Sajber terorizam i kolaps civilizacije

Za većinu ljudi u Njemačkoj, a posebno izvan Njemačke, riječ “lükex” nema smisla. Ta čudna riječ akronim je koji označava nacionalnu vježbu koja se tiče “katastrofičnih situacija”. Svake druge godine provodi se vježba s drugom temom, na primjer izbijanje pandemije ili teroristički napad bombom koja sadrži radioaktivni materijal. Izveden je Lükex 2011 – ovaj put tema vježbe bila je “IT sigurnost u Njemačkoj”. Koja je poveznica između “IT sigurnosti” i “katastrofe”? Kad čujete riječ “katastrofa”, vjerovatno pomislite na prirodnu katastrofu kao što je poplava ili zemljotres. Ili na veliku nesreću koju je prouzrokovao čovjek, kao ona u Černobilu 1986. Ili na takvu kombinaciju, kao što je bila nesreća u nuklearnom reaktoru u Fukushimi koju su inicirali potres i cunami.

No postoji još jedna potencijalna velika opasnost: sabotaža i greška u vitalnoj infrastrukturi – koja se prenosi preko kompjuterske mreže i interneta.

Struja i snabdijevanje vodom, avioprevoz, željeznice, telekomunikacije, sistem plaćanja i javna administracija bitni su za moderno društvo. Tehnički termin za to je “kritična infrastruktura”. Danas te kritične infrastrukture uglavnom kontrolišu i njima upravljaju sistemi koji procesiraju informacije koje su međusobno povezane preko interneta. Ta “IT infrastruktura” je “kritična infrastruktura unutar kritične infrastrukture”. Ciljani ulazak softvera napravljenog da omete rad kompjutera – virusi i trojanski konji – u sisteme koji procesiraju informacije kritičke infrastrukture je moguć. Uprkos zaštiti infrastrukture informacijske tehnologije vladinih i privatnih organizacija, uvijek postoji mogućnost za “slabe tačke”, koje mogu iskoristiti uljezi. Ako napad ne bude otkriven i zarazi samo jedan kompjuter, brzo se može proširiti mrežom.

Zbog zavisnosti kritične infrastrukture o IT infrastrukturi, njegova sabotaža može imati dugoročne posljedice za “fizičku” infrastrukturu. Onemogućavanje da IT infrastruktura kontroliše “fizičku” infrastrukturu može izazvati veću štetu nego da se, na primjer, postavi eksploziv u transformator. Onesposobi li se IT infrastruktura koja kontroliše električnu mrežu, može dovesti do višednevnog “zamračenja”: trgovine i benzinske pumpe bile bi zatvorene, ne bi bilo grijanja niti bi radili klima-uređaji, industrijska proizvodnja bi stala… A panika bi se širila.

Nema potrebe za hollywoodskim scenarijem za neki horor, treba jednostavno biti svjestan potencijalne ranjivosti modernog industrijskog društva što se temelji na informacijskoj tehnologiji. Iz toga proizlazi ne samo potreba za zaštitom IT infrastrukture, nego i potreba da se pripremi za upravljanje krizom u najgorim uslovima.

Svjesnost potencijalne ranjivosti suprotna je poticanju straha. Objektivan razlog za strah bi postojao da nema planova za slučaj sabotaže IT infrastrukture i da se ne vježba njihova primjena.

Lükex 2011 bila je vježba upravljanja krizom u uslovima IT sabotaže velikih razmjera. Koliko ozbiljno je njemačka vlada shvatila takvu prijetnju, očito je iz toga da je oko 3000 ljudi – uglavnom civilne službe – učestvovalo u toj vježbi. Pod vodstvom ministarstva unutrašnjih poslova, odbrane, privrede i finansija učestvovalo je i 12 od 16 federalnih država. Bile su uključene i domaće i strane tajne službe BfV i BND. Operativno, Lükex 2011 vodili su BBK (Federalni ured civilne zaštite i asistencije u slučaju katastrofe) i BSI (Federalni ured za sigurnost informacija).

Detalji vježbe su tajni, no javnost je saznala da je tema bio napad novim virusom na IT infrastrukturu nacionalne vlade i nekih vlada federalnih država. Cilj napada bili su i sistemi nekih privatnih i javnih službi kritičnih infrastruktura. Softver napravljen da omete rad kompjutera može stvoriti mrežu kompjutera koji provode napade kojima se odbija pružanje usluga i manipuliše podacima čineći ih neupotrebljivim. Državni kapacitet vezan uz komunikacije i mogućnost da se nešto preduzme djelomično su paralizovani. Napajanje energijom, transport i finansijske usluge ozbiljno su narušeni. Pogreške u kritičnoj infrastrukturi izazivaju paniku.

Jedan učesnik vježbe rekao je: “Velika IT kriza drukčija je od prijašnjih katastrofa. One su imale geografski određen početak i njihovo se širenje moglo razumno procijeniti. Kod poplava izračunamo visinu vodostaja i preduzimamo akcije nizvodno. U slučaju bombi s radioaktivnim materijalom možemo upotrijebiti meteorološke podatke da se odrede različite zone opasnosti. IT kriza prostorno je bez granica. Ako u traženju postoji neki nedostatak, virus može zaraziti mnogo kompjutera. Osim toga, ono što se tada događa ne može se vidjeti kao bomba prije eksplozije ili talas koji nailazi prije poplave. Postoje digitalni električni signali koji u kompjuteru postaju vidljivi samo kad on počne raditi nešto ‘neočekivano’. Ako ste se navikli lokalizovati krizne situacije, imaćete velikih problema s procjenom situacije u IT krizi. A to se odnosi jednako na krizno upravljanje u slučaju IT kriza velikih razmjera. Na žalost, u ‘Sajberspaceu’ se ne možete osloniti na policiju, vatrogasce ili hitnu pomoć.” Vježbom Lükex 2011 simulirana je velika IT kriza. Kako bi to moglo izgledati, koje konkretne mjere bi trebalo preduzeti, ostalo je tajna. Organizacije koje bi upravljale u kriznoj situaciji nisu tajna: National IT Situation Centre, National Sajber Response Centre, National IT Crisis Response Centre i National Sajber Security Council. Samo njihovo postojanje dokazuje važnost IT sigurnosti. Iz službenih je dokumenata jasno da je krizno IT upravljanje primarno zadatak političkog rukovodstva i civilnih vladinih agencija. Važnost civilnog upravljanja krizom značajno se razlikuje od više vojnog pristupa Amerikanaca.

Iz materijala o Lükexu 2011 može se zaključiti da bi se upravljanje krizom vjerovatno sastojalo od četiri velika koraka:

– trebalo bi osigurati komunikaciju i garantovati da će sâmo krizno upravljanje funkcionisati

– trebalo bi osigurati ili obnoviti potpunu komunikaciju političkog vođstva; isto tako i administrativnih/izvršnih tijela na nacionalnoj i federalnoj državnoj razini primjenom hitnih mjera

– treći korak bio bi osigurati ili obnoviti integritet IT infrastrukture za vitalnu “fizičku” infrastrukturu

– četvrti korak bilo bi “opštee” krizno upravljanje, što znači bavljenje materijalnim posljedicama narušavanja i/ili potpunog sloma napajanja energijom, prijevoza, dobavke hrane i sistema plaćanja, odnosno “tradicionalno” krizno upravljanje aktiviranjem policije, vatrogasaca, vojske, Crvenoga krsta i drugih humanitarnih organizacija.

Službeni dokumenti pokazali su i da mediji – uključujući i tzv. društvene mreže na internetu – imaju značajnu ulogu. Očito je namjera suzbiti masovnu psihološku destabilizaciju populacije. Želi se spriječiti panika u velikoj IT krizi. Razvoj scenarija za Lükex 2011 i organizacijske pripreme trajali su 18 mjeseci, a procjena će trajati još 4-5 mjeseci. To takođe pokazuje koliko je njemačka vlada ozbiljno shvatila prijetnju IT sabotažom. Da su i ostale zemlje zabrinute zbog toga, pokazuje to što su kao službeni posmatrači učestvovali predstavnici iz 22 zemlje, uključujući SAD, Rusiju, Japan i većinu zemalja EU-a. Ko će imati motivacije i kapacitet da vodi sabotažu IT infrastrukture s potencijalno katastrofičnim posljedicama? Službeni dokumenti s Lükexa 2011 o tome ništa ne govore, postoje samo “objektivne mogućnosti”.

Veliku IT sabotažu može izazvati neto iz organizovanog kriminala, na primjer. Broj “IT zločina” ili “Sajber zločina” je u porastu. Službena vladina procjena štete prouzrokovane IT kriminalom u Njemačkoj u 2010. iznosila je 60 milijardi eura. Taj će se kriminal razvijati brže od krijumčarenja droge i drugih “tradicionalnih” aktivnosti mafijaških organizacija. Hoće li mafijaši ucjenjivati vlade i/ili velike infrastrukture, industrijske ili financijske kompanije IT sabotažama? Ili je to primjerenije za filmove s Jamesom Bondom? Teško je odgovoriti na to pitanje. Na primjer, velike banke ne objavljuju javno podatak da je neto zarazio njihov sistem, boje se da će zbog tog priznanja izgubiti reputaciju i povjerenje svojih klijenata. “Propaganda činom” biće glavni motiv terorističkih organizacija bilo koje ideološke orijentacije da izvedu IT sabotažu velikih razmjera. Zastrašivanje i ucjena mogli bi biti dodatni motiv za to. Da izazovu katastrofu, teroristi ne moraju nužno pustiti otrovni gas u tokijsku podzemnu željeznicu, aktivirati bombu u madridskom vozu ili se avionom zabiti u newyorške nebodere. Sabotiranje elektronskog kontrolnog sistema podzemne željeznice, aviokontrole ili hemijskih fabrika moglo bi izazvati slične katastrofične posljedice kao i “konvencionalni” teroristički napadi upotrebom “kinetičkih” sredstava.

(Nacional Zagreb)