Prof. dr Jan-Jaap Oerlemans
Profesor na Univerzitetu u Utrehtu i istraživač pri Odboru za nadzor nad radom holandskih obaveštajnih i bezbednosnih službi
Rastuće sajber pretnje holandskoj nacionalnoj bezbednosti otkrivaju hitnu potrebu za izmenom trenutnih ovlašćenja obaveštajnih i bezbednosnih službi. Predloženi "Cyber Act" ima za cilj da odgovori na te izazove davanjem mogućnosti masovnog presretanja i hakovanja, te omogućavanjem veće fleksibilnosti u postupku nadzora. Međutim, potrebno je dodatno pojašnjenje opsega Zakona.
Po mom mišljenju, postoji hitna potreba za novim predlogom zakona koji bi izmenio ovlašćenja obaveštajnih i bezbednosnih službi da masovno presreću komunikacije i hakuju. U ovom tekstu podeliću bitne tačke koje sam izneo tokom okruglog stola u holandskom Parlamentu 5. aprila 2023. godine.
Sajber pretnja
Sajber pretnja koju namerava da reši predloženi zakon trebala bi biti potpuno jasno definisana. Holandska Opšta obaveštajna i bezbednosna služba (AIVD) prvi je put izvestila o ‘digitalnim povredama vitalnih holandskih IKT infrastruktura’ 2007. godine. Ova poruka koja naglašava rizike digitalne špijunaže po našu nacionalnu bezbednost ponavlja se u svakom godišnjem izveštaju počevši od 2013. godine. Ovi izveštaji eksplicitno spominju razne žrtve digitalne špijunaže, uključujući holandska ministarstva, pružaoce telekomunikacionih usluga, univerzitete, obrazovne ustanove, think-tankove i biotehnološke firme.
Naše Vojna obaveštajna i bezbednosna služba (MIVD), kao i Nacionalni centar za sajber bezbednost (NCSC), takođe su izrazili ovu zabrinutost. Zapravo, NCSC smatra pretnju po sajber bezbednosti koja dolazi od ‘državnih aktera’ najznačajnijom među svim pretnjama, nadmašujući čak i pretnje kriminalnih aktera.
Problem
Godine 2021. holandske obaveštajne i bezbednosne službe izrazile su zabrinutost u vezi s izazovima s kojima su se susrele u svojim sajber operacijama. Ova pitanja prvenstveno proizlaze iz procesa “preispitivanja zakonitosti” koji sprovodi novoosnovana Komisija za istražna ovlašćenja (TIB). TIB je odgovorna za izdavanje ili odbijanje predloga za izdavanje naloga za istražna ovlašćenja, uključujući masovno presretanje komunikacija i hakovanje.
Predlog za Cyber Act
Kako bi se prevazišli ovi izazovi, izrađen je predlog zakona koji nazivam Cyber Act. Ovaj tekst se posebno bavi mogućnostima masovnog presretanja komunikacija i hakovanja, i predlaže značajne promene u sistemu nadzora u Holandiji. Ključno je naglasiti da je delokrug predloga zakona ograničen na operacije koje sprovode holandske obaveštajne i bezbednosne službe koje imaju za cilj prikupljanje obaveštajnih podataka vezanih za “ofanzivne sajber operacije stranih država”.
Cilj predloženog zakona je da se izmeni i delimično prenese nadzor masovnog presretanja i hakovanja kao istražnih ovlašćenja s Komisije (TIB) na holandski Odbor za nadzor obaveštajnih i bezbednosnih službi, čime se omogućava veća fleksibilnost u radu obaveštajnih i bezbednosnih službi. Nastoji se uspostaviti dinamičniji proces nadzora koji je usklađen s tehničkom realnošću ovih ovlašćenja.
Takođe je važno napomenuti da predlog Odboru daje (obavezujuće) ovlašćenje da zaustavi operaciju i (u konačnici) naredi brisanje nezakonito obrađenih podataka kada se koriste posebna istražna ovlašćenja. Trenutno, ovo nadzorni organ nema obavezujuće ovlašćenja u svom zadatku nadziranja službi. Nadalje, predloženi zakon uvodi žalbeni postupak na odluke holandskih nadzornih organa, omogućavajući sudiji da donese konačnu odluku o zakonitosti postupaka i odluka.
Masovno presretanje komunikacija
Masovno presretanje komunikacija služi kao značajan primer koji ilustruje kako su istražna ovlašćenja izmenjena u ovom predlogu. Značajan izazov u trenutnoj primeni masovnog presretanja je neslaganje između obaveštajnih i bezbednosnih službi (i njihovih odgovornih ministara koji autorizuju ta ovlašćenja) i Komisije (TIB) u vezi s nivoom fokusa koji treba primeniti na masovno presretanje.
Važno je pojasniti da masovno presretanje po svojoj prirodi nije ciljano. Uključuje presretanje velikih količina podataka nakon što su prikupljeni na određenoj lokaciji. Taj se postupak razlikuje od, na primer, prisluškivanja. Prisluškivanjem se presreću podaci povezani s određenim identifikacionim brojem, poput telefonskog broja ili IP adrese. Masovnim presretanjem prikuplja se veća količinu podataka, uključujući neidentifikovane brojeve koji mogu biti povezani s potencijalnim pretnjama nacionalnoj bezbednosti. U kontekstu sajber sigurnosti, masovno presretanje može se koristiti za prikupljanje obaveštajnih podataka o IT infrastrukturi koju koriste strani akteri koji učestvuju u tajnim aktivnostima usmerenoj prema holandskoj infrastrukturi.
Cyber Act ima za cilj da obezbedi zakonitost neciljanoj prirodi masovnog presretanja, ali isključivo u kontekstu prikupljanja obaveštajnih podataka povezanih s pretnjom ofenzivnih sajber operacija koje sprovode državni akteri, a koje predstavljaju rizik za nacionalnu bezbednost. Iako predlog zakona sadrži brojne detaljne odredbe u koje ovde neću ulaziti, smatram da su argumenti izneseni u prilog predlozima uverljivi. Stoga, smatram da je potrebno izmeniti postojeći zakon. Zapravo, mislim da bismo trebali razmotriti još značajniju ulogu obaveštajnih i bezbednosnih službi u borbi protiv pretnji sajber bezbednosti.
Rešavanje pretnje sajber kriminala po nacionalnu bezbednost
Pitanje sajber kriminala kao pretnje nacionalnoj bezbednosti zaslužuje posebnu pažnju. Naglasio sam da je holandski Centar za nacionalnu bezbednost identifikovao rensomver kao pretnju nacionalnoj bezbednosti. Slažem se s ovom procenom, ukoliko napadi imaju ozbiljne ekonomske posledice ili ometaju vitalne infrastrukture. Nažalost, već smo svedočili incidentima s rensomverom usmerenim na luku Roterdam, bolnice i opštine u Holandiji.
U Holandiji je jasno razdvojena istraga kriminalnih aktivnosti od istrage pretnji nacionalnoj bezbednosti. Očigledno mi je da bi holandske obaveštajne i bezbednosne službe trebalo da istražuju rensomver napade koji predstavljaju rizik po nacionalnu bezbednost. Međutim, ostaje nejasno da li se takve istrage trenutno sprovode. Dok se čini da se Cyber Act prvenstveno usredsređuje na državne aktere, cenio bih pojašnjenje o tome da li obuhvata i rensomver aktivnosti koje sprovode kriminalne organizacije.
Izvor: about:intel >>