Kvantitativno cyber špijunaža odmah je iza cyber kriminala orijentiranog na krađuU svojoj prethodnoj kolumni već sam istaknuo da je računalna sigurnost bila uzbudljiva tema na Konferenciji o sigurnosti u Münchenu (MSC) održanoj između 3. i 5. veljače. To se osobito odnosi na primjedbe Jevgenija Kasperskog, predsjednika uprave Kasperski Laba, vodeće međunarodne kompanije specijalizirane za računalnu sigurnost, i generala Michaela Haydena, bivšeg šefa CIA-e i Nacionalne agencije za sigurnost (NSA).

Rus i Amerikanac nisu širili paranoidnu famu o "cyber ratu", kao što bi se na takvom događanju moglo očekivati. Nisu se ni razmetali svojim stručnim znanjem pred publikom sastavljenom uglavnom od informatičkih laika. Umjesto toga usredotočili su se na "osnove", ističući da smo tek na početku nove ere o kojoj postoji kudikamo više pitanja nego konačnih odgovora. U prethodna dva desetljeća informacijska tehnologija i internet katalizirali su paradigmatsku promjenu globalnih razmjera, ali ta transformacija nije bila "mentalno obrađena" kako valja. S obzirom na dublji smisao transformacije koju usmjeravaju informatička tehnologija i internet, na našim "mentalnim mapama" još prevladava terra incognita.

To može zazvučati trivijalno, ali nije. Hayden se okrenuo prošlosti pokušavajući objasniti što se događa. Posegnuo je za usporedbom s otkrićem Amerike 1492. Otkriće je promijenilo ne samo pogled čovječanstva na fizički svijet, nego i njegov "Weltanschauung": nitko više nije mogao ozbiljno tvrditi da je Zemlja ravna. Pojavili su se nepoznati proizvodi, a transkontinentalna trgovina dubinski je izmijenila ekonomiju. Zlato iz Južne Amerike utabalo je put novčanoj ekonomiji. Geopolitička struktura Europe promijenila se s usponom pomorskih sila: Španjolske, Portugala, Engleske, Nizozemske i Francuske. Religijske strukture u Europi također su se promijenile s reformacijom u sjeverozapadnoj Europi. Pojavili su se novi oblici ratovanja: "vjerski" ratovi i transkontinentalni kolonijalni ratovi. Neobično, Hayden nije spomenuo gotovo istodobnu Gutenbergovu revoluciju koja je knjige i brošure učinila razmjerno jeftinima. Znanje više nije bilo privilegij sićušne manjine i pismenost stanovništva poprilično je brzo napredovala.

Usred sličnog pomaka u Weltanschauungu nalazimo se upravo sada. Hayden je podsjetio da je internet izumila američka organizacija za vojna istraživanja DARPA. Za vojsku su tisućama godina postojala samo dva područja: kopno i more. U 20. stoljeću dodana su im još dva: zračni i svemirski prostor. Sada postoji i peto polje: "kiberprostor". Čak ako kiberprostor i ovisi o materijalno-tehničkoj osnovi, on je u biti "nematerijalan". Kiberprostor se ne uklapa u tradicionalna poimanja fizičkog prostora i vremena. Tokovi informacija u "stvarnom vremenu" na internetu ne mogu se "lokalizirati". Međutim, iz te neopipljive domene kiberprostora mogu proizići vrlo opipljivi učinci u "stvarnom svijetu".
Mlađa je generacija već "informatički socijalizirana", upotrebljava internet i informatičke tehnologije kao nešto samorazumljivo i praktično. Riječima Kasperskoga, ova generacija ne može zamisliti svijet bez interneta baš kao što generacija baby boomera ne može zamisliti svijet bez električne struje, automobila i zrakoplova. Ali to ne znači da mlada generacija - a kamoli, dakako, generacija baby boomera - uistinu razumije informatičku tehnologiju i internet. Shvaćaju li oni implikacije informatičke revolucije - društvene, političke, gospodarske i kulturne? Isto pitanje, mogli bismo dodati, vrijedi i za informatičke profesionalce - iako oni posjeduju sva potrebna tehnička znanja.
Slično 16. stoljeću, današnje strukture ekonomije, politike, javne administracije, medija i društvenog života dramatično se mijenjaju. Hayden nije pogriješio kad je objavio da bez IT revolucije ne bi bilo "globalizacije" ni uspona Kine, Indije ili Brazila.
Naročito važan aspekt nedostatnosti našeg razumijevanja IT revolucije odnosi se na problem IT sigurnosti - za pojedince i društva. Opet, to nije samo "tehnička" stvar, nego pitanje mentalnih stavova.

Kasperski se okrenuo "mračnoj strani" interneta, dotaknuvši se najprije nekih ljudskih "osnova". Podsjetio je na antropološke konstante: ljudi imaju dobroćudne i zle karakterne osobine - mogu biti osvetoljubivi, pohlepni, grabežljivi ili nasilni. Te antropološke konstante sada interaktivno djeluju s novom okolinom zasnovanom na novoj informatičkoj tehnologiji. Ne postoji inherentna mračna strana "u" internetu i informatičkoj tehnologiji, problem je u tome kako se oni upotrebljavaju ili zloupotrebljavaju. Iako se može učiniti banalnim, to je zapravo ključna pojmovna razlika. Kasperski je odabrao trijezno i neemocionalno gledište prema informatičkoj sigurnosti koju je podijelio na četiri glavne kategorije prijetnji: cyber-kriminal, ideološki motivirane hakere, cyber-špijunažu i cyber-ratovanje.

Cyber-kriminal kudikamo je najveća prijetnja. Globalni prihodi od cyber-kriminala kreću se, procjenjuje se, između 200 milijardi i bilijun dolara. To su nevjerojatne brojke. Potpredsjednica Europske komisije Neelie Kroes rekla je na MSC-u da je točna brojka 1 trilijun i da je cyber-kriminal preuzeo međunarodnu trgovinu drogom. Međutim, Kasperski je zauzeo oprezno optimističan stav da će se trenutačna asimetrija između cyber-kriminalaca i organa provedbe zakona ispraviti idućih godina. Na nacionalnoj i međunarodnoj razini pravna, organizacijska i tehničko-forenzička sredstva borbe protiv cyber-kriminala se unapređuju. Čini se da su državne agencije, privatne kompanije, Interpol i Ujedinjeni narodi postali svjesni prijetnje cyber-kriminala. Ali u međuvremenu će mnogi ljudi izgubiti novac i privatnost.

Ta spoznaja još nije doprla do "normalnih korisnika". Nedugo prije MSC-a sudjelovao sam na konferenciji o IT sigurnosti u Frankfurtu. Među govornicima su bili predstavnici Kasperski Laba i Federalnog ureda za informatičku sigurnost (BSI). Ono što sam naučio bilo je i poučno i alarmantno.
Prije deset ili 15 godina zaštita kućnih ili uredskih računala od zloćudnog softvera - malwarea - bila je poprilična rijetkost. Stvari su se promijenile tek nakon što je ogromna šteta nanesena pojedincima, poslovima i javnim organizacijama. Otad je zaštita osobnih računala od malwarea postala standard. Ali sada se povijest, čini se, ponavlja, samo s pametnim telefonima.

Današnji moderni pametni telefon ima kapacitet memorije od 8 GB, što je više nego što je većina računala imala prije samo nekoliko godina. Doznao sam da bi Wikileaksova datoteka s tisućama dokumenata američkog State Departmenta zauzela tek 10 posto kapaciteta memorije običnog pametnog telefona. I dok se pametni telefoni sve više upotrebljavaju kao osobna računala, zaštita od malwarea rijetka je iznimka, osobito kod najčešće upotrebljavanih telefona Android. Nametljivi napadi cyber-kriminalaca pomoću malwarea najozbiljniji su, ali nipošto i jedini sigurnosni problem s pametnim telefonima. Mnoge aplikacije iziskuju pristup e-mail adresama i drugim osjetljivim podacima - a često ga i dobivaju jer korisnik ne zna na što pristaje. Za razliku od osobnih računala i laptopa, pametni telefoni masovno se gube ili kradu. Lako je zamisliti što bi se moglo dogoditi kad podaci pohranjeni u izgubljenom ili ukradenom telefonu ne bi bili dobro zaključani. Nije nužna nikakva posebna stručnost za informatičku sigurnost da se zamisle beskrajne mogućnosti koje pametni telefoni nude cyber-kriminalu. Pametni telefoni masovno se upotrebljavaju i masovno su na meti cyber-kriminala. Ponavljam, vjerojatno će trebati mnogo bolnih iskustava dok pametni telefoni ne budu sigurni kao što su danas računala.
Za Kasperskoga, druga velika prijetnja informatičkoj sigurnosti su ideološki motivirani hakeri koji prodiru u informatičke sustave državnih institucija, poslovnih poduzeća i privatnih čimbenika. Golema većina tih hakera tvrdi da djeluje s ciljem političke i socijalne "pravde" i razotkrivanja skrivenih "skandala". No Kasperski je zabrinut da bi milje ideološki motiviranih hakera mogao privući političke ili druge ekstremiste koji bi mogli prijeći s "pukog razotkrivanja" na "aktivne" cyber-napade. To bi moglo značiti cyber-terorizam: cyber-napade s namjerom nanošenja fizičke štete pojedincima i institucijama.
U kvantitativnom pogledu cyber-špijunaža slijedi odmah iza cyber-kriminala orijentiranog na krađu. Kasperski vidi cyber-špijunažu kao drugu najveću prijetnju informatičkoj sigurnosti. Cyber špijunažu provode države protiv drugih država, biznisi protiv konkurencije i države protiv svojih građana. U posljednjem slučaju nalazimo osobito proturječje: s jedne strane, postoji očita potreba da vlade priskrbe informatičku sigurnost svojim građanima, zaštite ih od cyber-kriminala i obrane njihovu privatnost od komercijalnih i drugih upada. S druge, državne sigurnosne agencije u ime borbe protiv kriminala, terorizma i ekstremističke subverzije imaju sklonost kršiti računalnu privatnost građana koju je država zakonski dužna štititi.

Pronalaženje razumnog regulativnog okvira za ovo proturječje ogroman je izazov. To je jedan od uistinu velikih socijetalnih problema i pojava političkih tvorevina poput "piratskih" stranaka jedan je od pokazatelja da to uistinu postaje ključan aspekt političkog govora. Pod novim i jedinstvenim uvjetima u društvu, koje usmjeravaju informatička tehnologija i internet, država mora zaštititi osobni (i materijalni) integritet građana. U isto vrijeme takva nužno potrebna regulacija i zaštita ne smiju narušavati privatnost građana. Ono što se doima kao "kvaka 22" problem je koji se može razumno riješiti. Jednostavno rečeno, iznimka od pravila mora ostati iznimka. Kad postoji jasna i neposredna opasnost od teškog zločina ili terorizma, proboj u privatne informatičke sustave mora se dogoditi samo unutar precizno određenog zakonskog okvira i pod nadzorom sudskog tijela.

Naposljetku, cyber-rat, što znači da jedna zemlja "nekinetičkim sredstvima" napada informatičke sustave druge sa svrhom izazivanja materijalne štete i ljudskih gubitaka. Stav generala Haydena prema cyber-ratu bio je shizofreničan. S jedne strane, rekao je da cyber-rat može dovesti do neprocjenjivih i katastrofalnih posljedica. Usporedio je cyber-napad malwareom Stuxnet na iranske nuklearne pogone s testiranjem i upotrebom atomske bombe 1945. S druge strane, Hayden je podržao cyber-napad Stuxnetom jer je sabotirao iranska nuklearna istraživanja. Ne iznenađuje što ničim nije dao naslutiti tko stoji iza napada Stuxnetom.

Kasperski je rekao da bi nepredvidljive posljedice cyber-ratovanja mogle tvoriti svojevrsno sredstvo samoodvraćanja. Možda bi bilo nemoguće slijediti trag cyber-napada natrag do agresora. Ali zemlja izložena napadu može načiniti proračune strateških interesa i motivacija koji stoje iza cyber-napada i provesti srodnu odmazdu. Čak i manje, tehnološki i ekonomski slabije razvijene zemlje mogu razviti učinkovite sposobnosti cyber ratovanja, dok su tehnološki napredne države s velikim "IT moćima" osobito ranjive zbog svojih opsežnih i složenih informatičkih infrastruktura. Upravo zbog svoje jedinstvene neprozirnosti cyber-rat može dovesti do pogrešaka u strateškim procjenama s nepredvidljivim posljedicama.

Kasperski se nada da će ti čimbenici pridonijeti efektu samoodvraćanja i dovesti do međunarodne konvencije protiv cyber-ratovanja. Budući da sposobnost za cyber-rat već postoji u mnogim zemljama, one bi mogle - s obzirom na neprocjenjiv rizik za sve - biti voljnije potpisati međunarodni sporazum protiv cyber-ratovanja. Međutim, napad Stuxnetom na Iran pokazuje u drugom, zloslutnom smjeru.
Dobro je što cyber-rat nije bio prevladavajuće pitanje na MSC-ovu panelu. Cyber-rat nije stvar za sebe, nego jedna dimenzija IT sigurnosti koja mora naći mjesto unutar opsežnog promišljanja IT revolucije u cjelini. Pojedinci i države čine najgore pogreške kad postoji nedostatak razumijevanja o onome što se uistinu događa. Što više vlade, akademski krugovi i civilno društvo budu razvijali razumijevanje interneta i transformacije usmjerene informatičkom tehnologijom, veće su nam šanse za sigurnost. Samo kad nešto shvaćate, možete razumno djelovati.