Terorismul Cibernetic [PDF]

Zitiervorschau

CYBERTERORISM – O NOUĂ PERSPECTIVĂ Doctorand Ciprian DUMITRAŞCU Cyberterrorism is no longer a matter of science fiction, it is part of our life and we don’t have to be afraid of it but have to be aware of it’s presence and have to focus on preventing it’s possible negative effects. This paper deals with this subject, the past, the present and the future of cyberterrorism with a special focus on U.E. and Romanian legal framework preventing terorist acts. Keywords: terorism cibernetic, atac cibernetic, internet, securitatea informatiilor, Introducere Ceea ce părea să fie o poveste desprinsă dintr-un science fiction la începutul anilor '90 astăzi face parte din viaţa noastră cotidiană. Asistăm la dezvoltarea explozivă a internetului şi tehnologia informaţiei cu toate componentele sale de hardware şi software pune stăpânire într-un ritm alert pe aproape fiecare segment al unei societăţi. Persoanele fizice, entităţile private şi publice devin din ce în ce mai dependente de tehnologie cu fiecare zi ce trece. Deşi avem tendinţa să facem această confuzie, trebuie precizat încă de la început că internetul nu este sinonim cu reţeaua mondială de informaţii (sau aşa cum obişnuim s-o numim: WWW) ci mai degrabă am putea afirma că WWW este principala „aplicaţie” ce rulează pe „suportul” numit internet. Pe lângă această „aplicaţie” principală internetul reprezintă suportul de comunicare pentru multe alte „aplicaţii” importante cum ar fi schimbul de date între diverse calculatoare aflate la distanţă (ca de exemplu calculatoarele unor filiale ale unei bănci sau calculatoarele de la birourile de evidentă a populaţiei din întreaga ţară precum şi alte aplicaţii cum ar fi serviciul VOIP - voice over internet protocol oferit de diverşi operatori de telefonie). Aspectul benefic al reţelei mondiale de calculatoare, denumită generic „internet” este de necontestat. Această reţea asigură, printre altele, legătura permanentă a câtorva zeci de milioane de calculatoare aflate în diferite colţuri ale lumii, ce alcătuiesc suportul logistic al reţelei mondiale de informaţii şi asigură accesul a miliarde de utilizatori la aceste informaţii. De asemenea, aşa cum am menţionat mai înainte, internetul asigură suportul pentru schimbul instant de date între diversele subunităţi ale unor entităţi atât din sfera privată cât şi din cea publică. Aceste legături se realizează instant, indiferent de distanţa fizică dintre calculatoarele ce se interconectează. Deşi de necontestat, tocmai beneficiul ce izvorăşte din inexistenţa barierelor de timp şi spaţiu face ca această reţea mondială să reprezinte un mediu propice pentru proliferarea unui nou tip de terorism şi anume cel de terorism cibernetic. Definiţia, etimologia şi formele terorismului cibernetic Terorismul cibernetic (Cyberterrorism) este un termen controversat. Unii autori îl definesc în sens mai restrâns, ca o acţiune unei organizaţii teroriste cunoscute, de destabilizare a unui sistem informatic, cu scopul primar de a crea panică. Această definiţie restrânsă nu ne permite să identificăm toate aspectele terorismului cibernetic şi de aceea s-a considerat necesar să se definească termenul într-un sens mai larg. Kevin G. Coleman de la Institutul Technolytics defineşte terorismul cibernetic ca „acţiunea premeditată de utilizare a unor activităţi de destabilizare sau ameninţarea cu asemenea acţiuni, îndreptată către calculatoare şi/sau reţele de calculatoare, cu

intenţia de a produce pagube sau de a atinge alte scopuri sociale, ideologice, religioase, politice sau similare, ori de a intimida o persoană în vederea facilitării atingerii acestor obiective”.1 Termenul de „cyberterrorism” a fost creat prin anii '80 de Barry C. Collin, un cercetător asociat la Institute for Security and Intelligence in California şi reprezintă îmbinarea cuvântului „cyberspace” cu cel de „terorism”.2 Terorismul cibernetic este considerat o crimă, pentru că, deşi nu are impact fizic direct asupra omenirii, aceasta le afectează din punct de vedere strategic, cu efect distructiv pe scară largă, similar unei crime clasice. Pentru a înţelege mai bine acest aspect trebuie numai să ne gândim la consecinţele unui atac de terorism cibernetic asupra unui calculator sau reţea de calculatoare ce controlează sistemul de alimentare cu energie electrică a unei localităţi, sau asupra unui sistem bancar, sau să nu mai vorbim de consecinţele imprevizibile ale unui astfel de atac asupra unor centre de comandă militare de interes strategic. Există mai multe forme ale atacurilor cibernetice (hacking, cracking, phishing, spamming şi alte forme de violare a sistemelor de calcul) şi aceste forme evoluează permanent, adaptându-se la schimbările tehnologice. Astfel, dacă la început, odată cu apariţia mesajelor electronice (email) am putut asista la apariţia primilor viruşi informatici, cu efect de destabilizare a sistemului de operare de pe un calculator sau de distrugere a unor date de pe acel calculator, ulterior au apărut viruşii care destabilizau o întreagă reţea de calculatoare locală, zonală sau mondială prin atacuri de tip „denial of service” adică paralizarea unui server sau al unei reţele de calculatoare prin suprasolicitarea porturilor de comunicare a acestuia. Mai nou, odată cu apariţia telefoanelor inteligente, ţinta atacurilor se îndreaptă şi către acestea. Totuşi, trebuie să facem distincţie între terorismul cibernetic şi atacurile cibernetice pentru că, deşi teroristul cibernetic utilizează aceste metode de atac, totuşi pentru el acestea reprezintă numai mijlocul de constrângere pentru realizarea scopurilor sale politice, ideologice, sociale, religioase sau similare. În schimb, hackerul obişnuit declanşează un atac cibernetic având ca scop final obţinerea unor avantaje materiale prin obţinerea unor date (de exemplu date ale cărţii de credit) sau controlul unor sisteme (accesarea conturilor bancare ale terţelor persoane ca urmare a preluării controlului asupra serverului unei bănci) sau de multe ori numai din distracţie sau competiţie greşit interpretată ( de tipul „sunt mai bun decât administratorul de reţea”). Tocmai de aceea exemple ca virusul informatic „Melissa” din 1999 care a infectat milioane de calculatoare şi a blocat mai multe reţele din SUA provocând pagube ce se ridicau la 80 milioane de dolari sau virusul „Love Bug” din anul 2000 care s-a răspândit literalmente ca focul peste mai multe zeci de mii de calculatoare, ca ataşament la un email cu subiectul „I love you” (iar dacă acest ataşament era deschis, atunci virusul determina programul de mesagerie să trimită acest mesaj la toţi utilizatorii din agenda programului de email, contaminând astfel şi acele calculatoare şi blocând serverele de email care nu puteau să facă faţă la acel volum imens de mesaje) nu reprezintă terorism cibernetic pentru că nu au fost realizate cu scopul de a constrânge. În schimb, atacul cibernetic din luna mai a anului 2007, când sistemul informatic guvernamental şi financiar din Estonia a fost paralizat timp de două săptămâni, reprezintă terorism cibernetic pentru că a reprezentat o formă de protest împotriva îndepărtării unui simbol sovietic in memoria celui de al Doilea Război Mondial din centrul oraşului Talinn.3 O altă formă a terorismului cibernetic o reprezintă aşa numitul „hacktivism”, adică activismul cibernetic. Această formă a terorismului cibernetic se caracterizează prin faptul că organizaţiile teroriste atacă paginile de web ale diferitelor instituţii guvernamentale pe care le schimbă cu o pagină proprie, creată cu scopul de a transmite punctul de vedere al respectivului grup terorist.4

1

http://en.wikipedia.org/wiki/Cyberterrorism http://www.zoominfo.com/people/Collin_Barry_934379.aspx 3 http://en.wikipedia.org/wiki/Cyberterrorism 4 Soobia Afroz: Cyber terrorism — fact or fiction? (http://www.dawn.com/weekly/dmag/archive/020616/dmag21.htm) 2

Cadrul juridic al Uniunii Europene şi al României privind combaterea terorismului cibernetic Cadrul juridic european privind combaterea terorismului cibernetic îl reprezintă Convenţia privind crimele cibernetice adoptată la Budapesta în data de 23.11.2001 (ratificată de România prin Legea 64/2004), Convenţia privind prevenirea terorismului adoptată la Varşovia în data de 16.05.2005 (ratificată de România prin Legea 411/2006) precum şi Convenţia Europeană privind suprimarea terorismului adoptată la Strassbourg în data de 27.01.2007 (ratificată de România prin Legea 19/1997). De asemenea, la nivelul Uniunii Europene problemele legate de terorismul cibernetic sunt gestionate de Comitetul Experţilor în Terorism (CODEXTER), un comitet interguvernamental de experţi care înlocuieşte, începând cu anul 2003, Grupul Multidisciplinar de Acţiune Internaţională Împotriva Terorismului (GMT). CODEXTER-ul are următoarele sarcini principale5: - realizarea profilului de ţară privind capacitatea de prevenire a terorismului; - schimb de informaţii şi bune practici privind compensarea şi scheme de asigurare pentru victimele terorismului; - identificarea discrepanţelor din legislaţia internaţională şi acţiunile împotriva terorismului, cu scopul de a propune căi şi mijloace de soluţionare a acestor discrepanţe; - monitorizarea semnării şi ratificării precum şi promovarea implementării efective a convenţiilor Comisiei Europene aplicabile în domeniul combaterii terorismului. Conform profilului de ţară realizat de CODEXTER6, România nu are un cadru legislativ specific pentru combaterea terorismului cibernetic, dar reglementează anumite aspecte ale criminalităţii informatice prin: a). LEGE nr. 161 din 19 aprilie 2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei (publicată în Monitorul Oficial al României nr. 279/21.04.2003); b). LEGE nr. 365 din 7 iunie 2002 privind comerţul electronic*) - Republicare (publicată în Monitorul Oficial al României nr. 959/29.11.2006); c). LEGE nr. 656 din 7 decembrie 2002 pentru prevenirea şi sancţionarea spălării banilor (publicată în Monitorul Oficial al României nr. 904/12.12.2002) ; d) LEGE nr. 535 din 25 noiembrie 2004 privind prevenirea şi combaterea terorismului (publicată în Monitorul Oficial al României nr. 1161/08.12.2004) Organismele din România care au competenţa legală de gestionare a terorismului (şi neavând legislaţie specifică inclusiv a terorismului cibernetic) sunt următoarele (în paranteză actul ce le delegă competenţa): a). Direcţia de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism (Legea 508/2008, publicată în Monitorul Oficial al României nr. 1089/23.11.2004); b). Serviciul Român de Informaţii (Legea 14/1992, publicată în Monitorul Oficial al României nr.33/03.03.1992); c). Ministerul Public (Legea 304/2004 -Republicată, publicată în Monitorul Oficial al României nr.827/13.09.2005); d). Ministerul Justiţiei (Legea 161/2003, publicată în Monitorul Oficial al României nr. 279/21.04.2003); e). Ministerul Administraţiei şi Internelor (Legea 161/2003, publicată în Monitorul Oficial al României nr. 279/21.04.2003); 5 6

http://www.coe.int/t/e/legal_affairs/legal_co-operation/fight_against_terrorism/3_CODEXTER/ http://www.coe.int/T/E/Legal_Affairs/Legal_co-operation/Fight_against_terrorism/4_Theme_Files/Country_Profiles/

f). Serviciul de Informaţii Externe (Legea 161/2003, publicată în Monitorul Oficial al României nr. 279/21.04.2003); g). Ministerul Comunicaţiilor şi Societăţii Informaţionale (Legea 161/2003, publicată în Monitorul Oficial al României nr. 279/21.04.2003). Reproducem mai jos prevederile Titlului III, Capitolul II din Legea 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei (publicată în Monitorul Oficial al României nr. 279/21.04.2003): „CAPITOLUL II: Prevenirea criminalităţii informatice” Art. 36. Pentru asigurarea securităţii sistemelor informatice şi a protecţiei datelor personale, autorităţile şi instituţiile publice cu competenţe în domeniu, furnizorii de servicii, organizaţiile neguvernamentale şi alţi reprezentanţi ai societăţii civile desfăşoară activităţi comune şi programe de prevenire a criminalităţii informatice. Art. 37. Autorităţile şi instituţiile publice cu competenţe în domeniu, în cooperare cu furnizorii de servicii, organizaţiile neguvernamentale şi alţi reprezentanţi ai societăţii civile promovează politici, practici, măsuri, proceduri şi standarde minime de securitate a sistemelor informatice. Art. 38. Autorităţile şi instituţiile publice cu competenţe în domeniu, în cooperare cu furnizorii de servicii, organizaţiile neguvernamentale şi alţi reprezentanţi ai societăţii civile organizează campanii de informare privind criminalitatea informatică şi riscurile la care sunt expuşi utilizatorii de sisteme informatice. Art. 39. (1)Ministerul Justiţiei, Ministerul de Interne, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei, Serviciul Român de Informaţii şi Serviciul de Informaţii Externe constituie şi actualizează continuu baze de date privind criminalitatea informatică. (2)Institutul Naţional de Criminologie din subordinea Ministerului Justiţiei efectuează studii periodice în scopul identificării cauzelor care determină şi a condiţiilor ce favorizează criminalitatea informatică. Art. 40. Ministerul Justiţiei, Ministerul de Interne, Ministerul Comunicaţiilor şi Tehnologiei Informaţiei, Serviciul Român de Informaţii şi Serviciul de Informaţii Externe desfăşoară programe speciale de pregătire şi perfecţionare a personalului cu atribuţii în prevenirea şi combaterea criminalităţii informatice. Art. 41. Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restricţionat pentru anumite categorii de utilizatori au obligaţia de a avertiza utilizatorii cu privire la condiţiile legale de acces şi utilizare, precum şi cu privire la consecinţele juridice ale accesului fără drept la aceste sisteme informatice. Avertizarea trebuie să fie accesibilă oricărui utilizator.” Cooperarea României la nivel internaţional în ce priveşte combaterea terorismului (şi implicit al terorismului cibernetic) se desfăşoară la nivelul Uniunii Europene sub cadrul general al celor 3 legi menţionate la începutul Capitolului 3 precum şi a numeroaselor Convenţii şi Memorandumuri de Înţelegere bi sau multilaterale semnate cu ţări din UE sau terţe tări precum şi cu diverse organizaţii internaţionale (ca exemplificare menţionez TRATATUL din 27 mai 2005 între Regatul Belgiei, Republica Federală Germania, Regatul Spaniei, Republica Franceză, Marele Ducat de Luxemburg, Regatul Ţărilor de Jos şi Republica Austria privind aprofundarea cooperării transfrontaliere, în special în vederea combaterii terorismului, criminalităţii transfrontaliere şi migraţiei ilegale la care România a aderat prin Legea 146/2008 sau HOTĂRÂREA nr. 818 din 25 iulie 2007 pentru aprobarea Memorandumului de înţelegere dintre autorităţile competente din România şi Israel privind cooperarea în schimbul de informaţii financiare având legătură cu spălarea banilor şi finanţarea terorismului, semnat în Bermuda la 30 mai 2007).

Ameninţările viitorului Cât de serioasă este ameninţarea terorismului cibernetic? Să reluăm puţin cazul Estoniei. Sistemele informatice guvernamentale şi informatice au fost paralizate timp de două săptămâni, ca urmare a unui atac de terorism cibernetic. Bine, ar putea spune cineva, dar care este problema? Ce ia determinat pe experţii în securitate de la NATO, UE şi alte organisme internaţionale să aterizeze de urgenţă la Tallinn nu a fost grija pentru aceste reţele financiar - bancare sau guvernamentale, ci mai ales îngrijorarea în ce priveşte securitatea sistemelor SCADA (Supervisory Control and Data Acquisition), sisteme cu implicaţii asupra infrastructurii vitale ale naţiunii. Aceste sisteme SCADA sunt niste sisteme de control industrial dirijate de sisteme de calculatoare şi includ, printre altele, comutatoarele reţelei de căi ferate, sisteme de tratare a apelor uzate, sisteme de coordonare ale traficului rutier, sisteme de distribuţie a energiei electrice, sisteme de control ale reţelei de metrou precum şi alte sisteme vitale care, exploatate de mâini criminale, pot cauza multe victime, inclusiv decese.7 Majoritatea acestor sisteme sunt conectate la internet şi rulează pe sisteme de operare cunoscute, utilizând protocoale de comunicare standard, bine cunoscute de profesionişti. Un atac concertat, focusat pe aceste sisteme poate avea un efect devastator asupra siguranţei publice şi al încrederii. Dacă teroriştii ar ataca un astfel de sistem SCADA şi ar lansa simultan atacuri cu bombe, panica publică ar scăpa foarte repede de sub control. Dacă teroriştii ar bombarda o intersecţie foarte circulată a unui oraş mare şi simultan ar proceda la deconectarea de la distanţă (prin intermediul reţelei de calculatoare) a reţelei de energie electrică a unui spital din apropiere - un atac combinat, denumit „force multiplier” în termeni militari, aceasta ar avea drept consecinţă o panică generalizată la nivel naţional.8 Într-un articol publicat în „The Guardian”9 Dickon Ross, autorul acestui articol argumentează, prin citarea lui Richard Clarke, preşedintele comisiei de infrastructură critică al preşedintelui SUA, că ameninţarea teoretică a terorismul cibernetic s-a transformat în ameninţare reală tocmai din cauza evenimentelor tragice din SUA din 11 septembrie 2001. Înainte de evenimentele din 11.09.2001 Al-Qaida ameninţa cu atacuri asupra vieţilor omeneşti, dar după evenimente aceasta şi -a schimbat retorica şi şi-a îndreptat ameninţările împotriva infrastructurii economice a occidentului. Cum aceasta este foarte dispersat teritorial pentru a putea fi distrus ca urmare a unor atacuri cu bomba, singura explicaţie viabilă este aceea că teroriştii de la Al-Qaida se reprofilează pe terorism cibernetic. Dar nu numai Al-Qaida este interesat în a utiliza terorismul cibernetic. Un raport CIA realizat pentru Comisia de Informaţii al Senatului SUA completează lista celor interesaţi cu extremiştii Sunni, Hezbollah-ul şi Aleph (iniţial cunoscut ca Aum Shinrikyo, responsabil pentru atacul cu gaz toxic din metroul din Tokyo). Acelaşi Clarke este citat, afirmând că Irakul, Iranul, Coreea de Nord, China şi Rusia pregătesc deja oamenii pentru lupta din spaţiul cibernetic. Aflăm din aceeaşi sursă, că la acea dată de apariţie a publicaţiei respective preşedintele Bush a semnat o directivă secretă de instruire a guvernului cu privire la când şi cum poate SUA lansa atacuri cibernetice împotriva reţelelor duşmane. Pe de altă parte, aproape fiecare stat occidental (şi nu numai) şi-a creat propriul sistem instituţional de prevenire şi combatere a terorismului cibernetic. Inclusiv în cadrul NATO s-a creat o trupă specială de urgenţă pentru a proteja statele membre împotriva atacurilor teroriste cibernetice10. Toate aceste indicii ne arată că terorismului cibernetic a devenit o problemă foarte actuală şi este foarte posibil ca in viitorul apropiat atacurile teroriste vor căpăta din ce in ce mai des o formă nouă, dezvoltată în spaţiul virtual. Spaţiul virtual este, fără doar şi poate, prima şi cea mai elocventă formă a globalizării şi, ca orice formă de globalizare, aceasta presupune o standardizare 7

Cyberterrorism: A look into the future, by (ISC)2 US Government Advisory Board Executive Writers Bureau (http://www.infosecurity-magazine.com/view/5217/cyberterrorism-a-look-into-the-future/ 8 idem 9 Dickon Ross: Electronic Pearl Harbor, The Guardian, Thursday 20 February 2003 (http://www.guardian.co.uk/technology/2003/feb/20/security.onlinesupplement) 10 http://news.sky.com/skynews/Home/Sky-News-Archive/Article/20080641311860

internaţională a sistemelor ce îl alcătuiesc (hardware, software, protocoale de comunicare, etc.). Tocmai această standardizare ce permite o mai uşoară interconectare a reţelelor din toate colţurile lumii permite teroriştilor cibernetici să dezvolte şi să pună în aplicare metode noi şi eficiente de ameninţare, cu impact pe scară largă. Este adevărat, că şi în această confruntare din spaţiul virtual există, pe lângă elementul negativ şi o contraparte pozitivă. Avem, la nivel global, foarte mulţi buni specialişti de securitate care acţionează pentru îmbunătăţirea continuă a siguranţei spaţiului virtual, dar sarcina celui care este în poziţie de apărare este şi în acest caz mult mai dificilă decât sarcina atacatorului, pentru că spre deosebire de atacator, care trebuie doar să identifice o singură vulnerabilitate a sistemului informatic pentru a-şi duce la îndeplinire misiunea, cel care apără trebuie să ţină sub control toate posibilele vulnerabilităţi ale sistemului. Nu este de neglijat nici faptul că, spre deosebire de terorişti, care fac o pasiune din aducerea la îndeplinire a misiunii lor, adesea sacrificându-şi inclusiv viaţa pentru a-şi atinge scopurile distructive, experţii şi profesioniştii, deşi îşi fac meseria cu maximă seriozitate, nu sunt fanatici care să lucreze câte 20 ore pe zi pentru o ideologie extremistă. Trebuie avut în vedere şi faptul că internetul nu a fost proiectat iniţial în ideea unui sistem securizat, ci mai degrabă ca un mijloc de comunicare eficientă între două puncte aflate la distanţă. Astfel, securizarea internetului se poate efectua cel mai eficient la punctele de acces (calculatoare, telefoane mobile, PDA-uri, etc), iar în aceste puncte de acces intervine întotdeauna factorul uman, factor ce reprezintă cea mai mare vulnerabilitate în sistemul de securitate. Este foarte dificil de trecut de sistemul de securitate a unui server al unei instituţii de la distanţă, dar dacă prin neglijenţa umana ai obţinut acces în reţeaua internă a instituţiei respective, lucrurile devin mult mai uşoare. Iar neglijenţa umană este foarte mare şi din acest punct de vedere. Poate cel mai vital factor în combaterea eficientă a terorismului cibernetic este eficienta previziune a evoluţiei viitoare în domeniul tehnologiei informaţiei. Teroriştii cibernetici nu vor ataca niciodată conform aşteptărilor noastre, dacă aceste aşteptări se bazează pe cunoştinţele tehnologice actuale. Ei vor căuta întotdeauna să exploateze vulnerabilităţile noilor tehnologii care în faza lor incipientă nu au putut fi suficient testate. Un exemplu ar putea fi tendinţa actuală a „centralizării” resurselor informatice, incluzând hardware, software şi baze de date, aşa numitul „cloud computing” termen ce presupune că utilizatorul închiriază spaţiu de stocare, software şi capacitate de procesare de la un server central şi astfel nu mai depind de limitările locale ale calculatoarelor deţinute. Acest lucru este foarte bun pe de o parte, pentru că individul nu va mai trebui să investească în tehnologie informaţională, nu va mai avea probleme cu capacitatea de stocare şi nu va mai avea grija securităţii datelor personale, calculatorul personal devenind un simplu terminal de accesare a acelui „cloud” care oferă aceste servicii. Pe de altă parte, această globalizare a serviciilor informaţionale poate fi o ţintă perfectă pentru orice terorist cibernetic, având în vedere că odată pus stăpânire pe un astfel de „cloud” ameninţarea nu mai este la adresa unui individ ci devine colectivă. Concluzii şi propuneri Ameninţarea terorismului cibernetic tinde să devină parte din viaţa noastră cotidiană, dar acest lucru nu înseamnă că acest fenomen trebuie să genereze teamă sau frică nejustificată în rândul omenirii. Tratat cu maximă seriozitate, fenomenul poate fi stăpânit, pentru aceasta însă avem nevoie de o mai bună înţelegere a acestuia şi de o schimbare de mentalitate la nivelul instituţiilor responsabile. Aşa cum am arătat în această lucrare, guvernele ţărilor dezvoltate au luat măsuri în acest sens, dar fiind un fenomen global, nu numai unii trebuie să acţioneze. Atacul cibernetic vine întotdeauna dinspre veriga cea mai slabă şi din acest punct de vedere România mai are mult de recuperat. Citind raportul CODEXTER am realizat că România nu dispune de un cadru instituţional adecvat de luptă împotriva terorismului cibernetic. Bineînţeles, am aderat la tratatele europene

specifice, am creat un cadru legal de formă, dar în fond nu am progresat aproape deloc. Avem prea multe instituţii care au atribuţii în domeniul prevenirii terorismului, dar nu avem o instituţie specială pentru gestionarea terorismului cibernetic. Cadrul legislativ nu cuprinde prevederi specifice la această formă a terorismului, aceasta fiind tratat în cadrul general al terorismului şi nu într-un cadru special, dedicat activităţii de terorism cibernetic. Avem un „renume” mondial în ce priveşte hackerii români, dar tot nu vrem să conştientizăm că dispunem de suficientă materie cenuşie să excelăm în domeniul securităţii informaţionale, pentru aceasta fiind necesară numai canalizarea corectă a acestei inteligenţe. Trebuie sa depăşim faza acţiunilor formale, de altfel specifice societăţii româneşti, şi măcar în acest domeniu, unde dispunem de potenţial, să trecem la acţiuni concrete, de fond. Savanţii din domeniul tehnologiei informaţiei au înaintat ideea că în viitorul foarte apropiat fiecare individ va avea propria adresă IP a creierului, lucru ce pare a fi science fiction acum, dar ţinând cont de viteza evoluţiei tehnologice nu este o informaţie ce poate neglijată. Aşa cum am prezentat în această lucrare, anticiparea este cuvântul cheie în combaterea eficientă a terorismului cibernetic şi tocmai de aceea trebuie luate măsuri din timp astfel încât să fie anticipate orice posibile acţiuni teroriste pe acest segment. Cred că oricine poate conştientiza că orice vulnerabilitate neprevăzută pe o astfel de reţea ce implică şi creierul uman poate fi fatală! Putem însă să luăm un exemplu mai concret în ceea ce priveşte lejeritatea cu care sunt tratate probleme foarte serioase în România. Recent a fost adoptată în Parlament introducerea paşapoartelor biometrice11. Din totalul de 232 deputaţi prezenţi la votul final au votat „pentru” un număr de 206 parlamentari faţă de numai 26 voturi împotrivă şi abţineri. Am fost unul dintre militanţii fervenţi împotriva adoptării acestei legi. Nu din considerente religioase, aşa cum mare parte a societăţii civile a făcut-o, ci din considerente de securitate a datelor. Am arătat atunci că, datele biometrice (amprentă, iris) sunt unice şi mai ales neînlocuibile, astfel că fără garanţia securităţii acestor date este de neacceptat prelevarea şi păstrarea lor. Nimeni nu mi-a putut oferi garanţii cu privire la acest aspect dar au spus că e o cerinţă a Uniunii Europene şi trebuie să ne conformăm. Încă o decizie de formă, fără să ţinem seama de consecinţele deosebit de grave ale unor astfel de decizii pripite! Care pot fi consecinţele acestei decizii luate în grabă, de formă, fără un studiu minuţios al consecinţelor? Furtul de identitate este o ameninţare care, practicată la scară largă poate crea nelinişte în cadrul societăţii. Cred că nimeni nu s-ar mai simţi în siguranţă ştiind că amprenta lui tocmai este reprodusă prin procedee biotehnologice şi utilizată în scopuri criminale. Teroriştii care sunt conştienţi de acest lucru îl vor utiliza în mod cert pentru acţiuni de constrângere! Oricum, viitorul este în mâinile noastre, şi depinde numai de noi cum îl gestionăm! Bibliografie: 1. http://en.wikipedia.org/wiki/Cyberterrorism 2. http://www.zoominfo.com/people/Collin_Barry_934379.aspx 3. Soobia Afroz: Cyber terrorism — fact or fiction? (http://www.dawn.com/weekly/dmag/archive/020616/dmag21.htm) 4. http://www.coe.int/t/e/legal_affairs/legal_cooperation/fight_against_terrorism/3_CODE XTER/ 5. http://www.coe.int/T/E/Legal_Affairs/Legal_cooperation/Fight_against_terrorism/4_The me_Files/Country_Profiles/Cyberterrorism: A look into the future, by (ISC)2 US Government Advisory Board Executive Writers Bureau (http://www.infosecuritymagazine.com/view/5217/cyberterrorism-a-look-into-the-future/ 11

Lege nr.264 din 7 iulie 2009 (publicat în M.Of. nr. 487/14 iul. 2009)

6. Dickon Ross: Electronic Pearl Harbor, The Guardian, Thursday 20 February 2003 (http://www.guardian.co.uk/technology/2003/feb/20/security.onlinesupplement) 7. http://news.sky.com/skynews/Home/Sky-News-Archive/Article/20080641311860 8. Lege nr.264 din 7 iulie 2009 (publicat în M.Of. nr. 487/14 iul. 2009)