltenhemu koji objedinjava postojee funkcije monitoringa sajber prostora i koordinacije odgovora na incidente, i omoguava bolje razumevanje napada protiv mrea UK i njihovih korisnika, i obezbeuje savete i informacije o rizicima po posao i javnost. Centar za zatitu nacionalne infrastrukture (CPNI) takoe radi kao CERT sevis koji odgovara na prijavljene napade.
40
Aneks 2.
Meunarodni i regionalni odgovori45 Savet Evrope
Konvencija o sajber kriminalu (CETS 185), razraena od strane Saveta Evrope uz saradnju Kanade, Japana, Junoafrike Republike i SAD, otvorena je za potpisivanje u Budimpeti novembra 2001. godine i na snazi je od jula 2004. godine. Otvorena je za pristup bilo kojoj zemlji i jedini je obavezujui meunarodni sporazum na ovu temu koji je do danas usvojen. Protokol o kanjavanju akata rasizma i ksenofobije uinjenje putem kompjuterskih sistema (CETS 189) je otvoren za potpisivanje januara 2003. godine i na snazi je od marta 2006. godine. Konvencija od zemalja potpisnica trai da stvore osnovnu pravnu infrastrukturu neophodnu za efikasnu borbu protiv sajber kriminala i da pomau drugim zemljama potpisnicama u istrazi i gonjenju sajber kriminalaca. Konvencija obuhvata: krivina dela; neovlaen pristup kompjuterskom sistemu; nedozvoljeno presretanje; oteenje podataka; ometanje sistema; zloupotrebu ureaja; kompjuterski falsifikat i prevaru; deju pornografiju; povredu autorskih i povezanih prava; i sredstva za efikasnu istragu i zatitu. Ona se primenjuje na bilo koji prestup poinjen putem kompjuterskog sistema i na sve dokaze u elektronskoj formi. Ovu Konvenciju je ratifikovalo 28 zemalja (zemlje EU i SAD); potpisalo ju je njih 46 (zemlje EU, Kanada, Japan, Junoafrika Republika, sve zemlje lanice NATO-a); pet zemalja je pozvano da joj pristupe (ile, Kostarika, Dominikanska Republika, Meksiko i Filipini) i nekoliko znaajnijih zemalja koje nisu potpisnice (Rusija i Kina). Koristi se kao smernica, referentni standard ili model za zakone u vie od 100 zemalja. Pored toga, Konvenciju podupiru i na nju se pozivaju druge organizacije, meu kojima su: Evropska Unija; Organizacija amerikih drava; OEBS; Azijsko-pacifika ekonomska saradnja; Interpol kao i pripadnici privatnog sektora. Iako je dolo do irokog meunarodnog prihvatanja Konvencije, neki su je kritikovali kao nedovoljnu da pravilno odgovori na postupke sa implikacijama na nacionalnu bezbednost. Prvo, Konvencija tretira napade na IT sisteme kao krivina dela protiv javne i privatne imovine i tako zanemaruje posledice ovakvih napada na nacionalnu bezbednost. Drugo, ne pravi razliku izmeu napada na obine kompjuterske sisteme i napada na kljune infrastruktrne informacione sisteme, niti izmeu malih i velikih napada. Uprkos tome, Konvencija predstavlja jedan osnovni ali sutinski deo meunarodnog zakonodavstva. Ona prua dobru zbirku pravnih i tehnikih definicija na osnovu kojih se mogu razvijati drugi sporazumi o saradnji. Budui da postoji znaajno preklapanje izmeu sajber kriminala, sajber terorizma i sajber rata, kriminalizovanje svih vidova sajber napada, u Konvecnciji, bez obzira na motive, znai da su drave potpisnice, kada se to od njih trai, obavezne da uhvate i predaju krivinom gonjenju sve meunarodne sajber napadae, bez
45 Information i ovom aneksu dobijene su ljubaznou g-dina Freda Schreiera
41
obzira na to da li ih drava domain smatra kriminalcima, teroristima ili ak patriotama vrednim hvale..
Evropska unija
Evropska Unija je kljuni igra na meunarodnom nivou kada je u pitanju bezbednost informacija. CIIP, informaciono drutvo i bezbednost informacija se smatraju kljunim temama. Evropska Unija je pokrenula inicijative i istraivake programe za izuavanje razliitih aspekata informacione revolucije i njenog uticaja na obrazovanje, poslovanje, zdravlje i komunikacije. Saoptenje Komisije evropske zajednice (EU Komisije) O zatiti kljune infrastrukture u borbi protiv terorizma, usvojeno 20. oktobra 2004. godine, daje definiciju kljune infrastrukture (CI), nabraja identifikovane kljune sektore i razmatra kriterijume za odreivanje potencijalnih CI-eva. U narednoj publikaciji Evropske komisije, Zeleni papir o Evropskom programu za CIP 17. novembra 2005. godine, definisan je CIIP. Godine 2008. Evropska komisija je pokrenula politiku inicijativu vezanu za CIIP. Meu ostalim inicijativama i politikama nalaze se: Istraivanje za Komisiju o dostupnosti i robusnosti elektronskih komunikacionih infrastruktura (ARECI) Informacioni sistem za upozoravanje kljuih infrastruktura (CIWIN) Evropska sistemska i informaciona bezbednosna agencija (ENISA) stvorena u martu 2004. godine, poela je sa radom septembra 2005. godine na Kritu. Izazov za ENISA je da postigne visok nivo bezbednosti elektronskih komunikacija na nivou Evropske Unije. TESTA: Trans-Evropska sluba za komunikaciju izmeu administracija. Predstavlja privatnu mreu EU, odvojenu od interneta koja zvaninicima iz razliitih ministarstava dozvoljava da na bezbedan nain komuniciraju na transevropskom nivou. EU inicijative koje se jo uvek prouavaju ukljuuju: Drutvo informacionih Tehnologija (IS) FP6 i FP7 Evropski bezbednosni istraivaki program Koordinacija izuavanja klljunih infrastruktura (CI2RCO) Servis i softverska arhitektura, infrastruktura i ininjering Relevantni zakoni EU i zakonodavstvo ukljuuju:: Direktiva za zatitu podataka 1995 Direktiva o elektronskom potpisu 1999 Direktiva za zatitu privatnosti u sektoru elektronske komunikacije 2002 Okvirna direktiva 2002 Okvirna odluka Saveta o napadima na informacione sisteme 2005 Direktiva o uvanju podataka 2006
42
Forum za reagovanje na incidente i bezbednosni timovi

FIRST, osnovan 1990. godine, je jedini svetski globalni Forum za reagovanje na incidente i za bezbednosne timove. Organizacija je iroko priznata kao globalni lider u reagovanju na incidente i okuplja raznolike timove za reagovanje na incidente iz oblasti kompjuterske bezbednosti (CSIRTs), iz dravnih, trgovakih i obrazovnih organizacija. Ona podstie saradnju i koordinaciju u prevenciji incidenata, stimulie brzo reagovanje na incidente i promovie razmenu informacija meu lanovima i zajednicu kao celinu.
Grupa osam (G8)

Jo od 1995. godine Grupa osam (G8) se sve vie angauje u oblastima koje su povezane sa sajber kriminalom, informacionim drutvom, CIP-om i CIIP-om. Na samitu u Halifaksu 1995. godine grupi viih strunjaka dat je zadatak da pregledaju i ocene postojee meunarodne sporazume i mehanizme za borbu protiv organizovanog kriminala. Ova grupa viih eksperata G8 je napravila svoju procenu i sainila listu od 40 operativnih preporuka, koje su odobrene na samitu G8 u Lionu 1996. godine. Lionska grupa se od tada razvila u stalno multidisciplinarno telo sa mnogobrojnim specijalizovanim radnim pod-grupama. Od oktobra 2001. godine sastanci Lionske grupe se odravaju zajedno sa Rimskom grupom za borbu protiv terorizma.. Naredni vaan korak za G8 i CIP i CIIP doao je u prolee 2000. godine, kada su dravni zvaninici i predstavnici privrede iz zemalja G8 koji su u Parizu uestvovali na Konferenciji G8 o dijalogu izmeu javnih autoriteta i privatnog sektora o bezbednosti i poverenju u sajber prostoru. Cilj je bio da se raspravlja i da se nau reenja za uobiajene probleme vezane za visoko-tehnoloki kriminal i korienje interneta u kriminalne svrhe. Zemlje lanice G8 dogovorile su se da odrede jasan i transparentan okvir za odgovaranje na sajber-kriminal. Usvojile su principe kojima bi se podupro nastanak nove bezbednosne kulture, ojaala meunarodna saradnja i ohrabrila implementacija najboljih profesionalnih praksi u oblasti kompjuterskog nadzora i uzbune. Predloile su organizovanje zajednikih vebi za testiranje sposobnosti za reagovanje u sluaju incidenta, da se i kod drugih drava pobude svest o ovim problemima i pozovu da krenu u istom pravcu. Jedanaest principa namenjeni su da budu smernice za nacionalna reagovanja u CIIP. Osnovni elementi principa zatite CII-a su usvojeni na 78. Generalnoj Skuptini UN Rezolucijom 58/199 januara 2004. godine nazvanoj Stvaranje globalne kulture sajber bezbednosti i zatita kljunih informacionih infrastruktura.
SEVERNOATLANSKI SAVEZ (NATO)

NATO je zapoeo svoj program sajber odbrane 2002. godine nakon incidenata kasnih devedesetih godina koji su se odnosili na operacije na Balkanu. Kao posledicu ovog iskustva, lideri NATO-a su na Samitu u Pragu 2002. godine naredili da se implementira tehniki NATO Program sajber odbrane, osnivanjem NATO Centra kapaciteta za regovanje na kompjuterske incidente (NCIRC). Sa NCIRC Koordinacionim centrom u glavnom tabu NATO-a u Briselu i NCIRC Tehnikim centrom u Monsu, NATO se opremio sredstvima za izvravanje nekoliko kljunih zadataka, od detekcije i prevencije kompjuterskih virusa i neovlaenog upada u NATO-ove mree, do upravljanja kriptografskim aparatima za internet. forum za bezbednost i demokratiju 43
Pored toga, NATO eksperti pruaju tehniku podrku kod incidenata u kompjuterskoj bezbednosti kao i politiku i forenzike ureaje. Pored uspostavljanja CCD Centra za vanredne situacije u Estoniji, NATO je takoe formirao i Rukovodstvo za upravljanje sajber odbranom (CDMA), koje radi od aprila 2008. godine i koje je zadueno za iniciranje i koordinaciju neposrednih i efeikasnih mera sajber odbrane tamo gde su one potrebne. Na NATO Samitu u Strazburu/Kilu u aprilu 2009. godine, drave lanice su se obavezale da ubrzaju prikupljanje novih sajber resursa, da sajber odbranu uine integralnim delom NATO vebi i da osnae vezu izmeu NATO-a i zemalja partnera u zatiti od sajber napada. NATO zvaninici su nedavno odobrili da razvoj timova za brzo-reagovanje bude dostupan zemljama lanicama i za odbijanje sajber napada. CIP ostaje jedna od kljunih oblasti rada koja se odnsi na planiranje civilnih vanrednih situacija u NATO-u. Ministarsko uputstvo za NATO Planiranje civilnih vanrednih situacija na nekoliko mesta pominje CIP, dok aurirani Akcioni Plan za poveavanje spremnosti u civilnim vanrednim situacijama za mogue hemijske, bioloke, radioloke i nuklearne napade ukljuuje i nekoliko akcionih stavki koje se odnose na oblast CIP. Vii Odbor za planiranje civilnih vanrednih situacija i njegovih osam odbora nastavljaju da ispituju CIP iz funkcionalne perspektive, i nastoje da prue integrisan doprinos iz oblasti struka svih odbora i komiteta za planiranje. Specijalni izvetaj za parlamentarnu skuptinu NATO-a 2007 godine i naknadni izvetaji o NATO-u i sajber odbrani (173 DSCFC 09 E bis) skicirali su politiku za kljune infrastrukture NATO-a i pojedinanih zemalja lanica. Izvetaj sadri razliite definicije, naglaava ta one imaju zajedniko i po emu se razlikuju, i propisuje odgovornosti odreujui angaovane strane u CIP-u i sektorske politike ukljuujui i CIIP, energetsku bezbednost, bezbednost civilnog vazduhoplovstva i bezbednost luka.
Organizacija za ekonomsku saradnju i razvoj (OECD)

OECD ima dugu istoriju strunosti u razvijanju politike voenja bezbednosti IT sistema i mrea, ukljuujui CIIP. Takoe je posveen borbi protiv sajber kriminala, naroito protiv korienja zlonamernih softvera. OECD pravi analitike izvetaje, statistike, politike deklaracije i preporuke kojima pomae dravama i preduzeima da razviju konzistentnu politiku jaanja informacione bezbednosti i, ire gledano, da razviju bezbednosnu kulturu u drutvu. Postoji konsenzus meu zemljama lanicama da sigurne i pouzdane informacione infrastrukture i slube predstavljaju neophodan uslov za pouzdanu elektronsku trgovinu, bezbedne transakcije, i zatitu linih podataka. Ovo je glavni razlog zbog kojeg OECD-ova Radna grupa za bezbednost informacija i privatnost (WPISP) promovie globalan pristup prilikom formulisanja politika u ovim oblastima, sa ciljem da izgradi strukturu poverenja. Pored toga, Komitet za informacije, kompjutersku i komunikacijsku politiku (ICCP) analizira iri politiki okvir koji je osnova e-Ekonomije, informacionih infrastruktura i informacionog drtva
Organizacija ujedinjenih nacija( OUN)

O problemima iz oblasti CIIP-a u OUN se raspravlja jo od kraja osamdesetih godina. Meutim, formalni CIIP napori predstavljaju pojavu novijeg datuma. Od tada je preduzeto nekoliko inicijativa iji je cilj bio bolja koordinacija radova. Meu njima su inicijative koje
44
su predvodile institucije OUN, nekoliko rezolucija OUN i rezultati Svetskog samita o informacionom drutvu (WSIS). OUN-ov Institut za istraivanje razoruavanja (UNIDIR) realizovao je radionice sa temom kako bolje postii svetsku informacionu bezbednost i garancije u globalnom digitalnom okruenju. Kancelarija OUN-a za drogu i kriminal se zalagala za svestranost, ukljuujui fokus kojim bi se na problem sajber kriminala ukazalo kroz zajednike vebe. Decembra 2000. i 2001. godine, 55. i 56. Generalna skuptina izglasala je rezolucije 55/63 i 56/121 Borba protiv zloupotrebe IT-a u kriminalne svrhe i Stvaranje globalne kulture sajber bezbednosti. Decembra 2003. godine 58. Generalna skuptina OUN izglasala je rezoluciju 58/199 Stvaranje gobalne kulture sajber bezbednosti i zatita kljune informacione infrastrukture. Aneks rezolucije istie 11 principa za CIIP. U narednim godinama, Generalna skuptina OUN redovno je usvajala rezolucije Razvoj u oblasti informacija i telekomunikacija u kontekstu meunarodne bezbednosti. Dve sledee rezolucije o WSIS-u su usvojene 2005. i 2006. godine. Osnivanje OUN-ove ICT Radne grupe u novembru 2001. godine, kao posledica zahteva OUN-ovog ECOSOC-a, predstavlja dalji vaan korak. Radna grupa je dobila mandat da mobilie svetsku podrku za postizanje Milenijumskih razvojnih ciljeva sa upotrebom ICT-a. Aprila 2004. godine u seditu OUN odran je seminar Politiki i bezbednosni problemi kod informacionih tehnologija. U 2005. godini, radna grupa je izdala vodi pod nazivom Informaciona bezbednost vodi za preivljavanje u neistraenim oblastima sajber pretnji i sajber bezbednosti, kojim se teilo stvaranju ire svesti o rastuim opasnostima sajber huliganizma, sajber kriminala, sajber terorizma i sajber rata. Na WSIS-u, lideri sveta su Meunarodnoj telekomunikacijskoj uniji (ITU) poverili vodeu ulogu u koordinisanju meunarodnih projekata iz oblasti sajber bezbednosti. Kao jedini sprovodilac akcija koje se odnose na izgradnju poverenja i bezbednost prilikom korienja ICT-a, u maju 2007. godine ITU je doneo Agendu globalne sajber-bezbednosti (GCA) kao radni okvir u kom se ukaziuje i koordinie meunarodno reagovanje na rastue izazove sajber bezbednosti kako bi se oni reili. GCA dolazi iz Visoke ekspertske grupe koja se sastoji od vie od stotinu u svetu priznatih strunjaka iz oblasti sajber-bezbednosti iz vlada, privrede, meunarodnih organizacija, istraivakih grupa i akademija. Tokom 2007. i 2008. godine ITU je sproveo znaajan program standardizacije u bezbednosnoj arhitekturi, ifrovanju, autorizaciji i sistemu upravljanja bezbednou informacija. Pored toga, pokrenuo je ICT Mapu bezbednosnih satandarda, jednu onlajn bazu podataka koja prua informacije o postojeim ICT bezbednosnim standardima i radovima koji su u toku u organizacijama za razvijanje kljunih standarda.
Svetska banka
Rastui broj sluajeva kompjuterskog i sajber kriminala ima naroito jake posledice po finansijski sektor. Uzimajui u obzir rastuu koliinu finansijskih podataka koja se uva i prenosi onlajn putem, lakoa sa kojom se moe provaliti u kompjuter samo ini problem ozbiljnijim. Stoga je Svetska banka tokom poslednjih nekoliko godina preduzela nekoliko koraka da bi se suoila sa izazovima informacione bezbednosti, naroito u zemljama u razvoju.
45
Sekretarijat za globalne informacione i komunikacione tehnologije (GICT) promovie pristup ICT-jevima u zemljama u razvoju i slui osnonvim sekretarijatima Svetske banke za istraivanje, politiku, investiranje i programe koji se odnose na ICT. Prirunik za bezbednost informacionih tehnologija, objavljen 2003. godine, predoava tehnoloki-nezavisne najbolje prakse i preporuke iz oblasti IT bezbednosti. Kako se tehnologija razvija, tako pratei veb sajt aurira svoje podatke. Juna 2002. godine Svetska banka objavila je izvetaj Elektronska bezbednost: Smanjivanje rizika finansijskih transakcija nadograujui tako prethodne dokumente koji su identifikovali problem e-bezbednosti kao kljunu komponentu u omoguavanju usluga e-finansija. Januara i maja 2004. godine objavljena je pratea publikacija, nazvana Lista provere tehnolokih rizika, koja opisuje trinaest slojeva e-bezbednosti, koja pokriva kako hardver tako i softver koji je povezan sa mrenim infrastrukturama. Ovi slojevi ukljuuju upravljanje rizikom, politiko upravljanje, sajber-inteligenciju, pristup kontroli i identifikaciji, fajervole, filtriranje aktivnih sadraja, sisteme za detekciju provale, skenere za viruse, ifrovanje, testove ranjivosti, sistemsku administraciju, planove za reagovanje na incidente i beinu bezbednost. 2005. godine dva dodatna dokumenta su objavljena u sektoru e-bezbednosti/e-finansija o veim opasnostima koje potiu od BOT-ova, sajber parazita, i o problemima pranja novca u sajber prostoru.
Institut Istok-Zapad i Inicijativa za svetsku sajber bezbednost

Godine 2007. tim za Strateki dijalog Instituta Istok-Zapad (EWI), predvoen amerikim generalom (u penziji.) Dejmsom Donsom, (bivi SACEUR u NATO-u, a sada savetnik za bezbednost u SAD) u diskretnim razgovorima pozvao je vie ruske i kineske rukovodioce da prekinu potpuni zastoj u meunarodnoj saradnji pri suoavanju sa sajber izazovima. Usledile su intenzivne diskusije dvostrukog koloseka na visokom nivou. Sve tri vlade su potvrdile su svoju zabrinutost za namere i postupke drugih. Takoe je pokazana duboko ukorenjena zabrinutost za rastui kapacitet ne-dravnih aktera koji su u stanju da unite svetsku ekonomsku stabilnost, kao to poinju da predstavljaju ozbiljan bezbednosni izazov. Sve tri velike zemlje su ve promenile svoje procene koje se tiu sajber bezbednosti, koju su SAD ak podigle na nivo nuklearne bezbednosti. Danas, ove tri zemlje rade zajedno u okviru Svetske sajber-bezbednosne inicijative (WCI) kojom rukovodi Institut Istok-Zapad. Njima su se pridruile vodee linosti iz EU i drugih G20 zemalja, privatnog sektora, profesionalnih udruenja i meunarodnih organizacija.. Savetniku grupu WCI predvodi general Hari Redig, predsedavajui Deloit centra za sajber inovacije. Postoje dva osnovna cilja: (1) izgradnja poverenja zajednikim reavanjem konkretnih problema u oblasti sajber bezbednosti u diskretnim bilateralnim ili multilateralnim timovima; i (2) zapoinjanje javnog procesa koji e omoguiti da se preduzmu prvi koraci u meunarodnoj politici sajber bezbednosti slini onima koji su preduzeti u vezi mora, vazduha i svemira. Ova EWI inicijativa poela je svoju javnu fazu maja 2010. godine kada se 200 voa iz Sajber 40 zemalja (G20 i ostalih 20 najvanijih sajber zemalja) sastalo u Dalasu na prvom Svetskom samitu o sajber bezbednosti iji je sponzor EWI. To je prvi pokuaj da se stvori pokret javnog i privatnog sektora koji e se fokusirati na zatitu kljunih sajber bezbednosnih infrastruktura (finansije, energija, telekomunikacije i osnovne dravne slube).
46
Pogovor uz ovo izdanje

Savremeno drutvo suoeno je sa zahtevima da stvara to vie nove vrednosti, da bude to efikasnije i ekonominije a da pri tome ne dovede u pitanje fundamentalni znaaj ostvarivanja ljudskih prava i ideje demokratije. Sposobnost drutva da na pravi nain odgovori na izazove koje takav kontekst prozvodi ima za osnovnu pretpostavku postojanje jasne predstave o realnim koordinatama u kojima drutvo egzistira. Tekst koji je pred nama na pravi, dobar nain korespondira sa tom pretpostavkom. Polazei od danas ve notorne injenice da se veina, za funkcionisanje savremenog drutva relevantnih faktora i izazova, ukljuujui razume se i one bezbednosne, preselila u tzv. sajber prostor, tekst upozorava na vie fenomena vrednih panje. Direktno ili indirektno upozorava npr. na kontraverzu da u savremenim uslovima bezbednost sve vie podrazumeva izazove koji ne priznaju dravne granice, a da se odgovori na njih jo uvek uglavnom trae u nacionalnim okvirima. I na injenicu da je tempo kojim drave i kompanije jaaju potencijale sajber prostora u direktnoj korelaciji sa produkcijom novih bezbednosnih problema. I na to da u navedenom kontekstu, pitanja demokratskog upravljanja relevantnim procesima, i inae veoma bitna postaju jo bitnija. Konano, moda najvrednije upozorenje odnosi se na to da postoje ogromne praznine i u naem razumevanju problema, u tehnikim i sistemskim resursima neophodnim da se sa njima izborimo. Osnovna tema ove publikacije - problemi bezbednosti u sajber prostoru su, bez obrzira u kojoj meri su toga svi svesni, objektivno jedna od hiperaktuelnih tema vremena u kome ivimo. U Beogradu, oktobra 2010. Rodoljub abi Poverenik za informacije od javnog znaaja i zatitu podataka linosti
47
Ova publikacija objavljuje se u saradnji sa enevskim Centrom za demokratsku kontrolu oruanih snaga (DCAF). DEMOKRATSKO UPRAVLJANJE IZAZOVI SAJBER BEZBEDNOSTI Benjamin S. Buckland, Fred Schreier, Theodor H. Winkler Izdava FBD, Forum za bezbednost i demokratiju Za izdavaa Milan Jovanovi, direktor Beograd, Srbija, 2010 Naslov originala DEMOCRATIC GOVERNANCE CHALLENGES OF CYBER SECURITY Benjamin S. Buckland, Fred Schreier, Theodor H. Winkler DCAF, Geneva 2010 Switzerland CIP - Katalogizacija u biblioteci Narodne biblioteke Srbije BAKLAND, Bendamin S. Demokratsko upravljanje : izazovi sajber bezbednosti / Benjamin S. Buckland, Fred Schreier, Theodor H. Winkler ; [prevod Luka Jovanovi, Jan Litavski (Aneks 1) ]. - Beograd : Forum za bezbednost i demokratiju, 2010. - 48 str. : graf. prikazi ; 29 cm Prevod dela: Democratic Governance. - Tira 1.000. - Str. 47: Pogovor uz ovo izdanje / Rodoljub abi . - Aneksi: str. 33-46. Napomene i bibliografske reference uz tekst. - Bibliografija: str. 31-32. ISBN 978-86-907643-3-4
Forum za bezbednost i demokratiju (FBD), osnovan je 2004. godine u Beogradu i od tada nastoji da u kontinuitetu doprinosi demokratskim procesima, pre svega promovisanjem razvoja civilne kontrole i uticaja u oblasti bezbednosti. FBD zastupa princip da su sektori odbrane i bezbednosti neodvojivi od pitanja graanskih prava i sloboda. Svoje ciljeve FBD ostvaruje javnim delovanjem, organizovanjem strunih skupova, objavljivanjem knjiga, broura i drugih medijskih prezentacija, strunim i istraivakim projektima iz domena bezbednosti, saraujui sa institucijama i organizacijama u zemlji i inostranstvu koje se bave slinim pitanjima. detaljnije pogledajte na www.fbd.org.rs
enevski Centar za demokratsku kontrolu oruanih snaga (DCAF) je jedna od vodeih svetskih institucija u oblasti reforme bezbednosnog sektora i upravljanju sektorom bezbednosti. DCAF prua dravama savetodavnu podrku i programe pomoi u praksi, razvija i promovie prikladne demokratske norme na meunarodnom i nacionalnom nivou, zalae se za dobre prakse i sprovodi politika istraivanja da bi se obezbedilo efikasno demokratsko upravljanje bezbednosnim sektorom. detaljnije pogledajte na www.dcaf.ch
DCAF Geneva P.O. Box 1360 1211 Geneva 1 Switzerland Tel: +41 (22) 741 77 00 Fax: +41 (22) 741 77 05 DCAF Brussels Place du Congrs 1 1000 Brussels Belgium Tel: +32 (2) 229 39 66 Fax: +32 (2) 229 00 35 DCAF Ljubljana Dunajska cesta 104 1000 Ljubljana Slovenia Tel: +386 (1) 5609 300 Fax: +386 (1) 5609 303 DCAF Ramallah Al-Maaref Street 34 Ramallah / Al-Bireh West Bank, Palestine Tel: +972 (2) 295 6297 Fax: +972 (2) 295 6295 DCAF Beirut P.O. Box 113 - 6041 Beirut Lebanon Tel: +961 (1) 738 401 Fax: +961 (1) 738 402

Cyber Safety

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cyber Safety

Uploaded by

Copyright:

Available Formats

forum za bezbednost i demokratiju

demokratsko upravljanje izazovi sajber bezbednosti

FORUM ZA BEZBEDNOST I DEMOKRATIJU: VIDICI I PUTOKAZI

demokratsko upravljanje izazovi sajber bezbednosti

Izazovi za demokratsku vlast

Aneks 1: Zatita kritine infrastrukture, Zatita kritine informacione

Aneks 2: Meunarodni i regionalni odgovori

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Tabela 1. Izvori sajber pretnji8

Haktivistsi Nezadovoljni insajderi

Botnet operateri Fieri

Autori pijunskog i zlonamernog softvera Pedofili

forum za bezbednost i demokratiju

Tabela 2. Kategorije sajber pretnji

Kraa linih podataka

forum za bezbednost i demokratiju

Tabela 3. Odgovori na sajber pretnje

forum za bezbednost i demokratiju

2. Izazovi za demokratsku vlast

forum za bezbednost i demokratiju

Bailes, Private Sector, Public Security, 42.

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Implikacije u zatiti ljudskih prava

forum za bezbednost i demokratiju

Tabela 4. Cenzura interneta15

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Zastraivanje i reagovanje na sajber rat

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Okvir 3. Estonski sajber rat37

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Okvir 4. Gruzijski konflikt43

Podaci u okviru dobijeni su zahvaljujui ljubaznosti g-dina Freda Schreiera

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Informacije u aneksu dobijene su ljubaznou g-dina Freda Schreiera

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju

Forum za reagovanje na incidente i bezbednosni timovi

Grupa osam (G8)

SEVERNOATLANSKI SAVEZ (NATO)

Organizacija za ekonomsku saradnju i razvoj (OECD)

Organizacija ujedinjenih nacija( OUN)

forum za bezbednost i demokratiju

forum za bezbednost i demokratiju